Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach

Es war eine der unangenehmeren Situationen in der fünfstündigen Befragung von Facebook-Gründer Mark Zuckerberg durch den US-Senat. "Glauben Sie, dass der durchschnittliche Nutzer versteht, wozu er sich da anmeldet?", fragte Senator Lindsey Graham und hielt einen dicken Stapel Papier mit Facebooks Nutzungsbedingungen hoch. Diese Frage musste selbst Zuckerberg verneinen und schob nach: "Ich denke, dass wir das auf andere Weise kommunzieren könnten und eine Verantwortung haben, das zu tun." Doch wie könnte eine verständliche und übersichtliche Datenschutzeinwilligung in der Praxis aussehen?

Derzeit wird an verschiedenen Konzepten gearbeitet, damit Nutzer ihre Rechte tatsächlich wahrnehmen können. Eine Idee besteht darin, das seitenlange Kleingedruckte der Datenschutzbestimmungen auf Einseiter zu komprimieren oder über verschiedene aufklappbare Textbausteine besser zu erläutern. Forscher arbeiten auch an sogenannten Privacy Bots, die den Nutzereinstellungen entsprechend Entscheidungen treffen. Juristen wiederum drängen auf rechtliche Prüfungen, um mehr Rechtsklarheit zu schaffen.

Informierte Einwilligung als Illusion

Die Idee, dass Nutzer "informiert" in die Verarbeitung ihrer personenbezogenen Daten einwilligen, sei "eine wirklichkeitsfremde Fiktion", sagt der Berliner Datenschutzexperte Niko Härting und fragt: "Wer liest schon Kleingedrucktes und AGB? Zwingen kann man den Verbraucher nicht." Internetdienste holen sich mit dem Kleingedruckten regelmäßig die Einwilligung der Nutzer ein, weil sie sonst die Daten nicht verarbeiten dürfen. Die Einwilligung ist nur dann nicht nötig, wenn die Unternehmen entweder die Daten anonymisieren oder sich auf eine gesetzliche Ausnahmeregel stützen können.

Die meisten Nutzer haben allerdings keine Ahnung, in was sie mit ihrem Zustimmungsklick überhaupt einwilligen. Gestützt wird das von zwei aktuellen Studien: Forscher der Universität Wien legten rund 1.000 Facebook-Nutzern besonders markante Klauseln aus den Nutzungsbedingungen vor. Das Ergebnis: "99 Prozent der Befragten wissen nicht darüber Bescheid, dass sie in alle vorgelegten Klauseln eingewilligt haben", sagt Studienautor Robert Rothmann. Nur drei Prozent würden in alle vorgelegten Klauseln einwilligen, wenn sie die Wahl hätten. Von einer freiwilligen, "informierten Einwilligung" könne damit keine Rede mehr sein.

Die meisten Klauseln unwirksam

Stellenmarkt

1. Maciag GmbH, Leipzig
2. CARL BECHEM GMBH, Hagen

Im Übrigen dürften vor Gericht die meisten Klauseln keinen Bestand haben: Erst vor Kurzem erklärte das Landgericht Berlin einige Facebook-Einwilligungen für nicht rechtmäßig. So bemängelte es etwa die kommerzielle Verwendung von Name und Profilbild und die Datenübermittlung in die USA.

Ab dem 25. Mai verlangt die europäische Datenschutz-Grundverordnung, dass Unternehmen ihre Datenschutzbestimmungen in klarer und einfacher Sprache formulieren müssen. Ob das jedoch an der Informiertheit etwas ändern wird, ist zu bezweifeln, wie eine von der Berliner Denkfabrik Conpolicy vorgelegte Studie zeigt. Sie untersuchte experimentell, wie gut Verbraucher Datenschutzbestimmungen annehmen, wenn sie auf einer Seite übersichtlich und systematisiert zusammengefasst werden.

Privacy Bots werten AGB aus

Die Forscher stellten am Beispiel des Online-Versandhändlers Otto fest, dass nur 0,2 Prozent der Onlineshop-Kunden in der Feldstudie auf die Datenschutzerklärung klickten. Umfragen hatten bislang immer höhere Werte ergeben. Überraschend fanden die Forscher das Ergebnis dennoch nicht, weil die Texte sich hinter einem Link verbargen und keine Wahlmöglichkeiten enthielten. Zwar wurden die Zusammenfassungen auf einer einzigen Seite öfter gelesen, doch die Nutzer fühlten sich deswegen nicht besser informiert.

"Einseiter müssen informieren und dürfen nicht als Marketinginstrument eingesetzt werden", sagt Thilo Weichert vom Netzwerk Datenschutzexpertise. Es sei durchaus möglich, über ein sogenanntes Layered Design "sehr präzise" zu informieren und damit auch bewusste Einwilligungserklärungen einzuholen. Er weist jedoch darauf hin, dass bei überkomplexen und intransparenten Datenverarbeitungen weder ausführliche Darstellungen noch Einseiter weiterhelfen könnten. Die aktuelle Datenverarbeitung von Facebook sei "allein deshalb nicht einwilligungsfähig, weil sie zu komplex, zu umfassend und zu intransparent ist."