Für Sie gelesen: Die neuen Datenschutzerklärungen der Schweizer Medien
Seit dem 25. Mai sind auch Medienunternehmen verpflichtet, präzise und umfassend darüber Auskunft zu geben, wozu sie die persönlichen Daten ihrer Nutzerinnen und Nutzer verwenden. Wir haben die neuen Datenschutzerklärungen von NZZ, Tamedia, Ringier und SRF gelesen und geschaut, ob und wie die Unternehmen den neuen Anforderungen nachkommen. Die erste Bilanz fällt durchzogen aus.
Nun ist es so weit: Am 25. Mai 2018 lief die Übergangsfrist der Datenschutzgrundverordnung, oder kurz DSGVO genannt, aus. Damit gelang die DSGVO samt Inhalt zur Anwendung. Anwendbar ist diese auch für Schweizer Unternehmen, wenn sie Waren oder Dienstleistungen in die EU anbieten. Viele der darin enthaltenen Grundsätze entsprechen dem geltenden schweizerischen Datenschutzrecht.
Die DSGVO bringt überdies jedoch auch ausgeprägte Rechte der Nutzer und Pflichten der Datenverarbeiter mit sich. Weiter stellt die DSGVO hohe Anforderungen an die Einwilligung in die Datenverarbeitung. Sogenanntes Opt-Out durch bereits angekreuzte Kästchen ist nicht mehr zulässig.
Die Datenschutzerklärung dient quasi als Visitenkarte des Unternehmens.
Wem die DSGVO bislang unbekannt war, der wird sie spätestens mit der Flut an E-Mails der vergangenen Wochen kennengelernt haben, mit denen die Unternehmen ihre neu angepasste Datenschutzerklärung den Nutzern präsentieren. Die DSGVO zwingt die Unternehmen damit nicht nur ihre eigentliche Datenbearbeitung zu überdenken, sondern stellt auch neue Anforderungen, wie die Unternehmen die Nutzer über die Datenbearbeitung informieren müssen. Dabei dient die Datenschutzerklärung quasi als Visitenkarte der Unternehmen, in welcher erklärt wird, welche Nutzerdaten auf welche Art und Weise bearbeitet werden.
Pünktlich zum Inkrafttreten der DSGVO haben auch zahlreiche Schweizer Medienunternehmen ihre Datenschutzerklärungen aktualisiert. Augenfällig ist zunächst, dass die Datenschutzerklärungen von Neue Zürcher Zeitung (NZZ.ch), Schweizer Radio und Fernsehen (srf.ch), Ringier (blick.ch) und Tamedia (20min.ch) deutlich an Umfang zugenommen haben. Verantwortlich dafür sind die DSGVO und deren umfangreicher Pflichtenkatalog. So muss die Datenschutzerklärung zum einen die Kontaktdaten des Bearbeiters benennen, sodass der Nutzer schnell und einfach mit dem Verantwortlichen in Kontakt treten kann. Neuerdings müssen Schweizer Unternehmen, die unter die Anwendung der DSGVO fallen, auch einen Vertreter in der EU benennen, welcher als Ansprechperson für Aufsichtsbehörden und Nutzer rund um den Europäischen Datenschutz fungiert. Einstweilen benennt jedoch lediglich die Datenschutzerklärung der NZZ einen solchen Vertreter.
Mit gutem Beispiel voran gehen hierbei die NZZ und das SRF, welche die Rechte des Nutzers einzeln und verständlich auflisten.
Zum anderen dürfen in der Datenschutzerklärung auch die Rechte der Nutzer nicht zu kurz kommen. In klarer und einfacher Sprache ist der Nutzer unter anderem darüber aufzuklären, dass er ein Recht auf Auskunft, Löschung und Berichtigung seiner Daten hat. Mit gutem Beispiel voran gehen hierbei die NZZ und das SRF, welche die Rechte des Nutzers einzeln und verständlich auflisten, wodurch die Datenschutzerklärungen sehr überschaubar wirken. Die Verständlichkeit der Datenschutzerklärung ist dabei von grundlegender Bedeutung. Die DSGVO will nämlich nicht bloss auf dem Papier ein hohes Datenschutzniveau erreichen, sondern will diesen Schutz den Nutzern auch tatsächlich zugänglich machen.
Auch wenn die Auflistung der Nutzerrechte mehrheitlich gut gelingt, bestehen in den untersuchten Datenschutzerklärungen noch einige Lücken. So erwähnt Ringier zum Beispiel seinen Nutzern gegenüber nicht ihr Recht auf Beschwerde bei einer Aufsichtsbehörde. Auch in der Datenschutzerklärung von 20min.ch bleibt das Recht unerwähnt, die Einwilligung in die Datenbearbeitung zu widerrufen. Beides sind indes zentrale Rechte des Nutzers und in einer Datenschutzerklärung nicht nur unabdingbar, sondern sollten wenn möglich visuell hervorgehoben werden.
Erst wenn dem Nutzer der Zusammenhang zwischen seinen Daten und den dazugehörigen Rechtsgrundlagen, sowie dem Bearbeitungszweck aufgezeigt wird, ist für ihn die Datenverarbeitung nachvollziehbar.
Weiter hat ein Unternehmen, das persönliche Daten erhebt und bearbeitet, in der Datenschutzerklärung mitzuteilen, aufgrund welcher rechtlichen Grundlage und zu welchem Zweck es die Daten des Nutzers bearbeitet. Während die NZZ und SRF ihre verwendeten Rechtsgrundlagen und Bearbeitungszwecke bloss in den Grundzügen schildern, erfüllen die Datenschutzerklärungen von 20min.ch und Blick die Anforderungen der DSGVO hier deutlich besser. Denn diese zeigen zu den erhobenen Daten die dazugehörigen Rechtsgrundlagen und den jeweiligen Zweck mehrheitlich auf. So wird zum Beispiel dargelegt, dass mittels Einwilligung des Nutzers seine E-Mail-Adresse registriert und zur Versendung des Newsletters oder der Werbung des Unternehmens benützt wird. Solche Ausführungen sind zu begrüssen, denn erst wenn dem Nutzer der Zusammenhang zwischen seinen Daten und den dazugehörigen Rechtsgrundlagen, sowie dem Bearbeitungszweck aufgezeigt wird, ist für ihn die Datenverarbeitung nachvollziehbar.
Bei allen untersuchten Datenschutzerklärungen ist jedoch der Hinweis über hinzugezogene Dritte und die Datenübermittlung in Drittländer noch ausbaufähig. Die Datenschutzerklärung soll darüber informieren, ob und wenn ja, welche Drittpersonen für die Bearbeitung der Daten hinzugezogen wurden. Diese sogenannten Auftragsverarbeiter sind für Medienhäuser kaum mehr wegzudenken, sei dies zur Versendung eines Newsletters oder zur Analyse des Nutzerverhaltens, um danach personalisierte Werbung zu schalten. Oftmals werden Daten auch in Drittländer übermittelt. Sollten die Gesetze des jeweiligen Drittlandes kein angemessenes Datenschutzniveau aufweisen, muss der Datenverarbeiter aufzeigen, mittels welcher Garantien er den Datenschutz des Nutzers gewähren will.
Nur wenn der Nutzer die Bearbeitung seiner Daten auch erkennt, kann er seinen Rechten entsprechend Geltung verschaffen.
Die untersuchten Datenschutzerklärungen benennen indes die hinzugezogenen Dritten entweder gar nicht oder verwiesen lediglich auf die ihrer Ansicht nach wichtigsten Dritten, zum Beispiel nennt die NZZ der Analysedienst Adobe Analytics. Auch erklärt SRF kurzum, dass im Falle einer Datenübermittlung in Drittländer ausreichende Garantien getroffen werden. Das kann den Anforderungen der DSGVO aber nicht genügen. Die detaillierte Auskunft über Dritte und Drittstaaten soll dem Nutzer nämlich einen Überblick darüber verschaffen, wo seine Daten letztlich überall hingelangen. Die Datenschutzerklärung dient schliesslich der Erkennbarkeit der Datenbearbeitung. Dieser Grundsatz ist dem Datenschutz wesensimmanent. Denn nur wenn der Nutzer die Bearbeitung seiner Daten auch erkennt, kann er seinen Rechten entsprechend Geltung verschaffen. Anderenfalls bleiben die Bestimmungen der DSGVO toter Buchstabe. Deshalb reichen pauschale Aussagen zu den verwendeten Rechtsgrundlagen, Zwecken oder auch zu Dritten und Drittländer unter der DSGVO eben nicht mehr aus.
Eine DSGVO-konforme Datenschutzerklärung zahlt sich jedoch nicht nur für die Nutzer aus, sondern im Falle einer Untersuchung durch eine Aufsichtsbehörde auch für die Unternehmen. Obschon die drohenden Sanktionen bei Datenschutzverletzungen nicht klein zu reden sind, sollte man nicht denken, dass bei jeder Verletzung der Vorgaben gleich ein Bussgeld in Millionenhöhe ausgesprochen wird, wie das in den letzten Tagen oft behauptet wurde. Vielmehr wird eine Abwägung zahlreicher Faktoren stattfinden. So werden Art, Schwere und Dauer der Verletzung oder die Massnahmen, die zur Vermeidung oder Behebung der Verletzung getroffen wurden, berücksichtigt. Miteinfliessen kann dabei auch, inwiefern der Nutzer mit der Datenbearbeitung rechnen musste. Hier wird eine stringente, transparente und vollständige Datenschutzerklärung eine entscheidende Rolle spielen.
Alles in allem haben die vier Medienunternehmen mit ihren aktualisierten Datenschutzerklärungen die Kriterien der DSGVO überwiegend aufgegriffen. Nichtsdestotrotz werden auch in Zukunft Anpassungen unvermeidlich sein. Denn trotz umfangreicher Regelungen schweigt sich die DSGVO über manche Detailfragen aus, so auch, wenn es sich um die Ausführlichkeit einzelner Nutzerinformationen in der Datenschutzerklärung handelt. Es wird deshalb an der Praxis und der Rechtsprechung liegen diese Unklarheiten zu beseitigen.