"Der Schutz Ihrer Daten ist uns ein wichtiges Anliegen." Mit Sätzen wie diesem leiten viele Behörden und Unternehmen jenes Textdokument ein, für das sich in der Praxis der Begriff Datenschutzerklärung etabliert hat.

In Datenschutzerklärungen informieren Verantwortliche über die Umstände ihrer Datenverarbeitungen. Dadurch soll betroffenen Personen ein Überblick über die Verarbeitung ihrer Daten ermöglicht werden, der die Grundlage für transparente Datenverarbeitungen schafft. Das war im Prinzip auch schon vor Einführung der DSGVO auf EU-Ebene so vorgesehen.

Mit Geltungsbeginn der DSGVO vor einem Jahr hat sich der Aufwand für Verantwortliche allerdings deutlich erhöht. Die Informationspflichten wurden inhaltlich um zusätzliche Angaben erweitert und um Anforderungen an die Art und Weise der Informationserteilung ergänzt. Die DSGVO sieht demnach ausdrücklich vor, dass an betroffene Personen gerichtete Informationen "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" zu erteilen sind.

Bei Betrachtung der einzelnen Vorgaben wird deutlich, dass deren genaue Erfüllung mit Schwierigkeiten verbunden ist. Begriffe wie Verständlichkeit, leichte Zugänglichkeit oder Verwendung einer einfachen Sprache sind sehr unspezifisch. Es lässt sich nicht allgemein sagen, wann ein Text diesen Anforderungen entspricht.

Angesichts der bei Verletzung der DSGVO drohenden Sanktionen, die für Unternehmer auch hohe Geldbußen umfassen können, sind derartig vage Anforderungen mit einem schwer bannbaren Haftungsrisiko verbunden. Jeder sorgfältige Unternehmer wird ein veritables Interesse daran haben, seine Informationspflichten exakt zu erfüllen. Aber wie wurden diese Pflichten bisher erfüllt, und wie kann man zukünftig sichergehen, dass die verwendete Datenschutzerklärung rechtskonform ist?

Zu dieser Fragestellung ist im vergangenen Jahr ein interdisziplinäres Forschungsprojekt entstanden, das mit Fokus auf die inhaltlichen, formalen und sprachlichen Anforderungen an Datenschutzerklärungen eine rechtswissenschaftliche Aufarbeitung mit den Ergebnissen einer rechtslinguistischen Textanalyse verbindet. Im Zuge des Projekts wurden 350 deutschsprachige Datenschutzerklärungen von in Österreich tätigen Unternehmen qualitativ und quantitativ untersucht.

Keine klare Sprache

Die Ergebnisse der Studie zeigen: Zwischen rechtlicher Vorgabe und tatsächlicher Praxis ist mitunter eine erhebliche Abweichung erkennbar. Klassische Kriterien klarer und einfacher Sprache werden vielfach nicht erfüllt. Das betrifft etwa die Verwendung einer aktiven Sprachform. Unter anderem lassen sich Tendenzen zu einer verstärkten Nominalisierung und zur übermäßigen Verwendung von Konjunktionen ablesen, die typische Indikatoren von passiv formulierten, langatmigen Sätzen sind.

Auf Basis der bisherigen Erkenntnisse ließe sich zudem argumentieren, dass bei Behörden und Unternehmern eine gewisse Unsicherheit bei der Formulierung von Datenschutzerklärungen besteht. Das könnte zumindest ein Grund dafür sein, dass es eine kleine Gruppe von Ausdrücken gibt, die im Verhältnis zum Gesamttext sehr häufig vorkommen. Die darüber hinaus bestehende hohe Varianz in der textlichen Länge der analysierten Datenschutzerklärungen indiziert überdies, dass die Informationspflichten gegenüber betroffenen Personen unterschiedlich wahrgenommen werden.

Im Interesse von Verantwortlichen wie betroffenen Personen wäre eine Annäherung von Recht und Praxis wichtig, um den vom Gesetzgeber intendierten Mehrwert (Stichwort: Transparenz) zu schaffen. Die Ergebnisse des angesprochenen Projekts sollen hierzu eine Hilfestellung bieten und werden voraussichtlich im Laufe des Jahres beim Verlag Lexis Nexis erscheinen. (Stefan Knotzer, Daniel Leisser, Wirtschaft & Recht Spezial, 23.5.2019)