Datenschutzhinweise – was ist zu beachten?

Datenschutzhinweise – das sind diese endlos langen Texte, in denen Verantwortliche versuchen, Personen, deren Daten sie verarbeiten, zu erklären, wie sie mit ihren Daten umgehen, auf welcher Rechtsgrundlage sie die Daten verarbeiten, welche Datenempfänger oder auch -quellen es gibt und noch wieles Weitere. Wohl jeder kam schon einmal in irgendeiner Form mit diesen Informationen zum Datenschutzin in Berührung. Sei es auf einer Webseite im Internet, beim Einrichten eines Kundenkontos in einem Webshop, beim Kauf irgendeines „smarten“ technischen Geräts oder beim Arztbesuch.

Doch warum machen die Verantwortlichen das? Warum gibt es diese unerträglich langen Datenschutzhinweise? Müssen sie erteilt werden oder ginge es auch ohne? Und wenn es dann doch nicht ohne die Informationen geht, könnten sie wenigstens etwas kürzer gestaltet werden? Und muss eine Person, deren Daten verarbeitet werden, nur informiert werden oder muss er auch sich mit den Datenschutzhinweisen ausdrücklich „einverstanden erklären“? Fragen über Fragen.

Pflicht zur Information

Nun, zumindest die Antwort auf die Frage, ob es denn sein muss, lautet eindeutig: Ja. Es muss sein. Der Verordnungsgeber verpflichtet die für die Datenverarbeitung verantwortlichen Stellen („Verantwortliche“) zur Erteilung der Informationen, wie personenbezogene Daten verarbeitet werden, sobald ein Verantwortlicher mit der Verarbeitung der personenbezogenen Daten beginnt.

Was „Verarbeitung“ und „personenbezogene Daten“ heißt, ist legaldefiniert in Art. 4 Nr. 1 und Nr. 2 Datenschutz-Grundverordnung (DSGVO).

So ist „Verarbeitung personenbezogener Daten“ so ziemlich alles, was man mit personenbezogenen Daten macht und beginnt bei der Erhebung und Speicherung, endet irgendwann mit der Löschung und umfasst alle Schritte, die dazwischen liegen. Sobald ein Verantwortlicher mit personenbezogenen Daten in Berührung kommt, muss er darüber informieren, was er damit anstellt. In Artikel 13 und 14 DSGVO schreibt der europäische Gesetzgeber vor, welche Informationen den betroffenen Personen erteilt werden müssen.

So muss jeder Verantwortliche gemäß Art. 13 DSGVO bei Erhebung der Daten (also Zug um Zug) über Folgendes informieren, wenn er Daten direkt bei einer betroffenen Person erhebt:

  • Name und Kontaktdaten des Verantwortlichen,
  • Kontaktdaten eines/einer vom Verantwortlichen bestellten Datenschutzbeauftragten,
  • Verarbeitungszwecke und Rechtsgrundlage,
  • Hinweis auf die Widerrufbarkeit der Einwilligung,
  • Empfänger der Daten bzw. Empfängerkategorien,
  • Absicht zur Übermittlung der Daten in ein Nicht-EU-Land,
  • Geplante Speicherdauer bzw. Kriterien für deren Festlegung,
  • Betroffenenrechte,
  • Beschwerderecht bei Aufsichtsbehörde,
  • Information über die Verpflichtung zur Weitergabe der Daten an Dritte,
  • Informationen über automatisierte Einzelfallentscheidung bzw. Profiling.

Nach Art. 14 DSGVO sind, wenn die Daten nicht bei der betroffenen Person, sondern bei einem Dritten erhoben werden, weitere Angaben zu machen. So muss zusätzlich informiert werden über:

  • Kategorien der verarbeiteten Daten,
  • Datenherkunft

Obwohl es im Gesetz also ziemlich genau (und an sich recht überschaubar) geregelt ist, welche Informationen zu erteilen sind und auch wann die Information zu erfolgen hat, ergeben sich bei der konkreten Umsetzung immer wieder Fragestellungen, zu denen es Unklarheiten gibt oder die zu Diskussionen führen.

Auf einzelne Fragestellungen gehen wir im Folgenden ein und schauen uns dabei insbesondere an, was die Aufsichtsbehörden im Rahmen der Erfüllung der Informationspflichten fordern. So hat beispielsweise aktuell die Landesbeauftragte Niedersachsen (LfD Niedersachsen) in ihren FAQ zu den Informationspflichten erläutert, wie sie die datenschutzkonforme Erfüllung der Informationspflichten sieht. Zu den aus unserer Sicht besonders interessanten Punkten der FAQ der LfD Niedersachsen nehmen wir nachfolgend Stellung.

Übrigens, das Thema „Erfüllung der Informationspflichten“ hatten wir neulich auch in unserem Podcast, so dass diejenigen, die Informationen lieber mit den Ohren als mit den Augen aufnehmen, sich die entsprechende Folge gerne hier anhören können.

Datenerhebung im Rahmen eines telefonischen (Erst-)Kontakts

Sofern im Rahmen einer telefonischen Datenerhebung bei einem (Erst-)Kontakt mit einer Person (z.B. durch potenzielle Kund*innen oder Interessent*innen) personenbezogene Daten erhoben werden, müsste die vollständige Information gemäß Art. 13 DSGVO (sie erinnern sich an all die einzelnen Punkte oben) bereits bei Erhebung der Daten „fließen“. Und nun stelle man sich vor, dass die 30 DIN A4 Seiten Text dieser Person im Zusammenhang mit der Erhebung ihrer Daten vorgelesen werden (müssten). Dies würde an der Realität völlig vorbei gehen und das Thema Datenschutz eher zu einer (schlechten) Komödie bzw. Anekdote als zu einer sinnvollen Maßnahme und einem durchaus wichtigen Thema machen. Potenzielle Kund*innen oder Interessent*innen wird man damit auf jeden Fall dank (missverstandenem) Datenschutz auch ganz schnell los. Doch irgendwie müssen die Infos auch bei einem Erstkontakt im Rahmen der Datenerhebung bei einem Telefongespräch oder im Rahmen eines Anrufs der betroffenen Person zur Verfügung gestellt werden. Darüber scheinen sich die Behörden und die Datenschutzexperten grundsätzlich einig zu sein.

Nun, dass das Vorlesen der kompletten Informationen gemäß Art. 13 DSGVO – wie ausgeführt – keine gute Idee ist, haben die Behörden inzwischen auch erkannt und fordern das nicht (mehr). Stattdessen wird durch die LfD Niedersachsen vorgeschlagen, die Anrufer*innen nur mit den essenziellen (Basis-)Informationen zu „versorgen“ und bzgl. der ausführlichen Fassung auf eine Internetressource zu verweisen, auf der die restlichen Informationen bereitgestellt werden. Hierzu macht die LfD Niedersachsen auf Seite 3 ihrer FAQ (s.o.) einen entsprechenden Vorschlag für die telefonische Mitteilung bzw. Ansage.

Die Initiative, die Informationspflicht auf eine zeit- und nervenschonende Art und Weise zu erfüllen, halten wir grundsätzlich für den richtigen Ansatz, sind aber der Auffassung, dass man die Basisinformationen noch kürzer gestalten könnte. Denn ganz im Sinne der informationellen Selbstbestimmung der betroffenen Person wäre es unseres Erachtens ausreichend, wenn der betroffenen Person die Frage gestellt wird, ob sich die Person die Basisinformationen zum Datenschutz anhören möchte oder nicht. Sollte eine betroffene Person dies wünschen, würde sie die Informationen erhalten. Anderenfalls wäre es unseres Erachtens auch ein gutes Recht der betroffenen Person, hier „Nein“ zu sagen, um eine aufgedrängte informationelle Bereicherung zu vermeiden. . In diesem Fall müsste dann allerdings zumindest eine Quelle im Internet genannt werden, wo die (vollständigen) Informationen abgerufen werden können. In diesem Fall müsste dann allerdings zumindest eine Quelle im Internet genannt werden, von der die (vollständigen) Informationen abgerufen werden können.

Austausch von Visitenkarten

Insbesondere im Jahre 2018 als die DSGVO in Kraft trat war der Umgang mit Visitenkarten ein Thema, welches sehr lebhaft diskutiert wurde. Zwischenzeitlich hat sich die Aufregung zwar etwas gelegt und es herrscht auch hier inzwischen Einigkeit darüber, dass der bloße Austausch einer Visitenkarte noch nicht dazu führt, dass Datenschutzhinweise bereitgestellt werden müssen. Dies ist nämlich nur dann notwendig, wenn die DSGVO überhaupt zur Anwendung kommt. Dies ist beispielsweise dann nicht der Fall, wenn eine Visitenkarte im Rahmen der Ausübung einer rein privaten Verarbeitungstätigkeit erfolgt (was manchmal schwerer festzustellen ist) oder die Daten nicht in einem Dateisystem verarbeitet werden sollen. Die Informationspflicht entfällt also, wenn die Visitenkarte nicht in einem Karteikartensystem aufbewahrt werden soll und die personenbezogenen Daten auch nicht im digitalen Adressbuch gespeichert werden. Erfolgt eine solche Speicherung, dann sind mit dem Zeitpunkt der Speicherung die Datenschutzhinweise bereitzustellen, wobei dieLfD Niedersachsen leider keine Aussage dazu trifft, wie dies auf einfachem und pragmatischem Weg erfolgen kann. Lediglich zur Kartenübergabe auf Messen führt die LfD Niedersachsen aus, dass ein Schild oder ein Flyer mit Datenschutzhinweisen auf dem Messestand ausreichend sei. Doch wie sieht es im normalen Geschäftsleben außerhalb der Messen statt? Hier könnte ein QR-Code auf der Rückseite der Visitenkarte ein möglicher Weg der Bereitstellung der Informationen sein. Alternativ versendet man (optimaler Weise automatisiert) eine E-Mail mit den Informationen, wenn die Daten elektronisch erfasst werden.

Dabei ist darauf zu achten, dass nicht nur auf die Datenschutzhinweise verwiesen werden darf, die auf einer Unternehmenshomepage veröffentlicht werden, sich ausschließlich auf diese Homepage beziehen und ansonsten keine Angaben zur Datenverarbeitung im Zusammenhang mit dem Empfang der Visitenkarten enthalten. Die Hinweise, auf die verlinkt werden, müssten entsprechende Ausführungen unter einer entsprechenden Überschrift bereithalten.

Einverständnis mit den Datenschutzhinweisen / Bestätigung der Kenntnisnahme

Oft holen die Verantwortlichen ein Einverständnis einer betroffenen Person ein. Die betroffene Person erklärt sich – meist durch das Setzen eines Häkchens neben einem Text wie zum Beispiel „Ich habe die Datenschutzhinweise gelesen und bin mit Ihnen einverstanden“ – mit dem Inhalt der Datenschutzhinweise einverstanden. Zudem wird oft eine ausdrückliche Bestätigung eingeholt, dass die Datenschutzhinweise zur Kenntnis genommen wurden.

Sowohl das eine als auch das andere ist nicht notwendig. Dies betont in Bezug auf die Kenntnisnahme-Bestätigung auch die LfD Niedersachsen in ihren FAQ (siehe oben).

Insbesondere eine Einverständniserklärung kann nicht nur unnötig, sondern gegebenenfalls sogar schädlich sein. Aus der Erteilung der Information (einseitige Erklärung des Verantwortlichen) würde durch die Einverständniserklärung eine Vereinbarung zwischen dem Verantwortlichen und der Person, die sich einverstanden erklärt, entstehen. Eine mögliche Folge könnte sein, dass diese Datenschutzhinweise als eine AGB-Vereinbarung qualifiziert werden und diese daher durch den Verantwortlichen nicht mehr ohne weiteres einseitig angepasst oder abgeändert werden könnte. Darüber hinaus können Einwilligungserklärungen (wir werten das Wort „Einverständnis“ hier als „Einwilligung“) gemäß Art. 7 DSGVO jederzeit durch die betroffene Person widerrufen werden. Und dann? Wäre die Verarbeitung dann nicht mehr rechtmäßig? Wir können es nicht einschätzen und raten auch aus diesem Grund ebenfalls davon ab, sich das Einverständnis der betroffenen Person zu holen.

An dieser Stelle noch der Hinweis und unsere Empfehlung: Sowohl die Einholung eines Einverständnisses als auch bereits die Bezeichnung der Datenschutzhinweise z.B. als „Datenschutzrichtlinie“ oder Nutzung von Begriffen wie „regeln“ oder „Regelung zum Datenschutz“ können ein Problem für den Verantwortlichen darstellen. Sofern ein Gericht aus der Überschrift und/oder aus den in den Datenschutzhinweisen enthaltenen Begriffen einen Regelungscharakter herausliest und die Informationen gemäß Art. 13 DSGVO daher als Allgemeine Geschäftsbedingungen qualifiziert (hierzu vgl. z.B. das Urteil des KG Berlin vom 27.12.2018, Az.: 23 U 196/13), hat ein Verantwortlicher das Problem, dass er sich an die Erklärung bindet und sie nicht einseitig ohne weiteres abändern bzw. anpassen kann. Nutzen Sie als verantwortliche Stelle also neutrale Begriffe und Überschriften wie beispielsweise „Datenschutzinformationen“ oder „Datenschutzhinweise“ und „regeln“ Sie nichts, sondern „informieren“ Sie bitte nur.

Erfüllung der Informationspflichten gegenüber Kindern oder fremdsprachigen Personen

Im Rahmen der Erfüllung der Informationspflichten gegenüber Kindern oder fremdsprachigen Personen ist auf Folgendes zu achten:

Sofern ein Angebot an Kinder gerichtet ist, ist darauf zu achten, dass die Wortwahl bzw. der Sprachstil an die entsprechende Zielgruppe und das Alter der Kinder entsprechend angepasst wird, so dass auch ein Kind die wesentlichen Informationen verstehen kann. Ist das Kind zu klein, um die Informationen zu verstehen, so ist es möglich, die Informationen (in entsprechender Wort- und Sprachstilwahl) auch an die Eltern / Erwachsenen zu richten.

Was die Informationen an fremdsprachige Personen angeht, so wäre die Information in einer fremden Sprache immer dann erforderlich, wenn sich ein Verantwortlicher sich mit seinem Angebot an eine fremdsprachige Zielgruppe richtet. Im Übrigen wären die Informationen in deutscher Sprache bereitzuhalten, wenn es ein Angebot ist, das sich erkennbar nicht an einen fremdsprachigen Adressatenkreis richtet. Vereinfacht lässt sich sagen: Wenn beispielsweise eine Webseite in mehreren Sprachen abrufbar ist, müssen zwingend auch die Datenschutzinformationen in allen diesen Sprachen zur Verfügung gestellt werden.

Umfang der Informationspflichten

Die Informationspflichten sind erfahrungsgemäß sehr umfangreich und können teilweise mehrere dutzend Seiten haben. Dass dann der einzuhaltende Grundsatz der Transparenz nur schwer eingehalten werden kann, liegt auf der Hand. Allerdings haben die Verantwortlichen oft viele einzelne Verarbeitungstätigkeiten, die zu erläutern sind, so dass der Umfang der Datenschutzhinweise zwangsläufig zunimmt und an „Volumen“ gewinnt. In diesem Fall ist unsere Empfehlung, die einzelnen Abschnitte der Datenschutzhinweise möglichst mit aussagekräftigen Überschriften zu versehen und keinen unsystematisierten Text zu liefern.

Neben der Verwendung von Überschriften lässt sich die Transparenz auch herstellen, indem den Datenschutzhinweisen ein Inhaltsverzeichnis vorangestellt wird, welches – wenn es im Internet auf einer Webseite angeboten wird – mit aktiven Links versehen wird. Grundsätzlich hilft auch hier die alte Weisheit: „In der Kürze liegt die Würze“.

Information von fotografierten oder gefilmten Personen

Personen, die im Rahmen einer öffentlichen Veranstaltung (z.B. Vereinsfest, Betriebsfeier, etc.) fotografiert oder auf Video aufgenommen werden, müssen ebenfalls Informationen gemäß Art. 13 DSGVO erhalten. Dies geschieht am einfachsten, indem auf einem großen Plakat Basisinformationen zur Verfügung gestellt werden (1st-Level-Informationen) und die ausführlichen Informationen unter einem Link bzw. QR-Code zum Abruf bereitgestellt werden (2nd-Level-Informationen). Hierzu bietet übrigens die Gesellschaft für Datenschutz und Datensicherheit (GDD) eine sehr nützliche Orientierungshilfe, wie die Informationen in Basis- und ausführliche Informationen aufgeteilt zur Verfügung gestellt werden können.

Fazit

Die korrekte Erfüllung der Informationspflichten ist und bleibt eine datenschutzrechtliche Pflicht. Werden die Information nicht oder nicht vollständig erteilt, so kann es sich um einen Datenschutzverstoß handeln. Dieser Datenschutzverstoß kann dann sowohl einen Bußgeldtatbestand erfüllen als auch dazu führen, dass eine betroffene Person wegen Verletzung der Datenschutzpflichten Schadensersatzansprüche geltend macht (siehe hier). Die richtige Erfüllung der Informationspflichten ist daher stets im Eigeninteresse der Verantwortlichen und sollte immer sehr ernst genommen werden.

Benötigen Sie Unterstützung im Rahmen der Erfüllung der Informationspflichten? Rufen Sie uns an, wir helfen Ihnen gerne!