Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Wein-Experiment: Datenschutzhinweise sinnlos?
Geschrieben: 31.05.2024
Stichwörter: Grundsätze
Die Geschichte
Dan Neidle, ein in Großbritannien bekannter Kritiker überbordender Bürokratie1, hat, um zu beweisen, dass Datenschutzerklärungen praktisch nie gelesen werden und daher überflüssig seien, in seiner Datenschutzerklärung einen Passus versteckt, der der ersten Entdecker*in eine gute Flasche Wein verspricht. Es meldete sich jemand erst nach Monaten, obwohl es in dieser Zeit 160.000 Besucher*innen der Website gab.2
Neidle meint nun, schlussfolgern zu können, dass Datenschutzerklärungen völlig sinnlos seien, da sie ja doch niemand läse. Und Computerbild übernimmt diese Schlussfolgerung völlig unkritisch.3
"Stammtischgeschwätz"
Dieser Begriff viel mir ein, als ich einen bayerischen Radio-Moderator über das Thema berichten hörte: "Man stelle sich vor: 159.999 Besucher klicken auf die Seite und übersehen, dass ihnen eine Flasche Wein versprochen wird, wenn sie das lesen und erst dem 160.000sten fällt es auf!"4.
Aber die Wirkung wird dieses Geschwätz kaum verfehlen: Wer sich selbst die Zeit genommen und Mühe gemacht hat, Informationen nach Art. 13 der DSGVO zu verfassen, ist oft empfänglich Schimpfereien auf "die Bürokratie", die das von einem verlangt. (Nicht viele haben Lust sich neben der lästigen Pflicht auch noch um die Motive der Erfinder*innen der Vorschrift zu kümmern.) Aber ernsthaft: Ist das wirklich nur bürokratisch? Ist solch ein Dokument wirklich unwichtig, weil es nur selten gelesen wird?
Selten gelesene Texte keineswegs immer unwichtig
Ein Testament z. B. kann jahrelang ungelesen von allen außer der Verfasser*in beim Nachlassgericht liegen, ohne dass es unwichtig wäre.
Dieses Beispiel sollte uns Anlass genug sein, der Frage bezüglich der Datenschutzerklärung nachzugehen.
Die Wirkung einer Datenschutzerklärung
Schauen wir doch in der Wikipedia nach. (Die DSGVO – in englisch "GDPR" – gilt offenbar in Großbritannien auch nach dem Brexit noch.) Es geht hier offenbar um Transparenz: Welche Daten werden erhoben? Warum werden diese benötigt? Was wird mit ihnen gemacht?
Damit hat die betroffene Person ein Recht auf diese Auskunft und auch dass diese Auskunft korrekt und vollständig ist. Das ist schon nicht ganz unwichtig, auch wenn man diese Auskunft nicht gleich einholt.
Sollte es da irgendetwas Unbilliges oder grob Unkorrektes oder Unvollständiges geben, dann könnte die Datensammler*in in arge Schwierigkeiten geraten, auch wenn es erst der 160.000sten Besucher*in einer Website auffällt. Empfindliche Bußgelder drohen dann.
Wer immer eine Datenschutzerklärung schreibt, ist auch somit gezwungen, sich zu informieren, was man darf oder nicht darf. Allein das sorgt für ein sorgsameren Umgang mit den Daten anderer.
Deshalb ist es gar nicht so wahrscheinlich, dass sich eine Website-Betreiber*in traut, schlimme oder falsche Dinge in die Datenschutzerklärung zu schreiben oder zu verschweigen.
Die DSGVO entfaltet also durchaus eine Wirkung, ohne dass jede*r sofort alle Datenschutzerklärungen durchliest.
Ganz anders sähe es aber aus, wäre die Veröffentlichung der Datenschutzerklärung gar nicht vorgeschrieben: Wie soll man sich über Ungeschriebenes beschweren? Man wäre auf Mutmaßungen angewiesen. Also rein praktisch könnten Datenkraken ziemlich ungehindert arbeiten, ohne dass man ihnen auf die Schliche käme.
Und die normale kleine Website-Betreiber*in würde es wohl auf den St.-Nimmerleins-Tag verschieben, sich damit zu befassen, wie sie mit den Daten ihrer Kund*innen sorgsam umzugehen hat. Wir kennen es aus der Zeit vor der DSGVO: Da wurde Google Analytics™5 unbedacht in jede Website eingebaut und damit Google ermöglicht, über alle Benutzer*innen Web-Bewegungsprofile zu erstellen, ohne dass die Betroffenen das auch nur ahnten.
Was treibt Dan Neidle an?
Ich möchte Dan Neidle nicht unterstellen, dass er bewusst den weltweiten Datenhandel unterstützen will. Ich denke, dass er wohl einfach die Gefahren des Trackings unterschätzt. Es ist ja nicht ganz einfach, diese abzuschätzen und auch, wie weit wir wirklich manipulierbar sind. Ich wäre hier eher vorsichtig, Neidle scheint dagegen solche Risiken für gering zu halten.
Dafür sieht Neidle die Gefahr einer überbordenden Bürokratie als hoch an. Dies ist jedenfalls durchaus vorhanden und insofern leistet Neidle auch wichtige Arbeit, die man nicht unterschätzen sollte. Also meine Kritik an der Schlussfolgerung aus seinem Wein-Experiment nicht falsch verstehen! Ich bin sehr wohl der Meinung, dass man jede Regel immer wieder mal auf den Prüfstand stellen sollte, abwägen sollte, was sie bringt und wie sehr sie belastet.
Aber bei dem Art. 13 der DSGVO sehe ich nach aller Abwägung große Vorteile der Verbraucher*innen, die die Anforderungen an die Datenverarbeiter*innen durchaus rechtfertigen.
Die Datenschutz-Verfechter*innen lernen auch dazu
Viele Datenschutz-Auditor*innen in Deutschland raten inzwischen dazu, nicht mehr den Begriff "Datenschutzerklärung" zu verwenden, sondern diese Dokumente mit "Datenschutzhinweisen" zu titulieren.6
Bei Datenschutzhinweisen ist schon vom Namen her deutlich, dass es sich nicht um einen Vertragsbestandteil, sondern um Informationen handelt, die bei Bedarf abrufbar sind, die damit aber auch leicht änderbar sind, weil sie keine Zustimmung der Kundschaft benötigen.7
1) Siehe Wikipedia: "Dan Neidle.
2) Siehe DER SPIEGEL (online): "Gratis-Wein fürs Lesen der Datenschutzerklärung – doch über Monate meldet sich niemand".
3) Siehe Computerbild: "Wein-Experiment entlarvt Datenschutzerklärungen als sinnlos".
4) So oder zumindest so ähnlich, zitiert nach meiner Erinnerung. Wenn einer sogar eine gewiss gerundete Zahl so wörtlich nimmt, merkt man, dass der gar nichts merkt. Und nicht nur das: Es waren wohl gar keine 160.000 Klicks auf die Datenschutzerklärungs-Seite, sondern auf die "Website", d. h. auf irgendwelche Seiten dieser Domain, wie der Spiegel berichtet: "Die Website [...] wurde im März und April laut dem Analysedienst Similar Web rund 160.000-mal aufgerufen." (Wie oft jemand direkt die Datenschutzerklärung angeklickt hat, ist gar nicht bekannt.)
Man sollte sich schon ein bisschen informieren, bevor man eine Geschichte weitererzählt. Sonst kann (wie bei dem Kinderspiel "Stille Post") am Ende noch das gerade Gegenteil der wahren Geschichte herauskommen.
5) Hinweise zu Marken Dritter:
"Google Analytics" ist eine Marke der Google Inc.
6) Siehe Datenschutz-Guru: "Warum empfehle ich, Datenschutzinformationen nicht als „Datenschutzerklärung“ zu bezeichnen?". (Hinweis: In der DSGVO taucht der Begriff "Datenschutzerklärung" gar nicht auf. Aber es gibt den Art. 13, der beschreibt, was in diesem Dokument zu stehen hat.)
7) Keine Sorge: Die leichte Änderbarkeit verhindert nicht die Dokumentation der Änderungen. Mit dem Internet Archive (web.archive.org) kann man Änderungen aller wichtigen Seiten im Internet nachvollziehen. (Man kann dabei selbst die Archivierung von Seiten, die einem*einer wichtig sind, anstoßen.)