Wer liest schon freiwillig 80 Seiten Text, um einen Dienst anwenden zu dürfen?
Die 80 Seiten AGB von Paypal seien für den Anwender zumutbar, urteilte ein deutsches Gericht. Ich bin anderer Meinung.
Mit überlangen und unverständlichen Dokumenten überfordern die Anbieter die Anwender und bringen diese letzten Endes dazu, mehr oder weniger unbesehen alles zu akzeptieren. Diese Zermürbungstaktik der Anbieter hat jetzt also ihren gerichtlichen Segen erhalten. So setze ich meine Hoffnung nun auf die europäische Datenschutzverordnung EU-DSGVO (GDPR auf Englisch), die datenschutzfreundliche Voreinstellungen (Data protection by default) verlangt: Gemäss dieser Verordnung müssen die Werte zu meinen Gunsten, zu Gunsten des Anwenders, voreingestellt sein, damit ich geschützt bin, wenn ich entnervt alles akzeptiere.
Ich habe die Datenschutzrichtlinien der Videodienste ZOOM, Whereby und Jitsi-Meet auf Umfang und Verständlichkeit geprüft.
Umfang
Die Datenschutzrichtlinien von ZOOM umfassen 15 Seiten, diejenigen von Whereby 7 und diejenigen von Jitsi-Meet 5. Mein Fazit: Auf 5-7 Seiten lässt sich alles Notwendige regeln.
Verständlichkeit
Gemäss der europäischen Datenschutzverordnung müssen sichere digitale Produkte die Prinzipien „Data protection by design“ und „Data protection by default“ umsetzen. „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ heisst die etwas holprige offizielle deutsche Übersetzung. Dahinter steht die Forderung, dass der Bürger die Kontrolle über seine Daten behält, auch wenn er sie digitalen Produkten anvertraut. Die EU-DSGVO gilt für die Schweiz nicht. Um aber von der EU als sicheres Datenschutzland anerkannt zu werden, wird sich die Schweiz in Zukunft sehr eng an die EU-DSGVO anlehnen müssen. Ich verwende deshalb schon jetzt die EU-DSGVO als Massstab und vergleiche die Verständlichkeit der Datenschutzrichtlinien auf dieser Basis. Konkret prüfe ich die Datenschutzrichtlinien mit folgenden Fragen:
- Was sagt die Datenschutzrichtlinie darüber aus, wie ich meine gesammelten Daten löschen lassen kann (Recht auf Vergessenwerden)?
- Was sagt die Datenschutzrichtlinie darüber aus, welche Daten über mich gesammelt werden und was davon an wen weitergegeben wird? Wie kann ich mich gegen eine Weitergabe wehren (das Recht, dass meine Daten nicht ohne meine Einwilligung weitergegeben werden)?
ZOOM
Was sagt die Datenschutzrichtlinie darüber aus, welche Daten über mich gesammelt werden und was davon an wen weitergegeben wird? Wie kann ich mich gegen eine Weitergabe wehren?
ZOOM betont am Anfang seiner Datenschutzrichtlinien, es würden keine Daten an Dritte verkauft. Weiter unten steht dann aber: „Aufgrund der weit gefassten Definition des CCPA (= das neue kalifornische Datenschutzgesetz, das sich an EU-DSGVO anlehnt) stellen wir im unteren Bereich unserer Marketingwebsites den Link „Meine personenbezogenen Daten nicht verkaufen“ bereit, wie dies auch bei vielen anderen Anbietern seit dem Inkrafttreten des CCPA der Fall ist. Über diesen Link können Sie Ihre Cookie-Einstellungen ändern und die Verwendung dieser Werbetools deaktivieren.“ Entgegen der Aussage von ZOOM sieht die Voreinstellung also einen Verkauf vor.
Mein Fazit: Dieser Punkt ist widersprüchlich formuliert. Zudem hat ZOOM keine datenschutzfreundlichen Voreinstellungen.
Was sagt die Datenschutzrichtlinie darüber aus, wie ich meine gesammelten Daten löschen lassen kann?Auch hier schränkt ZOOM ein: „In manchen Fällen werden wir Ihrem Ersuchen nicht nachkommen können. Wenn (…) es unzumutbare Kosten oder unzumutbaren Aufwand erfordern würde, werden wir Sie innerhalb angemessener Frist informieren und Ihnen eine Erklärung geben.“
Mein Fazit: In diesem Punkt windet sich ZOOM, um eine klare Antwort zu vermeiden.
Warum hat ZOOM Mühe, auf Anfrage die Daten einer Person nachweisbar zu löschen? Wenn die Löschung von Daten einzelner Personen nicht von Beginn weg in das Design eines Produktes integriert wurde, lässt sich diese Forderung nachträglich kaum mehr wirtschaftlich umsetzen. ZOOM wurde offenbar nicht von Beginn weg für einen effektiven Datenschutz ausgelegt. Datenschutz durch Technikgestaltung ist also nicht umgesetzt.
Whereby
Bei Whereby gestaltet sich die Analyse einfach. Als (fast) europäisches (norwegisches) Produkt hält es sich ohne Kompromisse an die Anforderungen von EU-DSGVO. Die Privacy Policy gibt darüber Auskunft:
- Daten werden nicht für Werbezwecke weitergegeben (ausser es erfolgt eine explizite Einwilligung des Anwenders dazu).
- Es ist beschrieben, wie ein Benutzer seine Daten löschen lassen kann. Es ist kein Vorbehalt formuliert.
Whereby formuliert den Sachverhalt verständlich und hat die Prinzipien auch umgesetzt.
Jitsi-Meet
Die Datenschutzrichtlinien richten sich an ein Fachpublikum, das sich mit Sicherheitstechniken auskennt. Der Anbieter weist nach, dass Jitsi-Meet die beiden Prinzipien ohne Kompromisse einhält. Für Fachleute sind die Datenschutzrichtlinien gut verständlich.
Zusammenfassung
| ZOOM | Whereby | Jitsi-Meet | |
|---|---|---|---|
| Umfang in Seiten | 15 | 7 | 5 |
| Verständlichkeit | Gering | Gut | Gut (mit dem entsprechenden Fachwissen) |
| Umsetzung der Prinzipien gemäss EU-DSGVO | Nein | Ja | Ja |
Bevor Sie ein neues digitales Produkt bei sich einsetzen, ist es empfehlenswert, die Datenschutzrichtlinien in Bezug auf das Recht auf Vergessenwerden und die Datenweitergabe an Marketingfirmen aufmerksam durchzulesen. Nehmen Sie sich diese Zeit. So lässt sich vermeiden, dass Firmen ein umfassendes Persönlichkeitsprofil über Sie, Ihre Kunden und Ihre Familie anlegen.
Was für die Drittprodukte gilt, gilt auch für Ihre eigenen Anwendungen, in denen Sie Personendaten verwalten. Wie setzen Sie das Recht auf Vergessenwerden bei sich um? Mehr davon im nächsten Blog.
Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).