Den richtigen Weg zwischen hinreichender Bestimmtheit und Transparenz zu finden – dies bleibt auch über vier Jahre nach Inkrafttreten der DSGVO eine große Herausforderung bei der Erstellung von Datenschutzerklärungen. Während Art. 13 und 14 DSGVO konkrete Vorgaben im Hinblick auf den Inhalt der mitzuteilenden Informationen machen, schreibt Art. 12 DSGVO gleichzeitig vor, diese „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln. Auch der Grundsatz der Transparenz in Art. 5 Abs. 1 lit. a DSGVO setzt voraus, dass personenbezogene Daten „in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden“. Es gilt entsprechend, den Spagat zu schaffen: Eine zu ausführliche Datenschutzerklärung mag mitunter zu Unübersichtlichkeit führen. Bei zu wenigen Informationen oder zu pauschalen Formulierungen könnten jedoch Beanstandungsrisiken hinsichtlich der ausreichenden Bestimmtheit der Angaben entstehen.
Name oder Kategorie – das ist hier die Frage
Ein in der Praxis immer wieder auftauchendes Beispiel für die Bewältigung dieser Gratwanderung stellt das Erfordernis zur Nennung der Datenempfängern dar: Art. 13 Abs. 1 lit. e und Art. 14 Abs. 1 lit. e DSGVO schreiben vor, der von einer Datenverarbeitung betroffenen Person „gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ mitzuteilen. Ein besonderes Augenmerk fällt hier entsprechend auf das Wort „oder“. So macht es doch einen enormen Unterschied, ob in diesem Zusammenhang bspw. lediglich „Auftragsverarbeiter nach Art. 28 DSGVO“, „verbundene Unternehmen“ sowie „IT-Dienstleister“ als Kategorien von Datenempfängern in der Datenschutzerklärung anzugeben sind oder ob einzelne Datenempfänger (z. B. bestimmte Unternehmen) ganz konkret namentlich darin aufgeführt werden müssen.
Die zitierten Vorschriften scheinen dem datenschutzrechtlich Verantwortlichen (der zur Mitteilung der Datenschutzinformationen verpflichtet ist) diese Entscheidung anheimzustellen. In der datenschutzrechtlichen Literatur herrschen jedoch unterschiedliche Meinungen hinsichtlich dieser Thematik: Genügt tatsächlich eine abstrakte Beschreibung der Datenempfänger? Oder gebietet es das Transparenzgebot diese einzeln anzugeben, um die betroffenen Personen hinreichend über den Umgang mit ihren personenbezogenen Daten aufzuklären? Besteht wirklich ein Wahlrecht, insbesondere im Fall von Datenempfängern, die dem Verantwortlichen zum Zeitpunkt seiner Informationspflicht bereits bekannt sind?
Was meinen die Aufsichtsbehörden?
Nach Ansicht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) gilt zumindest im Gesundheitsbereich: Eine lediglich abstrakte Nennung ist zu vermeiden! Stattdessen müssen die Datenempfänger so konkret wie möglich und namentlich benannt werden. Die Behörde in Hessen vertritt damit eine restriktive Position und geht in diesem Zusammenhang – zugunsten der Transparenz für die betroffenen Personen – von keinem „freien“ Wahlrecht im Hinblick auf die Art der Angabe der Datenempfänger aus.
Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) hat sich in ihrem allgemeinen Papier zu den Informationspflichten aus Art. 13 und 14 DSGVO hingegen nicht in eine Richtung geäußert. Ebenfalls geht die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Aufsichtsbehörden des Bundes und der Länder, in ihrem Kurzpapier Nr. 10 zu den Informationspflichten bei Dritt- und Direkterhebung, nicht auf diese Frage ein, sondern beschränkt sich auf eine Wiederholung des Gesetzeswortlauts, wonach betroffene Personen über Empfänger oder Kategorien von Empfängern aufzuklären sind.
Wie äußerte sich die Artikel-29-Datenschutzgruppe?
Die ehemalige Artikel-29-Datenschutzgruppe hatte sich ebenfalls zu Anforderungen bei der Information über die Empfänger personenbezogener Daten geäußert. In ihren „Leitlinien für Transparenz gemäß der Verordnung 2016/679“ (Leitlinien der Artikel-29-Datenschutzgruppe, 2018, WP 260 rev. 01) heißt es: „Im Einklang mit dem Grundsatz von Treu und Glauben müssen die Verantwortlichen möglichst zweckdienliche Informationen zu den Empfängern für die betroffenen Personen bereitstellen. In der Praxis werden dies gemeinhin die benannten Empfänger sein, damit die betroffenen Personen genau wissen, wer im Besitz ihrer personenbezogenen Daten ist.“ (S. 45 f. im Anhang) Damit hat sich die Artikel-29-Datenschutzgruppe zwar für eine größtmögliche Transparenz ausgesprochen, jedoch nicht klar und deutlich in Bezug auf eine zwingende namentliche Angabe (bekannter) Datenempfänger Position bezogen. Stattdessen wurde zusätzlich folgende Aussage getätigt, die – aufgrund des gewählten Wortlauts – eher in Richtung einer Wahlfreiheit hindeutet (wenn auch unter Einhaltung bestimmter Voraussetzungen): „Entscheiden sich die Verantwortlichen für die Angabe der Kategorien von Empfängern, sollten diese Informationen unter Angabe der Empfängerart (d. h. der von diesen durchgeführten Aktivitäten), der Industrie, des Sektors und Teilsektors sowie des Standorts der Empfänger so genau wie möglich ausfallen.“ (S. 46 im Anhang)
Welche Schlussfolgerungen können gezogen werden?
Allgemein scheint zumindest die in diesem Beitrag zitierte hessische Aufsichtsbehörde eine strengere Linie zu verfolgen und eine namentliche Nennung (bekannter) Datenempfänger in den Datenschutzinformationen (gem. Art. 13 und Art. 14 DSGVO) zu fordern. Ein datenschutzrechtlich Verantwortlicher ist vor diesem Hintergrund (aber auch grundsätzlich) gut beraten, sich nicht auf abstrakte Angaben zu verlassen, sondern dem Transparenzgebot (Art. 5 Abs. 1 lit. a DSGVO) im bestmöglichen Maße Rechnung zu tragen.
Sofern dennoch die Entscheidung getroffen wird, den Wortlaut der Art. 13 Abs. 1 lit. e bzw. Art. 14 Abs. 1 lit. e DSGVO als Wahlfreiheit zwischen zwei gleichwertigen Alternativen zu verstehen und lediglich über die „Kategorien von Empfängern“ zu informieren, sollten zumindest die Ausführungen der Artikel-29-Datenschutzgruppe berücksichtigt werden und eine sehr genaue Beschreibung erfolgen.
21. November 2022 @ 14:31
Das kann der HBDI ja meinen, da es aber nicht im Gesetz steht (in diesem Fall nichtmal im Sinn von „wird nicht näher erläutert“, sondern eher im Sinn von „es steht das Gegenteil drin“), hat das letzte Wort im Zweifelsfall ein Gericht. Da es dazu offenbar noch keine Rechtsprechung gibt, die sicher hier erwähnt worden wäre, scheint das in der Praxis bisher kein Problem gewesen zu sein. Zu beachten ist auch immer der Unterschied in den Formulierungen hinsichtlich „müssen“ (Pflicht) und „sollen“ (Empfehlung), auch hier in den Kommentaren der Artikel-29-Datenschutzgruppe zu finden, die sich aus Rechtswissenschaftlern zusammensetzt die diese Formulierungen sicher nicht grundlos gewählt haben.