Editorial : Praxisnaher Datenschutz? : aus der RDV 1/2018, Seite 1 bis 2
Unternehmen und Behörden befinden sich in der Zielphase der Umsetzung der DS-GVO. Verbände und Fachorganisationen wie die GDD entwickeln Arbeitshilfen, Praxisleitfäden und Muster, um die Vorgaben der DS-GVO und des BDSG pragmatisch, aber rechtskonform umzusetzen.
Neben diesen Praxishilfen veröffentlicht auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) sogenannte Kurzpapiere zur DS-GVO. Diese Kurzpapiere sollen „als erste Orientierung dienen, wie die Datenschutz-Grundverordnung im praktischen Vollzug angewendet werden sollte“. Bei genauere Betrachtung werfen einige dieser Kurzpapiere aber erhebliche Fragen zur Praxistauglichkeit auf, insbesondere diejenigen, die sich mit den Informationspflichten befassen.
Problematisch für die Praxis der Informationserteilung nach Art. 13 DSGVO sind insbesondere die Kurzpapiere Nr. 10 und 15. So fordert Kurzpapier Nr. 10 unter Verweis auf Art. 12 DSGVO, dass die leicht zugängliche Form auch bedeute, dass die Informationen in der konkreten Situation verfügbar sein müssten. Sollen die Daten also von einer anwesenden Person erhoben werden, dürfe die Person in der Regel nicht auf Informationen im Internet verwiesen werden“. Bei den Pflichtinformationen zur Videoüberwachung seien, so Kurzpapier Nr. 15, alle Angaben des Art. 13 DS-GVO ebenfalls „am Ort der Videoüberwachung an einer für die betroffene Person zugänglichen Stelle bereit bzw. zur Verfügung zu stellen, beispielsweise als vollständiges Informationsblatt (Aushang)“. Gar nicht angesprochen wird die Regelung in § 4 Abs. 3 BDSG 2018, wonach nur der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen sind.
Beide Kurzpapiere, die ja für sich in Anspruch nehmen, als Orientierung für den praktischen Vollzug zu dienen, ignorieren die für die Praxis wichtige Frage des Medienbruchs bei den Informationspflichten. Dabei plädierten die in Art. 29-Datenschutzgruppe zusammengeschlossenen Aufsichtsbehörden der EU bereits im Working Paper 100 dafür, dass „Informationen für die Betroffenen auf mehreren Ebenen verteilt werden, solange die Gesamtheit dieser Ebenen den rechtlichen Anforderungen entspricht.“ Die Art. 29-Datenschutzgruppe hält im aktuellen WP 260 an der gestuften Information fest. Auch der EuGH hat mit Urteil v. 30.03.2017 hinsichtlich der RL 2005/29 entschieden, dass räumliche oder zeitliche Beschränkungen eines Kommunikationsmediums es rechtfertigen können, die notwendigen Informationen auf anderem Wege zur Verfügung zu stellen. Die Ignorierung des § 4 BDSG mit seiner speziellen Transparenzanforderung bei der Videoüberwachung lässt zusätzlich großen Zweifel an der Praxistauglichkeit dieser Kurzpapiere aufkommen.
Die DSK als Verantwortliche für diese Interpretation der DS-GVO und des neuen BDSG müssen sich fragen lassen, ob sie mit ihrer strengen und dogmatischen Auslegung des neuen Datenschutzrechts als Ansprechpartner ernst genommen werden wollen. Sie müssen sich zudem selber fragen, ob sie damit der Sache des Datenschutzes dienen. Von Wirtschaft und Verwaltung zu verlangen, die Bürger mit den umfangreichen, sich in der Regel wiederholenden Vorgaben immer und überall und mit weitgehend dem gleichen Inhalt zu belehren, wird Abwehrreaktionen hervorrufen. Datenschutz wird als belästigende Bürokratie wahrgenommen werden. Das ist kontraproduktiv.
Andreas Jaspers
RA Andreas Jaspers Rechtsanwalt Andreas Jaspers ist Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).