Umfangreiche Informationspflichten gegenüber Betroffenen nach Datenschutzgrundverordnung

Bereits das derzeitige Bundesdatenschutzgesetz (BDSG) kennt Informationspflichten gegenüber dem Betroffenen. Ab dem 25. Mai 2018 treten an diese Stelle die erheblich weiterreichenden Regelungen der Datenschutzgrundverordnung (DS-GVO) und des neuen BDSG (BDSG nF). Bei Verstößen drohen erhebliche Sanktionen.

1. Erweiterung der allgemeinen Informationspflichten

Durch die Verpflichtung des Verantwortlichen zur Information betroffener Individuen (z.B. Kunden, Mitarbeiter oder sonstige Dritte) soll der Vorgang der Verarbeitung personenbezogener Daten transparenter werden. Die DS-GVO sieht dabei neben den Meldepflichten bei Datenschutzverletzungen allgemeine Informationspflichten vor (Art. 13 f. DS-GVO). Demnach müssen dem Betroffenen bereits zum Zeitpunkt der Datenerhebung wesentliche Informationen mitgeteilt werden, etwa Name und Kontaktdaten des Verarbeiters sowie Rechtsgrundlage und Zwecke der Datenverarbeitung.

Der Umfang der notwendigen Informationen ist im Vergleich zur bisherigen Rechtslage nach dem BDSG stark gewachsen: Zu informieren ist etwa über

  • die Zwecke der Verarbeitung sowie die zugehörige Rechtsgrundlage (sofern basierend auf einer Interessenabwägung auch die jeweiligen berechtigten Interessen),
  • die Dauer, für die die personenbezogenen Daten gespeichert werden sollen (dies kann in der Praxis einigen Analyse-Aufwand bedeuten),
  • die Rechte des Betroffenen gegenüber dem Verantwortlichen (einschließlich Hilfestellungen zur Geltendmachung),
  • das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde,
  • im Falle der Direkterhebung der Daten über die Kontaktdaten des Datenschutzbeauftragten, sowie
  • über die Absicht, die Daten in ein Drittland oder an eine internationale Organisation zu übermitteln.

Die Art. 29 Datenschutzgruppe hat die ohnehin schon umfangreichen Informationspflichten in WP 260 noch ausgeweitet.

Folgen für die Praxis

In der Praxis ist es ratsam, sich zunächst einen Überblick über die in der DSGVO und dem BDSG nF geregelten Voraussetzungen und Ausnahmen der allgemeinen Informationspflicht zu verschaffen. Im Gegensatz zu Meldepflichten bei Datenschutzverletzungen müssen die allgemeinen Informationspflichten ohne konkreten Anlass bereits bei der Datenerhebung erfüllt werden. Bei Eingreifen eines Ausnahmetatbestandes muss zudem sichergestellt werden, dass die im BDSG nF geforderten Ausgleichsmaßnahmen getroffen werden. Da Zweifel an der Unionskonformität der §§ 32, 33 BDSG nF bestehen, bleibt abzuwarten, ob diese Ausnahmen in der Praxis tatsächlich angewendet werden. Am Beispiel der Informationspflichten wird deutlich, dass bei der Beurteilung der datenschutzrechtlichen Zulässigkeit zukünftig zwischen DS-GVO und BDSG nF mitunter hin- und hergesprungen werden muss, was sich im Einzelfall als komplex gestalten kann.

Meldepflichten bei Datenschutzverletzungen

Die allgemeinen Informationspflichten treten neben die Meldepflichten im Falle einer Verletzung des Schutzes personenbezogener Daten. In diesem Fall kann nach der DS-GVO eine Meldung an die zuständige Aufsichtsbehörde einerseits (Art. 33 DS-GVO) sowie an die betroffenen Personen andererseits (Art. 34 DS-GVO) erforderlich werden. Soweit eine Mitteilung im Einzelfall erforderlich ist, fordert die DS-GVO ein unverzügliches Tätigwerden, möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung. Lediglich soweit mit der Verletzung kein Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist, kann eine Mitteilung unterbleiben.

Zusätzliche Anforderungen der Art. 29 Datenschutzgruppe

Die Art. 29 Datenschutzgruppe fordert unter anderem, dass die Informationen an die Betroffenen konkret sein müssten – problematisch seien daher Worte wie „wir dürfen“, „wir könnten“, „möglicherweise“ oder „oft“, was vor allem bei globalen Datenschutzinformationen herausfordernd sein könnte.

Des Weiteren verschärft die Art. 29 Arbeitsgruppe die Anforderungen an bestimmte Einzelinformationen: Highlights: Es sei sinnvoll, wenn bei den berechtigten Interessen auch Informationen über die Interessenabwägung gegeben würden. Bei den Datenempfängern sollten zumindest auch Informationen über dessen Wirtschaftszweig oder dessen Ort gegeben werden. Drittländer sollten namentlich erwähnt werden. Als Kriterium für die Aufbewahrungsfristen dürfe nicht bloß „so lange wie erforderlich“ angegeben werden. Das Recht zum Widerspruch gegen die Datenverarbeitung müsse explizit gemacht werden (Hervorhebungsgebot).

2. Umsetzungszeitpunkt

Die Informationspflichten der DS-GVO sind ab dem 25. Mai 2018 durch Unternehmen umzusetzen – das bedeutet, dass Betroffene erst über nach diesem Zeitpunkt liegende Datenerhebungen umfangreicher zu informieren sind. Eine Pflicht, auch über vor diesem Zeitpunkt liegende Erhebungen zu informieren, lässt sich der DS-GVO nicht entnehmen. Bei laufenden Vertragsbeziehungen sollte dennoch geprüft werden, ob weitere Datenerhebungen erfolgen und gegebenenfalls die Datenschutzhinweise für die Zukunft entsprechend angepasst werden.

3. Format

Die Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form und einer klaren und einfachen Sprache übermittelt werden (Art. 12 Abs. 1 DS-GVO). Die DS-GVO sieht für die Erteilung der Informationen Schriftform vor, lässt aber auch elektronische Form genügen. Auch ein Medienbruch – Erhebung der Daten schriftlich, Zurverfügungstellung der Information elektronisch – scheint vertretbar, vor allem wenn eine andere Information praktisch schwierig wäre. Insbesondere in Anbetracht des erheblichen Umfangs der Informationspflichten erscheint es eher unpraktisch, bei Datenerhebung im Geschäftsalltag, die etwa nur der Vertragsabwicklung dienen, stets ein mehrseitiges Informationsblatt zu fordern. Es bleibt abzuwarten, ob die Aufsichtsbehörden daher die Erstellung von Datenschutzhinweisen, etwa auf Websites, als zulässig erachten, auf die dann – auch außerhalb des elektronischen Geschäftsverkehrs – über einen Hyperlink verwiesen wird. Die Art. 29 Datenschutzgruppe betont, dass Unternehmen, die über eine Website verfügen, einen Datenschutzhinweis mit den notwendigen Informationen in jedem Fall zumindest auch auf der Website an prominenter Stelle veröffentlichen sollen. Bei Smartphone Apps sollten die Informationen immer mit zwei Klicks erreichbar sein. Mündlich darf nach dem klaren Wortlaut dagegen nur informiert werden, wenn die Identität des Betroffenen zuvor nachgewiesen wurde (z.B. durch Vorlage eines Personalausweises).

Folgen für die Praxis

Die Anforderungen an die Einbeziehung von Informationen, etwa durch Verweis auf Websites, ist von enormer praktischer Relevanz. Die Art. 29 Datenschutzgruppe beschränkt sich bislang auf den Hinweis, dass die Zulässigkeit eines Verweises auf elektronische Datenschutzhinweise von den konkreten Umständen des Einzelfalls abhängig ist. Dabei könnten in einem „Papierumfeld“ je nach Einzelfall auch schriftliche Informationen in den jeweiligen Vertragsunterlagen notwendig sein. Da kaum Verträge vorstellbar sind, in deren Folge nicht zumindest teilweise personenbezogene Daten erhoben werden (und sei es nur von Ansprechpersonen oder sonstigen Vertretern bei juristischen Personen) wäre bei einer strengen Anwendung dieser Grundsätze eine umfangreiche Überarbeitung der Vertragsdokumente erforderlich.

4. Ausnahmen

Ausnahmen zu den allgemeinen Informationspflichten gibt es wenige. Eine davon lautet, dass nicht informiert zu werden braucht, wenn der Betroffene schon über die Information verfügt. Auch der deutsche Gesetzgeber hat eine Ausnahme vorgesehen, wonach die Pflicht zur vorherigen Information über eine Weiterverarbeitung von personenbezogenen Daten für einen anderen Zweck insbesondere entfällt, wenn die Erteilung der Information die Geltendmachung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen der betroffenen Person im Einzelfall nicht überwiegen. In solchen Ausnahmefällen hat der Verantwortliche jedoch Maßnahmen zum Schutz der betroffenen Person zu ergreifen und die fehlende Information zu dokumentieren.

5. Erhebliche Sanktionen bei Verstößen

Erhebliche Änderungen ergeben sich im Hinblick auf die Rechtsfolgen etwaiger Verstöße gegen die Informationspflichten. Unabhängig von den zivilrechtlichen Folgen, die sich unmittelbar aus der Datenschutzverletzung ergeben können (etwa Schadensersatz- oder Unterlassungsansprüche), können nach der DS-GVO Geldbußen von bis zu 20 Millionen EURO oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (und zwar ggf. seines Konzerns!) verhängt werden.

Vermeidung von Geldbußen

In der Praxis wird daher ein noch stärkerer Fokus auf der Einhaltung datenschutzrechtlicher Vorgaben liegen, um der Verhängung einschneidender Geldbußen vorzubeugen. Ein erster Schritt sollte darin liegen, ein Konzept zur Erfüllung der Informationspflichten zu erstellen. Ein solches Konzept sollte vor allem die folgenden Punkte analysieren:  

  • Maßgebliche Datenverarbeitungen sowie deren Zwecke und Rechtsgrundlagen,
  • Betroffene Individuen (ggf. kategorisiert),
  • Fälle, in denen keine Informationspflichten bestehen (insb. gem. §§ 32, 33 BDSG nF),
  • Zu ergreifende Maßnahmen, wenn keine Informationspflicht besteht (insb. gem. §§ 32, 33 BDSG nF),
  • Festlegung des Informationsformates, sowie Maßnahmen zur rechtzeitigen Informationsgewährung.

Ausblick: 

Es ist zu erwarten, dass die Art. 29-Datenschutzgruppe sowie die nationalen Aufsichtsbehörden die Anforderungen an die Informationserteilung weiter konkretisieren und so besser handhabbar machen: