Zum Hauptinhalt springen
Blogbeitrag

Wieso Transparenz nicht ausreicht

Transparenz ist eine wichtige Grundlage für den Datenschutz. Doch bedeutet eine verständliche Information über Datenschutzaspekte noch nicht, dass die betroffenen Personen sich der mit der Verarbeitung verbundenen Risiken wirklich bewusst werden. Auch gewährleistet Transparenz keineswegs Rechtskonformität oder Fairness der Datenverarbeitung.

Transparenz als Datenschutzgrundsatz

Transparenz gehört zu den Datenschutzgrundsätzen, die in Artikel 5 der Datenschutz-Grundverordnung (DSGVO) formuliert sind. Anforderungen an Informationspflichten der Verantwortlichen und Auskunftsmöglichkeiten für die betroffenen Personen ziehen sich durch die gesamte DSGVO. Es geht nicht nur um die Bereitstellung von korrekten Informationen über die Datenverarbeitung, sondern dies muss „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Artikel 12 Abs. 1 DSGVO) geschehen.

„One size fits all“ leistet keine Verständlichkeit

Mit der Verständlichkeit ist es aber so eine Sache, besonders wenn die Datenverarbeitung komplex ist oder häufigen Änderungen unterliegt – und das ist der Normalfall bei einer agilen Systemgestaltung, die zudem Code-Komponenten und Dienstleistungen von anderen integriert. Auch Verfahren mit eingebautem Datenschutz weisen oft zusätzliche Komplexität auf, z. B. durch besondere Verschlüsselungskonzepte oder Verteilung der Daten und der Verarbeitung. Komplexe Sachverhalte sind jedoch nur schwer so zu vermitteln, dass sie für jede Zielgruppe verständlich sind. Die DSGVO verlangt daher auch eine zielgruppengerechte Aufbereitung der Informationen, die sich speziell an Kinder richten. Schon seit vielen Jahren empfehlen die Datenschutzbehörden der EU ein Mehrebenen-Format für Datenschutzerklärungen, das auf einen Blick die wichtigsten Informationen darstellt und Details für diejenigen bereithält, die Genaueres wissen möchten.[1][2] Problem: Verschiedene Aufbereitungen in Sprache oder Bildern für dieselbe Datenverarbeitung sind nicht äquivalent, und selbst wenn sie es wären, würden Menschen mit unterschiedlichem Wissensstand zu Abläufen und Risiken einer Datenverarbeitung und mit ihren verschiedenen Erwartungen nicht dasselbe verstehen.

Framing durch die Verpackung der Informationen

Das Datenschutzrecht stellt zwar Anforderungen an die zu gebenden Informationen, aber regelt nichts zur „Verpackung“. So enthalten einige Benachrichtigungen von betroffenen Personen über eine Datenpanne, die bei voraussichtlich hohem Risiko nach Art. 34 DSGVO gegeben werden müssen, nicht nur die Pflichtinformationen, sondern lesen sich wie eine Wiedergutmachung, indem Gutscheine mitgesandt werden oder anders für das Unternehmen geworben wird. Einige Online-Shopping-Anbieter versenden bereits Entschuldigungs-E-Mails mit einem Gutschein, wenn ihr Server kurzzeitig ausgefallen ist, auch wenn der Ausfall noch nicht einmal eine meldepflichte Datenschutzverletzung darstellt. Passiert dann mal wirklich eine ernste Datenpanne, fällt dies weniger auf. Natürlich kann es auch sein, dass die betroffenen Personen ohne einen Mehrwert wie einem Gutschein den Inhalt der Benachrichtigung gar nicht als relevant einstufen, sondern von vornherein ignorieren würden.

Allenfalls diffuses Verständnis über Risiken und Folgen

Auch wenn neutral über die Datenverarbeitung informiert wird, kann es schwerfallen, aus den Informationen abzuleiten, welche Risiken bestehen und welche Folgen die Datenverarbeitung haben kann. Zum Beispiel enthalten die Informationen von Facebook zu Fanpages[3] einen Passus zu der Protokollierung von „Events“ bei der Interaktion von Personen mit Seiten oder Inhalten. In einer langen Liste werden Datenpunkte dieser Events beispielhaft aufgezählt: vom Starten einer Kommunikation bis hin zu Klicks oder Mouse-overs auf der Fanpage. Inwieweit die Auswertung der Events ein manipulatives Microtargeting[4] ermöglicht – beispielsweise durch auf die Nutzenden zugeschnittene Werbungen für Produkte oder um Wählerstimmen – und dass auf Basis der Daten passend zur jeweiligen Stimmung die passenden Inhalte mit musikalischer Untermalung präsentiert werden können, lässt sich aus einer technisierten Darstellung der Datensammlung nicht erahnen.

Risiken verdrängen und vergessen

Viele der Risiken sind ohnehin schwer einschätzbar, z. B. die Zugriffe von staatlichen Organisationen aus Ländern außerhalb des Europäischen Wirtschaftsraums, ohne dass für die europäischen Bürger·innen ein effektiver Rechtsschutz gegeben ist (s. a. EuGH-Urteil „Schrems II – C-311/18). Keine gute Lösung ist das Einholen von Einwilligungen in eine Datenverarbeitung nach einem Warnhinweis bezüglich der geheimdienstlichen Zugriffsmöglichkeiten in Take-it-or-leave-it-Situationen (was von Befürworter·innen auf Art. 49 DSGVO gestützt wird). Damit wird weder das Problem behoben oder eine Übergangslösung geschaffen, noch werden die Nutzer·innen über erfolgte Zugriffe informiert. Zumal neigen Menschen dazu, solche Warnungen zu vergessen. Ein Beispiel aus der Datenverarbeitung: Für Sprach-Bots am Telefon wird diskutiert, dass sie sich als Bot zu erkennen geben sollen, doch sind einige Systeme kaum mehr von natürlicher Sprache eines Menschen unterscheidbar (einschließlich gelegentlicher Ähm-Laute), sodass eine mögliche Klarstellung zu Beginn des Telefonats in Vergessenheit geraten kann.[5]

Datengieriges Getrickse

Dass für bestimmte Services – beispielsweise bei einer Personalisierung – auch bestimmte personenbezogene Daten oder besondere Verarbeitungsschritte erforderlich sind, ist klar. Doch wenn man nur die Grundfunktionalität nutzen möchte, die mit einem geringeren Umfang an Daten und an Verarbeitungen auskommen müsste, geht dies in der Praxis häufig nicht: Die Wahlmöglichkeiten sind auf „Take it or leave it“ beschränkt; das bedeutet in der Regel „Service gegen Daten“. Oder die Nutzer·innen haben die Möglichkeit, bestimmte Verarbeitungen zu deaktivieren, aber dies wird ihnen durch die Nutzerführung nicht gerade leichtgemacht. Eine Gestaltung mit „Dark Patterns“[6][7] sorgt u. a. unter Ausnutzung psychologischer Tricks[8] dafür, dass die meisten Nutzer·innen doch keine datensparsamere Konfiguration einrichten.

Fazit

Transparenz allein gewährleistet offensichtlich nicht die Datenschutzkonformität der Datenverarbeitung. Auch führt eine Information über die Datenschutzaspekte nicht in jedem Fall dazu, dass sich die betroffenen Personen der für sie bestehenden Risiken bewusst werden.

Nach dem Verbraucherschutzrecht sind überraschende und versteckte Klauseln in den Allgemeinen Geschäftsbedingungen unwirksam, Verbraucherschützer·innen gehen regelmäßig gegen Tricksereien vor. Dies wird nun auch zu einer Aufgabe der Datenschützer·innen. Wesentlich wird sein, das Prinzip von „Datenschutz by Default“ als Startpunkt einer jeden Datenverarbeitung flächendeckend einzufordern und Standards sowohl für Fairness der Verarbeitung als auch für eine zielgruppengerechte, verständliche Information zu etablieren.


[1] Artikel-29-Datenschutzgruppe (2004): Stellungnahme 10/2004 zu einheitlicheren Bestimmungen über Informationspflichten, 11987/04/DE, WP 100, angenommen am 25. November 2004; https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2004/wp100_de.pdf

[2] Artikel-29-Datenschutzgruppe (2017): Leitlinien für Transparenz gemäß der Verordnung 2016/679, 17/DE, WP 260 rev.01, angenommen am 29. November 2017, zuletzt überarbeitet und angenommen am 11. April 2018; https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

[3] Facebook (2021): Informationen zu Seiten-Insights, 2021; https://www.facebook.com/legal/terms/page_controller_addendum

[4] Kurz/Dachwitz (2019): Microtargeting und Manipulation: Von Cambridge Analytica zur Europawahl, Bundeszentrale für politische Bildung, 02.05.2019; https://www.bpb.de/gesellschaft/digitales/digitale-desinformation/290522/microtargeting-und-manipulation-von-cambridge-analytica-zur-europawahl

[5] Nickel (2018): Sprachassistenten: Gesetzesentwurf verlangt von Bots, sich als solche zu zeigen, Golem, 24.05.2018, https://www.golem.de/news/sprachassistenten-gesetzesentwurf-verlangt-von-bots-sich-als-solche-zu-zeigen-1805-134552.html

[6] Forbrukerrådet (2018): Deceived by Design, Report, 2018; https://www.forbrukerradet.no/undersokelse/no-undersokelsekategori/deceived-by-design/

[7] Martini/Drews/Seeliger/Weinzierl (2021): Dark Patterns, Zeitschrift für Digitalisierung und Recht (ZfDR) 1/2021, 47-74

[8] Acquisti/John/Loewenstein (2013): What Is Privacy Worth?, Journal of Legal Studies 42, no. 2 (June 2013): 249–274; doi:10.1086/671754; http://nrs.harvard.edu/urn-3:HUL.InstRepos:37101490


Dieser Beitrag wurde von Marit Hansen verfasst und erschien im kürzlich veröffentlichten Arbeitspapier des Digital Autonomy Hubs „(In-)transparente Datenschutzerklärungen und digitale Mündigkeit“. Marit Hansen ist seit 2015 die Landesbeauftragte für Datenschutz Schleswig-Holstein und leitet das Unabhängige Landeszentrum für Datenschutz (ULD), die Datenschutzbehörde des nördlichsten Bundeslandes. Davor war die Diplom-Informatikerin sieben Jahre lang stellvertretende Landesbeauftragte für Datenschutz. Im ULD hat sie den Bereich der Projekte für technischen Datenschutz aufgebaut, in dem in Kooperation mit Forschung und Wissenschaft die Herausforderungen für die Gesellschaft durch die zunehmende Digitalisierung betrachtet und Lösungsvorschläge für eine grundrechtskonforme Gestaltung von Systemen erarbeitet werden.