Kopplungsverbot hilft Verbrauchern

Sara Kettner von Conpolicy, die die Studie durchgeführt hat, setzt perspektivisch auf Privacy Bots. Die kleinen Programme könnten Datenschutzerklärungen automatisch auslesen und entsprechend der Voreinstellungen der Nutzer interpretieren und umsetzen. Kettner arbeitet dazu gerade auch an dem Konzept für einen Datenschutzscanner, der freien Text mit Hilfe von Algorithmen bewerten und nach verschiedenen Faktoren auswerten kann. Denn mit der Datenschutzgrundverordnung sollen die Nutzer das Recht erhalten, ihre Einwilligung nur für bestimmte Datenverarbeitungen zu erteilen. Wegen des sogenannten Kopplungsverbots müssten sie dann nicht mehr alles akzeptieren, um einen Dienst überhaupt nutzen zu können.

Stellenmarkt

1. VIVAVIS AG, Koblenz
2. Securiton GmbH IPS Intelligent Video Analytics, München

Praktische Vorbilder gibt es bereits dafür: Hersteller wie Apple erlauben es ihren Smartphone-Nutzern schon lange, die Zugriffsberechtigungen von Apps selbst zu verändern. Auch Microsoft ermöglicht den Nutzern von Windows 10 zahlreiche Anpassungen, um die Übertragung von Telemetriedaten an den Softwarekonzern zu steuern. Nach dem 25. Mai 2018 müssen die Anbieter und Hersteller alle Einstellungen nach dem Prinzip "Privacy by Default" konfigurieren - ohne ein aktives Opt-in für die Datenverarbeitung geht es dann nicht mehr.

Vertragliche Regeln gefordert

Doch auch mit Konfigurationsdisplays ist der Nutzer nicht immer in der Lage zu überblicken, ob er damit seine Rechte auch wirksam umsetzen kann. Windows 10 beispielsweise kommuniziert zurzeit auch dann noch mit dem Microsoft-Backend, wenn alle Onlinedienste deaktiviert sind, stellte der IT-Dienstleister Dataport mit aufwendigen Tests fest. Einwilligungen können außerdem nicht die von der Datenschutzgrundverordnung geforderten technischen und organisatorischen Sicherheitsmaßnahmen ersetzen, sagt Weichert. Zertifizierungen würden daher künftig zwangsläufig eine größere Rolle spielen.

Auch Niko Härting hält die Einwilligung als Rechtsgrundlage nicht unbedingt für wünschenswert. Zwar entstehe der Eindruck, "dass der freie Bürger frei über den Umgang mit seinen Daten entscheidet", was man wohl "im gebildeten Bürgertum am Prenzlauer Berg gut findet", sagt der Anwalt. Er plädiert aber dafür, dass ein modernes Datenschutzrecht den Unternehmen über "rote Linien" definieren sollte, wann welche Datenverarbeitung erlaubt ist und wann nicht. Angesichts der herrschenden Rechtsunsicherheit rät er Unternehmen, auf Einwilligungen, so weit möglich, zu verzichten und die Datenverarbeitung auf Tatbestände wie "Vertragserfüllung" und "berechtigte Interessen" zu stützen.

AGB genau kontrollieren

Zwar können Unternehmen aufgrund der Vertragsfreiheit "zunächst einmal völlig unbehelligt alles in ihre Verträge schreiben", erklärt der Datenschutzexperte Malte Engeler. Aber genau deshalb sei es auch wichtig zu kontrollieren, was zivilrechtlich akzeptabel ist. Wenn bestimmte Klauseln gegen das AGB-Recht verstoßen, werden sie unwirksam. "Wenn das AGB-Recht rigoros angewandt werden würde, käme es auch zu einer klaren Grenzziehung, die auch durch Einwilligungen nicht mehr umgangen werden kann", sagt Engeler.

Aber "an diese Grenzziehung trauen sich die Datenschutz-Aufsichtsbehörden nicht ran und so landen wir lediglich bei immer detaillierteren Einwilligungserklärungen ohne Schutzwert." Letztlich liegt es also auch am Durchsetzungswillen der zuständigen Aufsichtsbehörden und seit kurzem auch der Verbraucherverbände, was sich Unternehmen ungestraft herausnehmen können.