Erfüllung der DSGVO-Informationspflichten – Die „Link-Lösung“ (mit Muster)
Kapitel 3 der Datenschutz-Grundverordnung (DSGVO) regelt die Rechte der Betroffenen. Leider – und das habe ich ja mehrfach schon betont – ist dies aus Sicht von sinnvoller Rechtssetzung das mit Abstand schlechteste Kapitel der DSGVO. Und das bezieht sich in besonderer Weise auf die Informationspflichten des Verantwortlichen gegenüber dem Betroffenen.
Es kann mit Fug und Recht behauptet werden, dass die Umsetzung der DSGVO bei vielen Unternehmen (und auch öffentlichen Stellen) wesentlich einfacher gewesen wäre, wenn die Informationspflichten in vernünftiger und rechtstechnisch sauberer Weise geregelt worden wären.
Während es zu den Informationspflichten gegenüber Betroffenen im Hinblick auf die Daten, die nicht bei ihm selbst erhoben worden sind, noch halbwegs brauchbare Ausnahmen in Art. 14 Abs. 5 DSGVO gibt, die durch Auslegung der Norm für die Praxis handhabbar gemacht werden können, bestehen diese Ausnahmeregelungen im Hinblick auf personenbezogene Daten, die beim Betroffenen selbst erhoben werden, nicht.
Hier ist also stets und vor allem dem Wortlaut nach zum Zeitpunkt der Erhebung der Daten zu informieren. Hier ist die Erfüllung der Informationspflichten des Art. 13 DSGVO nur entbehrlich, „wenn und soweit die betroffene Person bereits über die Information verfügt“.
In der Praxis führt das genau dazu, dass m.E. dem Datenschutz ein Bärendienst erwiesen wird. Die Betroffenen werden derzeit „dichtgeschütttet“ mit langen und ausführlichen Datenschutzhinweisen, die natürlich nicht gelesen werden. Im Gegenteil: Wie bei längeren AGB werden diese Dokumente von den Betroffenen nur als „ach schon wieder so ein Dokument, in dem immer das Gleiche steht“ wahrgenommen. Nur wenige – fragt das gerne mal im Freundes- und Bekanntenkreis ab – lesen wirklich diese Informationen oder nehmen sie auch nur wahr. Die Dokumente landen meist in der physischen oder digitalen Mülltonne.
Leider werden Datenschutzhinweise wieder einmal nur für die Personen geschrieben, die sie ggf. wirklich lesen: Also für Juristen/Anwälte und Mitarbeiterinnen und Mitarbeiter in Aufsichtsbehörden. Ansonsten nimmt nur ein Bruchteil der Personen diese Dokumente wahr.
Und die Informationspflichten aus Art. 13 DSGVO verstärken diesen Prozess sogar noch. Dadurch, dass jetzt – aus Angst vor Bußgeldern (oder ggf. „Abmahnungen“) – viel mehr über die Verarbeitung personenbezogener Daten informiert wird, werden Betroffene immer mehr „taub“ gegenüber diesen Hinweisen. Sie werden einfach nicht mehr wahrgenommen. Die Regelung im Wortlaut des Art. 13 DSGVO hat das angestrebte Ziel der Regelung (mehr „Transparenz“ und „Fairness“) verfehlt.
Um die auch von den Medien wahrgenommenen „Datenschutzinformations-Orgien“ bei einem reinen Telefontermin oder auch nur bei Übergabe einer Visitenkarte zu vermeiden, wird jetzt seitens einiger Aufsichtsbehörden in Deutschland versucht, dieses praxisnaher zu regeln. Das ist erst einmal zu begrüßen und freut mich.
So soll es z.B. bei Datenschutzinformationen von Ärzten bei der Vereinbarung von Behandlungsterminen per Telefon ausreichend sein, wenn die Information nicht direkt zum Zeitpunkt der Erhebung (z.B. Telefongespräche zwecks Terminabsprache), sondern „im zeitlichen Zusammenhang mit der Erhebung der Daten“ erfolgt. Das ist zwar eine praktikable Lösung, ist aber als Auslegung entgegen dem Wortlaut der Norm eine nicht rechtssichere Variante.
Eine bessere Option sehe ich allerdings auch nicht. Ich denke, dass eine wirklich vernünftige Umsetzung der Informationspflichten aus Art. 13 DSGVO zum Beispiel über eine „Link-Lösung“ erfolgen kann. Und ich bin ganz sicher nicht der einzige, der diese Auffassung vertritt.
Die „Link-Lösung“ für Informationspflichten aus Art. 13 DSGVO
Die Link-Lösung hängt sich zunächst am Wortlaut von Art. 13 Abs. 1 DSGVO auf:
Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit (…)
Dort steht eben nicht direkt, wie die Informationen zu erteilen sind. Auch aus den insoweit einschlägigen Erwägungsgründen ergibt sich insoweit nicht genau, wie die Informationen zur Verfügung stellen sind. So heißt es in Erwägungsgrund 60 wörtlich:
Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.
Weder aus dem Wortlaut von Art. 13 DSGVO noch aus den Erwägungsgründen ergibt sich, dass z.B. ein Unternehmen zwingend „aktiv“ Informationen zum Datenschutz zu überreichen hat, wenn sich z.B. ein Kunde im Laden befindet. Oder ein Patient in der Arztpraxis.
Und weder der Wortlaut der Norm noch die Erwägungsgründe sprechen dagegen, dass ich nicht vielleicht bzgl. meiner Informationen zum Datenschutz auf Datenschutzhinweise auf meiner Internetseite verweisen kann. Es könnte jedoch ggf. bezweifelt werden, dass die nach Art. 12 Abs. 1 Satz 1 DSGVO erforderliche „leichte Zugänglichkeit“ nicht gewährleistet wäre (vgl. zum Meinungsstand hier).
Wir leben allerdings in einer Zeit, in der ein Großteil der Bevölkerung jederzeitigen Internetzugang hat. Wenn wir mal bei dem Beispiel einer Arztpraxis bleiben würden, so könnte Praxispersonal wohl sowohl bei Jugendlichen als auch bei Senioren davon ausgehen, dass diese in der Lage sind, auf Internetseiten zuzugreifen. Sollten hieran Zweifel bestehen, weil entweder die intellektuellen Fähigkeiten nicht oder nicht mehr vorhanden sein sollten, könnte das Praxispersonal individuell reagieren und die erforderlichen Informationen zum Datenschutz dann in anderer geeigneter Weise kommunizieren.
Voraussetzung ist m.E., dass ein Verweis auf Datenschutzhinweise z.B. im Internet nicht dazu führt, dass eine Situation entsteht, die einer fairen und transparenten Verarbeitung personenbezogener Daten widerspricht. So ein Widerspruch kann immer dann entstehen, wenn eine Verarbeitung nicht den typischen (oder vernünftigen) Erwartungen des Betroffenen entspricht. Mit anderen Worten: Art oder Umfang der Verarbeitung sind überraschend. Genauer: Überraschend und unerwartet. In diesen Fällen sollte ein sog. Medienbruch vermieden und z.B. bei einer Datenerhebung auf Papier auch in Papierform informiert werden. In allen anderen Fällen kann aber ein Verweis auf weitere Datenschutzhinweise auf einer Internetseite ausreichend sein.
Der Europäische Datenschutzausschuss, das neue Gremium der Aufsichtsbehörden der Europäischen Union, hat in einem „Endorsement 1/2018“ (PDF) auch das Arbeitspapier WP 260 rev. 01 der Art. 29 Gruppe mit dem Titel „Guidelines on transparency under Regulation 2016/ 679“ (PDF) übernommen.
Aus diesen Guidelines ergibt sich, dass auch in einer „Offline“-Situation ein „geschichteter Ansatz“ („Layered Approach“) sinnvoll und zulässig sein kann. So kann es auch nach Auffassung des Europäischen Datenschutzausschusses z.B. zulässig sein, in einem Telefongespräch kurz auf eine Datenverarbeitung (und dessen Zweck) hinzuweisen, um dem Betroffenen dann später einen Link zu den vollständigen Datenschutzhinweisen auf einer Internetseite zukommen zu lassen (so z.B. Ziff. 38 von WP 260 rev. 01 der Art. 29 Gruppe (PDF). Anders ist das aber z.T. von Aufsichtsbehörden auf Anfrage mitgeteilt worden (wurde mir so berichtet). Danach sei ein Aushang mit Informationen zum Datenschutz nicht ausreichend.
Tatsache ist aber, dass die DSGVO nicht per se verbietet, dass die Informationen aus Art. 13 DSGVO über z.B. einen Link auf eine Internetseite erteilt werden. Entscheidend ist (s.o.) allein, dass dadurch die Transparenz und Fairness der Datenverarbeitung gegenüber dem Betroffenen gewahrt bleibt. Und solange hier eine Datenverarbeitung erfolgt, die vom Betroffenen typischerweise erwartet werden kann, wird m.E. eine Link-Lösung, bei der auf einen Link zu vollständigen Datenschutzhinweisen verwiesen wird, nicht nur eine geeignete, sondern auch die beste Variante sein.
Die „beste“, weil so verhindert wird, dass die Betroffenen mit Datenschutzhinweisen überschüttet werden. Die sie einfach nicht mehr richtig wahrnehmen und ggf. auch nicht richtig ernstnehmen.
Betroffene würden bei Umsetzung der Link-Lösung dann nur noch in den Fällen oder Situationen konkrete Datenschutzhinweise ausgehändigt erhalten, die in irgendeiner Weise „besonders“ oder „anders“ sind. Also bei einer Abweichung vom „typischen“ Verlauf. Eben „unerwartet überraschend“. Und das genau wäre eine sinnvolle Situation im Datenschutz. Der Betroffene wüsste dann „Okay, jetzt wird es ernst. Das sollte ich mir jetzt vielleicht wirklich noch einmal ansehen.“. Und genau das wäre eine gute Umsetzung im Sinne der „Betroffenen“ und „Verantwortlichen“.
Niemand braucht Informationen zum Datenschutz, wenn es sich um typische, erwartete Datenverarbeitung handelt, die für den Betroffenen nicht überraschend ist. Wer es genauer wissen möchte, der kann sich über den Link die genauen Datenschutzhinweise ansehen. Und darüber hinaus macht es natürlich auch Sinn, z.B. in der Arztpraxis zusätzlich eine Printvariante vorzuhalten, die auf Anfrage eines Patienten herausgegeben werden kann. Oder eben an die Patienten herausgegeben werden kann, die ggf. die Datenschutzhinweise nicht über das Internet abrufen können. Oder diese ggf. auf diese Weise nicht „verstehen“ (z.B: aufgrund von fehlenden Sprachkenntnissen oder kognitiven Fähigkeiten).
Und was ist mit der Rechenschaftspflicht? Muss ich nicht nachweisen können, dass ich meinen Informationspflichten nachgekommen bin? Geht das nicht nur, wenn ich mir z.B. den Erhalt der Informationen durch den Betroffenen bestätigen lasse?
Gute Frage. Aber ich denke nicht, dass eine Verletzung von Art. 5 Abs. 2 DSGVO vorliegt, wenn ich nicht im Einzelfall nachweisen kann, dass Betroffener „X“ die Information erhalten hat. Vielmehr ist es meiner Meinung nach ausreichend, wenn ich nachweisen kann, dass mein Unternehmen (oder meine Praxis) so organisiert ist (oder ab Zeitpunkt X war), dass jeder Patient die Möglichkeit der Information hatte und auch diesbezüglich Vorkehrungen getroffen worden sind.
Beispiel: Meine Praxisorganisation (kann z.B. eine Anweisung der Praxisinhaber sein) sieht vor, dass auf dem Tresen am Empfang ein deutlich sichtbarer Aufsteller angebracht ist, auf dem zu lesen ist:
Unsere Hinweise zum Datenschutz finden Sie hier: www.praxis-mustermann.de/ds
Dieser Hinweis ist kurz und die Internetadresse lässt sich merken und ist kurz genug, um sie z.B. auf dem Smartphone kurz einzugeben und aufzurufen.
Und wenn ich dann auch noch nachweisen kann, wann diese Anweisung zur Praxisorganisation erfolgt ist, dann sprechen gute Gründe dafür, dass damit der Rechenschaftspflicht Genüge getan wurde. Sicher kann man das anders sehen. Aber Datenschutz ist – unabhängig von einer fehlenden Definition des eigentlichen Schutzzweckes des „Datenschutzes“ im EU-Recht – kein Selbstzweck. Er dient vornehmlich den Betroffenen. Auch aus diesem Aspekt sind keine hohen Anforderungen an die Rechenschaftspflicht bzw. dem Nachweis von Umsetzungen im Bereich Datenschutz zu stellen.
Und wie macht das nun z.B. ein Unternehmen bei einer Übergabe von Visitenkarten? Diesem mittlerweile berühmten Fall, in dem ich „eigentlich“ beim Erhalt einer Visitenkarte mit meinem „Datenschutz-Flyer“ antworten und diesen übergeben müsste, sofern ich die Visitenkarten nicht einfach nur unsortiert in einen Karton werfe und sie damit nicht einem „Dateisystem“ zugeführt wird.
Ganz ehrlich: Jeder, der im geschäftlichen Bereich (ansonsten wird die DSGVO wegen der sog. „Haushaltsausnahme“ für den privaten und familiären Bereich grds. keine Anwendung finden) eine Visitenkarte überreicht geht typischerweise davon aus, dass die Visitenkarte vom Empfänger der Karte im Anschluss geordnet analog oder digital abgelegt wird, um die auf der Visitenkarten enthaltenen Informationen später auch wieder zu finden. Zum Beispiel, um dann wieder Kontakt aufzunehmen.
Gesonderte Datenschutzhinweise sind hier auch in Anbetracht des in der Regel geringen Schutzbedarfs der Informationen auf einer Visitenkarte aus Gründen von Transparenz & Fairness nach der DSGVO nicht zwingend erforderlich. Auch hier sollte also die Link-Lösung eine geeignete Umsetzung darstellen.
Und wie wiese ich nun auf diesen Link hin?
„Am besten bei jeder Gelegenheit, ohne sich zu blamieren und ohne dass ein Mitarbeiter nachdenken muss“
…ist da meine Standard-Antwort für Mandanten. Und damit meine ich, dass in jeder E-Mail-Signatur eines Mitarbeiter ein kurzer Link enthalten ist, in dem so oder ähnlich steht: „Unsere Datenschutzgrundsätze“, „Datenschutz bei Mustermann GmbH“ oder kurz „Datenschutzhinweise“
Natürlich wäre ein gesonderter Hinweis hierauf sinnvoll. Wenn ich also z.B. im Nachgang zu einem Treffen, bei dem ich eine Visitenkarte erhalte, sowieso eine E-Mail an den Kontakt sende, kann ich natürlich in einem Satz kurz auf die Datenschutzhinweise verweisen. Also z.B. „Übrigens: Unsere Hinweise um Umgang mit personenbezogenen Daten finden Sie hier.“
Manchmal wäre das aber ggf. auch schon unpassend oder im menschlichem Umgang miteinander ein bisschen „strange“. Dann bliebe aber auf jeden Fall die Möglichkeit, über die E-Mail-Signatur einen Link zu den Datenschutzhinweisen (wie oben beschrieben) aufzunehmen.
Ich denke, da wird jeder seinen Weg finden. Auch hier gilt, dass dem „Datenschutz“ ein Bärendienst erwiesen würde, wenn alle Beteiligten sich gegenseitig sozusagen mit Datenschutzhinweisen „voll-kleistern“.
Und genauso wie oben beschrieben, wären hier aber gesonderte Hinweise zum Datenschutz, auf die ich dezidiert hinweisen sollte, dann erforderlich wenn ich die Visitenkarte nutzen möchte, um die Daten z.B. über eine Internetseite allgemein zugänglich zu machen.
Aber ansonsten weiß im Bereich der Visitenkarten wohl jeder Beteiligte, dass diese dazu genutzt werden, um entweder direkt Kontakt zum Visitenkarteninhaber zu halten oder ggf. auch den Kontakt an andere Personen zu empfehlen. Da wird es also in aller Regel kein nennenswertes Risiko für den Betroffenen geben, aus dem sich ergeben würde, dass die Link-Lösung nicht ausreichend wäre.
Und wie könnten nun die Informationen zur Datenverarbeitung hinter so einem Link aussehen? Hier ein Beispiel eines „normalen“ Unternehmens aus dem produzierenden Gewerbe:
Grundsätze der Datenverarbeitung bei der Mustermann GmbH
Sie sind über einen Link auf diese Seite gekommen, weil Sie sich über unseren Umgang mit (Ihren) personenbezogenen Daten informieren wollen. Um unsere Informationspflichten nach den Art. 12 ff. der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, stellen wir Ihnen nachfolgend gerne unsere Informationen zum Datenschutz dar:
Wer ist für Datenverarbeitung verantwortlich?
Verantwortlicher im Sinne des Datenschutzrecht ist die
Mustermann GmbH
Musterstr. 123
12345 Musterstadt
Sie finden weitere Informationen zu unserem Unternehmen, Angaben zu den vertretungsberechtigten Personen und auch weitere Kontaktmöglichkeiten im Impressum unserer Internetseite: https://www.mustermann.de/impressum
Welche Daten von Ihnen werden von uns verarbeitet? Und zu welchen Zwecken?
Wenn wir Daten von Ihnen erhalten haben, dann werden wir diese grundsätzlich nur für die Zwecke verarbeiten, für die wir sie erhalten oder erhoben haben.
Eine Datenverarbeitung zu anderen Zwecken kommt nur dann in Betracht, wenn die insoweit erforderlichen rechtlichen Vorgaben gemäß Art. 6 Abs. 4 DSGVO vorliegen. Etwaige Informationspflichten nach Art. 13 Abs. 3 DSGVO und Art. 14 Abs. 4 DSGVO werden wir in dem Fall selbstverständlich beachten.
Auf welcher rechtlichen Grundlage basiert das?
Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten ist grundsätzlich – soweit es nicht noch spezifische Rechtsvorschriften gibt – Art. 6 DSGVO. Hier kommen insbesondere folgende Möglichkeiten in Betracht:
- Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO)
- Datenverarbeitung zur Erfüllung von Verträgen (Art. 6 Abs. 1 lit. b) DSGVO
- Datenverarbeitung auf Basis einer Interessenabwägung (Art. 6 Abs. 1 lit. f) DSGVO)
- Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO)
Wenn personenbezogene Daten auf Grundlage einer Einwilligung von Ihnen verarbeitet werden, haben Sie das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft uns gegenüber zu widerrufen.
Wenn wir Daten auf Basis einer Interessenabwägung verarbeiten, haben Sie als Betroffene/r das Recht, unter Berücksichtigung der Vorgaben von Art. 21 DSGVO der Verarbeitung der personenbezogenen Daten zu widersprechen.
Wie lange werden die Daten gespeichert?
Wir verarbeiten die Daten, solange dies für den jeweiligen Zweck erforderlich ist.
Soweit gesetzliche Aufbewahrungspflichten bestehen – z.B. im Handelsrecht oder Steuerrecht – werden die betreffenden personenbezogenen Daten für die Dauer der Aufbewahrungspflicht gespeichert. Nach Ablauf der Aufbewahrungspflicht wird geprüft, ob eine weitere Erforderlichkeit für die Verarbeitung vorliegt. Liegt eine Erforderlichkeit nicht mehr vor, werden die Daten gelöscht.
Grundsätzlich nehmen wir gegen Ende eines Kalenderjahres eine Prüfung von Daten im Hinblick auf das Erfordernis einer weiteren Verarbeitung vor. Aufgrund der Menge der Daten erfolgt diese Prüfung im Hinblick auf spezifische Datenarten oder Zwecke einer Verarbeitung.
Selbstverständlich können Sie jederzeit (s.u.) Auskunft über die bei uns zu Ihrer Person gespeicherten Daten verlangen und im Falle einer nicht bestehenden Erforderlichkeit eine Löschung der Daten oder Einschränkung der Verarbeitung verlangen.
An welche Empfänger werden die Daten weitergegeben?
Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet grundsätzlich nur statt, wenn dies für die Durchführung des Vertrages mit Ihnen erforderlich ist, die Weitergabe auf Basis einer Interessenabwägung i.S.d. Art. 6 Abs. 1 lit. f) DSGVO zulässig ist, wir rechtlich zu der Weitergabe verpflichtet sind oder Sie insoweit eine Einwilligung erteilt haben.
Wo werden die Daten verarbeitet?
Ihre personenbezogenen Daten werden von uns ausschließlich in Rechenzentren der Bundesrepublik Deutschland verarbeitet.
Ihre Rechte als „Betroffene“
Sie haben das Recht auf Auskunft über die von uns zu Ihrer Person verarbeiteten personenbezogenen Daten.
Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir dann ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.
Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.
Ferner haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben.
Insbesondere haben Sie ein Widerspruchsrecht nach Art. 21 Abs. 1 und 2 DSGVO gegen die Verarbeitung Ihrer Daten im Zusammenhang mit einer Direktwerbung, wenn diese auf Basis einer Interessenabwägung erfolgt.
Wir setzen keine Verarbeitungen ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling i.S.d. Art. 22 DSGVO beruhen.
Unsere Datenschutzbeauftragte
Wir haben eine Datenschutzbeauftragte in unserem Unternehmen benannt. Sie erreichen diese unter folgenden Kontaktmöglichkeiten:
Mustermann GmbH
– Datenschutzbeauftragte –
Musterstr. 123
12345 Musterstadt
E-Mail: datenschutz@mustermann.de
Beschwerderecht
Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
Stand: 30.05.2018
Ich persönlich würde empfehlen, diesen „Link“ als Deep-Link zu verwenden. Damit meine ich, dass diese Datenschutzgrundsätze nicht über die normale Website zu finden sein sollten. Also z.B. nicht über die Navigationsleiste. Meine Datenschutz-Coaching-Mitglieder wissen warum. Update, 03.12.2018: Ich habe die Gründe aber hier auch noch einmal beschrieben: Warum ich einen Deep-Link bei der „Link-Lösung“ für DSGVO-Informationspflichten empfehle