Was man schon lange vermutet hat oder auch aus eigener Erfahrung weiß, wurde nun offiziell bestätigt:
Datenschutzhinweise werden nicht gelesen.
Nun ja, das ist jetzt für viele keine so große Überraschung.
Bemerkenswert ist aber, dass ein Gericht in Deutschland dies als Tatsache annimmt und die Datenschutzhinweise in etwa wie AGB bzw. "das Kleingedruckte" in Verträgen einstuft.
Das LG Potsdam hatte in einem Verfahren (LG Potsdam, Urteil vom 01. Dezember 2021 – 6 S 21/21) über die Rechtmäßigkeit der Forderung zur Vergütung für die Veröffentlichung von Firmendaten im Internet zu entscheiden.
"Angebot" war irreführend
Es gibt noch einige weitere Punkte, die das Gericht hier als Begründung für die Irreführung aufführt ("...Die Klägerin zielt durch verschiedene Ansätze auf eine Irreführung ihrer Geschäftspartner..."), aber hier geht es ja schließlich um Datenschutz-Themen und deshalb ist insbesondere einer davon für uns interessant:
Randnummer 27 (Auszug):
"[...] Weiterhin hat die Klägerin die Hinweise zur dieser Kostenpflicht bewusst in die unmittelbare Nähe zu den Hinweisen über das BDSG/die DSGVO gerückt.
Der Zusatz BDSG/DSGVO führt, gerade wenn er wie hier als Einleitung zu einer hervorgehobenen Passage des "Kleingedruckten" dient, nach der Erfahrung der Kammer vielfach dazu, dass der Leser eines Schriftstücks nicht mehr die gebotene Aufmerksamkeit walten lässt, die Passage vielmehr in der Annahme, es handle sich nur um Datenschutzhinweise, übergeht.
Seit Einführung der DSGVO sind Kunden bei jedem Vertragsabschluss mit teilweise sehr umfangreichen Hinweisen zur Datenerhebung, -verarbeitung und -speicherung konfrontiert. Die entsprechenden Hinweise/Vorschriften sind in aller Regel nicht verhandelbar, sondern werden den Kunden zur Kenntnis vorgelegt.
Eine vertiefte Lektüre wird nicht erwartet und dürfte auch von kaum einem Kunden vorgenommen werden. Damit besteht eine objektiv hohe Wahrscheinlichkeit, dass ein erheblicher Teil der Adressaten den Text nicht tatsächlich zur Kenntnis nimmt.
Gerade diesen Effekt macht sich die Klägerin zu Nutze, indem sie die Höhe der anfallenden Kosten in die unmittelbare Nähe zu den Ausführungen zu den Hinweisen über das BDSG/die DSGVO setzt. [...]
[...] Die von der Klägerin bewusst gewählte Platzierung hält viele Leser von einer aufmerksamen Lektüre des Absatzes ab und dient somit der bewussten Verschleierung der Kostenpflicht. [...]"
Meine Meinung dazu
Ich stimme völlig zu - kaum jemand liest noch Datenschutzhinweise. Das ist jetzt meine subjektive Meinung, denn ich weiß natürlich nicht, ob vielleicht doch viele Menschen täglich Stunden damit verbringen, die Pflichtinformationen nach Art. 13/14 DSGVO durchzulesen.
Erst wenn es zum Streit kommt, werden Vertragsbedingungen, Kleingedrucktes oder eben auch Datenschutzhinweise genau geprüft. Auf der anderen Seite drohen den Verantwortlichen hohe Bußgelder, wenn sie gegen die Informationspflichten aus der DSGVO verstoßen.
Wenn man nun nicht nur Webseiten im Blick hat, sondern die potentiell vielfältigen Schnittstellen, an denen "bei der Erhebung der Daten" die entsprechenden Datenschutzhinweise an unterschiedliche "Zielgruppen" der Verarbeitung zur Verfügung gestellt werden müss(t)en (z.B. Beschäftigte, Kunden, Bewerber, Videoüberwachung, Marketing-Mailing, etc. etc.), dann wird man schnell feststellen, dass diese weit über die Berührungspunkte mit AGB oder anderem "Kleingedruckten" hinausgehen.
Dementsprechend hoch ist der Pflegeaufwand für diese Informationen und für die dahinterstehenden Prozesse.
one-fits-all?
Nun könnte man natürlich sagen, man fasst alles worüber es zu informieren gibt, in ein Dokument mit Datenschutzhinweisen und das gibt man zu jeder Gelegenheit raus. Das hätte dann womöglich 50 Seiten, würde ganz sicher nicht gelesen, man gäbe zu viel an überflüssiger Information heraus und ich bezweifle persönlich, ob das tatsächlich z.B. dem Grundsatz der Transparenz entsprechen würde. Dazu hatte ich schon vor einiger Zeit mal im Beitrag "Datenschutzhinweise - das ungeliebte Kind" Überlegungen angestellt.
Ich verfolge da eher den Ansatz des modularen Aufbaus (datenschutzdocs.de), da viele der in den Datenschutzhinweisen erforderlichen Angaben sowieso schon im Verzeichnis der Verarbeitungstätigkeiten enthalten sein müssen. Wieso also doppelt pflegen?
Mal eine verrückte Überlegung
Viel wichtiger ist aber aus meiner Sicht die Frage, ob es hier in der DSGVO bzw. bei der Auslegung durch die Aufsichtsbehörden nicht eine Anpassung an diese Realität geben könnte.
Wie wäre es, wenn Datenschutzhinweise grundsätzlich nur auf Anforderung zur Verfügung gestellt werden müssten?
Würde den Aufwand für die Erstellung und Pflege nicht wesentlich reduzieren. Schon klar.
Aber das Risiko, an einer Datenerhebungs-Schnittstelle die richtigen Datenschutzhinweise nicht oder nicht korrekt gegeben zu haben, würde sich erheblich verkleinern. Die Prozessgestaltung und damit der Aufwand in den Unternehmen wäre damit auch überschaubarer, was wiederum der Entlastung und Akzeptanz der Verantwortlichen dient.
Die Betroffenen interessieren sich sowieso in den seltensten Fällen für die Datenschutz-Hinweise, die mit großem Aufwand erstellt, gepflegt und verteilt werden müssen. Wollen sie es aber wissen, wird Transparenz geschaffen.
Quellenhinweis: Vielen Dank an RA Dr. Bahr, der über seinen Newsletter (externer Link, RA-Kanzlei Dr. Bahr, Hamburg) immer sehr interessante Informationen (nicht nur zum Datenschutz) versendet.