Warum ich einen Deep-Link bei der „Link-Lösung“ für DSGVO-Informationspflichten empfehle

Datenschutz

Unternehmen (und auch öffentliche Stellen) sind verpflichtet, Betroffenen bei der Erhebung von personenbezogenen Daten über die Datenverarbeitung zu informieren. Rechtsgrundlage ist in diesen Fällen primär Art. 13 DSGVO. Häufig wird es jedoch nicht möglich sein, die recht umfassenden Pflichten des Art. 13 DSGVO auf einmal zu erteilen. Manchmal reicht der Platz nicht und oft wäre es auch einfach nicht sinnvoll. Daher empfehle ich die sog. „Link-Lösung“, mit der einfach auf die weiteren Datenschutzhinweise verlinkt wird. Was ich damit meine, kann hier in meinem Beitrag zur Link-Lösung (mit Muster) nachgelesen werden.

In dem Beitrag verweise ich am Ende allerdings auch darauf, dass ich empfehle, diese Informationen für den Betroffenen über einen sog. „Deep Link“ zugänglich zu machen. Und es vergeht keine Woche, in der ich gefragt werde, was ich damit meine und/oder warum ich das meine.

Was meine ich mit einem „Deep Link“

Das erste Missverständnis, das ich mit meinem Beitrag ausgelöst habe, beruht darauf, dass ich nicht deutlich genug klargestellt habe, dass die Informationspflichten, die über die „Link-Lösung“ erfüllt werden sollen, nichts mit den Datenschutzhinweisen für die Internetseite des Unternehmens zu tun haben.
Es sind zwei verschiedene Paar Schuhe, denn die Datenschutzhinweise für eine Internetseite beziehen sich bitte immer auf die Datenverarbeitung, die über die Internetseite erfolgt. Also z.B. dazu, was und wie lange der Webserver Zugriffe speichert, Hinweise zu Cookies, ggf. Webformularen und Newsletter etc.

Es geht dort aber eben nicht um den Datenschutz im allgemeinen bei dem jeweiligen Unternehmen. Genau der wird aber i.d.R. Thema der „Link-Lösung“ sein.

Das ist übrigens auch einer der Kardinalfehler von Unternehmen und auch öffentlichen Stellen im Zusammenhang mit Datenschutzhinweisen. In Datenschutzhinweise wird gerne alles, aber auch wirklich alles hineingepackt, was einem zum Datenschutz einfällt.
Und als Anwalt kann ich sagen, dass das in Einzelfällen durchaus mal bewusst so gemacht wird. Denn je mehr Text dort steht, ohne diesen sinnvoll zu strukturieren, um so schwerer wird ein Betroffener (oder auch ein „Gegner“) es haben, hier Fehler oder mögliche Verstöße zu identifizieren.

Ich selbst bin allerdings auch als Nutzer extrem genervt, wie schlecht viele Unternehmen in der Praxis Datenschutzhinweise handhaben. Ein häufiges Beispiel sind da z.B. Newsletter-Abos. Wenn ein Unternehmen es schon schafft, im Kontext mit dem Formular freundlicherweise einen Link zu weiteren Datenschutzinformationen zum Newsletter anzubringen, anzubringen, ist meine Begeisterung zunächst groß. Und ich denke:

Endlich hat es jemand kapiert, dass es Sinn macht, konkrete Hinweise zum Datenschutz bei einem Newsletter zu verlinken.

Die Enttäuschung ist aber häufig groß, wenn ich bei einem Klick auf den betreffenden Link dann auf die allgemeinen Datenschutzhinweise des Unternehmens geschickt werde, wo ich in (gefühlt) 40 DIN A4 Seiten Text irgendwo eine Passage zum Newsletter finden könnte. Und ich frage mich dann:

Was genau ist denn so schwer daran, hier einmal eine Seite mit einem Text einzurichten, in dem es eben nur um die Datenverarbeitung beim Newsletter-Abo geht? Ich verstehe es nicht.

Ich habe keine Lust, mich im Kontext eines simplen Newsletter-Abos durch Textwüsten von Datenschutz-Blablabla zu kämpfen, das nichts konkret mit dem Newsletter zu tun hat, wenn ich eigentlich nur wissen möchte, ob meine personenbezogenen Daten weitergegeben werden und ob z.B. ein Tracking von Open- und Clickrates stattfindet (was ich nicht schlimm finde, wenn es einen nachvollziehbaren Grund dafür gibt).

Und in Gesprächen mit Aufsichtsbehördenmitarbeiterinnen und -mitarbeitern würdet ihr häufig auch genau das erfahren. Auch dort werdet ihr hören:

Bitte die Hinweise konkret auf den Punkt und keine ellenlangen Datenschutzausführungen, die am Thema vorbei gehen.

Und die Unternehmen, die das verstanden haben, werden vielleicht genau deswegen, wenn es mal Ärger in einer Datenschutzangelegenheit gibt, die Gewinner sein.

Es ist – wie so häufig im Datenschutz – zu wenig Leidenschaft bei dem Thema. Ich verlange und erwarte ja nicht, dass man ein Datenschutz-Fan wird. Es ist aber eine Frage des respektvollen Umgangs mit Kunden (Betroffenen), hier sein Gehirn ausreichend mit Sauerstoff zu belüften und zumindest zu versuchen, einen Text zur Datenverarbeitung zu schreiben, den jemand, den das Thema interessiert zumindest verstehen kann. Und wenn das schon nicht herausragend gelingt, würde ich erwarten, dass zumindest das Auffinden der konkreten Passage leichter gemacht wird.

Für die Design-Interessierten unter den Lesern kann ich es mit folgendem Vergleich ausdrücken:

Der Großteil der Datenschutzhinweise im Internet beinhaltet so wenig Leidenschaft, Schönheit und Klarheit. Es ist so, als würdest du als Schriftart für deine gesamte Corporate-Identity „Comic Sans“ wählen.

Kein Unternehmen mit einem Anspruch würde das tun. Im Bereich der Datenschutzhinweise ist es leider Standard. Jedes Unternehmen kann hier besser werden.

Leider hat auch das Datenschutzrecht Mitschuld an diesem Dilemma. Speziell die völlig ausufernden Pflichtangaben in Art. 13, 14 DSGVO machen es kaum möglich, hier Texte zu schreiben, die jemand freiwillig lesen und leicht verstehen möchte. Ich kann da aus eigener Erfahrung sprechen, wie schwer das z.B. bei meinen eigenen Datenschutzhinweisen für diese Website ist. Hier wäre weniger gesetzliche Anforderung mehr gewesen.

Vielleicht wird die Sache dann irgendwann leichter, wenn die EU-Kommission die nach Art. 12 Abs. 8 DSGVO bestehende Möglichkeit nutzt, mit vorgegebenen Bildsymbolen in Datenschutzhinweisen zu arbeiten. Das ist derzeit jedoch noch Zukunftsmusik.

Aber kommen wir zurück zum Thema:
Aus all diesen Gründen empfehle ich die Informationen, die über die „Link-Lösung“ abrufbar gemacht werden, konkret auf das zuzuschneidern, was es beschreiben soll: die allgemeine Verarbeitung personenbezogener Daten im Unternehmen
Und das ist eben nicht zu verwechseln mit den Datenschutzhinweisen, die sich allgemein auf der Website befinden. Sonst kommt es nämlich sehr schnell zu einer Verwechselungsgefahr und damit zu einem (norddeutsch) Kuddelmuddel. Und Kuddelmuddel ist im Datenschutzrecht nie gut. Insbesondere nicht, wenn es um Informationen für Betroffene geht.

Warum empfehle ich einen „Deep Link“, der nicht allgemein von der Internetseite verlinkt wird?

Der Grund dafür ist wohl berufsbedingt. Auch wenn aktuell (Zeitpunkt: 03.12.2018) gerichtlich noch nicht eindeutig geklärt ist, ob fehlerhafte Datenschutzhinweise „abgemahnt“ werden können, würde ich bedenken, dass sich in Datenschutz-Informationen – wie z.B. denjenigen, die über die „Link-Lösung“ verlinkt werden – immer schnell einmal der Fehlerteufel einschleicht.

Ich gehöre nicht unbedingt zu den Menschen, die immer empfehlen „unter dem Radar zu fliegen“, wenn es um Datenschutz geht. Es gibt aber Bereiche, in denen es Sinn macht. Und dazu gehören auch die Informationen der „Link-Lösung“. Und hier erleidet niemand dadurch Schaden.
Es wird lediglich vermieden, dass jedermann und damit vielleicht auch einmal Mitbewerber oder auch sog. Unterlassungsklagenverbände, die nach dem sog. Unterlassungsklagengesetz (UKlaG) Verstöße abmahnen könnten, diese Informationen leicht finden können.

Ein Fehler ist in Datenschutzhinweisen immer leicht gefunden. Mal fehlen Informationen zu bestimmten Verarbeitungsschritten oder – was noch schlimmer ist – in den Hinweisen wird eine Datenverarbeitung beschrieben, die rechtlich unzulässig ist. Ein klassisches Eigentor. In beiden Fällen kann es dann unnötigerweise ohne eine Deep-Link-Lösung schneller zur Ärger kommen.

Daher würde ich immer raten, die Informationen zum Datenschutz im Rahmen der „Link-Lösung“ über einen Deep-Link umzusetzen. Das heißt:

  • Die betreffende Internetseite wird nicht in der Navigation der Internetseite des Unternehmens verlinkt, damit nur die Personen die Seite finden, die z.B. in einer E-Mail-Signatur den Link gefunden haben.
  • Die Internetseite sollte nicht für Suchmaschinen auffindbar sein (robots.txt entsprechend einstellen)
  • Die betreffende Internetseite sollte gleichwohl eine leicht tippbare, gut im Kurzzeitgedächtnis merkbare Internetadresse haben wie z.B. https://www.mustermann.de/ds

Ich hoffe, dass mein Ansatz so etwas verständlicher geworden ist. In gleicher Weise können auch weitere spezielle Hinweis für bestimmte Verarbeitungen im Unternehmen per Deeplink zugänglich gemacht werden. Wie oben angeführt: Je konkreter, desto besser.

Aber verzetteln sollte man sich dabei nicht, sonst hat man nachher 20 verschiedene Datenschutzinformationen, die schwer gepflegt werden können.

Ein Tipp noch: Es sollte für Bewerberinnen und Bewerber auch spezielle Datenschutzhinweise geben. Auf die würde ich jedoch sehr prominent im entsprechenden „Stellen-Teil („Karriere“) der Internetseite hinweisen. Warum? Um z.B. auch zu verhindern, dass Bewerber sich auf Unwissenheit berufen können, wenn sie eine Initiativbewerbung an eine bestimmte Person im Unternehmen senden und dann die Daten später gelöscht wissen wollen. Das geht dann in einem solchen Fall nicht so einfach, denn E-Mails an Accounts von Mitarbeiterinnen und Mitarbeitern werden wahrscheinlich revisionssicher archiviert. Hier ist es dann sehr hilfreich, sich gegen eine Löschung wehren zu können, wenn der Bewerber hätte wissen müssen, dass auch Initiativbewerbungen nur an die E-Mail-Adresse jobs@mustermann.de gesendet werden sollen. Denn das „jobs“-Postfach wird dann hoffentlich nicht revisionssicher archiviert, um die Bewerberdaten nach kurzer Zeit wieder löschen zu können.

Tja…es ist nicht immer einfach mit diesem Datenschutz

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.