Praxishandbuch DSGVO

3. Modalitäten der Information der betroffenen Personen (Art. 12 DSGVO)

145

Wie oben bereits ausgeführt, geben Art. 13 und Art. 14 DSGVO vor allem die Inhalte der Informationspflicht vor. Sie regeln mit anderen Worten also insbesondere die Punkte, über die ein Verantwortlicher die betroffene Person zu informieren hat. Im Gegensatz zur (alten) EU-Datenschutzrichtlinie 95/46/EG gibt die DSGVO aber auch relativ präzise Vorgaben zur Art und Weise der Information der betroffenen Personen, vor allem in Art. 12 Abs. 1, Abs. 5 und Abs. 7 DSGVO und dem korrespondierenden Erwägungsgrund 58 DSGVO. Durch diese Vorgaben soll die transparente und faire Verarbeitung der Daten sichergestellt werden. Denn hierfür ist es entscheidend, dass die betroffenen Personen nicht nur über die Datenverarbeitung informiert werden, sondern sie die Information auch verstehen können.176

a) Formulierung der Information

146

Art. 12 Abs. 1 DSGVO verlangt vom Verantwortlichen, dass er die betroffenen Personen in präziser, transparenter und verständlicher Form unterrichtet.177 Zudem muss die Information in einer einfachen und klaren Sprache erfolgen. Die einzelnen Anforderungen sind nicht klar voneinander abgrenzbar und überschneiden sich. So ist diese Vorschrift auch eher im Sinne einer Zielvorgabe zu verstehen: die betroffenen Personen müssen die Verarbeitung ihrer Daten verstehen können. Von daher müssen die Informationen

 – korrekt und vollständig sein,178

 – den Inhalt erkennen lassen und diesen nicht verschleiern,179

 – so formuliert sein, dass die betroffene Person den Inhalt der Informationen erfassen, verstehen und nachvollziehen kann, so dass sie auf dieser Basis über den Umgang mit ihren Daten entscheiden kann.180 Hierbei ist auf eine durchschnittliche, von der konkreten Datenverarbeitung betroffene Person und deren (Vor-)Kenntnisse und intellektuelle Fähigkeiten abzustellen;181 in diesem Zusammenhang kann es ggf. erforderlich sein, verschiedene Darstellungen zu entwerfen, wenn sich die Informationen an verschiedene Zielgruppen richten,182

 – in einfacher und klarer Sprache erfolgen, d.h. unter Vermeidung komplexer Satz- und sprachlicher Strukturen und Modalverben (wie z.B. „kann“, „oft“ und „möglich“), aber unter Verwendung konkreter und eindeutiger Begriffe; die Absätze und Sätze sollten strukturiert sein und die Hierarchie bzw. Zusammenhänge erkennen lassen; technische, rechtliche oder fachbezogene Begriffe sollten vermieden werden,183

 – griffig formuliert sein, um Informationsermüdung vorzubeugen,184

 – sich auf die notwendigen Inhalte beschränken, da zu viele Informationen dazu führen können, dass eine Information unverständlich wird – hierbei kann es insbesondere im Online-Bereich empfehlenswert sein, eine multilayered notice bzw. einen Mehrebenenansatz zu wählen,185

 – für betroffene Personen in Deutschland grundsätzlich in deutscher Sprache verfasst sein.186

147

Richten sich die Informationen speziell an Kinder i.S.d. DSGVO, ist dies nach Art. 12 Abs. 1 S. 1 Hs. 2 DSGVO bei der Formulierung der Informationen entsprechend zu berücksichtigen.187

148

Ggf. kann es vor dem Hintergrund dieser Anforderungen auch sinnvoll sein, der betroffenen Person nicht eine allumfassende Information für sämtliche Datenverarbeitungen nach Art. 13 DSGVO oder Art. 14 DSGVO zur Verfügung zu stellen, sondern diese – wenn möglich – aufzuteilen und der betroffenen Person separate Informationen für die verschiedenen Datenverarbeitungen zukommen zu lassen – auch um einen „information overload“ zu verhindern.188

b) Information in leicht zugänglicher Form

149

Nach Art. 12 Abs. 1 DSGVO muss die Information zudem in leicht zugänglicher Form erfolgen. Hierzu muss die betroffene Person die Information mit den für sie verfügbaren Mitteln ohne weitere Hürden zur Kenntnis nehmen können.189

Erfolgt die Information z.B. schriftlich, ist es erforderlich, der betroffenen Person die Information ausgedruckt auszuhändigen. Erfolgt die Information elektronisch, kann der Verantwortliche der betroffenen Person z.B. eine E-Mail mit den Informationen zusenden. Erfolgt die Information auf einer Website, muss er dafür sorgen, dass die Information einfach zu finden und aufrufbar ist.190

c) Form

150

Nach Art. 12 Abs. 1 S. 2 DSGVO muss der Verantwortliche die betroffene Person entweder schriftlich oder in anderer Form, gegebenenfalls auch elektronisch, informieren.191

151

Es ist also u.a. eine Information in Textform (z.B. per E-Mail) oder auf einer Website möglich. Nach Erwägungsgrund 58 DSGVO kommt die Information auf einer Website insbesondere in Situationen in Betracht, in denen die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie selbst betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet. Allerdings kann die Information auch in anderen Situationen über eine Website erfolgen.

152

Die vom Verantwortlichen gewählte Form muss im konkreten Einzelfall aber geeignet sein, der betroffenen Person Kenntnis von den zur Verfügung gestellten Informationen zu verschaffen.192 Dabei „schuldet“ der Verantwortliche nach hier vertretener Ansicht gem. Art. 12 Abs. 1 DSGVO aber keinen „Erfolg“ in dem Sinne, dass er sicherstellen muss, dass die betroffene Person die Informationen auch tatsächlich zur Kenntnis genommen hat – er muss die Informationen nur so zur Verfügung stellen, dass sie diese ohne größeren Aufwand zur Kenntnis nehmen kann.193

153

Hierzu kann es ggf. auch erforderlich sein, der betroffenen Person die entsprechenden Informationen im jeweiligen Kontext zu erteilen. So scheint es z.B.

nach Auffassung des Europäischen Datenschutzausschusses wohl ggf. nicht auszureichen, nur eine generelle Datenschutzerklärung vorzuhalten – gerade wenn viele Datenverarbeitungsprozesse ausgeführt werden. So sollten bestimmte notwendige Informationen nach Ansicht des EDSA im relevanten Kontext, zum relevanten Zeitpunkt und in der angemessenen Form gegeben werden, z.B. mittels snippets oder pop-ups, wenn die betroffenen Personen aufgefordert werden, bestimmte Daten über sich einzugeben.194 Allerdings ist diese Auffassung nach

hier vertretener Ansicht in ihrer Pauschalität zu weitgehend und sollte jedenfalls mit Augenmaß betrachtet werden, zumal auch die Artikel-29-Datenschutzgruppe in ihren speziellen „Leitlinien für Transparenz gemäß der Verordnung 2016/679“, die vom EDSA bestätigt wurden, solche kontextbezogenen Hinweise nur als ein mögliches Verfahren zur Information der betroffenen Person aufführt.195 Mithin kommt eine Pflicht zur „kontextuellen“ Information der betroffenen Person nach hier vertretener Auffassung (nur) dann in Betracht, wenn die betroffene Person ansonsten die Verarbeitung ihrer Daten nicht mehr wie von Art. 12–14 DSGVO gefordert nachvollziehen könnte.196

154

Gerade im Online-Bereich ist es oftmals empfehlenswert, eine multilayered notice bzw. einen Mehrebenenansatz zu wählen.197 Hierbei werden die Informationen in verschiedenen Ebenen erteilt (sog. „multilayered notice“ bzw. „Mehrebeneninformation“). Auf der ersten Ebene wird zunächst nur überblicksmäßig über die wesentlichen Umstände der Datenverarbeitung informiert und mittels Links auf untere Ebenen verwiesen. In diesen unteren Ebenen werden dann die einzelnen Aspekte der Datenverarbeitung im Detail erläutert.198 Aber auch andere Mittel, wie z.B. Infografiken, QR-Codes, Gamification, Animationen, Piktogramme, Handbücher, Pop-up-Hinweise, Hover-over-Hinweise oder die Verwendung von Dashboards sind in diesem Zusammenhang denkbar.199

155

Soll die Information mündlich (z.B. am Telefon) erteilt werden, ist dies nach Art. 12 Abs. 1 S. 3 DSGVO eigentlich nur dann zulässig, wenn die Identität der betroffenen Person in anderer, also nicht mündlicher Form nachgewiesen wurde. Im Hinblick auf die Informationspflicht nach Art. 13 und Art. 14 DSGVO ist diese Regelung jedoch – auch nach Ansicht der Artikel-29-Datenschutzgruppe – nicht nachvollziehbar, da die Informationen z.B. auch zukünftigen Kunden/Nutzern zur Verfügung gestellt werden, deren Identität der Verantwortliche zu diesem Zeitpunkt oftmals noch gar nicht kennen kann.200 Vor diesem Hintergrund

ist die Identifizierung der betroffenen Person vor der mündlichen Information in diesem Fall nicht erforderlich.201

156

Auf Medienbrüche sollten Verantwortliche möglichst verzichten202 – auch wenn die DSGVO keine ausdrücklichen Aussagen hierzu enthält.203Allerdings

erkennen auch die Artikel-29-Datenschutzgruppe und der Europäische Datenschutzausschuss an, dass Medienbrüche in bestimmten (Ausnahme-)Fällen zulässig sein können.204 Gerade wenn die Form der Datenerhebung bzw. das verwendete Kommunikationsmedium eine umfassende Information der betroffenen Person faktisch unmöglich macht oder diese überfordern würde, kommt nach hier vertretener Ansicht auch eine gestufte Information der betroffenen Person (ggf. unter Verwendung verschiedener Medien) in Betracht, z.B. im Fall der (Erst-)Erhebung von Daten im Rahmen eines Telefongesprächs, mittels einer Gewinnspielpostkarte, über IoT-Devices sowie im Rahmen einer Videoüberwachung und Automatenverkäufen.205

157

In diesem Fall ist es nach hier vertretener Ansicht zulässig, der betroffenen Person auf der ersten Stufe (nur) die essentiellen Informationen zu erteilen, die diese unbedingt benötigt, um sich ein Bild von der geplanten Datenverarbeitung machen und die damit verbundenen Risiken einschätzen zu können.206 Welche

Informationen dies sind, hängt vom jeweiligen Einzelfall ab. Die Artikel-29-Datenschutzgruppe zählt hierzu jedenfalls Informationen über die Zwecke der Datenverarbeitung, den Verantwortlichen, die Betroffenenrechte, die wichtigsten Auswirkungen der Verarbeitung und über Verarbeitungsaktivitäten, mit denen die betroffene Person möglicherweise nicht rechnet.207 Gerade vor dem Hintergrund, dass die Zulässigkeit von Medienbrüchen bei der Information nach Art. 13f. DSGVO umstritten ist, sollte der Verantwortliche auf der ersten Ebene aber noch weitere Informationen erteilen, wie z.B. (sofern dies im Einzelfall relevant ist) über die berechtigten Interessen des Verantwortlichen i.S.d. Art. 6 Abs. 1 S. 1 lit. f DSGVO, die Kategorien von Empfängern der Daten und im Fall des Art. 14 DSGVO über die Kategorien personenbezogener Daten, die verarbeitet werden.208 Auch der Europäische Datenschutzausschuss ist der Auffassung, dass ggf. noch weitere Informationen mit „hoher Bedeutung“ auf der ersten Ebene zu erteilen sind, wie ggf. über die berechtigten Interessen und die Kontaktdaten des Datenschutzbeauftragten.209 In jedem Fall ist es erforderlich, dass die Informationen „auf der ersten Stufe“ einen transparenten Hinweis auf die „zweite Stufe“ enthalten – insbesondere muss die betroffene Person darüber informiert werden, wie sie diese weiteren Informationen erhalten kann.210 Die „auf der ersten Stufe“ zu erteilenden Informationen sind der betroffenen Person i.d.R. mittels des Kommunikationsmittels zu erteilen, mit dem die Kontaktaufnahme mit der betroffenen Person erfolgt, z.B. mittels der Gewinnspielkarte.211

158

Die weiteren nach Art. 13 bzw. Art. 14 DSGVO erforderlichen Informationen, die der betroffenen Person noch nicht auf der ersten Ebene erteilt wurden, können dieser dann nach hier vertretener Meinung auf andere Weise zur Verfügung gestellt werden, wobei zu beachten ist, dass auch diese leicht zugänglich sein und den weiteren (Modalitäts-)Anforderungen des Art. 12 DSGVO genügen müssen. So kann – je nach Einzelfall – z.B. die Zusendung der weiteren Informationen per E-Mail in Betracht kommen oder die Zurverfügungstellung eines Links und eines QR-Codes, mittels derer die betroffene Person die restlichen Informationen aus dem Internet abrufen kann.212

Praxishinweis

Verantwortliche sollten Medienbrüche – obwohl sie nach hier vertretener Ansicht unter den oben genannten Voraussetzungen zulässig sind – vor dem Hintergrund der abweichenden Ansichten in der datenschutzrechtlichen Literatur und den zumindest skeptischen deutschen Datenschutzaufsichtsbehörden dennoch nur dann einsetzen, wenn die Information der betroffenen Person anders faktisch unmöglich wäre.

159

Die Gründe, warum eine bestimmte Form/ein bestimmtes Mittel zur Informationserteilung gewählt wurde, sind vor dem Hintergrund der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO zu dokumentieren.213

160

Im Übrigen müssen die Informationen, die der Verantwortliche der betroffenen Person zur Erfüllung seiner Informationspflichten nach Art. 13 oder Art. 14 DSGVO mitteilt, klar von anderen Informationen, wie z.B. AGB oder Nutzungsbedingungen getrennt sein.214

d) Unentgeltlichkeit

161

Die Information der betroffenen Person nach Art. 13 bzw. Art. 14 DSGVO muss nach Art. 12 Abs. 5 S. 1 DSGVO unentgeltlich erfolgen.

e) Kombination mit standardisierten Bildsymbolen

162

Art. 12 Abs. 7 DSGVO erlaubt es zudem ausdrücklich, dass die Informationen nach Art. 13 und Art. 14 DSGVO in Kombination mit standardisierten Bildsymbolen bereitgestellt werden.215 Hierdurch soll der betroffenen Person in

leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form ein aussagekräftiger Überblick über die beabsichtigte Verarbeitung vermittelt werden. Allerdings reicht es nach dem eindeutigen Wortlaut von Art. 12 Abs. 7 S. 1 DSGVO nicht aus, die betroffene Person ausschließlich durch solche Bildsymbole zu informieren. Vielmehr müssen die verwendeten Bildsymbole vom Verantwortlichen gem. Art. 12 Abs. 7 S. 1 DSGVO mit begleitenden Informationen versehen werden.216 Eine Pflicht, derartige Bildsymbole zu verwenden, besteht derzeit aber nicht. Allerdings wird die EU-Kommission in Art. 12 Abs. 8 DSGVO ermächtigt, durch delegierte Rechtsakte vorzugeben, dass bestimmte nach Art. 13 bzw. Art. 14 DSGVO zu erteilende Informationen durch ein Bildsymbol darzustellen sind.217 Von dieser Ermächtigung hat die EU-Kommission

bis zum Redaktionsschluss dieser Auflage allerdings noch keinen Gebrauch gemacht.

4. Rechenschaftspflicht

163

Zumindest nach Auffassung der deutschen Datenschutzaufsichtsbehörden ist der Verantwortliche verpflichtet, die Erfüllung der Informationspflichten gem. Art. 13 und Art. 14 DSGVO im Rahmen seiner Rechenschaftspflicht gem. Art. 5 Abs. 1 lit. a und Abs. 2 DSGVO nachzuweisen.218 In diesem Zusammenhang müsste der Verantwortliche dann u.a. auch die Gründe dokumentieren, wenn er ausnahmsweise von der Information der betroffenen Person absieht.

Praxishinweis

Bei der Datenschutzorganisation im Unternehmen ist darauf zu achten, dass eine verantwortliche Person/Abteilung für die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO benannt wird. Zudem sind reporting lines einzurichten, die sicherstellen, dass die verantwortliche Person/Abteilung frühzeitig über geplante neue Datenverarbeitungsprozesse oder Änderungen an bestehenden Prozessen informiert wird. Nur so kann die verantwortliche Person/Abteilung prüfen, welche Informationen den betroffenen Personen auf welche Art und Weise zur Verfügung gestellt werden müssen, die entsprechenden Informationstexte und ggf. -bilder entwerfen bzw. diese ändern und für die ordnungsgemäße Implementierung des Informationsprozesses in den Datenverarbeitungsprozess sorgen.

5. Beispiele für Möglichkeiten zur Darstellung der Informationen

164

Der erste Schritt auf dem Weg hin zur Erfüllung der Informationspflichten besteht i.d.R. darin, die Inhalte zu ermitteln, über welche die von der Datenverarbeitung betroffenen Personen informiert werden müssen. Dabei ist oftmals eine der größten Schwierigkeiten, die relevanten Informationen von den jeweiligen Fachabteilungen zu erhalten. Dies gilt gerade für größere Unternehmen.

165

Sind die notwendigen Informationen ermittelt, besteht i.d.R. die größte Schwierigkeit darin, die Datenschutzhinweise bzw. -erklärung so zu gestalten, dass sie den – soeben dargestellten – Anforderungen an die Modalitäten der Information insb. nach Art. 12 Abs. 1, Abs. 5 und Abs. 7 DSGVO gerecht werden/wird.

166

Welche Gestaltung am vorzugswürdigsten ist und gewählt werden sollte, hängt vom jeweiligen Einzelfall ab, insbesondere von der Komplexität der Verarbeitung, wie z.B. der Anzahl der verschiedenen Verarbeitungszwecke. Vor diesem Hintergrund kann an dieser Stelle keine allgemeingültige Empfehlung für die Gestaltung der Datenschutzhinweise bzw. -erklärung gegeben werden. Zumindest als Anregungen können aber ggf. die folgenden Hinweise dienen:219

a) Gestaltung als Checkliste

167

Die einfachste Gestaltung, die gerade bei einfachen, nicht umfangreichen Datenverarbeitungen gewählt werden kann, besteht darin, die Punkte, über die die betroffene Person gem. Art. 13 oder Art. 14 DSGVO informiert werden muss, in den Datenschutzhinweisen bzw. der -erklärung einzeln (abstrakt) aufzulisten und daneben dann die konkreten Informationen anzugeben:

 – Name und Kontaktdaten des Verantwortlichen: XY GmbH, Musterstr. 1, 10000 Musterstadt, Musterland, E-Mailadresse: xy@muster-gmbh.xy

 – Kontaktdaten des Datenschutzbeauftragten: [...]

 – ...

168

Diese Gestaltung entspricht einer Checkliste und ermöglicht es dem Verantwortlichen selbst, aber auch Datenschutzaufsichtsbehörden und Gerichten, (einfach) zu überprüfen, ob der Verantwortliche zu sämtlichen nach Art. 13 bzw. Art. 14 DSGVO erforderlichen Punkten Informationen zur Verfügung gestellt hat. Damit trägt diese Art der Gestaltung auch zur Haftungsvermeidung bei.

169

Oftmals sind derartige Datenschutzhinweise/-erklärungen für die betroffenen Personen aber nicht sehr gut nachvollziehbar, da für sie häufig gerade auch die Zusammenhänge der einzelnen Punkte, über die informiert wird, interessant sind und sich diese Zusammenhänge bei einer Gestaltung der Information als strikte Checkliste ggf. nicht auf den ersten Blick ergeben, z.B. welche Daten für welchen Zweck verarbeitet werden (weil die Information über diese Aspekte in unterschiedlichen Punkten von Art. 13 bzw. Art. 14 DSGVO geregelt ist). Diesem Umstand sollten Unternehmen im Sinne einer „best practice“ bei der Formulierung der einzelnen Informationen Rechnung tragen und auch bei einer Gestaltung als Checkliste nicht nur einfach jeden Punkt, über den nach Art. 13 bzw. Art. 14 DSGVO zu informieren ist, einzeln für sich „abhaken“. Vielmehr sollten Unternehmen im Sinne dieser „best practice“ – soweit im Einzelfall möglich und sinnvoll – auch die Zusammenhänge mit anderen Punkten, über die informiert werden muss, erläutern, ggf. z.B. welche Daten(kategorien) zu welchem Zweck verarbeitet werden oder welche Daten an einen bestimmten Empfänger weitergeleitet werden.

b) Gruppierung von Informationen

170

Soweit für die Datenschutzhinweise bzw. -erklärung der Aufbau als Checkliste gewählt wird, ist es oftmals empfehlenswert, die betroffene Person nicht in der Reihenfolge über die Punkte zu informieren, wie sie der Verordnungsgeber in Art. 13 bzw. Art 14 DSGVO gewählt hat. Vielmehr empfiehlt es sich, die einzelnen Punkte bestimmten thematischen Gruppen zuzuordnen und die betroffenen Personen dann in den Datenschutzhinweisen/der Datenschutzerklärung über die einzelnen Gruppen zu informieren, die die jeweils thematisch zusammenhängenden Punkte beinhalten, über die der Verantwortliche die betroffenen Personen nach Art. 13 bzw. Art. 14 DSGVO informieren muss. Hierdurch wird die Information für diese übersichtlicher und besser nachvollziehbar.

171

Ein gutes Beispiel für eine mögliche Gruppierung der nach Art. 13 bzw. Art. 14 DSGVO zu erteilenden Informationen findet sich in der Praxishilfe zu den Transparenzpflichten der Gesellschaft für Datenschutz und Datensicherheit.220