Datenschutzerklärungen – Überbordende Informationspflichten

Symbolbild "Datenschutzerklärung"

Mit der DSGVO kamen die Datenschutzerklärungen. Jeder Dienstanbieter und damit jeder Seitenbetreiber benötigt eine solche Erklärung, selbst wenn er kaum Daten verarbeitet. Die Leser gewöhnen sich damit an ellenlange Texte, die sie abnicken. Eine fatale Entwicklung.

Der Irrsinn mit den Datenschutzerklärungen lässt sich eigentlich nicht der DSGVO ankreiden, sondern war auch schon vorher im Datenschutzrecht angelegt. Wie so viele Bestimmungen kamen sie aber erst mit der DSGVO vollumfänglich im Bewusstsein der meisten Dienstanbieter an.

Die Idee dahinter ist prinzipiell gut. Dienstanbieter sollen darüber Auskunft geben, in welchem Umfang sie personenbezogene Daten verarbeiten, warum sie dies tun und mit welchen Dritten sie diese ggf. teilen. Damit der Leser auch versteht, was dort geschrieben wird, sollen diese präzise, transparent und in leicht zugänglicher Form angelegt werden. Die Betroffenen müssen zudem über ihre Rechte informiert werden. Genau hier beginnen die Probleme.

In Fachkreisen hat sich die Meinung durchgesetzt, dass hierzu umfassende Erklärungstexte notwendig sind. Das führt zu absurden Fehlentwicklungen.

Nehmen wir mal das Beispiel einer absolut vorbildlichen, weil sehr einfach aufgebauten Internetseite, die durch folgende Spezifika gekennzeichnet ist:

  • Keine Einbindung von Drittanbieter Tools
  • Keine Statistik
  • Keine Cookies
  • Keine Nutzerinteraktion
  • Keine Registrierungsmöglichkeit

Ergo keine Datenverarbeitung? Reicht hier dann ein Einzeiler in der Datenschutzerklärung im Stil von “Diese Daten erhebt und verarbeitet keine personenidentifizierenden Daten”. Weit gefehlt!

In der Regel liegt die Seite bei einem Serverbetreiber, im Jargon meist “Hoster” genannt. Aus Gründen der Sicherheit wird nahezu jeder Hoster zumindest für einen kurzen Zeitraum die IP-Adressen loggen. Zeiträume von weniger als 7 Tagen sind zwar bereits sehr datenschutzfreundlich, stellen aber trotzdem eine Verarbeitung personenbezogener Daten dar. Das deutsche Recht zwingt Betreiber zudem faktisch ein Impressum auf, in diesem sind wiederum Kontaktmöglichkeiten hinterlegt. Die bei einer Kontaktaufnahme anfallenden personenbezogenen Daten müssen ebenfalls beachtet werden.

Im Endeffekt braucht man also doch eine Datenschutzerklärung. Wenn man die oben genannten Anforderungen in einen der üblichen Hilfsmittel/Generatoren einträgt, kommt man meist auf einen langen Text. Im konkreten Fall waren es nahezu 3 A4 Seiten Fließtext, genauer gesagt 1571 Wörter bzw. 12364 Zeichen. Wohlgemerkt: Inhaltlich stand da immer noch “Diese Daten erhebt und verarbeitet keine personenidentifizierenden Daten”. Ausgenommen nur die gesetzlichen Pflichten (Sicherheit der Server, Impressum).

Das ist absurd und hat überhaupt nicht den gewünschten Effekt. Lange Erklärungen (kein Mensch ließt die im Detail!) führen nicht zu einem “Achtung”-Gefühl bei Lesern, weil alle Seiten lange Erklärungen haben. Die schwarzen Schafe (oder besser die schwarze Herde) können so wie bisher weiter machen.


 

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel