Rechtstipp : DSGVO: Verarbeiten Sie Daten transparent genug?
Es wird sich weisen, auf die Einhaltung welcher Verpflichtungen die Aufsichtsbehörden und die betroffenen Personen verstärkt ihren Fokus legen werden: Dass die Bestimmungen zur Transparenz der Verarbeitung personenbezogener Daten darunter sind, ist anzunehmen.
Die DSGVO kennt mehrere Grundsätze, anhand derer personenbezogene Daten verarbeitet werden müssen: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Nachweispflicht hinsichtlich dieser Grundsätze. Ob manche davon als höherwertiger zu betrachten sind als andere, lässt sich der DSGVO nicht entnehmen.
Klar ist aber, dass der Grundsatz der Transparenz, somit die Verarbeitung von personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise, insofern eine Sonderstellung einnimmt, als die Einhaltung der diesbezüglichen Verpflichtungen schnell und einfach geprüft werden kann, ähnlich der Einhaltung von Impressums- oder Offenlegungspflichten gemäß dem Mediengesetz: Einschlägig sind insbesondere die Artikel 13 und 14 DSGVO, die normieren, welche Informationen den Betroffenen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten wann und auf welche Weise bereitzustellen sind.
Bereits der Umfang der zu erteilen den Informationen ist beachtlich: Neben Namen und Kontaktdaten des Verantwortlichen (und gegebenenfalls des Datenschutzbeauftragten) zählen insbesondere die Zwecke der Datenverarbeitung, die Rechtsgrundlage, eine Beschreibung von Empfängern bzw. Kategorien von Empfängern und beabsichtigten Drittlandtransfers, die Dauer der Datenspeicherung, die Belehrung über Betroffenenrechte oder der Umstand, ob automatisierte Entscheidungsfindung betrieben wird, dazu.
Vielen Unternehmen bereitet aber weniger der Umfang der zu erteilen den Informationen Kopfzerbrechen, als vielmehr Zeitpunkt und Art deren Bereitstellung: Werden personenbezogene Daten nämlich direkt bei der betroffenen Person erhoben, sind die Informationen bereits zum Zeitpunkt der Erhebung der Daten zu erteilen. Im Online-Kontext wird man sich dabei in vielen Fällen einer einfach und jederzeit abrufbaren Datenschutzerklärung auf der eigenen Website bedienen können.
Anders zu bewerten ist dies jedoch in Zusammenhang mit einer Verarbeitung personenbezogener Daten auf Basis physischer, telefonischer oder anderer Offline-Interaktion mit Betroffenen: Nach Meinung der Artikel-29-Datenschutzgruppe können etwa bei postalischen Vertragsschlüssen schriftliche Erklärungen, Flugblätter oder Informationen in der Vertragsdokumentation geeignete Formate sein, um die datenschutzrechtlichen Informationen bereitzustellen, bei Telefonaten mündliche Erklärungen oder automatische, voraufgenommene Texte, in Fällen direkter persönlicher Kontaktaufnahme mündliche oder übergebene schriftliche Erklärungen.
Datenverarbeiter stehen somit vor der Aufgabe, zu überlegen, auf welchen Kanälen sie personenbezogene Daten erheben, um rechtzeitig und transparent die Erteilung datenschutzrechtlicher Informationen an Betroffene bewerkstelligen zu können. Es wird sich erst im Zuge der Vollziehung der DSGVO zeigen, welche Formate sich als Best Practices herauskristallisieren, um den Informationspflichten angemessen und verhältnis wahrend in Inhalt, Form und Zeitpunkt zu entsprechen.
Dr. Franz Lippe ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte. Er ist vorwiegend im Datenschutzrecht tätig.
Etwas mehr als ein Jahr nach dem Inkrafttreten der EU-Datenschutz Grundverordnung (DSGVO) wurde in Österreich das Datenschutz-Anpassungsgesetz 2018 kundgemacht und das bisher geltende Datenschutzgesetz 2000 an die Erfordernisse der DSGVO angeglichen. Mit dem erst kurz vor Redaktionsschluss am 15. Mai kundgemachten Datenschutz-Deregulierungs-Gesetz 2018 ändert sich das nationale Datenschutzrecht nun noch einmal.
Vorgesehen ist etwa eine Einschränkung des Rechts auf Auskunft der betroffenen Person über die Verarbeitung ihrer personenbezogenen Daten im Fall der Gefährdung von Geschäfts- oder Betriebsgeheimnissen. Daneben wird das Medienprivileg neu gefasst, das umfangreiche Ausnahmen von den DSGVO-Pflichten vorsieht: Nun wird zwischen der Datenverarbeitung durch Medientreibende einerseits, die auch im Hinblick auf die Grundsätze der DSGVO zur Datenverarbeitung privilegiert sind, und der Datenverarbeitung zu wissenschaftlichen, künstlerischen oder literarischen Zwecken andererseits unterschieden.
Außerdem soll die Datenschutzbehörde die in der DSGVO vorgesehenen Geldbußen unter Wahrung der Verhältnismäßigkeit anwenden und von ihren Befugnissen insbesondere bei erstmaligen Verstößen durch Verwarnen Gebrauch machen. Fraglich ist allerdings, ob speziell diese nationale Bestimmung das Aufatmen bei datenverarbeitenden Unternehmen rechtfertigt und mit dem Charakter der DSGVO als unmittelbar anwendbare Verordnung überhaupt vereinbar ist.