DSGVO: Korrekte Informationspflichten

Einer der Grundsätze der Datenschutz-Grundverordnung (DSGVO) ist das Prinzip der Transparenz. Darin wird gefordert, dass den betroffenen Personen immer klar sein soll, wer Daten hat, für welche Zwecke die Daten verarbeitet werden und an wen die Daten weitergegeben werden. Das bedeutet, dass für die betroffenen Personen entsprechende Informationen zur Verfügung gestellt werden müssen („Informationspflichten“). In diesen Informationen wird erklärt, was mit den Daten passiert. Man spricht daher auch oft von „Datenschutzerklärungen“.

In Artikel 13 der DSGVO wird angegeben, welche Informationen diese Datenschutzerklärungen enthalten müssen. Dabei ist auch zu berücksichtigen, dass die Angaben leicht auffindbar, präzise und gut verständlich sein sollen. Prinzipiell müssen die Informationen bei der Erhebung bzw. Erfassung der Daten zur Verfügung gestellt werden.
 

In der Praxis sieht man oft sehr generisch gehaltene Datenschutzerklärungen, die offenbar von Anwaltskanzleien ohne nennenswerte Analyse der konkreten Unternehmensaktivitäten erstellt wurden. Dadurch bleiben viele Elemente für den Leser unklar bzw. im Dunkeln.

• Überlegen Sie die Erstellung von verschiedenen Datenschutzerklärungen, die je nach Zielgruppe formuliert sind. Beispielsweise eine Erklärung für Website-Besucher, die alle Elemente enthält, die man auf der Website vorfindet (die Log-Dateien des Servers, allfällige Analyse- und Tracking-Tools, Newsletter, Kontaktformulare,…), eine Erklärung für Mitarbeiter, eine Erklärung für Bewerber, eine für Geschäftspartner, etc.

• Die Texte von Datenschutzerklärungen sind oft relativ umfangreich. Beim elektronischen Versand von Informationen lässt sich das noch recht leicht erledigen. Bei Papierformularen würde jedoch die Integration der Datenschutzerklärung normalerweise den Umfang des Formulars sprengen. Daher wird hier auch oft nur auf die Existenz einer Datenschutzerklärung hingewiesen, die dann entweder im Internet nachgelesen werden kann (Achtung: „Medienbruch“) oder auch auf Anfrage gesondert ausgehändigt wird.

• Bei Datenschutzerklärungen handelt es sich, wie der Name schon sagt, um Erklärungen, nicht um einen Vertrag, dem zugestimmt werden muss. Im Sinne der Nachweispflicht (Art. 5 Abs. 2 DSGVO) wird in manchen Fällen die Kenntnisnahme der Datenschutzerklärung dokumentiert. Tatsächlich vorgeschrieben ist das aber nicht. Es würde auch schon ein dokumentierter Prozess zur Weitergabe der Information (bspw. in einer Verhaltensweisung für Mitarbeiter) eine ähnliche Wirkung haben.

• Die verpflichtende Angabe der Speicherdauer sollte der betroffenen Person eine Einschätzung geben, wie lange die Daten tatsächlich aufbewahrt werden. Oft liest man hier, dass Daten im Rahmen der gesetzlichen Aufbewahrungspflichten gespeichert werden. Damit wird übersehen, dass es in manchen Fällen gar keine gesetzlichen Aufbewahrungspflichten gibt, bspw. bei der Angebotslegung.

• Rechtsgrundlagen sind pro Verarbeitung anzugeben. Es bringt dem Leser gar nichts, wenn aus dem Gesetz zitiert wird, welche Rechtsgrundlagen es insgesamt gibt (Art. 6 DSGVO) ohne zu wissen, welche Rechtsgrundlage konkret angewendet wird.

• Bei einer Verarbeitung im berechtigten Interesse muss dieses Interesse auch argumentiert und formuliert werden sodass absehbar ist, wie das berechtigte Interesse im Verhältnis mit den Rechten und Freiheiten der betroffenen Person positioniert werden kann. Das manchmal zu sehende „Interesse zur Führung des Geschäftsbetriebs zum Wohle unserer Mitarbeiter und unserer Anteilseigner“ ist viel zu global und ist daher für jeden Widerspruch angreifbar.

• Die Betroffenenrechte sind vollständig anzugeben, u.a. auch das Recht auf Beschwerde bei einer Aufsichtsbehörde. Die Angabe einer konkreten Aufsichtsbehörde (bspw. der österreichischen Datenschutzbehörde) könnte irreführend sein, denn betroffene Personen können sich entweder an die Aufsichtsbehörde wenden, die für das Unternehmen zuständig ist oder die Aufsichtsbehörde, die für den eigenen Wohnort zuständig ist, für einen Bayern beispielsweise die BayLDA. Bei grenzüberschreitenden Datenverarbeitungen führt das schnell zu Verwirrung.

• Datenverarbeitungen aufgrund einer Einwilligung sind mit Vorsicht zu genießen. Hier gelten besondere Vorschriften (Hervorhebung, Freiwilligkeit, Recht auf Widerruf bzw. Information, wie der Widerruf durchgeführt werden muss), die oft nicht eingehalten werden und somit die Einwilligung ungültig machen. Besonders in Verbindung mit Arbeitsverhältnissen (Arbeitsvertrag) sollten Einwilligungen nur dann verwendet werden, wenn tatsächlich keine andere Rechtsgrundlage in Frage kommt.

• In Bezug auf die Weitergabe von Daten genügt laut DSGVO die Angabe von „Kategorien von Empfängern“. Das erleichtert die Erstellung der Datenschutzerklärungen, da nicht jedes Unternehmen bzw. Geschäftspartner namentlich genannt werden muss sondern eben Empfängerkategorien ausreichend sind. Gleiches trifft auf die Datenweitergabe an Auftragsverarbeiter zu, die gemeinsam genannt werden können. Dennoch muss natürlich auch erklärt werden, aus welchen Gründen die Weitergabe der Daten durchgeführt wird, bspw. bei einem Onlineshop die Datenweitergabe an Speditionen oder Logistikpartner, um den Vertrag (Bestellung eines Produkts) zu erfüllen.

• Besonders auf der Website muss darauf geachtet werden, welche Verarbeitungen tatsächlich für die Funktionalität der Website notwendig sind und welche nur in berechtigtem Interesse stattfinden. In letztere Kategorie fallen praktisch alle Analyse-Tools aber auch Plug-ins von Social Networks wie Facebook, Twitter, etc.; manche Aufsichtsbehörden sind der Ansicht, dass Tracking generell nur mit ausdrücklicher Einwilligung stattfinden sollte. Das bedeutet, dass man im Cookie-Hinweis auf der Website nicht einfach nur „OK“ klicken dürfte sondern explizit zustimmt oder ablehnt. Die Tracking-Bestandteile dürften dann nur bei Zustimmung ausgespielt werden. Ähnlich könnte man auch für andere externe Inhalte wie eingebettete YouTube-Videos, nachgeladene Fonts, etc. argumentieren.