Mit der DSGVO kamen die Datenschutzerklärungen. Jeder Dienstanbieter und damit jeder Seitenbetreiber benötigt eine solche Erklärung, selbst wenn er kaum Daten verarbeitet. Die Leser gewöhnen sich damit an ellenlange Texte, die sie abnicken. Eine fatale Entwicklung.
Der Irrsinn mit den Datenschutzerklärungen lässt sich eigentlich nicht der DSGVO ankreiden, sondern war auch schon vorher im Datenschutzrecht angelegt. Wie so viele Bestimmungen kamen sie aber erst mit der DSGVO vollumfänglich im Bewusstsein der meisten Dienstanbieter an.
Die Idee dahinter ist prinzipiell gut. Dienstanbieter sollen darüber Auskunft geben, in welchem Umfang sie personenbezogene Daten verarbeiten, warum sie dies tun und mit welchen Dritten sie diese ggf. teilen. Damit der Leser auch versteht, was dort geschrieben wird, sollen diese präzise, transparent und in leicht zugänglicher Form angelegt werden. Die Betroffenen müssen zudem über ihre Rechte informiert werden. Genau hier beginnen die Probleme.
In Fachkreisen hat sich die Meinung durchgesetzt, dass hierzu umfassende Erklärungstexte notwendig sind. Das führt zu absurden Fehlentwicklungen.
Nehmen wir mal das Beispiel einer absolut vorbildlichen, weil sehr einfach aufgebauten Internetseite, die durch folgende Spezifika gekennzeichnet ist:
- Keine Einbindung von Drittanbieter Tools
- Keine Statistik
- Keine Cookies
- Keine Nutzerinteraktion
- Keine Registrierungsmöglichkeit
Ergo keine Datenverarbeitung? Reicht hier dann ein Einzeiler in der Datenschutzerklärung im Stil von „Diese Daten erhebt und verarbeitet keine personenidentifizierenden Daten“. Weit gefehlt!
In der Regel liegt die Seite bei einem Serverbetreiber, im Jargon meist „Hoster“ genannt. Aus Gründen der Sicherheit wird nahezu jeder Hoster zumindest für einen kurzen Zeitraum die IP-Adressen loggen. Zeiträume von weniger als 7 Tagen sind zwar bereits sehr datenschutzfreundlich, stellen aber trotzdem eine Verarbeitung personenbezogener Daten dar. Das deutsche Recht zwingt Betreiber zudem faktisch ein Impressum auf, in diesem sind wiederum Kontaktmöglichkeiten hinterlegt. Die bei einer Kontaktaufnahme anfallenden personenbezogenen Daten müssen ebenfalls beachtet werden.
Im Endeffekt braucht man also doch eine Datenschutzerklärung. Wenn man die oben genannten Anforderungen in einen der üblichen Hilfsmittel/Generatoren einträgt, kommt man meist auf einen langen Text. Im konkreten Fall waren es nahezu 3 A4 Seiten Fließtext, genauer gesagt 1571 Wörter bzw. 12364 Zeichen. Wohlgemerkt: Inhaltlich stand da immer noch „Diese Daten erhebt und verarbeitet keine personenidentifizierenden Daten“. Ausgenommen nur die gesetzlichen Pflichten (Sicherheit der Server, Impressum).
Das ist absurd und hat überhaupt nicht den gewünschten Effekt. Lange Erklärungen (kein Mensch ließt die im Detail!) führen nicht zu einem „Achtung“-Gefühl bei Lesern, weil alle Seiten lange Erklärungen haben. Die schwarzen Schafe (oder besser die schwarze Herde) können so wie bisher weiter machen.