Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 297

16

In der Formulierung, dass personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen, kommt vorrangig die retrospektive Komponente des Transparenzgrundsatzes zum Ausdruck.40 Der betroffenen Person muss es folglich möglich sein, dem bereits stattfindenden Datenverarbeitungsvorgang Schritt für Schritt zu folgen.41 Durch ErwG 39 Satz 2 DSGVO, der ausdrücklich auch auf noch bevorstehende Verarbeitungen Bezug nimmt, wird eine hinzutretende prospektive Zielrichtung des Transparenzgebotes deutlich.42 Diese soll den betroffenen Personen eine möglichst umfassende Kontrolle über ihre personenbezogenen Daten ermöglichen.43

17

Nach Maßgabe des ErwG 39 Satz 3 DSGVO müssen alle Informationen und Mitteilungen zur Verarbeitung der personenbezogenen Daten leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sein. Die der betroffenen Person zur Verfügung zu stellenden Informationen umfassen insbesondere:44

 – die Identität des Verantwortlichen,

 – die Zwecke der Verarbeitung,

 – einen Hinweis auf das Recht der Betroffenen, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffenden personenbezogenen Daten verarbeitet werden,

 – die Information über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten sowie eine Aufklärung, wie diesbezügliche Rechte geltend gemacht werden können.

18

Eine Konkretisierung der sich aus dem Transparenzgebot ergebenden Informations- und Auskunftspflichten enthalten insbesondere die Art. 13, 14, 15 DSGVO:45

 – Gemäß Art. 13 Abs. 1 DSGVO muss der Verantwortliche, der personenbezogene Daten bei der betroffenen Person erhebt, dieser zum Zeitpunkt der Erhebung eine Reihe von Informationen zur Verfügung stellen (siehe Art. 13 Rn. 7ff.). Nach Maßgabe des Art. 13 Abs. 2 DSGVO ist der Verantwortliche insbesondere auch zur Bereitstellung solcher Informationen verpflichtet, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten (siehe Art. 13 Rn. 17ff.). Dies umfasst beispielsweise die Dauer, für die die personenbezogenen Daten gespeichert werden (lit. a), oder das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (lit. d).

 – Gemäß Art. 14 Abs. 1, 2 DSGVO trifft den Verantwortlichen eine entsprechende Verpflichtung auch dann, wenn er die personenbezogenen Daten nicht bei der betroffenen Person erhebt.

 – Als Spiegelbild zu den Informationspflichten des Verantwortlichen ist auch das Auskunftsrecht der betroffenen Person gem. Art. 15 Abs. 1 DSGVO eine Ausprägung des Transparenzgrundsatzes.

19

Ebenso wie im Rahmen des Berichtigungsanspruchs (dazu Rn. 32) werfen die Informationspflichten des Verantwortlichen eine Reihe praktischer Probleme auf. Gerade Verantwortliche, die eine Vielzahl personenbezogener Daten verarbeiten, werden sich fragen müssen, auf welche Art und Weise sie ihren Informationspflichten Genüge tun wollen. Problematisch erscheint in diesem Zusammenhang auch, dass bereits vergleichsweise triviale und alltägliche Vorgänge – wie beispielsweise der Austausch von Visitenkarten46 – die umfangreiche Informationspflicht auslösen können.

20

Die individuelle Informierung jeder betroffenen Person im Zusammenhang mit der konkreten Datenerhebung (bspw. durch Zurverfügungstellung von Formblättern im konkreten Fall) ist unter Compliance-Gesichtspunkten zwar der sicherste Weg, jedoch erweist sich eine solche Vorgehensweise häufig als unpraktisch. Eine – in der Praxis vermehrt vorkommende – Sammlung aller Datenschutzinformationen in der Webseitendatenschutzerklärung kann sich aus Sicht des Verantwortlichen zwar als praktisch erweisen, genügt den Transparenzanforderungen der DSGVO jedoch ggf. nicht, da die betroffenen Personen in diesem Fall nicht proaktiv über die Datenerhebung informiert werden. Ein praxisnaher Kompromiss könnte darin bestehen, dass insbesondere bei umfang- oder risikoreichen Verarbeitungsvorgängen eine konkrete Information an die betroffenen Personen erfolgt, wohingegen im Übrigen an geeigneter Stelle – beispielsweise in einem Telefonat oder in der Fußzeile einer E-Mail – ein Hinweis auf die allgemeinere Darstellung in einer Webseitendatenschutzerklärung erfolgt.

21

In diesem Zusammenhang ist noch nicht abschließend geklärt, ob und inwieweit ein Medienbruch im Rahmen der Information der betroffenen Personen zulässig ist,47 ob also auch in Bezug auf Offline-Sachverhalte eine Online-Information erfolgen kann. Einige Stellungnahmen der Aufsichtsbehörden deuten jedoch darauf hin, dass der Verweis auf eine Website auch dann durchaus zulässig ist, wenn die Datenerhebung offline, bspw. telefonisch erfolgt ist.48