In meinem letzten Beitrag habe ich gezeigt, dass der Gesetzgeber von uns in den absurdesten Verarbeitungssituationen umfangreichste Datenschutzinformationen verlangt. Der heutige Beitrag widmet sich der Frage, wie die betriebliche Praxis damit umgehen kann. Denn inner- und außerbetrieblich werden diverse Datenmengen verarbeitet. Beispielsweise werden Kontaktinformationen auf Internetseiten bereitgestellt, elektronische Signaturen erstellt, Kalender, Allergielisten und Fahrtenbücher geführt und wir bestellen neue Büroklammern bei Amazon. Aufgrund der Vielzahl von Verarbeitungstätigkeiten bilden Betriebe, die den vollständigen Überblick über all ihre Tätigkeiten haben, die absolute Ausnahme. Dementsprechend groß ist die Herausforderung, über alle Datenverarbeitungen transparent und nachvollziehbar zu informieren.

Eine allgemeine Datenschutzinformation

Einen guten Lösungsansatz bildet eine allgemeine Datenschutzinformation, die über die alltäglichen Verarbeitungen informiert, aber schnell in dem Transparenzgrundsatz ihre Grenzen finden kann. Schließlich werden nicht alle Beschäftigten mit denselben Verarbeitungssituationen konfrontiert, sodass es kaum möglich sein wird, alle Beschäftigten gemeinsam und umfassend über alle Verarbeitungssituationen zu informieren. Dennoch empfiehlt sich eine allgemeine Information beispielsweise bezüglich alltäglicher Büroanwendungen und Rechnungsdaten zu erteilen.

Dabei wird die Herausforderung zum einen darin liegen, ausreichend transparente Informationen zur Verfügung zu stellen, die aber zum anderen so generell gehalten sind, dass ausreichend Verarbeitungsvorgänge abgebildet werden. Darüber hinaus gilt es einen Prozess zu gestalten, der alle Beschäftigten – auch jene die bereits seit 30 Jahren im Betrieb arbeiten – erreicht und Veränderungen der Information zulässt. Beispielsweise könnten die allgemeinen Informationen im Rahmen einer jährlichen Datenschutzschulung besprochen werden.

Die spezielle Datenschutzinformation

Neben der allgemeinen Information wird man es nicht vermeiden können, über einige Prozesse einzeln zu informieren. Wenn beispielweise eine Beschäftigte auf der Internetseite abgebildet werden soll, wäre es wohl stets intransparent auf diese Information zu verzichten. In diesen Fällen sollte man sich von Verarbeitungstätigkeit zu Verarbeitungstätigkeit überlegen, wie eine transparente und sinnvolle Information gestaltet werden kann. Die Überlegungen könnten sich dabei gut entlang des Verzeichnisses für Verarbeitungstätigkeiten orientieren.

Die Ausnahme des Art. 13 Abs. 4 DS-GVO

Grundsätzlich kann auch überlegt werden, ob von einer Information gänzlich abgesehen werden kann. Die Rechtsgrundlage hierfür bildet Art. 13 Abs. 4 DS-GVO, welche besagt, dass wer bereits Kenntnis vom Informationsinhalt hat, hierüber nicht informiert werden muss. Exemplarisch soll das Fahrtenbuch in einer Steuerkanzlei herhalten, um zu zeigen, auf wie viele Informationen verzichtet werden könnten. Denn in einer Steuerkanzlei wissen die Beschäftigen, dass das Führen eines Fahrtenbuchs steuerliche Gründe hat, kennen somit sowohl den Verarbeitungszweck, als auch das Finanzamt als Datenempfänger. Außerdem kann man einem Steuerberater zumuten, dass er weiß, dass sein Arbeitsvertrag (und die Pflicht gegenüber dem Finanzamt) die Rechtsgrundlage für die Verarbeitung bildet. Somit ließe sich wohl durchaus vertreten, von einer Information nach Art. 13 Abs. 1 DS-GVO abzusehen.

Allerdings müsste wohl dennoch nach Art. 13 Abs. 2 über die Löschfristen und die Betroffenenrechte (dazu gleich) informiert werden. Hier liegt ein Problem, welches auch im Rahmen der allgemeinen Datenschutzinformation schnell auftreten kann. Wer also den rechtssicheren Weg gehen will, wird wohl nie gänzlich auf eine Information verzichten können.

Betroffenenrechte

An dieser Stelle sei wieder einmal die Absurdität der Informationspflicht über Betroffenenrechte aufgezeigt, Art. 13 Abs. 2 lit. b), d) DS-GVO. Sollte keine allgemeine Datenschutzinformation bestehen und über jede Verarbeitungstätigkeit einzeln informiert werden, könnte man sich fragen, wann der Zeitpunkt eintritt, ab dem die Beschäftigen ihre Betroffenenrechte kennen und dementsprechend auf die Information verzichtet werden kann. Wer vertritt, es gebe diesen Zeitpunkt, könnte allerdings mit ähnlichem Argument vertreten, dass ein Beschäftigter seine Betroffenenrechte kenne, weil er sich bei Facebook angemeldet hat (und hierbei nachweislich informiert worden ist). Die allgemeine Datenschutzinformation vermag die Frage, ob in spezielleren Datenschutzinformationen auf die Informationen über Betroffenenrechte verzichtet werden kann, auch nicht abschließend beantworten, da hiergegen dieselben Argumente wie oben anzuführen wären.

Das Problem lässt sich am sinnvollsten lösen, indem man die Betroffenenrechte bei Beschäftigtenschulungen bespricht. Denn gut geschulte Beschäftigte kennen die Betroffenenrechte und müssen hierüber nicht mehr darüber informiert werden. Dasselbe gilt für Vertiefungswissen zur allgemeinen Information.

Praktische Empfehlungen

Wie genau eine allgemeine Information aussehen sollte, unterscheidet sich bezüglich der betrieblichen Anforderungen und der Adressaten. Allerdings ist zu empfehlen, diese zu erstellen und regelmäßig zu überprüfen. Zudem sollte sie allen Beschäftigen bereits bei Dienstantritt vorgelegt werden und ein Prozess eingeführt werden, der die Information aktuell hält. Außerdem sollte gewährleistet werden, dass stets alle Beschäftigten korrekt informiert sind. Hierfür können sich Schulungen gut anbieten.

Daneben sollte die Informationspflicht beim Führen des Verzeichnisses für Verarbeitungstätigkeiten direkt mitgedacht werden. Gemäß Art. 24 Abs. 1 DS-GVO gilt es hierbei (auch) bezüglich des Nachweises über die Information einen risikobasierten Ansatz zu fahren. Dementsprechend gilt es, sich mehr Gedanken über die Informationspflicht (und dessen Nachweis) zu machen, je größer die Risiken für die Rechte und Freiheiten der Beschäftigen sind.

Über den Autor: Felix Lückert ist Volljurist (Ass. Jur.) und beim Dresdener Institut für Datenschutz als externer Datenschutzbeauftragter tätig. Der Fokus seiner Tätigkeiten liegt in der Beratung von Hochschulen und Gemeinden. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Zivilrechtsrepetitorium meines Jurastudiums lernte ich den „Oma-Test“ kennen. Dabei fragt man sich am Ende einer juristischen Prüfung: Was würde meine Oma von diesem Ergebnis halten? Geprüft wird, ob das Ergebnis allgemeinverständlich und nachvollziehbar ist. Insbesondere für unkomplizierte Sachverhalte bietet der Test grundsätzlich sehr gute Ergebnisse, was in einer Demokratie ja auch erwartbar sein sollte. In diesem Artikel widmen wir uns der Informationspflicht im Rahmen der Betroffenenrechte, die wir zum einen Anhand des Gesetzes und den herrschenden (Literatur-)Meinungen, aber auch nach Maßgabe des „Oma-Tests“ prüfen. Konkret soll es um die Informationspflicht über das Beschwerderecht bei der Aufsichtsbehörde nach Art. 13 Abs. 2 lit. d) DS-GVO gehen.

Die Informationspflicht nach Art. 13 und 14 DS-GVO

Artikel 13 DS-GVO kodifiziert die Informationspflicht für den Fall, dass personenbezogene Daten beim Betroffenen erhoben werden, während Artikel 14 DS-GVO die Situation regelt, in der die Daten nicht bei der betroffenen Person (selbst) erhoben werden. Als betroffene Person einer Datenverarbeitung hat man das Recht sich bei der zuständigen Aufsichtsbehörde zu beschweren, worüber sie von dem Verantwortlichen in Kenntnis gesetzt werden muss, Art. 13 Abs. 2 lit. d), bzw. Art. 14 Abs. 2 lit. e) DS-GVO.

Der Hauptunterschied zwischen den Informationspflichten von Art. 13 und 14 DS-GVO liegt darin, dass (nur) nach Art. 14 Abs. 5 DS-GVO die Aufklärung unterbleiben kann, wenn sie einen unverhältnismäßigen Aufwand erfordert, oder wenn sie durch Rechtsvorschriften abbedungen wird. Diese Ausnahmen lässt Art. 13 DS-GVO nicht zu. Nach Art. 13 Abs. 4 DS-GVO darf die Aufklärung nur dann unterbleien, wenn die betroffene Person bereits Kenntnis von dem Aufklärungsinhalt hat. Der Ausnahmetatbestand (der in beiden Normen existiert) wirft für die Praxis zweierlei Fragen auf:

Welcher Betroffene hat tatsächlich Kenntnis über sein Beschwerderecht bei der zuständigen (!) Aufsichtsbehörde und welcher Verantwortliche weiß dann auch noch, dass der Betroffene diese Kenntnis hat? Aus Gründen der Rechtssicherheit bleibt dem Verantwortlichen daher stets nur die Möglichkeit eine Datenschutzinformation in alle Unternehmensprozesse zu implementieren, bei denen beim Betroffenen Daten verarbeitet werden.

Nur holzschnittartig soll aufgezeigt werden, was eine umfassende Information erfasst: Gemäß Art. 13 DS-GVO ist unter anderem (!) aufzuklären über  

• die Rechtsgrundlage der Verarbeitung,
• die Speicherdauer, oder dessen Kriterien,
• ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist.

Da beispielsweise die Rechtsgrundlage und der Speicherdauer bei ähnlichen Verarbeitungsvorgängen variieren können, ergibt sich schnell das Problem, dass Standardlösungen fehleranfällig werden.

Die Praxis

Braucht meine Oma einen Friseurtermin, ruft sie (initiativ) vorher beim Friseur an. Dieser notiert ihren Namen, ihre Telefonnummer und den Termin. Hierbei handelt es sich um eine Datenverarbeitung beim Betroffenen, da der Friseur ihre Daten gemäß Art. 4 Nr. 2 DS-GVO sowohl erfasst als auch im Kalender speichert. Dementsprechend löst die Datenverarbeitung Informationspflichten aus. Man kann weder davon ausgehen, dass meine Oma schon mal von der (zuständigen) Aufsichtsbehörde gehört hat, noch dass sie Kenntnis darüber hat, wie lange ihr Friseur seinen Kalender aufbewahrt. Das bizarre daran ist, dass der Friseur beides wohl auch nicht weiß. Dennoch muss er informieren.

Hierzu sei noch gesagt, dass sich dieses Problem nicht über einen Websitehinweis lösen lässt. Denn gemäß Art. 13 Abs. 1 DS-GVO muss die Information zum Zeitpunkt der Datenerhebung erfolgen und aus Sinn und Zweck der Vorschrift ergibt sich, dass die Information bereits vor der Datenverarbeitung und ohne Medienbruch erfolgen muss (Taeger/Gabel/Mester, 4. Aufl. 2022, DS-GVO Art. 13 Rn. 34-36).

In einem letzten Rettungsversuch könnte man daran denken, Art. 14 Abs. 5 lit. b) DS-DVO analog auf Art. 13 DS-GVO anzuwenden, um zu sagen, dass an dieser Stelle die Informationspflichten einen unverhältnismäßig hohen Aufwand bedeuteten. Dieser Rettungsversuch ist aber aus mehren Gründen zum Scheitern verurteilt: Zum einen besteht schon keine Regelunglücke, da man wohl davon ausgehen muss, dass der Gesetzgeber zwei unterschiedliche Informationspflichten für zwei unterschiedliche Situationen schaffen wollte. Aufgrund der systematischen und sprachlichen Ähnlichkeiten spricht daher alles für eine bewusste Andersformulierung und somit gegen eine Regelungslücke.

Ferner ergibt sich aus Art. 14 Abs. 5 lit. b) DS-DVO, sowie aus Erwägungsgrund 62, dass ein unverhältnismäßig hoher Aufwand vorliege, wenn „im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke, oder zu statistische Zwecke“, dies erforderten. Diese Gründe sind für unseren Fall allesamt nicht subsumtionsfähig und regeln deutlich abweichende Konstellationen. Folglich wäre ein Unterlassen der Information selbst dann nicht unverhältnismäßig, wenn man (zu Unrecht) eine Analogie bejahen würde.

Zuletzt sei nicht nur darauf hingewiesen, dass der Friseur hinsichtlich der erfolgten Aufklärung rechenschaftspflichtig (also nachweispflichtig) ist (Art. 5 Abs. 2 DS-GVO), sondern auch auf die Konsequenzen, welche die DS-GVO für das Unterbleiben der Aufklärung vorsieht. Nach Art. 83 Abs. 5 lit. b) DS-GVO können Unternehmen mit einer Geldbuße in Höhe von bis zu vier Prozent des weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres bestraft werden, wenn sie nicht – oder nicht richtig – informieren. Für Nicht-Unternehmen ist die Strafe auf 20 Millionen Euro gedeckelt.

Fazit

Der Alltagstest macht deutlich, dass die DS-GVO für die großen Player geschrieben wurde, aber schnell an ihre Grenzen stößt, wenn sie (beispielsweise) von kleinen Unternehmen angewendet werden soll. Das Ergebnis ist in zweierlei Hinsicht widersprüchlich: Der Datenschutz begegnet uns der ständig im Alltag –etwa auf Hinweisschildern von Überwachungskameras, oder wenn wir Softwareupdates erhalten. Somit werden wir auch über das Beschwerderecht bei der Aufsichtsbehörde alltäglich aufgeklärt – und trotzdem kennen es die wenigsten Betroffenen. 

Man kann daher wohl mir Recht sagen, dass es den Googles und Metas dieser Welt nicht gelingt die Betroffenen – und schon gar nicht meine Oma – adäquat zu informieren. Mit dieser Aufgabe faktisch überfordert, wird nun der Friseurbetrieb von nebenan vor dieselbe Aufgabe gestellt – und scheitert (selbstverständlich) ebenfalls. Dabei sei gesagt, dass es sich hier nicht um ein exklusives „Friseurproblem“ handelt. Auch das Abspeichern von Handynummern im Berufshandy, stellt Datenverarbeitung dar – und das ganz abgesehen von jeder Problematik um eine datenschutzkonforme WhatsApp-Nutzung. Wer einen Kontakt via Mail weiterleitet, oder eine Anrufnotiz erstellt, muss den Anrufer ebenfalls DS-GVO konform informieren. Ein Ergebnis, das wohl nicht nur für meine Oma schwer nachzuvollziehen wäre.

Ausblick

Kern des Problems ist, dass die durch die DS-GVO verpflichteten Akteure zu unterschiedlich sind, um gleich behandelt zu werden. Lösung kann nur sein, dass ein Friseursalon hinsichtlich der Informationspflicht anders als ein millionenschweres Unternehmen reguliert werden muss. Eine denkbare Lösung wäre eine Erweiterung des Art. 23 Abs. 1 DS-GVO. Dieser lässt gesetzliche Beschränkungen der Betroffenenrechte zu, wenn es beispielsweise durch Belange der öffentlichen Sicherheit erforderlich ist. Eine Öffnung der Norm für Alltagsprobleme könnte Abhilfe schaffen, um individuell auf die Bedürfnisse der Betroffenen eingehen zu können. Die aktuelle Lösung führt jedenfalls zu erheblichen Rechtsunsicherheiten – sowohl in der Praxis, als auch bei meiner Großmutter.

Über den Autor: Felix Lückert ist Volljurist (Ass. Jur.) und beim Dresdener Institut für Datenschutz als externer Datenschutzbeauftragter tätig. Der Fokus seiner Tätigkeiten liegt in der Beratung von Hochschulen und Gemeinden. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.