Die Aufsichtsbehörden laufen derzeit zur Höchstform auf. Kaum eine Woche vergeht, in der nicht neue Stellungnahmen oder Kurzpapiere veröffentlicht werden, mit denen uns die DS-GVO erklärt werden soll. Häufig sind die Auslegungen der Behörden recht streng und in einigen Fällen stehen sie auch im Widerspruch zu Kommentaren, die zur DS-GVO erhältlich sind. Einige dieser Beispiele sollen in diesem Artikel vorgestellt werden. Wichtig ist uns, darauf hinzuweisen, dass es uns hierbei nicht um ein Behörden-Bashing geht. Viele Aussagen der Behörden sind durchaus gut begründet und nachvollziehbar, wenngleich sie nicht immer unserer Meinung entsprechen. Die folgenden Beispiele mit Widersprüchlichkeiten zeigen aber sicher sehr gut auf, wie komplex das Thema ist und an welchen Stellen vielleicht künftig die derzeit noch sehr strengen Interpretationen der Aufsichtsbehörden noch Raum für Veränderungen bieten.
Verwendung von Tracking-Tools
Am 26.04.2018, auf den letzten Drücker kurz von Beginn der Wirksamkeit der DS-GVO hatten die Aufsichtsbehörden (die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) noch mit einem Positionspapier für Aufregung gesorgt. Es ging um die Verwendung von Tracking-Tools wie Google Analytics oder Matomo (ehemals Piwik). Nach der Interpretation der Behörden sollte dieses Tracking nach der DS-GVO nur noch nach vorheriger Einwilligung zulässig sein. Eine reine nachträgliche Opt-Out Lösung, wie bislang üblich und durch die Anbieter technisch unterstützt sollte nicht mehr zulässig sein. Das Positionspapier finden Sie hier. Dabei ist diese Sichtweise durchaus umstritten. In zahlreichen Veröffentlichungen wird darauf hingewiesen, dass man durchaus auch das bisherige Vorgehen eines nachträglichen Opt-Outs über Art. 6 Abs. 1 lit. f DS-GVO, also über ein berechtigtes Interesse, hätte begründen können. Hier hätte man sich sicher eine etwas differenziertere Betrachtung der Thematik durch die Behörden gewünscht. Zahlreiche Unternehmen haben vorsichtshalber erst einmal ihre Tools zum Tracking abgeschaltet. Umso mehr wundert man sich jetzt beim Blick auf die Datenschutzerklärung der Aufsichtsbehörde in Niedersachsen (LfD Niedersachsen). Hier wird in der Datenschutzerklärung lediglich auf die Nutzung von Piwik (jetzt Matomo) hingewiesen und nur der angeblich unzulässige nachträgliche Opt-Out angeboten. Es werden noch nicht einmal „Do not track“-Anforderungen des Browsers umgesetzt.
Informationspflichten
Eigentlich sind der Transparenzgedanke und die damit verbundenen Informationspflichten der DS-GVO eine gute Sache. Die betroffenen Personen sind zu informieren, wenn ihre Daten erhoben werden. In diversen gar nicht so seltenen Fällen wirken die Informationspflichten jedoch wenig praktikabel. Denken wir nur an das im Mai plötzlich durch die Medien transportierte Thema der Visitenkarten. Die Aufsichtsbehörde Berlin vertritt die Auffassung, dass ein bloßes Annehmen einer Visitenkarte noch keine Informationspflicht auslösen würde. Aber wenn Daten der Visitenkarte anschließend in ein elektronisches Adressbuch übernommen werden, dann würde die Informationspflicht bestehen. Die Zeitung Welt hatte hier darüber berichtet. Festgelegt sind die umfangreichen Informationspflichten in den Artikeln 13 und 14 DS-GVO. Demnach sind umfangreiche Informationen zur Verfügung zu stellen, wie Speicherdauer, Art der personenbezogenen Daten, mögliche Empfänger der Daten sowie die Bekanntgabe diverser Betroffenenrechte. Im Ergebnis sind also nach Eingabe von Daten einer Visitenkarte circa 1 bis 2 DIN A4 Seiten (je nach Schriftgröße und Ausführlichkeit) an Informationen zur Verfügung zu stellen.
Deutlich großzügiger gehen die Aufsichtsbehörden mit ihren eigenen Informationspflichten um. Nach Art. 37 DS-GVO sind die Kontaktdaten des Datenschutzbeauftragten an die Behörden zu melden. Zahlreiche Unternehmen melden also derzeit die Kontaktdaten ihrer Datenschutzbeauftragten an die Behörde. Die Behörde erhebt also personenbezogene Daten der Datenschutzbeauftragten. Allerdings erhebt sie diese Daten nicht bei der betroffenen Person (Datenschutzbeauftragten) selbst, sondern die Daten werden in der Regel vom Verantwortlichen (Unternehmen) gemeldet. Das bedeutet, die Aufsichtsbehörden müssten gemäß Art. 14 DS-GVO (Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden) den Datenschutzbeauftragten über die Erhebung informieren. Der Gesetzgeber hat dem Verantwortlichen hierzu eine Frist von einem Monat eingeräumt.
Es gibt zwar in Art. 14 Abs. 5 DS-GVO die Regelung, dass nicht zu informieren ist, wenn die betroffene Person bereits über die Information verfügt. Auf diese Regelung werden sich die Behörden unseres Erachtens aber wohl kaum berufen können, da die Datenschutzbeauftragten zwar wissen können (eher: sollten), dass ihre Mandanten sie melden müssen. Sie wissen aber weder zwingend, ob diese Meldung tatsächlich erfolgt ist, noch verfügen Sie über die weiteren notwendigen Pflichtinformationen ,wie mögliche Empfänger der Daten oder Speicherfristen. Insbesondere da die Speicherfristen unseres Wissens nicht gesetzlich geregelt sind, müssten diese den betroffenen Personen, also den Datenschutzbeauftragten, durch die Aufsichtsbehörden offengelegt werden.
Aus unserer eigenen Erfahrung ist bekannt, dass zumindest die Aufsichtsbehörde in NRW diese Informationen den DAtenschutzbeauftragten nicht bereitstellt.
Datenminimierung
Gemäß Art. 5 Abs. 1 lit. c DS-GVO sind verarbeitete personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken. Diese Vorgabe nennt der Verordnungsgeber „Datenminimierung“. Zusammengefasst bedeutet dies, dass nur diejenigen personenbezogenen Daten verarbeitet werden dürfen, die notwendig sind, um den verfolgten Zweck zu erfüllen.
Bei der Meldung der Kontaktdaten der Datenschutzbeauftragten an die Aufsichtsbehörden gemäß Art. 37 DS-GVO zeigt sich, wie großzügig dieses Ziel der Datenminimierung nach Ansicht der meisten Aufsichtsbehörden interpretiert werden kann.
Nach der Ansicht mehrerer Kommentare zur DS-GVO bedeutet „Kontaktdaten“, dass Daten bereitgestellt werden müssen, die eine Kontaktaufnahme mit dem Datenschutzbeauftragten ermöglichen. Darunter wird regelmäßig eine Telefonnummer, E-Mail-Adresse und ggf. eine Faxnummer verstanden. Bereits der Name des Datenschutzbeauftragten ist hierzu nicht zwingend notwendig. Dass der Verordnungsgeber den Namen nicht zu den Kontaktdaten zählt, zeigt sich auch an anderer Stelle in der Verordnung. So sind gemäß Art 13 DS-GVO „Name und Kontaktdaten“ des Verantwortlichen bereitzustellen. Diese Formulierung zeigt, dass aus Sicht des Verordnungsgebers, der Name eben nicht zu den Kontaktdaten gehört, da dieser sonst nicht gesondert hätte genannt werden müssen.
Schaut man sich nun die Online-Formulare an, die von den meisten Aufsichtsbehörden als einzige Meldemöglichkeit angeboten werden, dann werden hier zahlreiche weitere Felder zu Pflichtangaben gemacht, die nach unserer Ansicht dem Prinzip der Datenminimierung widersprechen. So werden neben dem Namen des Datenschutzbeauftragten auch noch der Name und die Kontaktdaten desjenigen abgefragt, der diese Meldung vornimmt. Alle diese Felder sind als Pflichtfelder ausgeführt, sodass eine Meldung ohne Bekanntgabe dieser Daten nicht möglich ist.
Dass es auch anders geht, zeigt übrigens die Aufsichtsbehörde in Berlin. Hier werden genau vier Angaben zum Datenschutzbeauftragten verpflichtend abgefragt (Telefon-/Faxnummer, E-Mail-Adresse, Datum des Beginns bzw. des Endes der Benennung).
Viele Regelungen der DS-GVO sind nicht eindeutig formuliert und daher unterschiedlich interpretierbar. Gerne unterstützen wir Sie bei der möglichst rechtssicheren Ausgestaltung Ihrer Prozesse.