Die Datenschutz-Grundverordnung (DSGVO) verpflichtet den für die Verarbeitung personenbezogener Daten Verantwortlichen dazu, die betroffenen Personen im Rahmen von Datenschutz-Hinweisen über die Verarbeitungen zu informieren. Die Informationspflichten sind umfangreich und enthalten so manchen Stolperstein, den ein Verantwortlicher beachten sollte, um nicht bei der Erstellung der Datenschutz-Hinweise aus dem Gleichgewicht zu geraten. Dieser Beitrag hilft Ihnen dabei, wichtige Stolpersteine zur Konzeptionierung und zum Aufbau zu erkennen und mit ihnen umzugehen, um Ihnen das notwendige Werkzeug zur Erstellung der Datenschutz-Hinweise an die Hand zu geben.
Weshalb könnten mich die Datenschutz-Hinweise vor Probleme stellen?
Die Datenschutz-Hinweise sind der betroffenen Person, deren personenbezogene Daten verarbeitet werden, zur Verfügung zu stellen. Werden die personenbezogenen Daten bei der betroffenen Person direkt erhoben, müssen die Datenschutz-Hinweise im Zeitpunkt der Erhebung zur Verfügung gestellt werden. Werden die Daten über einen Dritten erlangt, müssen sie spätestens einen Monat nach Erhalt der Daten der betroffenen Person zugänglich sein. Ab diesem Zeitpunkt ist die interne Datenverarbeitung nicht mehr nur Sache des Verantwortlichen, sondern durch die bereitgestellten Datenschutz-Hinweise auch außerhalb des Verantwortlichen bekannt. Die betroffene Person hat nun alles in der Hand, um eine in ihren Augen unrechtmäßige oder zumindest fragwürdige Datenverarbeitung einer Aufsichtsbehörde zu melden. Die Aufsichtsbehörde wiederum kann dann auf der Grundlage der Datenschutz-Hinweise die Rechtmäßigkeit der Datenverarbeitung prüfen, ohne sofort auf ein Verfahrensverzeichnis oder andere Unterlagen des Verantwortlichen zurückgreifen oder ihn überhaupt informieren zu müssen.
Vor Erstellung der Datenschutz-Hinweise muss der Verantwortliche deshalb die zu beschreibenden Datenverarbeitungen auf Datenschutzkonformität prüfen. Außerdem muss der Verantwortliche die Kongruenz zwischen dem (soweit nicht von der Aufsichtsbehörde angeforderten vornehmlich internen) Verfahrensverzeichnis und den Datenschutz-Hinweisen sicherstellen, um bei einem Abgleich durch die Aufsichtsbehörde keine unangenehmen Fragen beantworten zu müssen. Ergibt eine Prüfung, dass eine oder sogar mehrere Datenverarbeitungen datenschutzrechtswidrig sind, müssen diese Verarbeitungen vor Erfassung im Rahmen der Datenschutz-Hinweise datenschutzkonform (um)gestaltet werden. Aufgrund der hohen Bußgelder und der Transparenz für die Außenwelt ist es weder eine Option datenschutzrechtswidrige Verarbeitungen zu beschreiben noch die Verarbeitungen nicht oder erst nach Herausgabe der Datenschutz-Hinweise zu prüfen.
Form und Sprache
Die Datenschutz-Hinweise sind gemäß Art. 12 Abs. 1 S. 1 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Letztendlich hat der „normale“ Durchschnitts-Bürger jedoch in der Regel keinerlei vertiefte Ahnung vom Datenschutzrecht. Wie einfach ist also einfach genug? Bei der Verfassung der Datenschutz-Hinweise sollte man sich stets vor Augen führen, dass am anderen Ende eine betroffene Person mit im Zweifel sehr wenig vom Datenschutzrecht steht, die verstehen soll, wer was mit ihren Daten macht. Hilft auch dies nicht, lohnt sich eine interne Weitergabe im Unternehmen. Soweit die Datenschutz-Hinweise trotz Kenntnis der Arbeitsweise des Unternehmens schon intern auf viele fragende Gesichter treffen, ist die Sprache wohl nicht einfach genug. Dennoch muss natürlich die jeweilige Datenverarbeitung datenschutzkonform beschrieben werden. Der Verantwortliche ist nicht verpflichtet an dieser Stelle die betroffenen Personen über technische Hintergründe aufzuklären, die Hintergrundwissen und nicht die geforderte Information darstellen.
Der Verantwortliche sollte sich darüber hinaus, was die Form angeht, an dem Grundsatz orientieren, dass ein Medienbruch zu vermeiden ist. Werden Daten auf elektronischem Wege erhoben, sollten auch dort die Datenschutz-Hinweise zur Verfügung gestellt werden. Gleiches gilt dann für die Erhebung in Papierform.
Verschiedene Datenschutz-Hinweise im Unternehmen?
Der Verantwortliche muss sich nun die Frage stellen, ob für verschiedene Verarbeitungen verschiedene Datenschutz-Hinweise erstellt werden oder ob es nur einen Datenschutz-Hinweis gibt, der alle Verarbeitungen beim Verantwortlichen beschreibt und entsprechend bei jeder Datenerhebung oder Erlangung von Dritten zur Verfügung gestellt wird. Es kann durchaus sinnvoll sein verschiedene Datenschutz-Hinweise zu entwerfen, beispielsweise für Online- und Offline-Verarbeitungen oder Verarbeitungen im Rahmen von Vertragsverhältnissen versus Verarbeitungen zu Werbezwecken.
Werden einheitliche Datenschutz-Hinweise verwendet, bietet dies den Vorteil, dass die Fachbereiche nicht in der unterschiedlichen Handhabung und den verschiedenen Anwendungsfällen geschult werden müssen. Ihnen muss lediglich erklärt werden, was eine Datenerhebung ist, damit sie erkennen, wann die Datenschutz-Hinweise zur Verfügung gestellt werden müssen. Allerdings sprechen gegen derart umfangreiche Datenschutz-Hinweise zum einen, dass sie transparent sein sollen und zum anderen die Kundenfreundlichkeit. Werden alle Datenverarbeitungen gesammelt beschrieben, werden die Datenschutz-Hinweise sehr umfangreich und leicht unübersichtlich. Es wird sich in vielen Unternehmen deshalb anbieten mehrere Datenschutz-Hinweise zu entwerfen, beispielsweise zur Trennung zwischen Offline- und Online-Verarbeitungen.
Differenzierung zwischen Direkterhebung und mangelnder Direkterhebung
Die DSGVO differenziert zwischen Datenschutz-Hinweisen im Falle der Direkterhebung und Datenschutz-Hinweisen bei mangelnder Direkterhebung. Eine solche Differenzierung ist in der Praxis nicht immer logisch und nachvollziehbar. Schließt beispielsweise ein Verantwortlicher einen Vertrag mit einer betroffenen Person, liegt es nahe, dass personenbezogene Daten direkt bei der betroffenen Person erhoben und gleichzeitig Daten verarbeitet werden, die von Dritten stammen (z.B. Bonitätsauskünfte). Hier zwei Datenschutz-Hinweise vorzuhalten scheint nicht sachgerecht und intransparent, da dies für die betroffene Person nicht nachvollziehbar und nicht verständlich sein dürfte.
Die DSGVO enthält insoweit keine Aussage, dass die Hinweise nach Art. 13 und Art. 14 DSGVO nicht zusammen gefasst werden können. Eine Zusammenfassung der Informationen nach Art. 13 und Art. 14 DSGVO dient dann insbesondere der Nachvollziehbarkeit und Übersichtlichkeit für die betroffene Person.
Fazit
Vor der Erstellung der Datenschutz-Hinweise muss der Verantwortliche einige konzeptionelle Fragen klären. Angefangen bei der Frage der Verantwortlichkeit für die Erstellung der Datenschutz-Hinweise muss der Verantwortliche entscheiden, ob mehrere Datenschutz-Hinweise für verschiedene Datenverarbeitungen erstellt werden sollen und ob zwischen den Informationen nach Art. 13 und nach Art. 14 DSGVO differenziert werden soll. Dann geht es an die Prüfung der zu beschreibenden Verarbeitungen auf ihre jeweilige Datenschutzrechtmäßigkeit und gegebenenfalls an die Umgestaltung bislang datenschutzrechtswidriger Verarbeitungen. Erst dann geht es an die eigentliche Erstellung der Datenschutz-Hinweise.
Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten? Erhalten Sie personenbezogene Daten von den betroffenen Personen selbst sowie über Dritte? Wir unterstützen Sie gerne bei der Konzeptionierung und Erstellung der für Ihr Unternehmen passenden Datenschutz-Hinweise. Unsere Ansprechpartner finden Sie hier.