Rechtstipp

DSGVO: Verarbeiten Sie Daten transparent genug?

Zwei Jahre nach Inkrafttreten der EU Datenschutz Grundverordnung (DSGVO) gilt seit 25.5.2018 europaweit die neue Rechtslage.

Preslmayr Rechtsanwälte Franz Lippe DSGVO Recht Rechtstipp

Es wird sich weisen, auf die Einhal­tung welcher Verpflichtungen die Aufsichtsbehörden und die betroffe­nen Personen verstärkt ihren Fokus legen werden: Dass die Bestim­mungen zur Transparenz der Verar­beitung personenbezogener Daten darunter sind, ist anzunehmen.

Die DSGVO kennt mehrere Grundsätze, anhand derer personenbezogene Daten verarbeitet werden müssen: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Nachweispflicht hinsichtlich dieser Grundsätze. Ob manche davon als höherwertiger zu betrachten sind als andere, lässt sich der DSGVO nicht entnehmen.

Klar ist aber, dass der Grundsatz der Transparenz, somit die Verarbeitung von personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise, insofern eine Sonderstellung einnimmt, als die Einhaltung der diesbezüglichen Verpflichtungen schnell und einfach geprüft werden kann, ähnlich der Einhaltung von Impressums- oder Offenlegungspflichten gemäß dem Mediengesetz: Einschlägig sind insbesondere die Artikel 13 und 14 DSGVO, die normieren, welche Informationen den Betroffenen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten wann und auf welche Weise bereitzustellen sind.

White Paper zum Thema

Bereits der Umfang der zu erteilen­ den Informationen ist beachtlich: Neben Namen und Kontaktdaten des Verantwortlichen (und gegebenenfalls des Datenschutzbeauftragten) zählen insbesondere die Zwecke der Datenverarbeitung, die Rechtsgrundlage, eine Beschreibung von Empfängern bzw. Kategorien von Empfängern und beabsichtigten Drittlandtransfers, die Dauer der Datenspeicherung, die Belehrung über Betroffenenrechte oder der Umstand, ob automatisierte Entscheidungsfindung betrieben wird, dazu.

Vielen Unternehmen bereitet aber weniger der Umfang der zu erteilen­ den Informationen Kopfzerbrechen, als vielmehr Zeitpunkt und Art de­ren Bereitstellung: Werden personenbezogene Daten nämlich direkt bei der betroffenen Person erhoben, sind die Informationen bereits zum Zeitpunkt der Erhebung der Daten zu erteilen. Im Online-Kontext wird man sich dabei in vielen Fällen einer einfach und jederzeit abrufbaren Datenschutzerklärung auf der eigenen Website bedienen können.

Anders zu bewerten ist dies jedoch in Zusammenhang mit einer Verarbeitung personenbezogener Daten auf Basis physischer, telefonischer oder anderer Offline-Interaktion mit Betroffenen: Nach Meinung der Artikel-29-Datenschutzgruppe können etwa bei postalischen Vertragsschlüssen schriftliche Erklärungen, Flugblätter oder Informationen in der Vertragsdokumentation geeignete Formate sein, um die datenschutzrechtlichen Informationen bereitzustellen, bei Telefonaten mündliche Erklärungen oder automatische, voraufgenommene Texte, in Fällen direkter persönlicher Kontaktaufnahme mündliche oder übergebene schriftliche Erklärungen.

Datenverarbeiter stehen somit vor der Aufgabe, zu überlegen, auf welchen Kanälen sie personenbezogene Daten erheben, um rechtzeitig und transparent die Erteilung datenschutzrechtlicher Informationen an Betroffene bewerkstelligen zu können. Es wird sich erst im Zuge der Vollziehung der DSGVO zeigen, welche Formate sich als Best Practices herauskristallisie­ren, um den Informationspflich­ten angemessen und verhältnis­ wahrend in Inhalt, Form und Zeitpunkt zu entsprechen.

Dr. Franz Lippe ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte. Er ist vorwiegend im Datenschutzrecht tätig.