Eines der großen Themen der DS-GVO sind und waren die Informationspflichten. Jede natürliche Person, deren Daten verarbeitet werden, ist durch die für die Datenverarbeitung Verantwortlichen über Zwecke, Art und Umfang der Verarbeitung zu informieren. Hierzu gehören neben Angaben zu Namen und Kontaktdaten des Verantwortlichen gegebenenfalls auch die Kontaktdaten des Datenschutzbeauftragten sowie die Rechte der betroffenen Personen. Die genauen Anforderungen sind in den Artt. 13 und14 DS-GVO zu finden. Nachfolgend fassen wir die wichtigsten Aspekte der Informationspflichten noch einmal zusammen, bevor wir zum eigentlichen Thema kommen.
In welchen Fällen besteht eine Informationspflicht?
Groß war in der Anfangszeit der Wirksamkeit der DS-GVO die Unsicherheit, wer wann zu informieren ist. Diese Unsicherheit trieb so manche Blüte – mittlerweile aber steht fest, dass es eigentlich nur wenige Anlässe gibt, die eine Informationspflicht auslösen:
- personenbezogene Daten werden direkt bei der betroffenen Person erhoben (Art. 13 DS- GVO)
- personenbezogene Daten werden nicht bei der betroffenen Person erhoben (also z.B. bei Dritten oder aus öffentlich zugänglichen Quellen, Art. 14 DS-GVO)
- Der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten bei der betroffenen Person (Art. 13 Abs. 3 DS-GVO) erhoben wurden oder sonst erlangt wurden (Art. 14 Abs. 4 DS-GVO).
Die Informationspflichten bilden zudem die Basis für das Auskunftsrecht der betroffenen Personen. Schließlich kann nur von seinen Rechten Gebrauch machen, wer weiß, dass diese existieren.
Sofern die Daten direkt bei den betroffenen Personen erhoben werden, muss der Informationspflicht direkt bei Erhebung (eigentlich sogar davor) nachgekommen werden. Für die Erhebung bei Dritten und die Zweckänderung gilt, dass innerhalb von vier Wochen informiert werden muss.
Wie muss informiert werden?
Auf welchem Weg zu informieren ist, wird in der DS-GVO nicht festgelegt. Die Informationen müssen in schriftlicher oder anderer Form, gegebenenfalls auch elektronisch zur Verfügung gestellt werden. Hierzu können, Briefe, Links, QR Codes, FAX, E-Mail oder andere Medien verwendet werden. Zu beachten ist, dass der Kostenfaktor kein Grund ist, den Informationspflichten nicht nachzukommen. Häufig besteht der einfachste Weg darin, das gleiche Medium zu verwenden, über das mit einer betroffenen Person ohnehin kommuniziert wird. Dabei ist darauf zu achten, alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (siehe Art. 12 Abs. 1 DS-GVO).
Selbstverständlich dürfen nur Kommunikationswege gewählt werden, über die eine betroffene Person auch erreicht werden kann. Wenn beispielsweise nur 80 Prozent der Kunden per E-Mail kontaktiert werden können da bei den restlichen Kunden nur eine Postanschrift vorliegt, kann das Ergebnis nicht sein, dass nur die Kunden mit einer vorliegenden E-Mail-Adresse angeschrieben werden und die sonstigen Kunden nicht informiert werden. In einer solchen Konstellation müsste für die sonstigen Kunden ein weiteres Medium, wie der Versand per Post, hinzugezogen werden, auch wenn hierdurch gegebenenfalls höhere Kosten entstehen.
Darüber hinaus ist sicherzustellen, dass die Rechenschaftspflicht erfüllt wird (siehe Art. 5 Abs. 2 DS-GVO). Dies bedeutet, dass der Verantwortliche nachweisen muss, dass die Informationspflichten eingehalten wurden. Dies führt dazu, dass jeder Verantwortliche eine Dokumentation als Nachweis anzulegen und vorzuhalten hat.
Gibt es Ausnahmen?
Natürlich gibt es auch bei dieser Anforderung der DS-GVO Ausnahmen. Eine Informationserteilung ist dann nicht erforderlich, wenn die betroffene Person bereits über die Informationen verfügt (Art. 14. Abs. 5 lit. a DS-GVO). Eine Information der betroffenen Person kann ebenfalls unterbleiben, wenn die Erteilung einer Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert, insbesondere bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder Statistikzwecke (Art. 14 Abs. 5 lit. b DS-GVO).
Soweit so gut. Der erste Ausnahmetatbestand ist noch recht einfach abzugrenzen. Ob die „Person bereits über die Informationen verfügt“ ist ein Tatbestand, den man in der Regel einfach feststellen kann. Aber was genau bedeutet „wenn die Erteilung der Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert„? Wann genau ist eine Erteilung der Information unmöglich und wann kann sich auf einen unverhältnismäßigen Aufwand zurückgelehnt werden?
Doch keine Ausnahmen?
Genau zu dieser Fragestellung gibt es interessante Neuigkeiten aus Polen. Am 26.03.2019 gab die polnische Aufsichtsbehörde für den Datenschutz (UODO) bekannt, ein erstes Bußgeld nach DS-GVO in Höhe von PLN 943.000 (das sind knapp € 220.000) verhängt zu haben. Hintergrund war, dass ein Unternehmen von der Ausnahme des Art. 14 Abs. 5 lit. b DS-GVO Gebrauch gemacht hatte. So wurden Daten von über 6 Millionen Personen erhoben. Bei nur etwas über 90.000 Personen allerdings lag eine E-Mail-Adresse vor und so wurde entschieden, nur diese Personen gemäß Art. 14 DS-GVO zu informieren. Für die restlichen ca. 5,9 Millionen Personen wurde argumentiert, dass der Aufwand zur Erteilung der Informationen per Post oder Telefon (diese Daten lagen wohl vor) unverhältnismäßig hoch sei.
Diese Argumentation werden vermutlich viele Verantwortliche nachvollziehen können. Die polnische Aufsichtsbehörde sah das allerdings anders.
Und jetzt?
Eine allgemein gültige Aussage, wann Unternehmen auf die Erteilung der Informationen verzichten können, kann nicht getroffen werden, da das Kriterium des „unverhältnismäßigen Aufwands“ immer eine Einzelfallentscheidung ist. Darüber hinaus müssen weitere Fakten in die Entscheidung einfließen. Letztlich steckt in der Formulierung „unverhältnismäßig hoch“ eben die Abwägung gegen weitere Kriterien. Gleiches könnte für die „Unmöglichkeit“ der Auskunft gelten. Auch hier gibt es keine allgemeingültige Regel, was bedeutet, dass jeder Fall individuell und aus allen Blickwinkeln, auch dem der betroffenen Personen, zu betrachten ist.
Möchten Sie die Einhaltung der Informationspflichten auf den Prüfstand stellen? Rufen Sie an, wir helfen gerne!