Umfangreiche Informationspflichten gegenüber Betroffenen nach Datenschutzgrundverordnung
Bereits das derzeitige Bundesdatenschutzgesetz (BDSG) kennt Informationspflichten gegenüber dem Betroffenen. Ab dem 25. Mai 2018 treten an diese Stelle die erheblich weiterreichenden Regelungen der Datenschutzgrundverordnung (DS-GVO) und des neuen BDSG (BDSG nF). Bei Verstößen drohen erhebliche Sanktionen.
1. Erweiterung der allgemeinen Informationspflichten
Durch die Verpflichtung des Verantwortlichen zur Information betroffener Individuen (z.B. Kunden, Mitarbeiter oder sonstige Dritte) soll der Vorgang der Verarbeitung personenbezogener Daten transparenter werden. Die DS-GVO sieht dabei neben den Meldepflichten bei Datenschutzverletzungen allgemeine Informationspflichten vor (Art. 13 f. DS-GVO). Demnach müssen dem Betroffenen bereits zum Zeitpunkt der Datenerhebung wesentliche Informationen mitgeteilt werden, etwa Name und Kontaktdaten des Verarbeiters sowie Rechtsgrundlage und Zwecke der Datenverarbeitung.
Der Umfang der notwendigen Informationen ist im Vergleich zur bisherigen Rechtslage nach dem BDSG stark gewachsen: Zu informieren ist etwa über
- die Zwecke der Verarbeitung sowie die zugehörige Rechtsgrundlage (sofern basierend auf einer Interessenabwägung auch die jeweiligen berechtigten Interessen),
- die Dauer, für die die personenbezogenen Daten gespeichert werden sollen (dies kann in der Praxis einigen Analyse-Aufwand bedeuten),
- die Rechte des Betroffenen gegenüber dem Verantwortlichen (einschließlich Hilfestellungen zur Geltendmachung),
- das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde,
- im Falle der Direkterhebung der Daten über die Kontaktdaten des Datenschutzbeauftragten, sowie
- über die Absicht, die Daten in ein Drittland oder an eine internationale Organisation zu übermitteln.
Die Art. 29 Datenschutzgruppe hat die ohnehin schon umfangreichen Informationspflichten in WP 260 noch ausgeweitet.
Folgen für die Praxis
Meldepflichten bei Datenschutzverletzungen
Zusätzliche Anforderungen der Art. 29 Datenschutzgruppe
Des Weiteren verschärft die Art. 29 Arbeitsgruppe die Anforderungen an bestimmte Einzelinformationen: Highlights: Es sei sinnvoll, wenn bei den berechtigten Interessen auch Informationen über die Interessenabwägung gegeben würden. Bei den Datenempfängern sollten zumindest auch Informationen über dessen Wirtschaftszweig oder dessen Ort gegeben werden. Drittländer sollten namentlich erwähnt werden. Als Kriterium für die Aufbewahrungsfristen dürfe nicht bloß „so lange wie erforderlich“ angegeben werden. Das Recht zum Widerspruch gegen die Datenverarbeitung müsse explizit gemacht werden (Hervorhebungsgebot).
2. Umsetzungszeitpunkt
Die Informationspflichten der DS-GVO sind ab dem 25. Mai 2018 durch Unternehmen umzusetzen – das bedeutet, dass Betroffene erst über nach diesem Zeitpunkt liegende Datenerhebungen umfangreicher zu informieren sind. Eine Pflicht, auch über vor diesem Zeitpunkt liegende Erhebungen zu informieren, lässt sich der DS-GVO nicht entnehmen. Bei laufenden Vertragsbeziehungen sollte dennoch geprüft werden, ob weitere Datenerhebungen erfolgen und gegebenenfalls die Datenschutzhinweise für die Zukunft entsprechend angepasst werden.
3. Format
Die Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form und einer klaren und einfachen Sprache übermittelt werden (Art. 12 Abs. 1 DS-GVO). Die DS-GVO sieht für die Erteilung der Informationen Schriftform vor, lässt aber auch elektronische Form genügen. Auch ein Medienbruch – Erhebung der Daten schriftlich, Zurverfügungstellung der Information elektronisch – scheint vertretbar, vor allem wenn eine andere Information praktisch schwierig wäre. Insbesondere in Anbetracht des erheblichen Umfangs der Informationspflichten erscheint es eher unpraktisch, bei Datenerhebung im Geschäftsalltag, die etwa nur der Vertragsabwicklung dienen, stets ein mehrseitiges Informationsblatt zu fordern. Es bleibt abzuwarten, ob die Aufsichtsbehörden daher die Erstellung von Datenschutzhinweisen, etwa auf Websites, als zulässig erachten, auf die dann – auch außerhalb des elektronischen Geschäftsverkehrs – über einen Hyperlink verwiesen wird. Die Art. 29 Datenschutzgruppe betont, dass Unternehmen, die über eine Website verfügen, einen Datenschutzhinweis mit den notwendigen Informationen in jedem Fall zumindest auch auf der Website an prominenter Stelle veröffentlichen sollen. Bei Smartphone Apps sollten die Informationen immer mit zwei Klicks erreichbar sein. Mündlich darf nach dem klaren Wortlaut dagegen nur informiert werden, wenn die Identität des Betroffenen zuvor nachgewiesen wurde (z.B. durch Vorlage eines Personalausweises).
Folgen für die Praxis
4. Ausnahmen
Ausnahmen zu den allgemeinen Informationspflichten gibt es wenige. Eine davon lautet, dass nicht informiert zu werden braucht, wenn der Betroffene schon über die Information verfügt. Auch der deutsche Gesetzgeber hat eine Ausnahme vorgesehen, wonach die Pflicht zur vorherigen Information über eine Weiterverarbeitung von personenbezogenen Daten für einen anderen Zweck insbesondere entfällt, wenn die Erteilung der Information die Geltendmachung oder Verteidigung rechtlicher Ansprüche beeinträchtigen würde und die Interessen der betroffenen Person im Einzelfall nicht überwiegen. In solchen Ausnahmefällen hat der Verantwortliche jedoch Maßnahmen zum Schutz der betroffenen Person zu ergreifen und die fehlende Information zu dokumentieren.
5. Erhebliche Sanktionen bei Verstößen
Erhebliche Änderungen ergeben sich im Hinblick auf die Rechtsfolgen etwaiger Verstöße gegen die Informationspflichten. Unabhängig von den zivilrechtlichen Folgen, die sich unmittelbar aus der Datenschutzverletzung ergeben können (etwa Schadensersatz- oder Unterlassungsansprüche), können nach der DS-GVO Geldbußen von bis zu 20 Millionen EURO oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (und zwar ggf. seines Konzerns!) verhängt werden.Vermeidung von Geldbußen
- Maßgebliche Datenverarbeitungen sowie deren Zwecke und Rechtsgrundlagen,
- Betroffene Individuen (ggf. kategorisiert),
- Fälle, in denen keine Informationspflichten bestehen (insb. gem. §§ 32, 33 BDSG nF),
- Zu ergreifende Maßnahmen, wenn keine Informationspflicht besteht (insb. gem. §§ 32, 33 BDSG nF),
- Festlegung des Informationsformates, sowie Maßnahmen zur rechtzeitigen Informationsgewährung.
Ausblick:
Es ist zu erwarten, dass die Art. 29-Datenschutzgruppe sowie die nationalen Aufsichtsbehörden die Anforderungen an die Informationserteilung weiter konkretisieren und so besser handhabbar machen:
- Die Art. 29-Datenschutzgruppe hat bereits umfangreiche Leitlinien auf Englisch veröffentlicht (verfügbar unter http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48850).
- Auch die Datenschutzkonferenz der unabhängigen Datenschutzbehörden in Deutschland hat ein Kurzpapier hierzu veröffentlicht (verfügbar unter https://www.lda.bayern.de/media/ dsk_kpnr_10_informationspflichten.pdf).