Datenschutz - bildlich gesprochen

Hintergrund

Nach Maßgabe von Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und auch in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Das sog. Transparenzgebot war schon nach in Vor-DSGVO-Zeiten ein wichtiges Element des Datenschutzrechts.

Zugleich regelt Art. 12 DSGVO in seinem Abs. 1 folgendes:

"Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. [...]"

Fazit: Betroffene müssen von Verantwortlichen über die bei ihnen stattfindende Datenverarbeitung so informiert werden müssen, dass die Angaben einerseits umfänglich und wahrheitsgetreu, andererseits aber auch verständlich, leicht zugänglich und einfach formuliert transportiert werden; inhaltlich müssen sich die Pflichtinformationen nach Art. 13, 14 DSGVO und die Erfüllung von Auskunftsbegehren nach Art. 15 DSGVO richten.

Diese Regelungen haben seit Wirksamwerden der DSGVO dazu geführt, dass nun auch für die "Offline-Tätigkeit" von Unternehmen, Behörden und Vereinen Datenschutzhinweise bereitzustellen sind. Zudem sind die Inhalte von Online-Datenschutzerklärungen deutlich umfangreicher geworden. Und gerade online sind mitunter sehr komplizierte, technische Vorgänge darzustellen - und zwar gem. Art. 12 Abs. 1 DSGVO ebenfalls in einer klaren und einfachen Sprache.

Um den Vorgang zu erleichtern, sieht Art. 12 Abs. 7 DSGVO folgendes vor:

"Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein."

Nach Art. 12 Abs. 8 DSGVO wird der EU-Kommission die Befugnis übertragen, gemäß Art. 92 DSGVO delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen. Dies ist bislang (noch) nicht passiert und ist laut einer Antwort der Generaldirektion Justiz und Verbraucher auf eine entsprechende Anfrage über Fragdenstaat.de wohl leider auch so bald nicht zu erwarten.

Lösungsansätze

Inzwischen gibt es verschiedene, durchaus gelungene Lösungsansätze für diese Problematik. Es zeigt sich jedoch, dass die Gestaltung solcher "standardisierter Bildsymbole", die auch noch "maschinenlesbar" sind, gar nicht so simpel ist. Es müssen hierbei teilweise recht komplexe Inhalte so transportiert werden, dass sie sich durch einfache Symbole darstellen lassen, die idealerweise unabhängig von der verwendeten Sprache zumindest in allen EU-Mitgliedstaaten gleich gut verständlich sind.

Aus deutschen Aufsichtsbehörden hört man hierzu kaum etwas. Zwar findet sich ein Beispiel für ein Hinweisschild zur Umsetzung der Transparenzpflichten bei einer Videoüberwachung auf der Website der Landesbeauftragten für den Datenschutz Niedersachsen, das war es im Wesentlichen aber auch schon. Bei den Aufsichtsbehörden anderer EU-Staaten findet sich ebenfalls nichts Verwertbares.

Es bleibt also privater Initiative überlassen. So hat beispielsweise der Chaos Computer Club (CCC) Berlin einen Vorschlag für "Data Privacy Icons" unter einer CC-BY-Lizenz veröffentlicht (auch als PDF downloadbar). Nicola Pridik, die sich mit Rechtskommunikation und Rechtsvisualisierung beschäftigt, schreibt in ihrem Blog über ihre (sehenswerten) handgezeichneten Bildvokabeln zum Datenschutzrecht. In der Schweiz stellt der Verein Privacy Icons ebenfalls selbst erstellte Datenschutz-Symbole vor, die über seine Website als SVG-Grafiken sowie als Webfont-Set heruntergeladen werden können. Ein Beispiel für die gelungene Einbindung von grafischen Eigenkreationen in die eigene Datenschutzerklärung findet sich auf der Xing-Website.

Die DSGVO sieht zwar keine Pflicht vor, derartige Bildsymbole einzusetzen. Aber je länger und inhaltlich komplizierter Datenschutzhinweise sind, desto eher sollte man sich als Verantwortlicher Gedanken über deren visuelle Präsentation machen. Insgesamt wäre es natürlich hilfreich und sinnvoll, wenn es standardisierte Bildsymbole von offizieller Seite gäbe, wie es Art. 12 Abs. 7 DSGVO ja auch vorsieht.