DS-GVO Fehlkonzept Nr. 3: Einwilligung ist möglich

In den letzten Monaten haben wir zigfach unsere Einwilligung zu Datenschutzerklärungen, Cookie Policies, AGBs, Vertragsergänzungen u.v.a. gegeben. Ich gebe es zu, auch ich lese nicht alle Datenschutzerklärungen, denen ich zustimme. Selbst wenn man weiss, wie solche Erklärungen aufgesetzt sind und was sie beinhalten, bedeuten sie für den Betroffenen primär Ärger (vom volkswirtschaftlichen Schaden, der alleine durch das Lesen entsteht, noch nicht einmal gesprochen).

Denn wir wissen es alle: wir haben praktisch keine Möglichkeit, Dienste zu nutzen, ohne diese Erklärungen zu bestätigen. Sind wir tatsächlich in der Lage, die Tragweite der von uns erteilten Einwilligungen abzuschätzen?

Dabei handelt es sich nicht primär um ein Datenschutzthema. Doch was ist eine Einwilligung? Wenn wir als Kunde ein Online-Angebot nutzen, wird der Anbieter eine Datenschutzerklärung beifügen, die wir als Teil des Vertrags unterzeichnen sollen. Wenn wir das wollen, müssen wir in der Regel einen digitalen Entscheid treffen: Ja oder Nein (und zwar zu Grundvertrag und Datenschutzerklärung). Schwierig wird das Ganze, wenn es sich um ein marktbeherrschendes Unternehmen handelt, bzw. es keine Alternativangebote gibt (typische Monopol- oder Oligopolsituation).

Eine Einwilligung nach Datenschutz bedeutet, dass die betroffene Person mit den Verarbeitungsmethoden, wie sie der Verantwortliche dokumentiert, einverstanden ist. Ist sie dies nicht, dann müsste sie die Möglichkeit haben, einzelne Bearbeitungsformen und -methoden auszuschliessen. Zu diesem Zweck muss der Verantwortliche transparent darüber informieren, wie er mit den Daten arbeitet und welche Verarbeiter (Subunternehmer) er beizieht.

Diese Vorgehensweise setzt voraus, dass volles Wissen über die Datenhaltung herrscht (vgl. FK 4). In heutigen Systemen ist die Vernetzung jedoch so hoch, dass dies Wunschdenken ist. Ich kann als Betroffener höchstens generell eine Meinung äussern. Selbst wenn ich einzelne Opt-in Schalter habe, bedeutet dies noch lange nicht, dass die Verarbeitung dann wirklich meinen Wünschen entspricht.

Erfrischend sind die immer wieder neu auftauchenden, absurden Darstellungen von Opt-in Möglichkeiten auf Webseiten von Anbietern. Da darf man 50 virtuelle Schalter betätigen und entscheidet damit über alle möglichen Formen von Verarbeitungen (vgl. FK 9). Das würde bedeuten, dass man sich über die dazugehörigen Softwareteile genauestens erkundigt und auch noch versteht, was geschieht! Dies kann und will niemand tun (vgl. FK 4). Selbst der Anbieter wird nicht in jedem Fall genau wissen, welche Konsequenzen das Ein-/Ausschalten eines Dienstes tatsächlich hat.

Unter dem Strich bedeutet dies folgendes: Entweder ich lasse mich mit dem Anbieter ein oder ich lasse es bleiben! Zum Glück gibt es in vielen Bereichen Alternativen zu den bekannten Datenkraken. Trotzdem drängt es die Leute aus Bequemlichkeit (und aus Geiz) immer wieder zu Diensten, die den grössten Marktanteil haben.  Diese Anbieter nützen ihre Marktmacht systematisch aus.

Die aktuelle Tendenz, sämtliche Software nur noch als Cloud Version anzubieten, trägt weiter dazu bei, dass der einzelne Nutzer praktisch keine Macht (Kontrolle = Information Governance) mehr über seine Daten besitzt. Es bleibt ihm nur noch die Alternative, entweder nach wie vor alles lokal zu installieren und zu betreiben, oder sich lokale Anbieter zu suchen, die vertrauenswürdig sind und mit denen er einen vernünftigen Vertrag aushandeln kann (Don’t forget: All business is still local).

Doch auch für den kleinen Anbieter wird es jetzt haarig. Meist besteht ein Grundvertrag über eine Leistung, die vom Anbieter (Auftragnehmer) („wir bieten ein CRM in der Cloud an“) angeboten wird. Der Kunde, hier ein Unternehmen, bestellt dieses Angebot auf Basis des Grundvertrags. Gleichzeitig wird er vom Anbieter noch gebeten, einen Auftragsverarbeitungsvertrag zu unterzeichnen, welche den Umgang des Auftragnehmers mit den Personendaten beschreibt (denn Sinn und Zweck des CRM dürfte es u.a. sein, Personendaten zu erfassen).

Hier spielt nun die DS-GVO wieder den grossen Oligopolen in die Hand. Betrachtet man das Ganze aus der Sicht eines kleinen Softwareanbieters, dann sieht man auch die Absurdität, die das Einwilligungsrecht erzeugt. Nach der DS-GVO ist es theoretisch möglich, eine Einwilligung für eine Verarbeitung jederzeit zurückzuziehen. Was heisst dies nun in einem praktischen Kontext? Ein Betroffener (im oben geschilderten Fall ein beliebiger Mitarbeiter eines Kunden, ein potenzieller Kunde etc.) könnte demnach, darauf bestehen, dass seine Daten aus einem bestehenden System entfernt und gelöscht werden.

Tatsächlich sieht die Praxis anders aus. In 80% aller Fälle bestehen gesetzliche Aufbewahrungspflichten, die den Widerruf verhindern (sogar aus dem Datenschutzrecht selbst, vgl. FK 8). Völlig absurd ist die Forderung, dass Subunternehmer nur eingebunden werden dürfen, wenn jeder Betroffene zustimmt. Theoretisch müsste der Kunde jedes Mal im Vornherein zustimmen, wenn ein Anbieter Daten an einen neuen Unterauftragnehmer weitergeben möchte. Es kommt noch schlimmer, der Anbieter müsste u.U. das Einverständnis aller Betroffenen einholen.

Was heisst das für die Praxis? Cloud Anwendungen werden heute aus vielen Online-Komponenten zusammengebaut. Der Anbieter muss dafür sorgen, dass seine Anwendung zuverlässig und verfügbar ist (übrigens auch eine gesetzliche Datenschutz-Anforderung).  Er muss gegebenenfalls Dienste auswechseln können. Angenommen, der Kunde verweigert die Zustimmung, dann muss er sich überlegen, ob er diese Kunden überhaupt noch haben will. Demgegenüber steht aber eine entsprechende Vertragsgrundlage, die er nicht verletzten darf. In der Regel liegt es im Interesse beider Parteien, dass der Dienst möglichst ohne Unterbrechung weitergeführt wird. Die gegenseitige Abhängigkeit der Unternehmen und Kunden von solchen Diensten wird immer mehr zunehmen. Hier geht es nicht um ein Machtspiel: Kunden wie auch Anbieter sitzen im gleichen Boot und werden alles dafür tun, diese quälenden Vorgaben des Datenschutzrechts möglichst elegant zu umgehen.

Hier zeigen sich wieder die Ungerechtigkeiten bei der Marktmacht. Einem grossen Anbieter ist es ohne weiteres möglich, auf denjenigen Teil seiner Kunden zu verzichten, die mit seinen Optionen in den Verträgen nicht einverstanden sind. Für den kleinen Anbieter kann es jedoch existenzbedrohend sein, würde er die exorbitanten Einwilligungsvorgaben der DS-GVO in jedem Fall erfüllen.

Das Problem mit dem Einwilligungsrecht lässt sich nicht einfach lösen. Es handelt sich hier um eine Thematik, die mit Datenschutzrecht nur bedingt zu tun hat. Solange es gesetzlich zulässig ist, dass man fünfzigseitige AGBs mit einem Klick bestätigen kann, bedeutet dies eine totale Entmachtung des Kunden. Die Opt-in Prinzipien des Datenschutzes sind durchaus sinnvoll, doch müssen sie konsequenterweise auf den gesamten Vertrag angewendet werden. Verträge müssten so modular gestaltet werden, dass sie den Ausschluss einzelner Vertragskomponenten zulassen würden. Die heutigen AGB-Monster sind völlig einseitig gestaltet und dienen in der Regel nur den grossen Anbietern. Der Komplexität der Technologie steht damit eine vergleichsweise ähnliche Komplexität der Verträge gegenüber. Ohne technische Hilfsmittel sehe ich hier keine Chance, dass es eine Verbesserung geben wird. Wissen Sie, wo Sie überall Ihre Einwilligung erteilt haben?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.