Voraussetzungen der Einwilligung
Welche Voraussetzungen sollten nach Ihrer Meinung für eine wirksame Einwilligung in die Erhebung und Verarbeitung personenbezogener Daten gegeben sein, und in welcher Form? Wo sehen Sie ggf. einen Anpassungsbedarf? Inwieweit ist für die Einwilligung zu differenzieren, z. B. nach der Art der jeweils betroffenen Daten oder nach dem jeweiligen Zweck der Datenverarbeitung? Welche Besonderheiten ergeben sich aus dem Verhältnis der beiden betroffenen Seiten (z. B. bei Beteiligung von Bürger und Staat, von zwei Privatpersonen, von Arbeitgebern und Arbeitnehmern, von Verbraucher und Unternehmer/Anbieter oder sonstigen schutzwürdige Gruppen)?
Differenzierte Einwilligung
Hallo,
Zunächst einmal gehe ich davon aus, dass der letzte Satz des oben verlinkte Gesetzesausschnitt eine Online-Einwilligung erlaubt. Ist dies nicht der Fall, muss dies natürlich aufgenommen werden, denn bei einer derartig hohen Nutzeranzahl von Social Networks ist eine schriftliche Einwilligung nicht zu realisieren.
Bei der Einwilligung würde ich differenzieren.
Für Kinder und Jugendliche, würde ich eine gewerbliche Weiterverarbeitung von Daten verbieten. Dies gewährleistet, dass Kinder und Jugendliche nicht mit personifizierter Werbung bombadiert werden und hat den Vorteil, dass Kinder die ggf. nicht verantwortungsvoll mit Geld umgehen können nicht zu sehr zum Aggieren gereizt werden.
Für eine plattforminterne Weiterverarbeitung bei Kinder und Jugendlichen, wie z.B. für Algorithmen, die Nutzer der gleichen Schule o.ä. finden, sollte die Verwendung der Daten erlaubt sein, denn sonst ist der Mehrwert der heutigen Social Networks nicht wirklich gegeben. Dies liegt daran, dass viele der interessanten Zusatzfunktionen, wie das Finden von Freunden per Personenattribut oder das Aufzeigen von Freunden von Freunden nicht realisierbar wären. Optional sollte dies aber auch abschaltbar sein, für Kinder/Eltern, die besonders viel Wert auf Datenschutz legen.
Eine plattformübergreifende Verwendung von Daten (also eine indirekte Weitergabe der Daten an Dritte, z.B. bei einem API Aufruf) zur Realisierung von Funktionalität sehe ich als kritisch an, denn je weiter die Daten verbreitet werden, desto höher wird das Risiko, dass diese in falsche Hände geraten. Sei es durch die Weitergabe an einen unseriösen Anbieter oder durch mangelnde Sicherheitsvorkehrungen eines Drittanbieters.
Somit ist für Kinder und Jugendliche Voraussetzung zur Einwilligung, dass Daten nicht kommerziell weiterverarbeitet werden dürfen und dass die Daten optional zur Realisierung interner Funktionalität verwendet werden dürfen. Für die zuletzt genannte Option muss dem Kind vor der Einwilligung verständlich klar gemacht werden, welche Folge eine Zustimmung bzw. Ablehnung hat.
Bei Erwachsenen ist zwischen uneingeschränkter plattforminterner (also auch kommerzieller Nutzung), eingeschränkter plattforminterner Nutzung (also zur Realisierung von Plattformfunktionalität) und gar keiner Nutzung der Daten bei der Einwilligung zu differenzieren.
Bei der ersten Option ist die bereits angeprochene Ablehnung von Werbung mit persönlicher Kontaktaufnahme anzubieten, denn diese Art der Werbung verleitet in meinen Augen zu überhasteten und uninformierten Kauf von Gütern und Dienstleistungen. Des Weiteren muss hierbei eine Weitergabe der Daten an Dritte zur kommerziellen Nutzung ausgeschlossen werden, denn ansonsten werde die Nutzerdaten beliebig verbreitet ohne Kontrolle darüber zu haben, wer diese erhält. Dabei ist auch eine Auflistung von Drittanbietern, die diese erhalten würden sinnlos, denn Werbepartner ändern sich schnell. Ziel der ersten Option ist es, Personen, die lieber personifizierte Werbung erhalten möchten, diese Möglichkeit zu bieten.
Die zweite Option hat zur Folge, dass die Daten nicht zur Realisierung von personifizierter Werbung verwendet werden dürfen, wohl aber zur Realisierung von plattforminterner Funktionalität, wie z.B. das bereits angesprochene Finden von Freunden anhand bestimmter Personenattribute. Dies hat zur Folge, dass der Mehrwert der Plattformen genutzt werden kann und das allgemeine Werbung zu sehen sein wird.
Die dritte Option, bietet die Möglichkeit, die Nutzung personifizierter Daten komplett zu verbieten. Dies ist für Personen anzubieten, die sehr viel Wert auf Datenschutz legen aber trotzdem nicht auf Internettrends verzichten möchten.
Beste Grüße
Robert Fretschner
Vorraussetzung der Einwilligung
Wie der Vorposter schon schrieb, muss zwischen den Daten von Erwachsenen einerseits und Kindern und Jugendlichen andererseits unterschieden werden.
Für alle Daten sollte ein generelles Verbot der Weitergabe existieren. Der Betroffene kann schriftlich einer Weitergabe an explizit angegebene Entitäten zustimmen (Beispiel: Zustimmung zur Schufa-Auskunft), alles andere geht nicht. Eventuelle Ausnahmen sollten auf ein absolutes Minimum beschränkt werden.
Für Kinder und Jugendliche würde ich ein generelles Verbot der Datenweitergabe ohne jede Ausnahme als absoluten Minimalstandard ansehen. Die Erhebung der Daten darf nur mit Zustimmung eines Gesetzlichen Vertreters erfolgen. Die Daten sollten als besonders Schutzwürdig betrachtet werden und ihre Speicherung darf auf keinen Fall permanent sein, sondern muss auf eine gesetzlich festzulegende maximale Speicherdauer beschränkt sein.
Des Weiteren sollte auch an die bestehenden Daten gedacht werden. Existierende Datenbestände sollten von ihren Verwendern überprüft werden, und Datensätze, zu denen keine explizite schriftliche Einwilligung zur Speicherung vorliegt, müssen gelöscht werden. Die Datenschutzbeauftragten sind so mit Rechten und Personal auszustatten, dass sie regelmäßige Kontrollen über die Einhaltung dieser Regeln durchführen könnnen und bei Verstoß signifikante Strafen verhängen können.
Ich bin mir im klaren darüber, dass die Branche der Adresshändler gegen jede Rückeroberung der Datenautonomie durch ihre Opfer endlos durch ihre Lobbyisten jammern wird, aber hier müssen endlich mal die Rechte der Bürger über das Profitinteresse einiger weniger gestellt werden.