Die Barrierefreiheit von Dienstleistungen, Produkten und Informationen ist ein zentraler Baustein für eine inklusive Gesellschaft. Dabei geht es um den Abbau von Hindernissen für Menschen mit Beeinträchtigungen, die diese an der „vollen, wirksamen und gleichberechtigten Teilhabe an der Gesellschaft hindern können“ (vgl. Art. 3 Nr. 1 Richtlinie (EU) 2019/882).
Insbesondere im digitalen Raum erfordert die Umsetzung barrierefreier Angebote oft komplexe technische und organisatorische Anpassungen. Auch im Hinblick auf den Datenschutz werden in diesem Kontext einige Fragen aufgeworfen, die in diesem Beitrag etwas näher beleuchtet werden sollen.
Rechtslage und Anwendungsbereich bei der Barrierefreiheit
Aufbauend auf dem Behindertengleichstellungsgesetz (BGG), der Barrierefreie-Informationstechnik-Verordnung (BITV 2.0) und einem Flickenteppich weiterer Rechtsnormen sind öffentliche Stellen bereits heutzutage verpflichtet, Webseiten und sonstige Angebote barrierefrei zu gestalten (u.a. „einfache Sprache“, Gebärdensprache). Die Privatwirtschaft unterlag bislang jedoch keinen übergreifenden Regularien. Auf Grundlage der vom europäischen Gesetzgeber verabschiedeten Richtlinie (EU) 2019/882 nimmt aber das sogenannte Barrierefreiheitsstärkungsgesetz (BFSG) nun auch Privatunternehmen – in Relation zu Größe und Umsatz – in die Pflicht. Das Gesetz tritt am 28. Juni 2025 in Kraft.
Aus Datenschutz-Sicht sind dabei für Unternehmen insbesondere die folgenden Anwendungsbereiche (§ 1 BFSG) interessant und relevant:
- Hardwaresysteme von Universalrechnern, einschließlich Betriebssysteme
- Selbstbedienungsterminals (Zahlungsterminals, Geldautomaten, Fahrausweisautomaten)
- Verbraucherendgeräte (für Telekommunikationsdienste und/oder Zugang zu audiovisuellen Medien)
- E-Book-Reader und E-Books inklusive Software
- Telekommunikationsdienste
- Elemente von Personenbeförderungsdiensten wie Webseiten, Apps, (elektronische) Ticketdienste und Reiseinformationssysteme
- Bankdienstleistungen
- Dienstleistungen im elektronischen Geschäftsbereich
Durch die erforderlichen Anpassungen dieser Produkte und Dienstleistungen im Hinblick auf die Barrierefreiheit muss auch die Gewährleistung der Datenschutzpflichten einer verantwortlichen Stelle berücksichtigt werden. Im Folgenden soll auf ein paar ausgewählte Beispiele etwas näher eingegangen werden.
Wie kann barrierefrei über Datenverarbeitungen informiert werden?
Die Erfüllung der Informations- und Transparenzpflichten gemäß Art. 13 und 14 DSGVO stellt ein zentrales Element der Barrierefreiheit dar. Denn Informationen gemäß Art. 12 Abs. 1 DSGVO müssen in „verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ übermittelt werden. Mit Blick auf die Datenschutzerklärungen vieler Webseiten stellt diese Verpflichtung bekanntlich eine „Herausforderung“ dar, was natürlich der zunehmenden Datenverarbeitung und der Beschreibung und Darstellung der dahinterstehenden technischen Prozesse geschuldet ist. Dementsprechend lassen bspw. die bereits hinterlegten Datenschutzerklärungen in einfacher Sprache, insbesondere hinsichtlich des Cookie-Einsatzes und der Einbindung technischer Drittinhalte, einen gewissen Detailgrad vermissen, um sicherzustellen, dass die oben genannten Kriterien aus Art. 12 Abs. 1 DSGVO in einem höchstmöglichen Maße erfüllt werden.
Im Gegensatz zur DSGVO ist die barrierefreie Erfüllung der Transparenzpflichten in der KI-Verordnung übrigens explizit vorgeschrieben (siehe Art. 13 Abs. 2 und 50 Abs. 5 KI-VO sowie folgenden Beitrag dazu).
Wie können Betroffenenanfragen barrierefrei geltend gemacht und beantwortet werden?
Auch die Prozesse zur Erfüllung der Pflichten einer verantwortlichen Stelle nach Art. 15 ff. DSGVO müssen unter dem Aspekt der Barrierefreiheit betrachtet werden. Die Kriterien aus Art. 12 Abs. 1 DSGVO (verständliche und leicht zugängliche Form, klare und einfache Sprache) gelten hier gleichermaßen wie bei den Informationspflichten. Der Eingangskanal, die Identitätsfeststellung und die Beantwortung von Betroffenenfragen sind im Rahmen dieser Prozesse zu betrachten. Da es bei der Annahme von Betroffenenfragen grundsätzlich keine Formvorschriften gibt, sollte überprüft werden, ob unter besonderer Berücksichtigung der Barrierefreiheit noch etwaige Einschränkungen und Hürden beim Eingang von Betroffenenanfragen bestehen, wie z. B. die fehlende Möglichkeit, Anfragen telefonisch einzureichen oder die Ablehnung nicht hinreichend konkret formulierter Anfragen von betroffenen Personen mit potenzieller geistiger Beeinträchtigung. Auch bei der Beantwortung der Anfragen sollten Anpassungen vorgenommen werden, wie z. B. die Verwendung einfacher Sprache oder die Möglichkeit Auskünfte audiovisuell bereitzustellen. Insbesondere die Bereitstellung einer „originalgetreuen“ aber „verständlichen Kopie“ (vgl. EuGH, C-487/21) nach Art. 15 Abs. 3 DSGVO könnte zu erheblichen Problemen oder Mehraufwand in der Umsetzung führen.
Sind Anpassungen an die Sicherheit der Verarbeitung erforderlich?
Die verantwortliche Stelle muss bei der Gewährleistung eines angemessenen Sicherheitsniveaus auch die „Umstände“ und „Zwecke“ der Verarbeitung gemäß Art. 32 DSGVO berücksichtigen. Diese Verpflichtung bedarf im Rahmen der Barrierefreiheit einer besonderen Betrachtung, da dies zu enormen Abweichungen von den üblichen Maßnahmen führen kann. So musste beispielsweise nach Klage vor dem Sozialgericht Hamburg, auf eine eigentlich im Rahmen von Art. 32 DSGVO erforderliche Verschlüsselung der E-Mail-Kommunikation verzichtet werden, da es der betroffenen Person nicht möglich war, eine E-Mail zu entschlüsseln (siehe hierzu ausführlich den folgenden Beitrag).
Weitere Anpassungen könnten bspw. im Hinblick auf eine Authentifizierung erforderlich sein. Hier sollten bestimmte Hürden angepasst werden, wie z. B. eine alternative Einführung von Audio-Captchas, der Verzicht auf das Lösen einer Aufgabe, die Verlängerung des Zeitraumes für die automatische Abmeldung bzw. der Verzicht darauf oder alternative Methoden zur Authentifizierung per Fingerabdruck oder Gesichtserkennung. Die hier beschriebenen Maßnahmen finden sich bereits in der harmonisierten Europäischen Norm 301 549 wieder, die sich an öffentliche Stellen richtet.
Fazit
Für alle Unternehmen und Einrichtungen, die vom Anwendungsbereich des BFSG betroffen sind, müssen auch die Datenschutzprozesse überprüft, angepasst und sogar teilweise neu gedacht werden. Dies gilt insbesondere für die Webseiten und Anwendungen und die dahinterstehenden Informationspflichten, die Möglichkeiten der Geltendmachung von Betroffenenrechten und die technischen und organisatorischen Maßnahmen im Sinne der Sicherheit der Datenverarbeitung.
Neben der Einbindung der/des Datenschutz- und Informationssicherheitsbeauftragten sollte auch fast zwangsläufig ein Übersetzungsbüro für einfache Sprache und Gebärdensprache in die Anpassung der Prozesse eingebunden werden.