Betroffene Personen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form, in einer klaren und einfachen Sprache über die Verarbeitung personenbezogener Daten zu informieren. Doch wie präzise ist präzise genug? In einer kürzlichen Veröffentlichung umriss die Berliner Beauftragte für Datenschutz und Informationsfreiheit typische Fehler in Datenschutzinformationen. Darunter auch der Hinweis, dass – obwohl interne Empfänger konkret bekannt sind – in einer Datenschutzinformation ausschließlich Kategorien interner Empfänger benannt werden. Diese Forderung zur Nennung konkreter interner Empfänger ist nicht unumstritten und zum Stand Mitte August wurde die Mitteilung der Berliner Aufsichtsbehörde nun von der Internetseite genommen. Wir fragen uns: Wie präzise muss eine Datenschutzinformation sein?
Gesetzliche Anforderungen
Neben den einleitend aufgeführten formalen Anforderungen gemäß Art. 12 Abs. 1 Satz 1 DS-GVO an eine Datenschutzinformation, muss diese ebenfalls den inhaltlichen Anforderungen der Artikel 13 und 14 DS-GVO genügen. In der Regel sind die Datenschutzinformationen den betroffenen Personen zum Zeitpunkt der Erhebung der personenbezogenen Daten bereitzustellen. Zudem sollten die Informationen in der Sprache der Zielgruppe bereitgehalten werden. Sofern beispielsweise eine Internetseite in mehreren Sprachen angeboten wird, sind in den gleichen Sprachen auch die Datenschutzinformationen zur Verfügung zu stellen.
Zweck einer Datenschutzinformation
Erwägungsgrund 60 zur DS-GVO führt aus, dass „die Grundsätze einer fairen und transparenten Verarbeitung […] es erforderlich [machen], dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird.“ Und: „Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.“
In eigenen Worten ausgedrückt bedeutet es, dass einerseits jede von einer Datenverarbeitung betroffene Person darüber in Kenntnis gesetzt werden muss, dass eine Datenverarbeitung stattfindet und andererseits sämtliche Informationen erhalten muss, die es ihr ermöglichen, den Zweck und Umfang der Datenverarbeitung zu verstehen. Dies wird insbesondere dem Ziel nach Art. 1 Abs. 2 DS-GVO gerecht, das Recht auf den Schutz personenbezogener Daten zu gewährleisten. Dies ist nur möglich, sofern die betroffene Person Interventionsmöglichkeiten in Form von Betroffenenrechten besitzt und als Voraussetzung hierfür zuallererst über das „ob“ und „wie“ einer Datenverarbeitung informiert wird.
„Präzise“ und „verständlich“
Unter Berücksichtigung der einschlägigen Kommentarliteratur kann sodann von einer präzisen Information die Rede sein, wenn diese hinreichend genau die wesentlichen Aspekte der Datenverarbeitung beschreibt. Vorausgesetzt wird demnach eine wahrheitsgetreue Abbildung der Verarbeitungsvorgänge. Eine abschließende Beschreibung einschließlich unwesentlicher Details wird jedoch zumindest dann nicht zu fordern sein, sofern hierunter die Verständlichkeit der Datenschutzinformation in ihrer Gesamtheit leidet. Schließlich kann die Verständlichkeit auch als konkrete Anforderung hinsichtlich einer klaren und einfachen Sprache zu verstehen sein.
Die Artikel 29-Gruppe beschreibt in den Leitlinien für Transparenz gemäß der DS-GVO aus April 2018, „dass die Verantwortlichen die Informationen / Mitteilungen auf eine einfache Formel gebracht und griffig formuliert vorlegen sollten, um einer Informationsermüdung vorzubeugen.“ Hieraus wird ersichtlich, dass bei der Erstellung von Datenschutzinformationen auch die Gesamtheit der Informationsfülle zu berücksichtigen ist. Ein solcher Ansatz entspricht auch der Rechtsprechung des Landgericht Frankfurt am Main (Urt. v. 10.6.2016 – 2-03 O 364/15), wonach datenschutzrelevante Darstellungen mit einem Umfang von 56 Seiten im Fließtext nicht dazu geeignet sind, eine rechtswirksame Einwilligung einzuholen. Stattdessen sollten in einem solchen Fall Datenschutzinformationen in einer mehrschichtigen Form oder mit Unterteilung in sinnvolle Absätze bereitgestellt werden.
Leider lassen sich aus der Rechtsprechung und der Literatur keine griffigen Leitplanken für die Erstellung einer präzisen Datenschutzinformationen entnehmen. Mit einem Blick auf die Praxis der datenschutzrechtlichen Aufsichtsbehörden dürfte durchgehend von der Anforderung einer möglichst umfassenden Erläuterung der Datenschutzinformationen auszugehen sein. Als Ziel steht die möglichst umfassende Aufklärung der betroffenen Person im Vordergrund. Fraglich ist jedoch, ob dies auch tatsächlich im Sinne der betroffenen Personen ist. Entsprechend einer repräsentativen Umfrage aus dem Jahr 2019, lesen sich 73 Prozent deutscher Internetnutzer die bereitgestellten Datenschutzinformationen von Internetdiensten nicht durch, da sie es für „zwecklos“ halten.
Benennung von Empfängern
Mit Blick auf die eingangs dargestellte Auffassung der Berliner Aufsichtsbehörde, wonach auch interne Empfänger in einer Datenschutzinformation zu benennen sind, können im Sinne einer präzisen und verständlichen Datenschutzinformation sicherlich Pro- und Kontra-Argumente gefunden werden. Ausschlaggebend dürfte hierbei jedoch vielmehr die Definition des Empfängers gemäß Art. 4 Nr. 9 Satz 1 DS-GVO sein. Demnach handelt es sich bei einem Empfänger, um „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.“
Nach der wohl herrschenden Literaturauffassung kann es sich bei Empfängern ausschließlich um Stellen außerhalb des Verantwortlichen bzw. um Stellen mit einem gewissen Grad an Eigenständigkeit handeln. Diese Auffassung scheint insbesondere mit Blick auf die Regelung des Art. 19 DS-GVO zutreffend. Hierbei besteht für den Verantwortlichen die Pflicht, allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede seitens betroffener Personen geforderte Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen, die diese personenbezogenen Daten betreffen. Sinnfrei wäre eine gesetzliche Verpflichtung zur Mitteilung des Verantwortlichen an die eigenen Beschäftigten, obwohl dem Verantwortlichen selbst die Gewährleistung der Betroffenenrechte obliegt.
Selbst wenn die Regelung des Art. 4 Nr. 9 Satz 1 DS-GVO bzw. Art. 13 Abs. 1 lit. e) DS-GVO dahingehend zu verstehen ist, interne Empfänger im Rahmen einer Datenschutzinformation anzugeben, erscheint eine Angabe der Kategorien von Empfängern (z.B. Beschäftigte der Personalabteilung) gegenüber der Nennung konkreter Personen (z.B. Herr Müller, Frau Meier) bereits aus datenschutzrechtlichen Gesichtspunkten vorzugswürdig.
Fazit
Die Darstellungen zeigen, dass hinsichtlich der konkreten Anforderungen an eine gesetzeskonforme Datenschutzinformation eine gewisse Unschärfe besteht. Datenschutzinformationen müssen einerseits die Datenverarbeitung zutreffend beschreiben, andererseits muss jedoch auch die Gefahr der Informationsermüdung gebührend berücksichtigt werden. Dabei scheinen auch die tatsächlichen Anforderungen der betroffenen Personen und der Aufsichtsbehörden deutlich auseinander zu gehen. Anhand der Veröffentlichung der Berliner Aufsichtsbehörde wird jedoch auch deutlich, dass nicht alle Ausführungen einer Aufsichtsbehörde zwingend den zutreffenden Rechtsstand wiedergeben.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.