Datenschutzerklärung oder datenschutzrechtliche Einverständniserklärung?

Auf zahlreichen Webseiten oder in Formularen, die den Zugang zu Dienstleistungen, Newslettern und Bestellungen ermöglichen sollen, findet man den Hinweis „Datenschutzerklärung“, „Hinweise zum Datenschutz“ oder ganz einfach „Datenschutz“. Nach Auffassung der bayerischen Landesaufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich „fällt insbesondere in den Formularen von Versicherungen, Banken, und Kundenkarten sowie bei Preisausschreiben immer wieder auf, dass die vorformulierten datenschutzrechtlichen Einwilligungserklärungen nicht den Erfordernissen des § 4 a BDSG entsprechen.“ Im 2. Tätigkeitsbericht heißt es weiter: „Man hat zuweilen den Eindruck, dass Unternehmen die Einwilligungen, die sie von ihren Kunden verlangen, geradezu vor ihnen verstecken wollen.

Auf der einen Seite erwecken sie mit der Aufnahme entsprechender Absätze über den Datenschutz den Anschein, dass sie den Datenschutz ernst nehmen. Auf der anderen Seite tun sie jedoch alles, um den Kunden davon abzulenken, dass er auf dem Formular zusätzlich zum eigentlichen Hauptgeschäft eine datenschutzrechtliche Einwilligung erklären soll.“

Die Bajuwaren differenzieren hier zwischen einer Einverständniserklärung zur Nutzung von Bestandsdaten zu Werbe- und Marketingzwecken, die im Regelfall konkludent mit einem Vertragsschluss von den Betroffenen eingeholt wird, und den vertraglichen Hauptzwecken. Wer die „Erklärungen“ nicht liest, hat das Nachsehen. Im geringsten Fall mit einem vollen Briefkasten, oder auch mit einem Eintrag bei einer Wirtschaftsauskunftei…

Die Begriffe „Datenschutzhinweis“, „Erklärung zum Datenschutz“ oder „Datenschutzklausel“ verstoßen nach Auffassung der Behörde gegen § 4 a des BDSG, da „aufgrund dieser Überschriften ein Antragsteller nicht erkennen kann, dass im Anschluss eine von ihm abzugebende Erklärung folgt, mit der er sich mit einer besonderen Verwendung seiner personenbezogenen Daten einverstanden erklärt.“ Es sei ein „fundamentaler Unterschied, ob jemand einwilligt oder nur auf den Datenschutz hingewiesen wird.“

Der geneigte Leser geht nun auf die Suche im Internet und wird unweigerlich feststellen, dass die Aufsichtsbehörde einen Marktstandard beschreibt, da die wenigsten Betreiber den Anforderungen der Bajuwaren gerecht werden. Man könnte nun spekulieren, ob das Absicht oder Unkenntnis der Verantwortlichen ist. Ich würde hier nicht so weit wie die Aufsichtsbehörde gehen und eine Absicht unterstellen, obwohl … es gibt auch andere Beispiele.

Im Kontext der Diskussionen um die Kontaktbörse Xing hatte ich hier schon erwähnt, was ich von der „Datenschutzerklärung“ der Xing AG halte. Indem auf das einschlägige BDSG verwiesen wird, könnte man hier spekulieren, dass den Nutzern das Gefühl vermittelt werden soll, ihre Daten seien besonders geschützt, auch wenn der interessierte Nutzer beim Studium der Xing-AGB einen anderen Eindruck gewinnen könnte.

Nein, die Xing AG ist hier nicht alleine, sondern nur eine von vielen Anbietern, die auf den Gedanken spekulieren, dass der Wortsinn des BDSG auch tatsächlich wörtlich genommen wird. Es heißt Bundesdatenschutzgesetz, was den Eindruck suggeriert, dass es Daten schützt. Diejenigen, die das BDSG gelesen haben, wissen aber, dass es auch eine Ermächtigungsgrundlage ist, die eine Verarbeitung personenbezogener Daten unter bestimmten Voraussetzungen erlaubt. In den §§ 28, 29 sind die Erlaubnistatbestände für die Privatwirtschaft geregelt. Damit kann ein ganz anderes Licht auf das Gesetz geworfen werden, faktisch könnte man es auch Bundesdatenverarbeitungsermächtungsgesetz nennen.

Und das ist genau der Punkt, auf den die bay. Aufsichtsbehörde hier eingeht. Mit der Suggestion einer Schutzfunktion des BDSG soll dem Betroffenen vermittelt werden, dass seine Daten gesetzeskonform verarbeitet werden. Was der Betroffene im Regelfall nicht weiß, ist die Ermächtigung zur Verarbeitung durch das BDSG, und damit im Zweifel das genaue Gegenteil dessen, was der Betroffene will.

Aber auch die Xing AG kann hier Verbesserungen vornehmen. Die Lösung der Bayern lautet: „Der vorformulierte Wortlaut muss für den Antragsteller klar erkennen lassen, dass er eine über das Hauptgeschäft hinausgehende Erklärung abgibt, mit der er in eine nicht schon vom Gesetzgeber erlaubte Verwendung seiner personenbezogenen Daten einwilligt.“ Dies fängt damit an, dass der Titel einer Einwilligungserklärung eine Einwilligung auch deutlich macht. Somit sollte es nicht „Datenschutzerklärung“, sondern „Datenschutzrechliche Einverständniserklärung“ lauten. Aber dieser Titel ist schon so lang, dass er unweigerlich ins Augenmerk des Nutzers fällt und möglicherweise Verständnisfragen aufwirft. Wenn noch dazu das Risiko aufkommt, dass jemand aufgrund entsprechender Hinweise das BDSG liest und versteht, könnte ja das Geschäftsmodell in die Kritik geraten…

2 thoughts on “Datenschutzerklärung oder datenschutzrechtliche Einverständniserklärung?

Comments are closed.