DSGVO - BDSG - TTDSG. Группа авторов
Anfrage der Betroffenen auf Wahrnehmung ihrer Rechte nachgekommen werden musste. Art. 12 DSGVO enthält daher echte Neuerungen, welche die Verantwortlichen in ihren organisationsinternen Prozessen abbilden müssen.
4
Art. 12 DSGVO gehört zu den im Gesetzgebungsverfahren stark überarbeiteten Vorschriften. Im Kommissionsentwurf2 war die Regelung noch auf die Art. 11 und 12 aufgeteilt. Im Entwurf des Parlaments3 sollten über Art. 13a i.V.m. Anhang 1 bereits folgende standardisierte Bildsymbole vorgegeben werden:
Im Trilogverfahren wurden die übernommen Teile der verschiedenen Fassungen in einer Norm verschmolzen. Dies spiegelt sich im unsystematischen Aufbau der Vorschrift wider. So finden sich Vorgaben zur Form der Bereitstellung der Informationen in Abs. 1 Satz 2 und Satz 3 und Abs. 3 Satz 4. Die Ausnahmetatbestände finden sich in Abs. 2 Satz 2 und Abs. 5 Satz 2.
3. Verhältnis zu anderen Vorschriften
5
Art. 12 DSGVO gilt für die Vorschriften zu den Rechten der Betroffenen nach Art. 13 bis 22 DSGVO sowie zur Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO im Fall einer Verletzung des Schutzes personenbezogener Daten. Diese Vorschriften konkretisieren die Anforderungen an die Transparenz (Art. 13 Abs. 1, Abs. 2, Art. 14 Abs. 1, Abs. 2, Art. 15 Abs. 1, Art. 19 Satz 2, Art. 34 Abs. 2 i.V.m. Art. 33 Abs. 3 DSGVO) und legen in einigen Fällen spezielle Fristen (Art. 13 Abs. 1, Abs. 3, Art. 14 Abs. 3, Art. 21 Abs. 4, Art. 34 Abs. 1 DSGVO) sowie zusätzliche spezifische Ausnahmetatbestände fest (Art. 13 Abs. 4, Art. 14 Abs. 5, Art. 15 Abs. 4, Art. 17 Abs. 1, Abs. 3, Art. 18 Abs. 2, Art. 20 Abs. 3, Abs. 4, Art. 21 Abs. 1 Satz 2, Art. 22 Abs. 2, Art. 34 Abs. 3 DSGVO). Auch das BDSG enthält zusätzliche Ausnahmetatbestände von den Rechten der betroffenen Personen (§ 29 Abs. 1, Abs. 2, § 32 Abs. 1, § 33 Abs. 1, § 34 Abs. 1, § 35, § 36, § 37 Abs. 1 BDSG).
6
Für die Einwilligung finden sich zusätzliche Anforderungen in Art. 7 Abs. 2 DSGVO (siehe Art. 7 Rn. 53).4
7
Ein Verstoß gegen Art. 12 DSGVO, etwa das Fehlen von Maßnahmen, um der betroffenen Person die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln oder wenn Anträge der betroffenen Personen, nicht, nicht rechtzeitig oder nicht vollständig bearbeitet werden,5 kann gemäß Art. 58 Abs. 2 lit. i DSGVO i.V.m. Art. 83 Abs. 5 lit. b DSGVO mit einer Geldbuße von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden, je nachdem, welcher der Beträge höher ist. Die betroffenen Personen können gem. Art. 82 Abs. 1 DSGVO materiellen oder immateriellen Schadenersatz geltend machen. Für Verbraucherschutzorganisationen besteht ein Klagerecht gem. Art. 80 Abs. 2 DSGVO i.V.m. § 2 Abs. 2 Satz 1 Nr. 11 UKlaG. Inwieweit die Transparenzvorschriften der DSGVO auch Marktverhaltensregeln i.S.d. § 3a UWG sind, die Wettbewerbern ein Klagerecht einräumen, ist umstritten, weshalb der BGH dem EuGH unter anderem diese Frage zur Vorabentscheidung vorgelegt hat.6 Die behördliche und gerichtliche Überprüfung der Sprachanforderungen in Art. 12 Abs. 1 Satz 1 DSGVO dürfte sich in der Praxis als schwierig erweisen und wohl nicht ohne entsprechende Sachverständigengutachten möglich sein.
II. Allgemeine Regelungen (Abs. 1 Satz 1, Abs. 2 Satz 1, Abs. 5 Satz 1)
8
Art. 12 stellt allgemeine Anforderungen an die Ausgestaltung der Informationen gem. Art. 13 und Art. 14 DSGVO sowie der Mitteilungen gem. Art. 15–22 und Art. 34 DSGVO und die Ausübung der Rechte der betroffenen Personen auf. Darüber hinaus wird grds. Unentgeltlichkeit verlangt.
1. Allgemeine Anforderungen an Transparenz
9
Sofern der Verantwortliche seinen Informationspflichten nach Art. 13, 14 DSGVO nachkommt oder mit betroffenen Personen im Rahmen der Wahrnehmung ihrer Rechte nach Art. 15–22 und Art. 34 DSGVO kommuniziert, muss dies in präziser (concise), transparenter (transparent), verständlicher (intelligible) und leicht zugänglicher (easily accessible) Form in einer klaren und einfachen (clear and plain) Sprache erfolgen.7 Kern der Transparenzanforderung ist es, die betroffenen Personen in die Lage zu versetzen, den Umfang und die Konsequenzen der Datenverarbeitung vorab beurteilen zu können, damit es später nicht zu Überraschungen kommt.8
10
Präzise und transparent meint in diesem Zusammenhang, dass die Informationen kurz und knapp zur Verfügung gestellt werden müssen, um Informationsermüdung zu vermeiden.9 Dies bedeutet aber auch, dass die Datenschutzhinweise klar von anderen, nicht datenschutzrelevanten Informationen (z.B. Vertragsbedingungen und AGB), abgegrenzt werden müssen.10 Dies hat aber auch zur Folge, dass eine klare Abgrenzung zur Einwilligung in den im Zusammenhang mit der Einwilligungserklärung erteilten Informationen erfolgen muss.11 Im Übrigen reicht auch die Bezugnahme auf einen Anhang nicht aus, insbesondere sofern dieser mehrere hundert Seiten umfasst.12 Hinsichtlich der Verständlichkeit kommt es auf das durchschnittliche Mitglied der angesprochenen Zielgruppe an, was sich bei Unklarheiten auch durch Testgruppenversuche bestimmen lässt.13 Die Information und Kommunikation muss zudem in einer Sprache erfolgen, die von der angesprochenen Zielgruppe verstanden wird. Dies ist in Deutschland zunächst die deutsche Sprache.14 Ist sich der Verantwortliche sicher, dass alle betroffenen Personen im erforderlichen Umfang Englisch verstehen (z.B. bei Beschäftigten einer deutschen Tochter eines international operierenden Konzerns, in dem die tägliche Kommunikation auf Englisch erfolgt), kann u.U. auf einen deutschen Datenschutzhinweis neben einem englischsprachigen verzichtet werden. In Zweifelsfällen sollte jedoch eine Übersetzung vorgenommen werden. Richtet sich eine Webseite auch an ausländische Nutzer, ist der Datenschutzhinweis entsprechend auch in weiteren Sprachen zur Verfügung zu stellen,15 jedenfalls wohl aber in englischer Sprache.
11
Leicht zugängliche Form bedeutet, dass die betroffenen Personen nicht erst nach den entsprechenden Informationen suchen müssen, sondern diese entsprechend zur Verfügung gestellt werden.16 Dies bedeutet zum einen, dass die Informationen entsprechend gekennzeichnet sind.17 Auf Deutsch kommen hier z.B. „Datenschutzhinweis“, „Datenschutzerklärung“ oder „Informationen zum Datenschutz“ in Frage. Bei Apps und Webseiten müssen die entsprechenden Informationen zudem mit nicht mehr als zwei Klicks zu erreichen sein.18 Fraglich ist, inwieweit ein Medienbruch, z.B. der Verweis in einem Papierformular auf einen Datenschutzhinweis auf einer Webseite, gegen die leichte Zugänglichkeit spricht. Grundsätzlich wird ein solcher Medienbruch für unzulässig erachtet.19 Hier muss jedoch differenziert werden. Sofern der betroffenen Person vor Erhebung der personenbezogenen Daten alle Informationen zur Verfügung gestellt werden, die diese für die Entscheidung, die Daten preiszugeben, benötigt (Identität des Verantwortlichen und Kontaktdaten, Kontaktdaten des betrieblichen Datenschutzbeauftragten, Verarbeitungszwecke und Rechtsgrundlage in Schlagworten, Angabe des berechtigten Interesses, Dauer der Speicherung), spricht nichts dagegen, weitere Informationen (z.B. Auskunftsrecht, Beschwerderecht, ggf. Empfänger der Daten) ggf. über den Verweis auf einen ausführlichen Datenschutzhinweis auf einer Webseite zur Verfügung zu stellen. Die deutschen Datenschutzaufsichtsbehörden akzeptieren diesen Ansatz jedenfalls für die Wahrung der Transparenz bei offener Videoüberwachung.20
12
Voraussetzung für klare und einfache Sprache ist, dass die Information so einfach wie möglich präsentiert wird und komplexe Sätze und Sprachkonstruktionen vermieden werden.21 Insbesondere muss die betroffene Person wissen, ob eine Datenverarbeitung stattfindet oder nicht. Es ist daher auf Formulierungen wie „wir können unter Umständen“, „vielleicht“, „gegebenenfalls“ und „im Rahmen des rechtlich Zulässigen“