Mit Inkrafttreten der DSGVO und dem damit verbundenen Anstieg des Bußgeldrahmens hat das Thema Transparenzpflichten (Art. 13 und Art. 14 DSGVO) erheblich an Bedeutung gewonnen. Nicht selten werden Verantwortliche hierdurch vor große Herausforderungen gestellt und können die hohen Anforderungen nicht hinreichend umsetzen. Dabei ist die Transparenzpflicht eines der Herzstücke des Datenschutzes und eine wesentliche Basis für die Gewährleistung einer informationellen Selbstbestimmung (Art. 8 GRCh).
Der kurze Beitrag soll aufzeigen, was hierbei von den Verantwortlichen gefordert wird, wo aktuell in der Praxis Probleme bei der sachgerechten Umsetzung bestehen und welche Konsequenzen unzureichende Informationen haben können.
Mindestanforderungen an Informationen
Art. 13 DSGVO verpflichtet Verantwortliche dazu, betroffene Personen (Bewerber, Mitarbeiter, Patienten, Kunden etc.) bei Erhebung ihrer Daten mindestens über folgendes aufzuklären:
- Zwecke der Verarbeitung, Rechtsgrundlage(n) der Verarbeitung sowie gegebenenfalls Nennung der berechtigen Interessen
- Empfänger der Daten (Auftragsverarbeiter oder weitere Verantwortliche)
- Hinweis, sofern zutreffend, ob die Bereitstellung der Daten gesetzlich vorgeschrieben oder zur Erfüllung eines Vertrages erforderlich inklusive der Nennung möglicher Folgen der Nichtbereitstellung
- Informationen zur involvierten Logik und Tragweite einer automatisierten Entscheidungsfindung gemäß Art. 22 DSGVO (sofern zutreffend)
- Bei (geplanter) Übermittlung der personenbezogenen Daten in ein Land außerhalb der EU bzw. des EWR, die angemessenen Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus (Angemessenheitsbeschluss, Standardvertragsklauseln, etc.)
- Angaben zur Speicherdauer
- Nennung der Betroffenenreche (Art. 15-22 DSGVO)
- Nennung des Beschwerderechts bei einer Aufsichtsbehörde
- Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
Ist die Rechtsgrundlage der Verarbeitung die Einwilligung der betroffenen Person, ist in der Information auch ein Hinweis zur jederzeitigen Widerrufbarkeit der Einwilligung aufzunehmen und auf die Freiwilligkeit der Einwilligung zu achten.
Werden die Daten nicht direkt bei der betroffenen Person erhoben sind gemäß Art. 14 DSGVO zusätzlich die Quellen der Daten zu nennen. Die aufgezeigten Informationen sind der betroffenen Person dann spätestens vier Wochen nach Erlangung der Daten bereitzustellen. Werden die Daten hierbei zur Kommunikation mit der betroffenen Person verwendet oder sollen einem anderen Empfänger offengelegt werden, sind die Informationen dann spätestens zum Zeitpunkt der Kontaktaufnahme oder ersten Offenlegung zu erteilen.
Damit nicht genug…
Bereits die aufgezeigten Mindestinhalte einer Information nach Art. 13 bzw. Art. 14 DSGVO machen deutlich, dass Verantwortliche einige Anstrengungen unternehmen müssen, um die erforderlichen Informationen bereitzustellen und diese auf dem aktuellen Stand zu halten.
Zusätzlich sind Verantwortliche nach Art. 12 Abs. 1 DSGVO dabei auch dazu verpflichtet die Informationen präzise, transparent, verständlich, in klarer und einfacher Sprache abzufassen und die Informationen in leicht zugänglicher Form bereitzustellen. Alle Transparenzanforderungen nach Art. 12 DSGVO gleichermaßen umzusetzen ist hierbei für Verantwortliche oftmals schwer realisierbar.
Warum ist Transparenz so wichtig?
Die Information nach Art. 13 bzw. Art. 14 DSGVO ist eines der Herzstücke des Datenschutzes. Ohne die Bereitstellung ausreichender Informationen ist es einer betroffenen Person mitunter unmöglich über die Verwendung ihrer Daten zu entscheiden oder sich gegen Datenverarbeitungen zu wehren. Transparenz ist damit eine der wesentlichen Voraussetzung für die Wahrnehmung des Grundrechts auf informationelle Selbstbestimmung (Art. 8 GRCh).
Dies bringt der Verordnungsgeber unter anderem dadurch zum Ausdruck, dass er Verstöße gegen die Informationspflicht gemäß Art. 83 Abs. 5 DSGVO mit dem erhöhten Bußgeldrahmen von bis 20 Mio. Euro oder 4% des gesamten, weltweit erzielten, Jahresumsatzes des vorangegangenen Geschäftsjahres belegt. Dies musste kürzlich auch ein spanischer Energieversorger leidvoll erfahren, der gegen die Informationspflichten verstoßen hatte und die spanische Aufsichtsbehörde daraufhin ein Bußgeld in Höhe von 1 Mio. Euro verhängte.
Und wie läuft das in der Praxis?
Die Motivation des Verantwortlichen ist mitunter nicht gerade hoch, möglichst transparent über die Verarbeitungszwecke, die eingesetzten Dienstleister (Empfänger), Übermittlungen in Drittländer, Beschwerderechte etc. zu informieren. Da die Erstellung von Informationen oft zudem komplex und zeitintensiv ist, suchen Unternehmen daher vermehrt Unterstützung beim Datenschutzbeauftragten, externen Beratern oder Anwälten.
Aber auch für Fachleute ist es nicht immer einfach den Spagat zwischen einer ausreichend detaillierten Abbildung der erforderlichen Mindestinhalte und einer verständlichen, klaren und einfachen Sprache zu schaffen. Dies führt in der Praxis leider immer wieder dazu, dass die Informationen zu komplex gestaltet sind und ein durchschnittlich informierter Leser diese schlichtweg nicht versteht. Ein Extrembeispiel hierfür sind die Informationen in Datenschutzerklärungen und Einwilligungsbannern (oft auch als Cookie-Banner bezeichnet), die mittlerweile mehr für Experten als für technische Laien formuliert werden und ihr Ziel damit oftmals verfehlen. Teilweise werden hier aber auch bewusst manipulierende Taktiken wie Nudging oder Dark Pattern eingesetzt, um von den betroffenen Personen die gewünschte Reaktion zu erhalten. Studien zeigen (z.B. hier oder hier), dass die meisten Webseitenbesucher mittlerweile durch die Einwilligungsbanner derart genervt sind, dass diese bereitwillig jegliche Cookiesetzungen und Trackingmechanismen akzeptieren, ohne zuvor die Informationen zur Kenntnis genommen zu haben.
Mehr Bilder?!
Bereits in der Entwurfsfassung der DSGVO waren Vorschläge für Piktogramme enthalten, um Informationen mittels dieser Piktogramme einfacher und für die Leser*innen besser verständlich zu gestalten. Die im Entwurfsstadium enthaltenen Piktogramme wurde letztlich allerdings nicht in die Verordnung übernommen. Weiterhin obliegt es gemäß Art. 12 Abs. 8 DSGVO der Kommission die Verwendung standardisierter Bildsymbole zu regeln. Bisher wurde dies allerdings nicht weiterverfolgt. Einzige Ausnahme bildet das vom Europäischen Datenschutzausschuss bestätigte Piktogramm für Videoüberwachung (siehe hier). Es gibt jedoch verschiedene Initiativen die bemüht sind die Entwicklung solcher Piktogramme voranzutreiben (wir berichteten). Mithin würden standardisierte Bildsymbole in vielerlei Hinsicht die Informationserbringung vereinfachen und verbessern und wären auch eine gute Möglichkeit Webseitenbesucher*innen kurz und prägnant über die wichtigsten Aspekte der Datenverarbeitung aufzuklären.
Fazit und Ausblick
Die Pflicht zur Erbringung verständlicher Informationen zählt zu den Herzstücken des Datenschutzes. Durch immer komplizierte Datenverarbeitungsstrukturen und das weiter zunehmende Outsourcing von Datenverarbeitungen wird die Gestaltung verständlicher Informationen allerdings zunehmend schwieriger und stellt Verantwortliche mitunter vor große Herausforderungen. Es wäre daher zu begrüßen, wenn durch den Verordnungsgeber die Entwicklung von standardisierten Bildsymbolen weiter vorantreiben würde. Insbesondere für die in Datenschutzerklärungen und auf Einwilligungsbannern platzierten Informationen könnten standardisierte Bildsymbole einen echten Mehrwehrt für betroffene Personen wie auch Verantwortliche bieten.
4. November 2022 @ 14:45
Informationen sollten in einfacher Sprache gefasst werden.
ist aber manchmal schwierig