Überflüssige Datenschutz-Klicks
Univ.-Prof. Dr. Torsten J. Gerpott
Foto: Univ.-Prof. Dr. Torsten J. Gerpott
Seit rund zwei Jahren ist in den Staaten der Europäischen Union die Datenschutz-Grundverordnung
(DSGVO) anzuwenden. Das Regelwerk gibt vor, dass die Privatsphäre der Nutzer
einer kommerziellen Webpräsenz im Regelfall durch Abgabe einer ausdrücklichen Einwilligungserklärung
zur Verarbeitung ihrer personenbezogenen Daten durch den Site-Verantwortlichen
geschützt werden soll. Nutzer haben über ihre Zustimmung bei gewerblichen
Verkäufern im Netz nach Präsentation diverser Informationen zum Datenschutz fast immer
durch Anklicken von Buttons zu entscheiden. Die vorliegende Analyse kritisiert diese Praxis
und schlägt eine Alternative vor.
Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 hat sich die Art, wie in der EU Unternehmen mit Online-Shops, privaten Verbrauchern über das Medium Internet gegenübertreten, merklich verändert. Gewerbliche Verkäufer müssen gemäß Art. 5 Abs. 1 lit. a) DSGVO Konsumenten mit Erklärungen zur Erhebung sowie Verarbeitung personenbezogener Daten im Zusammenhang mit Vertragsabschlüssen und dem Einsatz von Cookies für maßgeschneiderte Werbung konfrontieren. So soll „Transparenz“ geschaffen werden. Wenn Unternehmen halbwegs sicher sein wollen, dass die Beschaffung dieser Daten als „rechtmäßig“ anerkannt wird, dann haben sie gemäß Art. 6 Abs. 1 lit a) DSGVO ihre Online-Kunden und -Interessenten dazu zu motivieren, eine entsprechende auf „eindeutige und legitime Zwecke“ bezogene „Einwilligung“ zu erteilen. Nach Art. 7 Abs. 2 DSGVO muss die Bitte um Zustimmung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen. Art. 7 Abs. 1 DSGVO verpflichtet Unternehmen nachweisen zu können, dass sie die Zustimmung erhalten haben.
Das in der DSGVO ebenso wie in der seit mindestens 2017 diskutierten, aber immer noch nicht fertig gestellten EU-Verordnung über Privatsphäre und elektronische Kommunikation sowie im Verbrauchervertragsrecht hochgehaltene Prinzip der informierten Einwilligung ist enorm plausibel: Fachleute stellen Spezialwissen in einer Weise bereit, dass ein Thema für Laien verständlich wird, damit diese, ohne durch die Obrigkeit eingeengt zu werden, eigenverantwortlich mit wenigen Klicks fundierte Entscheidungen zum Schutz persönlicher Daten fällen können. Politiker und Unternehmen erhalten durch die Anwendung des Prinzips ein starkes Argument dafür, dass sie sich genug um die Wahrung von Verbraucherinteressen bemüht haben.
Schlechte Nutzen-Kosten-Bilanz
Univ.-Prof. Dr. Torsten J. Gerpott
Foto: Univ.-Prof. Dr. Torsten J. Gerpott
Empirische Studien belegen allerdings, dass Verbraucher sich von den Einwilligungsanforderungen
gegängelt fühlen und sie nicht als hilfreich empfinden. Datenschutz- und Cookie-
Richtlinien, die oft lang, vage und sprachlich anspruchsvoll ausfallen, werden typischerweise
nicht gelesen, geschweige denn verstanden. Bemühungen um Verbesserungen der Lesbarkeit
der Texte können hier kaum Abhilfe schaffen. Die zu regelnden Sachverhalte sind so vielschichtig,
dass sie sich zumeist eben nicht in wenigen Sätzen allgemein verständlich darbieten
lassen. Trotzdem klicken Verbraucher Buttons zur Einwilligung in die Verarbeitung personenbezogener
Daten kritiklos an. Sie tun dies nicht zuletzt deshalb, weil ihnen keine andere
Wahl bleibt, wenn eine Transaktion mit dem ins Auge gefassten Anbieter zustande kommen
soll.
Somit ist offensichtlich, dass der Zwang zur ausdrücklichen Einwilligung sein Ziel verfehlt. Darüber hinaus verursacht die Regulierung hohe Kosten. Vier Kostenarten fallen ins Gewicht. Erstens wird Verbrauchern ein erheblicher Zeitaufwand abgefordert. Man darf davon ausgehen, dass aktuell etwa 75 Prozent der Privathaushalte in Deutschland im Durchschnitt zweimal pro Monat in einem Online-Einzelhandelsshop eine Bestellung aufgeben. Wenn bei jeder Transaktion nur etwa 15 Sekunden für das Wegklicken diverser nicht gelesener Datenschutzerklärungen und Einwilligungen verwendet werden, dann gehen dadurch allein in Deutschland pro Jahr drei Millionen Stunden verloren. Zweitens entstehen Misstrauenskosten: Durch die Notwendigkeit, diversen Schutzerklärungen zustimmen zu müssen, werden Verbraucher beim Surfen in einen Alarmmodus versetzt, der mit erhöhtem Misstrauen gegenüber den Shop-Betreibern und in der Konsequenz mit einer geringeren Bestellwahrscheinlichkeit einhergeht. Drittens ruft der Einwilligungszwang bei Verkäufern erhebliche Administrationskosten dadurch hervor, dass sie Lösungen zur Aufbewahrung entsprechender Erklärungen umzusetzen haben. Global tätige Internetkonzerne wie Amazon, Facebook oder Google können die Fixkosten der Lösungen besser auf eine hohe Nutzerzahl verteilen als kleine Anbieter. Folglich stärkt die Zustimmungsregulierung die Wettbewerbsposition ohnehin bereits marktmächtiger Anbieter. Viertens verursacht sie Untätigkeitskosten: Weil Politiker, Unternehmen und Verbände sich darauf zurückziehen können, dass Verbraucherinteressen durch das Einwilligungsprinzip gewahrt werden, sinkt der Druck, besser geeignete Maßnahmen zum Schutz personenbezogener Verbraucherdaten im Online-Handel zu entwickeln.
Bessere alternative Lösung
Geringer Nutzen bei hohen Kosten sollte dazu führen, dass dem Prinzip der informierten Einwilligung im Daten-, aber auch im Verbraucherschutzrecht weniger Gewicht beigemessen wird. Es gibt bessere Möglichkeiten. Sinnvoll ist die Beschränkung auf eine Shop-Betreibern auferlegte Online-Offenlegungspflicht von Erklärungen zum Schutz personenbezogener Daten bei deren Verarbeitung (und zum Einsatz von Cookies) im Verbund mit der Auflage diese Informationen Verbrauchern im Netz leicht zugänglich zu machen. Anbieter sollten von der Politik dazu ermuntert werden, ihre Schutzregelungen für Personendaten durch unabhängige qualifizierte Organisationen zertifizieren zu lassen. Mit einem Qualitätssiegel können sie in ihren Internet-Shops werben und sich so von Wettbewerbern differenzieren, denen der Schutz personenbezogener Daten im Sinn der DSGVO weniger am Herzen liegt. Der Zertifizierungsprozess verursacht zwar Kosten, die von großen Verkäufern im Vergleich zu Tante-Emma- Läden leichter getragen werden können. Der überproportionalen Belastung kleiner Anbieter lässt sich jedoch entgegenwirken. Branchenverbände sind gefordert, Mustererklärungen zu entwickeln, die dann vor allem von ihren kleineren Mitgliedern weitgehend unverändert übernommen werden können. Ebenfalls steht es Verbraucherschutzverbänden oder zivilgesellschaftlichen Fachorganisationen frei, entsprechende Vorschläge für Erklärungen zur Verfügung zu stellen.
An der Vorteilhaftigkeit der Beschränkung auf Offenlegungs- und der Abschwächung von Einwilligungspflichten ändert auch ein am 28. Mai 2020 ergangenes Urteil des Bundesgerichtshofs (Az.: I ZR 7/16) nichts: Die Richter gaben vor, dass Site-Besuchern eine allgemeine Zustimmung zu Werbe-Cookies nicht über eine Voreinstellung untergeschoben werden darf. Durch auditierte Datenschutzregelungen wird genau dieses intransparente Vorgehen vermieden, weil sie DSGVO-konform einen Opt-in-Standard vorsehen würden, gemäß dem auf ein Platzieren dieser Dateien unter Verwendung personenbezogener Daten solange verzichtet wird, wie der Nutzer in den Cookie-Einsatz nicht über die Wahl eines Ankreuzkastens eingewilligt hat.
Scheintransparenz und Klick-Rituale beim Schutz personenbezogener Daten in Online-Shops sind also keineswegs alternativlos.
Zur Person
Univ.-Prof. Dr. Torsten J. Gerpott leitet den Lehrstuhl für Unternehmens- und Technologieplanung an der Mercator School of Management Duisburg der Universität Duisburg-Essen.