DA+

Aufsatz : Praktische Umsetzung von Transparenzpflichten : aus der RDV 6/2018, Seite 297 bis 303

Erdem DurmusArchiv RDV
Lesezeit 27 Min.

Mit Anwendbarkeit der Datenschutzgrundverordnung sind auch die Informationspflichten der Verantwortlichen gegenüber betroffenen Personen gestiegen. Verantwortliche stehen vor der Aufgabe, Datenschutzhinweise auf ihren Webseiten so zu gestalten, dass sie einerseits die rechtlichen Anforderungen erfüllen und andererseits auch das Vertrauen zu ihren Kunden sicherstellen. Darüber hinaus sind ästhetische und konzeptionelle Faktoren zu berücksichtigen, wie beispielsweise Lesbarkeit, Struktur, Anschaulichkeit und sogar Vermittlung von Unternehmenswerten und Image. Denn der Datenschutzhinweis ist schon lange kein „langweiliger Textbrocken“ mehr, der irgendwo auf der Webseite abgelegt wird und für den sich niemand interessiert. In Zeiten der Modernisierung des Datenschutzrechts und dessen intensiver medialer Aufarbeitung liegt es auf der Hand, dass sich betroffene Personen immer eingehender mit ihrem Datenschutzrecht befassen. Deshalb sollten sich Verantwortliche mit besonderer Aufmerksamkeit diesem Thema widmen.

I. Die Informationspflichten aus Art. 12 DS-GVO: Kurze Einführung in die Vorschrift

Die Informationspflichten in der Datenschutzgrundverordnung sind in den Art. 12 ff. DS-GVO geregelt und schreiben Verantwortlichen vor, auf welche Weise betroffene Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten zu informieren sind.

Die Vorschrift bezweckt eine grundsätzliche Aufklärung der betroffenen Personen, deren Rechte es zu schützen gilt. Denn nur so kann gewährleistet werden, dass betroffene Personen – im Lichte des Grundrechts auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG sowie aus dem ihnen anhaftenden Menschenrecht auf Privatsphäre aus Art. 8 GRCh heraus – die ihnen gesetzlich verliehene Autonomie in Bezug auf ihre personenbezogenen Daten ausüben können. Die Vorschrift stellt bereits in ihrem Titel auf drei Komponenten ab, nämlich (transparente) Information, Kommunikation und Modalitäten. Diese drei Komponenten beziehen sich auf die Ausübung der Rechte der betroffenen Person. Insofern deutet die Vorschrift schon in ihrem Titel darauf hin, dass sie als eine Art „Leitfaden“ für den Verantwortlichen bzgl. der Interaktion mit der betroffenen Person verstanden werden kann.

Die acht Absätze des Art. 12 DS-GVO stellen eine ausführliche Präzisierung des in Art. 5 Abs. 1 lit. a DS-GVO normierten Grundsatzes der Transparenz dar. Das Transparenzgebot sieht vor, dass „personenbezogene Daten (…) in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.“[1] Nachfolgend sollen die Regelungen der einzelnen Absätze, mit ersten Umsetzungshinweisen zur Orientierung, erläutert werden.

II. Erläuterung der Vorschrift und erste Umsetzungshinweise

Art. 12 Abs. 1 DS-GVO besagt, dass der Verantwortliche geeignete Maßnahmen trifft, um der betroffenen Person alle Informationen gem. Art. 15 bis 22 sowie 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. An dieser Formulierung ist die Aneinanderreihung diverser Adjektive bzw. Adverbien besonders auffällig. Und dies macht die Vorschrift selbst in gewisser Weise intransparent. Problematisch ist nämlich die Abgrenzung der einzelnen Worte, da diese sich in ihrer Bedeutung inhaltlich überschneiden.[2] Dieser Umstand stand auch schon früh in der Kritik. Es wurde bereits 2012 in Bezug auf den Kommissionsentwurf der DS-GVO behauptet, dass die Transparenzvorschriften „aufgrund unnötiger Kompliziertheit dem Ziel einer Vereinfachung der Compliance“ nicht gerecht werden könnten.[3] Die vorgenannten Kriterien gelten insbesondere für Informationen, die sich an Kinder richten.[4]

Ferner regelt Abs. 1 die Art und Weise der Informationserteilung. Die Übermittlung der Informationen kann schriftlich oder ggfs. auch elektronisch erfolgen. Auch ist auf Verlangen eine mündliche Informationserteilung möglich, wenn die Identität des Betroffenen in anderer Form – also schriftlich oder elektronisch – nachgewiesen wurde.

Nach Abs. 2 S. 1 „erleichtert“ der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gem. den Artikeln 15 bis 22 DS-GVO. Die Formulierung nennt zwar keine Beispiele, aber zielt wohl auf eine generelle Mitwirkungspflicht des Verantwortlichen ab, um den Prozess der Ausübung von Betroffenenrechten für die betroffene Person zu rationalisieren.[5] Ferner statuiert S. 2 unter Bezugnahme auf Art. 11 Abs. 2, dass der Verantwortliche sich weigern darf, den Antrag der betroffenen Person auf die Wahrnehmung ihrer Rechte gem. den Artikeln 15 bis 22 zu bearbeiten, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

Art. 12 Abs. 3 DS-GVO macht Vorgaben hinsichtlich der Bearbeitungsfrist der Betroffenenrechte. Nach Maßgabe des S. 1 hat der Verantwortliche den betroffenen Personen die Informationen über die auf Antrag gem. Art. 15 bis 22 DSGVO ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. „Unverzüglich“ bedeutet in diesem Zusammenhang nach der Legaldefinition in § 121 BGB „ohne schuldhaftes Zögern“, gleichwohl ist bei der Zeitkomponente auf eine subjektive Zumutbarkeit abzustellen.[6]

Ferner sagt Abs. 3, dass die Frist um weitere zwei Monate verlängert werden kann, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. In dem Fall muss der Verantwortliche die betroffene Person innerhalb eines Monats nach Eingang des Antrags in begründeter Weise über eine Fristverlängerung unterrichten. Wurde der Antrag elektronisch gestellt, so erfolgt die Unterrichtung grundsätzlich auch auf elektronischem Wege.

Der Gesetzgeber hat in der Vorschrift offengelassen, wann eine Fristverlängerung erforderlich sein könnte, auch in den Erwägungsgründen lassen sich hierzu keine Ausführungen finden. Es liegt nahe zu behaupten, dass Personalmangel oder Arbeitsüberlastung, die in einem organisatorischen Engpass resultieren können, keine akzeptablen Gründe für eine etwaige Fristverlängerung sind. Schließlich liegt es im Verantwortungsbereich des Verantwortlichen, ausreichend Ressourcen bereitzustellen und seine Prozesse so zu gestalten, dass Anträge der betroffenen Personen ordentlich abgearbeitet werden können.[7]

Dahingegen ist ein triftiger Grund zur Fristverlängerung nach Maßgabe der Vorschrift die Komplexität und Anzahl der beim Verantwortlichen eingehenden Anträge. Dabei zielt die Vorschrift auf die Gesamtzahl der Anträge ab und nicht nur diejenigen, die von der betroffenen Person stammen, deren Bearbeitungsfrist verlängert werden soll.[8] Neben diesem quantitativen Kriterium kann die Fristverlängerung auch auf der Komplexität der Anträge beruhen.[9] Es ist nicht ersichtlich, ob die Tatbestandsmerkmale der Komplexität und Anzahl kumulativ vorliegen müssen, oder ob bereits eins von beiden eine Fristverlängerung rechtfertigt. Eine restriktive Interpretation ist jedenfalls geboten, damit Fristverlängerungen bei Verantwortlichen nicht zur Gewohnheit werden, sodass im Ergebnis auf die Implementierung von Maßnahmen für eine ordentliche und fristgemäße Bearbeitung kein Wert mehr gelegt wird.[10]

Art. 12 Abs. 4 DS-GVO schreibt dem Verantwortlichen vor, welche Informationen er der betroffenen Person mitteilen muss, wenn er den Antrag nicht bearbeitet. Der Verantwortliche muss die betroffene Person ohne Verzögerung,[11] spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe der Nichtbearbeitung und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, unterrichten.

Ein möglicher Grund für das „Nichtentsprechen eines Antrags“ sei bspw. das Nichtvorliegen von personenbezogenen Daten beim Verantwortlichen. Ein weiterer denkbarer Grund für die Ablehnung eines Antrags bspw. auf Löschung der beim Verantwortlichen vorhandenen personenbezogenen Daten ist eine der Löschung entgegenstehende gesetzliche Aufbewahrungspflicht.[12]

Art. 12 Abs. 5 DS-GVO bezieht sich auf die Kosten der Bereitstellung der Informationen nach Art. 13 und 14 DSGVO sowie die Bearbeitung des Antrags der betroffenen Person zur Ausübung ihrer Rechte nach Art. 15 bis 22, Art. 34 DS-GVO. In beiden Fällen werden die Informationen unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen kann der Verantwortliche nach lit. a entweder ein angemessenes Entgelt verlangen oder nach lit. b sich weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Die Vorschrift bezweckt eine Uneingeschränktheit der betroffenen Person hinsichtlich der Ausübung ihrer Betroffenenrechte. Wenn der Verantwortliche für die Bearbeitung der Anträge jedes Mal ein Entgelt verlangen dürfte, so würde sich die Anzahl der Anträge in einem überschaubaren Maße halten, und betroffene Personen hätten nur eine bedingte Motivation, sich aufgrund ihres Datenschutzrechts an den Verantwortlichen zu wenden. Vor diesem Hintergrund hat der Gesetzgeber die Kostenfrage explizit in den Gesetzeswortlaut integriert, um den Zweck der Vorschrift, nämlich eine umfassende Information der betroffenen Person, sicherzustellen.[13]

Bestimmte Anträge können als „missbräuchliche Anträge“ bezeichnet werden. Ein Missbrauch liegt demnach bei einem offenkundig unbegründeten Antrag vor; das sind Anträge, bei denen das Fehlen der Voraussetzungen „offen zu Tage tritt“ und der Antrag deshalb eindeutig aussichtslos ist.[14] Die Unvollständigkeit des Antrags führt zu dessen Unbegründetheit.

Die andere Form des missbräuchlichen Antrags ist der exzessive Antrag. Hier wird auf den quantitativen Gesichtspunkt abgestellt. Die Regelung selbst nennt bereits „häufige Wiederholungen“ als Rechtfertigungsgrund, um nach lit. a entweder ein angemessenes Entgelt zu verlangen oder nach lit. b die Bearbeitung des Antrags zu verweigern. Allerdings ist hier zu differenzieren. Der Wortlaut „häufige Wiederholungen“ ist gedanklich mit dem Zusatz zu versehen, dass sich die tatsächlichen Lebensumstände der Betroffenen zwischenzeitlich nicht geändert haben oder bspw. die erteilte Auskunft weder abweichend noch fehlerhaft war.[15]

Die Angemessenheit der Entgelthöhe ergibt sich vor allem aus dem Erfüllungsaufwand, den der Verantwortliche zu leisten hat. Darüber hinaus kann der Verantwortliche der betroffenen Person Fixkosten der Bearbeitung in Rechnung stellen, die unabhängig von dem einzelnen Antrag anfallen. Weiterhin besteht die Möglichkeit, die Kosten nach Art des Antrags bzw. ausgeübten Betroffenenrechts zu differenzieren.[16] Nach lit. b hat der Verantwortliche die Möglichkeit, die Bearbeitung des Antrags zu verweigern. Die Vorschrift sieht kein Rangverhältnis zwischen den Reaktionsmöglichkeiten des Verantwortlichen vor, somit liegt dies in seinem eigenen Ermessen.[17] Allerdings macht es Sinn, dass sich Verantwortliche für eine der Möglichkeiten entscheiden und diese immer gleichermaßen anwenden.

S. 3 fügt hinzu, dass der Verantwortliche den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen hat. Diese Regelung kann als Teil der Rechenschaftspflicht des Verantwortlichen aufgefasst werden, die in Art. 5 Abs. 2 DS-GVO normiert ist. Es ist dem Verantwortlichen empfohlen, gerade solche Ereignisse mit einem großen Konfliktpotenzial – zumal der betroffenen Person Kosten auferlegt werden bzw. die Bearbeitung seines Antrags verweigert wird – auch im Eigeninteresse sorgfältig und begründet zu dokumentieren.[18]

Art. 12 Abs. 6 DS-GVO bezieht sich auf die Identität des Antragstellers. Wenn der Verantwortliche begründete Zweifel an der Identität des Antragstellers hat, so kann er unbeschadet des Art. 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Diese Identitätsprüfung erlaubt ausschließlich die Erhebung von Identitätsmerkmalen des Antragstellers und nicht von personenbezogenen Daten, die zur Identifizierung dessen nicht notwendig sind.[19]

Erwägungsgrund 57 DS-GVO nennt beispielhaft „Authentifizierungsverfahren (…) mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden“.

Das Gesetz schlägt hier also möglicherweise die Bearbeitung von Anträgen in dem von der betroffenen Person genutzten Online-Dienst vor. Das würde dann wie folgt aussehen: Ausgehend von einer Social-Media-Plattform befindet sich in den Kontoeinstellungen oder zusätzlichen Funktionen ein Link, der die betroffene Person zu Online-Formularen zur Ausübung ihrer Betroffenenrechte führt. Dieser Link kann auch in dem Datenschutzhinweis des Dienstes eingebettet sein. Wird der Link aufgerufen, muss sich die betroffene Person als Nutzer mit ihren Zugangsdaten erneut anmelden, um die Anträge ausfüllen und abschicken zu können. Weiterhin ist die Vereinbarung einer Sicherheitsfrage oder die telefonische Abfrage von bestimmten Kundendetails wie Vertragsnummer, Geburtsdatum, Adresse etc. möglich.[20]

Es besteht für den Verantwortlichen grundsätzlich auch die Möglichkeit, eine Kopie oder einen Scan des Personalausweises zu verlangen. Hierzu macht § 20 Abs. 2 PAuswG konkrete Vorgaben. Danach darf der Ausweis nur mit Zustimmung des Ausweisinhabers abgelichtet werden und muss eindeutig und dauerhaft als Kopie erkennbar sein. Die Ablichtung darf nicht an Dritte weitergegeben werden. Zu betonen ist außerdem, dass der betroffenen Person bei Anforderung ihrer Ausweiskopie eine Art „Kurzanleitung“ zur Verfügung gestellt wird, die beschreibt, welche Informationen benötigt werden und welche als nicht erforderlich geschwärzt werden können.

Nach Informationen des BayLDA haben die Aufsichtsbehörden bereits 2011 darüber abgestimmt, in welchen Fällen auf die Einholung einer Ausweiskopie verzichtet werden soll. Dabei haben sie entschieden, dass auf die Einholung verzichtet werden soll, wenn die betroffene Person ihren Auskunftsanspruch in einem zeitlichen Zusammenhang zu einer vorherigen Benachrichtigung geltend macht (innerhalb von 4 Wochen nach Benachrichtigung).[21]

Art. 12 Abs. 7 und 8 DS-GVO beziehen sich auf Bildsymbole, die der Verantwortliche verwenden kann, um die Informationen gem. Art. 13 und 14 DS-GVO der betroffenen Person bereitzustellen. Es heißt, dass die Informationen (textlich) in Kombination mit standardisierten Bildsymbolen bereitgestellt werden können, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.[22]

Weiter heißt es, dass die Bildsymbole maschinenlesbar sein müssen, wenn sie in elektronischer Form dargestellt werden. Art. 12 Abs. 8 räumt der Kommission die Befugnis ein, delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen. Somit ist diese Vorschrift für den Verantwortlichen derzeit eher weniger praxisrelevant und kann zunächst ausgeblendet werden.

Die „standardisierten Bildsymbole“ (Icons) sind ein datenschutzrechtliches Novum und können verschiedene Funktionen erfüllen. Zum einen können sie den häufig sehr langen Text von Datenschutzhinweisen an geeigneten Stellen durch Bilder kürzen. Zum anderen können sie das Interesse von betroffenen Personen wecken, sich den Text eines Datenschutzhinweises durchzulesen, um sich näher zu informieren. Die Icons würden hier wie kleine „Appetizer“ funktionieren, deren Wirkung von ihrer grafischen Ausgestaltung abhängt.

Es sollte darauf geachtet werden, dass die Icons nicht zu hervorstechend gestaltet werden, damit vom eigentlichen Inhalt des Datenschutzhinweises nicht abgelenkt wird. Die Icons sollten als ergänzendes Begleitmaterial zum textlichen Teil verstanden werden und auch nur an geeigneten Stellen eingesetzt werden.[23] Es wäre hilfreich, wenn Aufsichtsbehörden solche Standards bereitstellen, die Verantwortliche einsetzen können, um eine einheitliche Verwendung der Bildsymbole zu gewährleisten.

III. Wie sollten Verantwortliche mit den Vorgaben umgehen?

Nachfolgend sollen Verantwortlichen Hinweise gegeben werden, wie sie die komplexe Vorschrift verstehen und z.B. in Form von Datenschutzhinweisen auf Web-Seiten umsetzen können.

1. Die Vorschrift genau verstehen und Überreaktionen vermeiden

Verantwortliche müssen für sich klären, was die Absätze des Art. 12 DS-GVO für ihre Verarbeitungssituation genau verlangen und wie die Theorie des Gesetzes in die Praxis umgesetzt werden kann. Die Intention der Vorschrift liegt gesamthaft ganz eindeutig darin, für die betroffene Person eine weitgehende Vereinfachung in der Ausübung ihrer Rechte und den Zugang zu Informationen sicherzustellen. Einige Umsetzungsversuche von Verantwortlichen haben ihr Ziel verfehlt oder waren datenschutzrechtlich gar nicht erforderlich.[24] Ein Verantwortlicher liefe Gefahr, die durch die Vorschrift geforderte Transparenz und Einfachheit nicht einzuhalten, da er die Vorgaben überinterpretiert. Ein Stück weit muss hier das Motto „Weniger ist Mehr“ herangezogen werden. Verantwortliche sollten sich damit beschäftigen, wie alle relevanten Informationen der spezifischen Verarbeitung sinnvoll strukturiert und dargestellt werden können, ohne den Text des Datenschutzhinweises mit überflüssigen oder redundanten Informationen zu überfrachten.

2. Eine Bestandsaufnahme von Web-Seiten durchführen

Web-Seiten sind für die meisten Verantwortlichen einer der wichtigsten Kontaktpunkte zu natürlichen Personen. Sie dienen entweder zur Information von Interessenten, zur Etablierung von Kontakten, z.B. durch das Angebot eines Newsletters oder auch als Plattform für unterschiedlichste Formen von Online-Interaktionen. In nahezu allen Fällen erheben Web-Seiten Daten von Besuchern, je nach ihren jeweiligen Angeboten. Dies reicht von der bloßen technischen Steuerung der Nutzung der Seite bis hin zur umfangreichen Datenerhebung für Transaktionen und Tracking. Der Inhalt von Datenschutzhinweisen auf Web-Seiten wird durch Art. 13 DS-GVO bestimmt. Besonderes Augenmerk soll hier auf Art. 13 Abs. 1 lit. c DS-GVO gelegt werden. Die Vorschrift sagt, dass der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, mitteilen muss. Um dies gewährleisten zu können, muss der Verantwortliche sich im Klaren darüber sein, welche Datenflüsse es auf seiner Webseite gibt, über welche Funktionen die Webseite verfügt und welche personenbezogenen Daten überhaupt verarbeitet werden können.

Die Pflicht zur Mitteilung der Zwecke fußt auf dem Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. a DS-GVO. Wichtig ist hierbei also, dass die Verarbeitung sich auf einen oder mehrere eindeutig festgelegte Zwecke beschränkt. Die Vorschrift darf nicht so verstanden werden, dass alle auch zukünftig denkbaren Zwecke der betroffenen Person „auf Vorrat“ mitgeteilt werden.

Der Verantwortliche muss sich auf den oder die Zwecke beschränken, für die die Daten erhoben werden.[25] Dazu gehört auch, dass der Zweck hinreichend konkret formuliert ist. Einzelne Schlagworte wie bspw. „Statistik“ sind zu weit gefasst und die betroffene Person weiß nicht genau, was mit ihren Daten passiert. Ggfs. sollte der Zweck in einem Satz beschrieben werden. Ausgehend von diesem Beispiel könnte das so formuliert werden: „Wir verarbeiten Ihre personenbezogenen Daten ausschließlich für die Erstellung von Statistiken über die Anzahl von Bestellungen, die Sie in bestimmten Zeiträumen tätigen.“

Zudem ist die Rechtsgrundlage der Verarbeitung zu nennen. Die Rechtsgrundlagen ergeben sich abschließend aus Art. 6 Abs. 1 lit. a–f DS-GVO bzw. im Falle von besonderen Kategorien personenbezogener Daten aus Art. 9 Abs. 2 DSGVO.

Das Unternehmen muss sich also fragen, welche Features seine Webseite hat,[26] welche Daten durch diese verarbeitet werden und ob der Status Quo der Datenverarbeitung rechtmäßig ist. Dabei muss immer geschaut werden, dass nur die Daten verarbeitet werden, die zur Erfüllung des jeweiligen Features der Webseite wirklich erforderlich sind.

Es empfiehlt sich, dass die Verantwortlichen, vor allem in größeren Unternehmen, die über zahlreiche einzelne bzw. weit verzweigte Web-Seiten verfügen, einen Prozess zur Bestandsaufnahme und zur Aktualisierung von Web-Seiten etablieren, der sicherstellt, dass bei der Einführung neuer Seiten und Funktionen alle für die Datenschutzhinweise erforderlichen Informationen strukturiert erhoben und dokumentiert werden. Standardisierte Design-Vorgaben und Textbausteine sorgen für eine einheitliche und verständliche Formulierung der relevanten Sachverhalte im Kontext der jeweiligen Verarbeitung. Vor der Aktivierung neuer Funktionen und Informationen sollte unbedingt eine datenschutzrechtliche Überprüfung nicht nur der Features, sondern auch der Datenschutzinformationen erfolgen. Nicht nur rechtliche Kriterien, sondern auch die Verständlichkeit und Handhabbarkeit der Datenschutzinformationen sind dabei als Prüfpunkte zu berücksichtigen.

3. Informationen für betroffene Personen gut aufbereiten

Nachdem vollständig ermittelt wurde, welche Verarbeitungen personenbezogener Daten eine Webseite durchführt, muss diese Information der betroffenen Person mitgeteilt werden. Dieser Aspekt bezieht sich auf die „Kommunikation“ und die „Modalitäten“ der Informationsvermittlung. Bemerkenswert ist, dass Art. 12 DS-GVO in seinem Titel diese Begriffe zwar nennt, aber nicht näher darauf eingeht. Es werden nur bestimmte Rahmenbedingungen vorgegeben hinsichtlich der Form und sprachlichen Ausgestaltung der Erteilung der Informationen. Aber grundsätzlich hat der Verantwortliche einen großen Spielraum für die Umsetzung. Vor allem kann er über die kreativ-gestalterischen Mittel der Informationsvermittlung selbst entscheiden.

Diesen gestalterischen Spielraum kann der Verantwortliche auch zu Imagezwecken ausnutzen. Auch das Verbraucherleitbild des EuGH kann als Maßstab für die Informationsinteressen des Betroffenen dienen.[27] Auf Basis dieses Leitbilds muss ermittelt werden, was dem Leser eines Datenschutzhinweises an fachlichem Wissen zugemutet werden kann. Es empfiehlt sich, die Unterstützung einer Person heranzuziehen, die keine Datenschutz-Vorkenntnisse hat und auch das Geschäftsmodell des Unternehmens nicht allzu gut kennt, da dies eine fachspezifische Materie ist. Solche Personen repräsentieren die breite Masse der Internet-Nutzer, und der Verantwortliche gibt sich Mühe, die fachlichen Themen möglichst zu abstrahieren und in einer transparenten und verständlichen Sprache abzubilden.

IV. Praktische Umsetzung: Beispielhafte Lösungsvorschläge für Datenschutzhinweise

In diesem Abschnitt sollen für Unternehmen und Verantwortliche Vorschläge gemacht werden, wie sie die theoretischen Vorgaben des Art. 12 DS-GVO praxistauglich umsetzen können.

1. Einheitliches Formulierungskonzept und „roter Faden“

Zunächst ist es ratsam, ein gewisses Formulierungskonzept in der Informationsvermittlung durch den gesamten Text des Datenschutzhinweises hinweg beizubehalten. Das ist wichtig für eine angenehme Lesbarkeit und das Verständnis. Wenn ein bestimmter Aspekt der Webseite aus Datenschutzperspektive beschrieben werden soll, dann bedeutet dies Folgendes: Zuerst wird für den betreffenden Passus eine präzise Überschrift ausgewählt. Dabei kann die Funktion/ Eigenschaft, die sich auf der Webseite befindet, mit ihrem Namen genannt werden (z.B. „Webshop“) oder paraphrasiert werden (z.B. „Verarbeitung Ihrer Daten im Rahmen der Kaufabwicklung“). Dann ist in der Textpassage die besagte Funktion/Eigenschaft möglichst genau zu beschreiben. Was macht die Funktion der Webseite und wofür wird sie benötigt? Wofür benötigt sie personenbezogene Daten? Auf Fachtermini sollte möglichst verzichtet werden, falls ein adäquater und allgemein verständlicher Begriff verwendet werden kann.

Schließlich sind die datenschutzrechtlich relevanten Punkte zu nennen. Da es sich hier häufig um verschiedene Angaben zu gleichen Themen handelt[28], ist eine optisch anschauliche Darstellung zu empfehlen. Statt die Informationen in einem platten Fließtext anzugeben, kann z.B. jedes Mal eine tabellarische Übersicht verwendet werden, deren Spalten alle relevanten Angaben umfassen. Die Tabelle ist visuell ansprechender als ein monoton wirkender Text, und die vom Leser zu verarbeitenden Informationen sind in kleine Informationspakete aufgeteilt. Das Auge hat keine große „Sucharbeit“ und findet die datenschutzrechtlich wichtigen Informationen auf Anhieb. Wenn dieses Konzept stringent über den gesamten Datenschutzhinweis hinweg eingehalten wird, erscheint dieser nicht mit Text überfrachtet, da die Übersichten eine Art kleine „Lesepause“ darstellen.

Darüber hinaus ist der „rote Faden“ des Datenschutzhinweises von großer Bedeutung. Die angenehme Lesbarkeit des Datenschutzhinweises spiegelt sich nämlich nicht nur in seinen einzelnen Passagen wider, sondern auch in seiner gesamtheitlichen Struktur. Es ist ratsam, hier den Grundsatz „Vom Allgemeinen ins Spezielle“ zu verfolgen. Zunächst kann der Zweck des Datenschutzhinweises mit einigen allgemeinen Informationen über das anwendbare Datenschutzrecht geschildert werden. Dann kann ein Definitionskatalog mit den in Art. 4 DS-GVO definierten Begrifflichkeiten aufgenommen werden. Das ist wichtig, damit der Leser bzw. die betroffene Person sich später in den Passagen unter den verwendeten Begriffen etwas vorstellen kann. Dadurch wird gewissermaßen die geforderte Transparenz umgesetzt.

Darauf folgen die Kontaktdaten des Verantwortlichen und ggfs. seines Datenschutzbeauftragten sowie die Betroffenenrechte und das Recht auf Beschwerde bei einer Aufsichtsbehörde.

Anschließend werden die Grundfunktionen der Webseite beschrieben, worauf die spezifischen Funktionen, die ggfs. auch von externen Dienstleistern bereitgestellt werden, folgen (vgl. die Angaben unter Fn. 26). Diese Funktionen werden alle gleichermaßen nach dem zuvor entwickelten, einheitlichen Formulierungskonzept beschrieben. Am Ende des Datenschutzhinweises kann über dessen Version unter Angabe des Revisionsdatums informiert werden.

2. Interaktive Datenschutzhinweise

Eine andere, empfehlenswerte Methode zur Umsetzung von Datenschutzhinweisen ist der interaktive Datenschutzhinweis. Auch hier sind der konkreten (technischen) Ausgestaltung keine Grenzen gesetzt. Der Datenschutzhinweis ist modular aufgebaut, d.h. Textabschnitte sind nach Bedarf aufklappbar bzw. abrufbar. Am Anfang befindet sich ein interaktives Inhaltsverzeichnis, dessen Gliederungspunkte den Leser per Klick an die entsprechende Stelle im Datenschutzhinweis führen.

Bei den Betroffenenrechten kann ein Formular zur Ausübung dieser Rechte implementiert werden, welches der Leser als betroffene Person ausfüllen und abschicken kann. Oder aber es wird zu entsprechenden Formularen verlinkt. Diverse Webseiten verwenden bereits solche interaktiven Datenschutzhinweise, darunter auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit.[29] Überdies spricht die Art. 29-Datenschutzgruppe diese Empfehlung auch aus. Sie sagt, dass im Online-Kontext ein mehrschichtiger Datenschutzhinweis es den betroffenen Personen ermöglicht, zum gewünschten Abschnitt navigieren zu können, ohne sich durch massenweise Text „durchscrollen“ zu müssen.[30]

3. Verwendung von Bildsymbolen

In Art. 12 Abs. 7 DS-GVO wird dem Verantwortlichen die Möglichkeit gegeben, standardisierte Bildsymbole zu verwenden, um den betroffenen Personen die Informationen nach Art. 13 und 14 DS-GVO zur Verfügung zu stellen. Der Hauptgrund dieser Regelung dürfte sein, Datenschutzhinweise für Leser „schmackhaft“ zu machen und den ewig langen Textbrocken zu dezimieren.[31] Informationen werden zugänglicher, wenn grafische Elemente und Text miteinander verknüpft werden. Verantwortliche sollten diese Möglichkeit nutzen und kleine Bildsymbole entwerfen, die begleitend zum Text eingesetzt werden können. Diese Bildsymbole können ganz schlicht im Stile einer Smartphone-App gestaltet werden. Das heißt, dass ein bestimmtes Muster oder ein bestimmter Gegenstand im Vordergrund auf einer passenden Hintergrundfarbe dargestellt werden kann.[32]

Die britische Aufsichtsbehörde ICO macht Ausführungen zur Verwendung von Bildsymbolen. Sie betont, dass nicht zu viele Icons verwendet werden sollten und dass die Icons – vor allem in größeren Unternehmen – an mehreren Stellen bzw. Prozessen wiederzufinden sein sollten, damit der Leser sich eine Logik in der Verwendung der Bildsymbole erschließen kann. So gesehen haben die Bildsymbole ihre eigene „Zeichensprache“.[33]

V. Fazit

Um die Informationspflichten und die geforderte Transparenz aus Art. 12 DS-GVO richtig verstehen und umsetzen zu können, müssen Verantwortliche gewissermaßen „zwischen den Zeilen lesen“. Die Vorschrift zielt in erster Linie unmittelbar darauf ab, die komplexe datenschutzrechtliche und technische Materie einem nicht fachkundigen und durchschnittlichen Internetnutzer auf verständliche Weise zu vermitteln. Die europäischen Aufsichtsbehörden sollten in dieser Angelegenheit etwas mehr Hilfestellungen geben, insbesondere bei den datenschutzrechtlichen Neuheiten, bspw. zu standardisierten Bildsymbolen. Dies böte eine Chance, EU-weit einen Mindest-Standard für die Information von Betroffenen zu entwickeln, der einen guten Beitrag zur Medienkompetenz leisten könnte.

Verantwortliche, respektive Unternehmen, sollten in der Vorschrift keine unbezwingbare Herausforderung sehen, sondern die Initiative ergreifen, sich durch die Vorschrift zu profilieren und nach außen hin einen ordentlichen Umgang mit personenbezogenen Daten ihrer Kunden zu präsentieren. Dies gewährleistet eine vertrauensvolle Beziehung zu Kunden und der Online-Community, denn wenngleich viele Menschen kein tiefergehendes Knowhow über datenschutzrechtliche Themen haben, so wissen sie trotzdem oder haben zumindest ein Gespür dafür, dass ihre personenbezogenen Daten zum einen schon lange Wirtschaftsgüter und zum anderen besonders schützenswert sind.

Alles in allem sind die Anforderungen des Art. 12 DSGVO nicht in ihrer Komplexität zu verstehen, es ist vielmehr mit einem pragmatischem Ansatz und aus Sicht der betroffenen Personen heranzugehen. Denn nur so kann sichergestellt werden, dass man sich nicht in den Details verstrickt. Und nur so kann ermittelt werden, wie die Transparenz gewährleistet werden kann und wie die Kommunikation zur betroffenen Person sowie die Modalitäten dieser Kommunikation aussehen müssen, um neben der Erfüllung der rechtlichen Anforderungen vor allem der betroffenen Person gerecht zu werden.

Erdem Durmus (LL.B.) Jahrgang 1995; 2014 – 2017 Studium Informationsrecht an der Hochschule Darmstadt; aktuell Studium des Master-Studiengangs Internationales Lizenzrecht an der Hochschule Darmstadt. Der Aufsatz ist im Rahmen einer Praktikumsphase im Konzerndatenschutz der Deutschen Lufthansa AG in Frankfurt am Main entstanden.

[1] Schreiber/Plath, in: Plath, BDSG/DS-GVO Kommentar, Art. 5, Rn. 5. Es geht nicht darum, dass die betroffene Person en détail über jeden bspw. technischen Verarbeitungsschritt einer Verarbeitung informiert werden muss. Vielmehr soll ihr ein grundlegendes Verständnis vermittelt werden, auf dessen Grundlage sie ggfs. weitere Einzelheiten erfragen kann.

[2] So etwa Voigt/von dem Bussche, Praktikerhandbuch EU-DS-GVO, S. 187. Diese kritische Feststellung ist durchaus gerechtfertigt. Dadurch, dass die Kriterien kumulativ aufgezählt werden, wird einerseits der sprachlich und konzeptionell gestalterische Spielraum im Hinblick auf die praktische Ausführung enorm eingegrenzt. Andererseits ist die Schnittmenge in der Bedeutung der Worte hervorzuheben. So wird bspw. für das Adjektiv „transparent“ im Duden das Adjektiv „verständlich“ als Synonym erwähnt. Ebenso wird „transparent“ als Synonym für „klar“ erwähnt. Würde ein Verantwortlicher bei der Umsetzung der Vorschrift dieser Erkenntnis folgen, so würde er vermutlich manche Worte aus Abs. 1 als obsolet ansehen und gedanklich streichen.

[3] Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG Kommentar, Rn. 9.

[4] Mit diesem Zusatz macht der Unionsgesetzgeber – wie etwa in Art. 8 DS-GVO – deutlich, dass ihm der Schutz personenbezogener Daten von Kindern als betroffene Personen aufgrund ihrer Schutzlosigkeit ein wichtiges Anliegen ist.

[5] So auch Pötters/Bausewein, in: Wybitul, Handbuch EU-DS-GVO, Art. 12 – 15, Rn. 14. Nach Ansicht der Autoren dürfte die Vorschrift kaum praktische Relevanz haben, da sie eben nicht konkretisiert, wie der Verantwortliche die Ausübung der Betroffenenrechte für die betroffene Person „erleichtern“ kann

[6] Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, Art. 12 Rn. 35

[7] So auch Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO Kommentar, Art. 12, Rn. 33.

[8] Franck, in: Gola, DS-GVO Kommentar, Art. 12, Rn. 26.

[9] Gemeint ist wohl eine Komplexität sowohl inhaltlicher als auch organisatorischer Art. Eine inhaltliche Komplexität wäre dann gegeben, wenn die Anzahl der im Antrag angefragten Informationen das zu erwartende Maß deutlich übersteigen würden. Eine organisatorische Komplexität läge bspw. vor, wenn der Zugang zu den angefragten Informationen nicht durch den für die Bearbeitung des Antrags zuständigen Mitarbeiter erfolgen könnte, sondern interne Weiterleitungen der Anfrage innerhalb des Unternehmens erforderlich wären.

[10] Bäcker, in: Kühling/Buchner, DS-GVO Kommentar, Art. 12, Rn. 34. Gerade dies möchte die Vorschrift ja verhindern, indem sie dem Verantwortlichen eine aktive Rolle zuschreibt, der stets bemüht sein muss, den Antrag der betroffenen Person ernst zu nehmen und ihn in jedem Fall zu informieren.

[11] Interessant ist, dass hier – im Gegensatz zum Wortlaut in Abs. 3 („unverzüglich“) – die Formulierung „ohne Verzögern“ verwendet wird. In der englischen Fassung werden die Formulierungen „without undue delay“ (Abs. 3) sowie „without delay“ (Abs. 4) verwendet. Im Ergebnis laufen die unterschiedlichen Wortlaute aber wohl auf dasselbe hinaus.

[12] Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO Kommentar, Art. 12, Rn. 38. Das Nichtvorliegen personenbezogener Daten einer betroffenen Person beim Verantwortlichen führt in der Regel per se nicht zur Ablehnung des Antrags, sondern zur Erteilung einer Negativauskunft. Die betroffene Person wird über den Umstand unterrichtet, dass über sie keine personenbezogenen Daten vorliegen, was letztendlich doch eine Bearbeitung des Antrags ist.

[13] Vgl. Greve, in: Sydow, Europäische Datenschutz-Grundverordnung, Art. 12, Rn. 27.

[14] BVerfGE 94, 166 (191)

[15] Quaas, in: BeckOK Datenschutzrecht, Wolff/Brink, Art. 12 Rn. 44. Bei Vorliegen von stichhaltigen Gründen kann eine Wiederholung der Anträge erfolgen, die nicht gleich als exzessive Antragstellung gewertet werden darf.

[16] Bäcker, in: Kühling/Buchner, DS-GVO Kommentar, Art. 12, Rn. 38. Die Differenzierung nach Art des Betroffenenrechts klingt plausibel. Die mehrmalige Geltendmachung des Rechts auf Datenübertragbarkeit nach Art. 20 DS-GVO kann bei dem Verantwortlichen technisch bedingte Mehrkosten verursachen, bspw. aufgrund der zu übertragenden, ggfs. sehr großen Datenmenge.

[17] Voigt/von dem Bussche, Praktikerhandbuch EU-DS-GVO, S.197.

[18] So auch Voigt/von dem Bussche, Praktikerhandbuch EU-DS-GVO, S.197.

[19] Vgl. auch Franck, in: Gola, DS-GVO Kommentar, Art. 12, Rn. 42. In diesem Zusammenhang ist auch auf den Grundsatz der Datenminimierung nach Art. 5 Abs. 3 DS-GVO abzustellen.

[20] Franck, in: Gola, DS-GVO Kommentar, Art. 12, Rn. 43. Es müssen bei einer telefonischen Abfrage so viele persönliche Informationen abgefragt werden, bis auf Basis einer Verknüpfung der Angaben sichergestellt werden kann, dass es sich bei der anfragenden Person wirklich um die in Frage stehende betroffene Person handelt. Verantwortliche sollten sich hierzu ein Konzept überlegen, welche Informationen mind. vorliegen müssen, damit die Anfrage aufgrund überprüfter Identität bearbeitet werden kann.

[21] BayLDA, 6. Tätigkeitsbericht für die Jahre 2013 und 2014, S. 77. Zwar wurde diese Entscheidung nach alter Rechtslage getroffen, allerdings spricht nichts dagegen, dies vom Grundsatz her auch auf die neue Rechtslage zu übertragen.

[22] Auch hier fällt die Verwendung von nahezu bedeutungsgleichen Adjektiven auf.

[23] So auch Bäcker, in: Kühling/Buchner, DS-GVO Kommentar, Art. 12, Rn. 21. Die Bildsymbole ersetzen die Informationen aus Art. 13 und 14 DS-GVO nicht, sie ergänzen sie nur.

[24] Ein Beispiel, das durch die Medien ging: Ein Kindergarten schwärzte die Gesichter von Kindern auf einem Gruppenfoto aus Angst vor den Vorgaben der DS-GVO. Unglücklicherweise schwärzten die Erzieherinnen die Gesichter nicht vollständig und vergaßen es, ein Gesicht zu schwärzen. Abgesehen davon wurde nicht daran gedacht, dass Menschen auch auf Basis anderer Merkmale identifizierbar sind – etwa anhand ihrer Frisur, Haarfarbe, Hautfarbe, ihres Kleidungsstils, ihrer Körperform etc. (s. auch http://www.faz.net/aktuell/gesellschaft/ueberfordert-mit-der-DS-GVO-kindergarten-schwaerzte-erinnerungsfotos-15721272.html).

[25] Franck, in: Gola, DS-GVO Kommentar, Art. 13, Rn. 12.

[26] Typische Features einer Webseite, welche keine reine Informationsseite ist, sondern Produkte und/oder Dienstleistungen anbietet sind u.a.: Webshop/Log-In-Bereich, Cookies/Tracking-Tools, Kontaktformular, Newsletter, Social-Media Verlinkungen oder Buttons, Kommentarfunktionen oder ein Gästebuch, Google-Maps-Kartenansicht und YouTube-Videos etc.

[27] Nach dem Verbraucherleitbild des EuGHs ist das der „durchschnittlich informierte, aufmerksame und verständige Durchschnittsverbraucher“ (EuGH, Slg. 2000, I-117, 147, Rn. 27). Auch die Art. 29-Datenschutzgruppe zieht einen vergleichbaren Maßstab heran. Im Arbeitspapier zur Transparenz heißt es „average member of the intended audience“ (WP 260 17/EN, S. 7).

[28] Es sind meistens unterschiedliche Rechtsgrundlagen, Zwecke, Arten von personenbezogenen Daten, Speicherdauern und vorgesehene Löschfristen, ggfs. Übermittlungen und Kategorien von Empfängern sowie ggfs. Widerrufs- und Widerspruchsmöglichkeiten.

[29] Außerdem verwenden u.a. eBay und wetter.com auch solche Datenschutzhinweise, wobei die konkrete Ausgestaltung immer etwas anders ist.

[30] Art. 29-Datenschutzgruppe, WP 260 17/EN, S. 7f., 10, 13, 17

[31] Vgl. hier auch Heckmann/Paschke, in: Ehmann/Selmayr, DS-GVO Kommentar, Art. 12, Rn. 53. Viele Verantwortliche haben bisher den Datenschutzhinweis als Mittel zur Demonstration der Rechtskonformität verstanden.

[32] Beispiel: Für die Funktion „Newsletter“ auf der Webseite kann ein weißer Briefumschlag mit dem Zeichen „@“ in der Mitte ausgewählt werden. Die Hintergrundfarbe kann beliebig gewählt werden, wobei ein ausreichender Kontrast vorhanden sein und auf knallige Farben verzichtet werden sollte.

[33] Siehe https://ico.org.uk/for-organisations/guide-to-the-generaldata-protection-regulation-gdpr/the-right-to-be-informed/howshould-we-provide-privacy-information-to-individuals/ (Gliederungspunkt „Can we use icons as well?“).