AUS SICHT DER STIFTUNG DATENSCHUTZ - „Ich willige ein!“
06. Oktober 2016, 15:16 UhrAGB gibt es natürlich immer noch, online wie offline; doch ergänzt werden sie heute durch umfangreiche Ausführungen zu den vom Anbieter beabsichtigten Datenverwendungen. Und auch dem Inhalt dieser „Daten-AGB“ wird für gewöhnlich mehr oder minder blind zugestimmt – obwohl die Verbraucherinnen und Verbraucher in ganz Europa „nachvollziehbare Datenschutzbestimmungen“ und „verständliche AGB“ als sehr wichtig einstufen.
Inflation der Einwilligung
Das Problem ist bekannt: Immer mehr Anfragen nach datenschutzrechtlichen Einwilligungen führen beim Dateninhaber zu Abstumpfung und letztlich zu einer Entwertung der Einwilligung. Dies ist eine bedenkliche Entwicklung, handelt es sich doch bei der Einwilligung um ein ganz entscheidendes Werkzeug der Informationsautonomie. Von europäischer Seite ist jedoch keine Abhilfe zu erwarten.
Das Problem ist bekannt: Immer mehr Anfragen nach datenschutzrechtlichen Einwilligungen führen beim Dateninhaber zu Abstumpfung und letztlich zu einer Entwertung der Einwilligung. Dies ist eine bedenkliche Entwicklung, handelt es sich doch bei der Einwilligung um ein ganz entscheidendes Werkzeug der Informationsautonomie. Von europäischer Seite ist jedoch keine Abhilfe zu erwarten.
Ganz im Gegenteil: Die Anzahl der Situationen, in denen Nutzer um ihre – möglichst informierte – Einwilligung gebeten werden, könnte noch steigen. So erklärt der Erwägungsgrund 32 der Datenschutz-Grundverordnung: „Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden“. Hiermit soll die Pauschaleinwilligung zurückgedrängt werden – ein an sich ganz im Sinne der informationellen Selbstbestimmung liegender Ansatz. Fraglich ist jedoch bereits heute, ob damit nicht bloß die Formalisierung eben dieser Selbstbestimmung weiter vorangetrieben wird.
Die DSGVO macht nicht alles besser
Es darf befürchtet werden, dass die Verpflichtung zum Anbieten einer segmentierten Einwilligungsmöglichkeit trotz des konsequenten Grundgedankens zu weiterer Abstumpfung führt. Die Nutzerinnen und Nutzer werden zwar in die Lage versetzt, einzelnen Datenverwendungen ihre Zustimmung zu verweigern. Damit dies aber eine bewusste Handlung wird, werden sie sich zuvor mit dem Inhalt der einzelnen Verarbeitungszwecke auseinandersetzen müssen – und eben hierzu haben viele Nutzer bereits heute keine Muße.
Zwar wird der geneigte Nutzer sich heute sagen, dass ein Nachvollziehen der verschiedenen Verarbeitungszwecke vergeblicher Aufwand ist, solange er ohnehin am Ende nur pauschal allem zustimmen kann. Doch hat sich an dieser Stelle über die vielen Jahre vor Anwendung der Datenschutz-Grundverordnung ein allgemeines Verhaltensmuster eingeschliffen. Es besagt, dass es ohnehin keinen Sinn habe, die Datenschutzerklärung zu lesen und zu durchdringen. Der Weg zu einem auch zukünftig standardmäßig unreflektierten Ankreuzen aller einzeln angebotenen Einwilligungskästchen ist dann kurz. Ob der Gedanke hinter dem Erwägungsgrund 32 auch ein Umsteuern beim Nutzerverhalten bewirken kann, erscheint mindestens unklar.
Das Recht lässt den Nutzer allein
Aus Sicht der Stiftung Datenschutz muss hieran gearbeitet werden. Wir wollen uns nicht zufrieden geben mit einem „Der Nutzer kann ja die Datenschutzerklärung lesen“. Auch wenn im privaten Bereich niemand einer Datenverwendung durch andere zustimmen muss, so fühlen sich doch viele Menschen im digitalen Raum allein gelassen – überfordert mit dem Erfordernis ständiger datenschutzbezogener Erlaubniserteilungen. Sie wollen innovative Dienste nutzen und in den Genuss technologischer Errungenschaften kommen. Sie wollen aber nicht ihre Privatsphäre am Eingang zur digitalen Welt abgeben.
Projekt der Diskussionsplattform
Dass der Idealzustand einer stets informierten und bewussten Einwilligung zum Datenumgang sich von alleine ergibt, halten wir für schlicht unrealistisch. Hier bleibt das Recht idealistisch. Sich von dem Ideal aber einfach zu verabschieden, halten wir für zu defensiv. Stattdessen wollen wir in der Diskussion mit Akteuren aller Seiten erkunden, wie sich Innovation und Datenschutz vereinen lassen.
In einem aktuellen Projekt „Einwilligung & Transparenz“ erforscht die Bundesstiftung bis zum kommenden Frühjahr neue Wege zu mehr Informiertheit und Kontrolle im Einwilligungsbereich. Wir wollen Möglichkeiten ausloten, die sich unter dem neuen europäischen Rechtsrahmen und nach dem Stand der Technik bieten, um die Selbstbestimmung zu verbessern. Wir wollen als Ergebnis erste Empfehlungen geben, mit welchen Hilfsmitteln und unter welchen Rahmenbedingungen der Nutzerschaft geholfen werden kann.
Ziel muss es einerseits sein, den Wert der Einwilligung wieder zu erhöhen – schließlich ist sie das wichtigste Instrument, das Datensubjekten zur Verfügung steht. Andererseits haben auch Unternehmen Interesse daran, mit nachvollziehbar dokumentierten und möglichst informiert erteilten Einwilligungserklärungen mehr Rechtssicherheit zu erlangen. Gleichfalls können transparente und erleichterte Einwillligungsprozeduren das Kundenvertrauen erhöhen, erst recht in Zeiten steigender Verunsicherung bei den Nutzern über den Umgang der Wirtschaft mit personenbezogenen Daten.
Unser Projekt gehen wir im Verbund mit externen Akteuren an; die Stiftung sehen wir dabei auch als Forum für Debatten. Arbeitstreffen mit Vertreterinnen und Vertretern der diversen Interessen sollen unseren Empfehlungen ein breites Fundament geben.
PET & PIMS & Co.
An interessanten Ansätzen, die auf mehr Nutzerkontrolle abzielen, mangelt es nicht: In Frankreich läuft seit mehreren Jahren das MesInfos-Projekt des Thinktanks FING.Darin wird das Ziel von “Self Data” verfolgt, wobei die Person, deren Daten ein Unternehmen begehrt, die Daten der Wirtschaft zwar bewusst zur Verfügung stellt, jedoch so weitgehende Kontrolle wie möglich behält.
Diese Idee eines bewussten Datenumgangs zur Erlangung persönlicher Vorteile bei besserer Wahrung der Privatheit verfolgen auch bereits gewerbliche Anbieterwie das englische start-up Digi. me, dort unter dem Schlagwort „Internet of me“. In Kanada zielt in Richtung von mehr Kontrolle die Initiative „Access my info“, die das Citizen Lab der Universität Toronto betreibt.
Wir wollen abschätzen, welche Chancen neuartige „Personal Information Management Services“ bieten können und einbeziehen, warum sich eine vielversprechende „Privacy Enhancing Technology“ zur Steigerung der Nutzerinformation wie das „Platform for Privacy Preferences Project“ (P3P) sich nicht durchsetzen konnte.
Besonders interessiert uns aus deutscher Stiftungssicht selbstredend die Entwicklung in der Bundesrepublik. Auch hierzulande beobachten wir im Forschungsbereich erste Vorstöße zur technischen Erleichterung der informierten Einwilligung.
Der Beitrag stammt aus der Fachzeitschrift PinG Ausgabe 05/2016.
Ganz im Gegenteil: Die Anzahl der Situationen, in denen Nutzer um ihre – möglichst informierte – Einwilligung gebeten werden, könnte noch steigen. So erklärt der Erwägungsgrund 32 der Datenschutz- Grundverordnung: „Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden“. Hiermit soll die Pauschaleinwilligung zurückgedrängt werden – ein an sich ganz im Sinne der informationellen Selbstbestimmung liegender Ansatz. Fraglich ist jedoch bereits heute, ob damit nicht bloß die Formalisierung eben dieser Selbstbestimmung weiter vorangetrieben wird.
Die DSGVO macht nicht alles besser
Es darf befürchtet werden, dass die Verpflichtung zum Anbieten einer segmentierten Einwilligungsmöglichkeit trotz des konsequenten Grundgedankens zu weiterer Abstumpfung führt. Die Nutzerinnen und Nutzer werden zwar in die Lage ver- setzt, einzelnen Datenverwendungen ihre Zustimmung zu verweigern. Damit dies aber eine bewusste Handlung wird, werden sie sich zuvor mit dem Inhalt der einzelnen Verarbeitungszwecke auseinandersetzen müssen – und eben hierzu haben viele Nutzer bereits heute keine Muße.
Zwar wird der geneigte Nutzer sich heute sagen, dass ein Nachvollziehen der verschiedenen Verarbeitungszwecke vergeblicher Aufwand ist, solange er ohnehin am Ende nur pauschal allem zustimmen kann. Doch hat sich an dieser Stelle über die vielen Jahre vor Anwendung der Datenschutz-Grundverordnung ein allgemeines Verhaltensmuster eingeschliffen. Es besagt, dass es ohnehin keinen Sinn habe, die Datenschutzerklärung zu lesen und zu durchdringen. Der Weg zu einem auch zukünftig standardmäßig unreflektierten Ankreuzen aller einzeln angebotenen Einwilligungskästchen ist dann kurz. Ob der Gedanke hinter dem Erwägungsgrund 32 auch ein Umsteuern beim Nutzerverhalten bewirken kann, erscheint mindestens unklar.
Das Recht lässt den Nutzer allein
Aus Sicht der Stiftung Datenschutz muss hieran gearbeitet werden. Wir wollen uns nicht zufrieden geben mit einem „Der Nutzer kann ja die Datenschutzerklärung lesen“. Auch wenn im privaten Bereich niemand einer Datenverwendung durch andere zustimmen muss, so fühlen sich doch viele Menschen im digitalen Raum allein gelassen – überfordert mit dem Erfordernis ständiger datenschutzbezogener Erlaubniserteilungen. Sie wollen innovative Dienste nutzen und in den Genuss technologischer Errungenschaften kom- men. Sie wollen aber nicht ihre Privatsphäre am Eingang zur digitalen Welt ab- geben.
Projekt der Diskussionsplattform
Dass der Idealzustand einer stets informierten und bewussten Einwilligung zum Datenumgang sich von alleine ergibt, halten wir für schlicht unrealistisch.Hier bleibt das Recht idealistisch. Sich von dem Ideal aber einfach zu verabschieden, halten wir für zu defensiv. Stattdessen wollen wir in der Diskussion mit Akteuren aller Seiten erkunden, wie sich Innovation und Datenschutz vereinen lassen.
In einem aktuellen Projekt „Einwilligung & Transparenz“ erforscht die Bundesstiftung bis zum kommenden Frühjahr neue Wege zu mehr Informiertheit und Kontrolle im Einwilligungsbereich. Wir wollen Möglichkeiten ausloten, die sich unter dem neuen europäischen Rechtsrah- men und nach dem Stand der Technik bieten, um die Selbstbestimmung zu verbessern. Wir wollen als Ergebnis erste Empfehlungen geben, mit welchen Hilfs- mitteln und unter welchen Rahmenbedingungen der Nutzerschaft geholfen werden kann.
Ziel muss es einerseits sein, den Wert der Einwilligung wieder zu erhöhen – schließlich ist sie das wichtigste Instrument, das Datensubjekten zur Verfügung steht. Andererseits haben auch Unterneh- men Interesse daran, mit nachvollziehbar dokumentierten und möglichst informiert erteilten Einwilligungserklärungen mehr Rechtssicherheit zu erlangen. Gleichfalls können transparente und erleichterte Ein- willligungsprozeduren das Kundenvertrauen erhöhen, erst recht in Zeiten steigender Verunsicherung bei den Nutzern über den Umgang der Wirtschaft mit personenbezogenen Daten.
Unser Projekt gehen wir im Verbund mit externen Akteuren an; die Stiftung sehen wir dabei auch als Forum für Debatten. Arbeitstreffen mit Vertreterinnen und Vertretern der diversen Interessen sollen unseren Empfehlungen ein breites Fundament geben.
PET & PIMS & Co.
An interessanten Ansätzen, die auf mehr Nutzerkontrolle abzielen, mangelt es nicht: In Frankreich läuft seit mehreren Jahren das MesInfos-Projekt des Thinktanks FING. Darin wird das Ziel von “Self Data” verfolgt, wobei die Person, deren Daten ein Unternehmen begehrt, die Daten der Wirtschaft zwar bewusst zur Verfügung stellt, jedoch so weitgehende Kontrolle wie möglich behält.
Diese Idee eines bewussten Datenumgangs zur Erlangung persönlicher Vorteile bei besserer Wahrung der Privatheit verfolgen auch bereits gewerbliche Anbieter wie das englische start-up Digi. me, dort unter dem Schlagwort „Internet of me“. In Kanada zielt in Richtung von mehr Kontrolle die Initiative „Access my info“, die das Citizen Lab der Universität Toronto betreibt.
Wir wollen abschätzen, welche Chancen neuartige „Personal Information Management Services“ bieten können und einbe- ziehen, warum sich eine vielversprechende „Privacy Enhancing Technology“ zur Steigerung der Nutzerinformation wie das „Platform for Privacy Preferences Project“ (P3P) sich nicht durchsetzen konnte. Besonders interessiert uns aus deutscher Stiftungssicht selbstredend die Entwick- lung in der Bundesrepublik. Auch hierzulande beobachten wir im Forschungsbereich erste Vorstöße zur technischen Erleichterung der informierten Einwilligung.