Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 445

9

Sofern der Verantwortliche seinen Informationspflichten nach Art. 13, 14 DSGVO nachkommt oder mit betroffenen Personen im Rahmen der Wahrnehmung ihrer Rechte nach Art. 15–22 und Art. 34 DSGVO kommuniziert, muss dies in präziser (concise), transparenter (transparent), verständlicher (intelligible) und leicht zugänglicher (easily accessible) Form in einer klaren und einfachen (clear and plain) Sprache erfolgen.7 Kern der Transparenzanforderung ist es, die betroffenen Personen in die Lage zu versetzen, den Umfang und die Konsequenzen der Datenverarbeitung vorab beurteilen zu können, damit es später nicht zu Überraschungen kommt.8

10

Präzise und transparent meint in diesem Zusammenhang, dass die Informationen kurz und knapp zur Verfügung gestellt werden müssen, um Informationsermüdung zu vermeiden.9 Dies bedeutet aber auch, dass die Datenschutzhinweise klar von anderen, nicht datenschutzrelevanten Informationen (z.B. Vertragsbedingungen und AGB), abgegrenzt werden müssen.10 Dies hat aber auch zur Folge, dass eine klare Abgrenzung zur Einwilligung in den im Zusammenhang mit der Einwilligungserklärung erteilten Informationen erfolgen muss.11 Im Übrigen reicht auch die Bezugnahme auf einen Anhang nicht aus, insbesondere sofern dieser mehrere hundert Seiten umfasst.12 Hinsichtlich der Verständlichkeit kommt es auf das durchschnittliche Mitglied der angesprochenen Zielgruppe an, was sich bei Unklarheiten auch durch Testgruppenversuche bestimmen lässt.13 Die Information und Kommunikation muss zudem in einer Sprache erfolgen, die von der angesprochenen Zielgruppe verstanden wird. Dies ist in Deutschland zunächst die deutsche Sprache.14 Ist sich der Verantwortliche sicher, dass alle betroffenen Personen im erforderlichen Umfang Englisch verstehen (z.B. bei Beschäftigten einer deutschen Tochter eines international operierenden Konzerns, in dem die tägliche Kommunikation auf Englisch erfolgt), kann u.U. auf einen deutschen Datenschutzhinweis neben einem englischsprachigen verzichtet werden. In Zweifelsfällen sollte jedoch eine Übersetzung vorgenommen werden. Richtet sich eine Webseite auch an ausländische Nutzer, ist der Datenschutzhinweis entsprechend auch in weiteren Sprachen zur Verfügung zu stellen,15 jedenfalls wohl aber in englischer Sprache.

11

Leicht zugängliche Form bedeutet, dass die betroffenen Personen nicht erst nach den entsprechenden Informationen suchen müssen, sondern diese entsprechend zur Verfügung gestellt werden.16 Dies bedeutet zum einen, dass die Informationen entsprechend gekennzeichnet sind.17 Auf Deutsch kommen hier z.B. „Datenschutzhinweis“, „Datenschutzerklärung“ oder „Informationen zum Datenschutz“ in Frage. Bei Apps und Webseiten müssen die entsprechenden Informationen zudem mit nicht mehr als zwei Klicks zu erreichen sein.18 Fraglich ist, inwieweit ein Medienbruch, z.B. der Verweis in einem Papierformular auf einen Datenschutzhinweis auf einer Webseite, gegen die leichte Zugänglichkeit spricht. Grundsätzlich wird ein solcher Medienbruch für unzulässig erachtet.19 Hier muss jedoch differenziert werden. Sofern der betroffenen Person vor Erhebung der personenbezogenen Daten alle Informationen zur Verfügung gestellt werden, die diese für die Entscheidung, die Daten preiszugeben, benötigt (Identität des Verantwortlichen und Kontaktdaten, Kontaktdaten des betrieblichen Datenschutzbeauftragten, Verarbeitungszwecke und Rechtsgrundlage in Schlagworten, Angabe des berechtigten Interesses, Dauer der Speicherung), spricht nichts dagegen, weitere Informationen (z.B. Auskunftsrecht, Beschwerderecht, ggf. Empfänger der Daten) ggf. über den Verweis auf einen ausführlichen Datenschutzhinweis auf einer Webseite zur Verfügung zu stellen. Die deutschen Datenschutzaufsichtsbehörden akzeptieren diesen Ansatz jedenfalls für die Wahrung der Transparenz bei offener Videoüberwachung.20

12

Voraussetzung für klare und einfache Sprache ist, dass die Information so einfach wie möglich präsentiert wird und komplexe Sätze und Sprachkonstruktionen vermieden werden.21 Insbesondere muss die betroffene Person wissen, ob eine Datenverarbeitung stattfindet oder nicht. Es ist daher auf Formulierungen wie „wir können unter Umständen“, „vielleicht“, „gegebenenfalls“ und „im Rahmen des rechtlich Zulässigen“ zu verzichten. In englischsprachigen Datenschutzhinweisen sollte zudem das Wort „may“ nicht verwendet werden, da hier nicht deutlich wird, ob die Daten tatsächlich verarbeitet werden oder nicht.22

13

Sofern personenbezogene Daten über Kinder verarbeitet werden, muss der Verantwortliche dies gem. Art. 12 Abs. 1 Satz 1 Hs. 2 DSGVO im Rahmen der Transparenzanforderungen besonders berücksichtigen. Für den Begriff des Kindes i.S.d. DSGVO kann auf Art. 8 DSGVO verwiesen werden.23 Der EDSA empfiehlt hier eine Orientierung an der „UN Convention on the Rights of the Child in Child Friendly Language“.24 Lediglich bei Kindern, die zu jung sind, um die Informationen über die Datenverarbeitung überhaupt zu verstehen, kann für den Empfängerhorizont auf die Eltern abgestellt werden.25 Besondere Anforderungen an die Transparenz gelten auch für vergleichbar schutzwürdige Personen, z.B. Menschen mit geistiger oder auch körperlicher (Blindheit, Sehschwäche) Behinderung.26