Informationspflichten | Delegationslösung

In der Praxis tun sich viele Verantwortliche noch schwer mit den Informationspflichten aus der DSGVO, speziell mit denen aus Art. 14. Dabei gibt es eine pragmatische Lösung: die Delegation.

Transparenz ist gefragt

Die DSGVO will die Verarbeitung personenbezogener Daten nicht generell verhindern sondern so gestalten, dass die Betroffenen stets Transparenz über die Verarbeitungsprozesse haben (können). Deshalb sieht die Norm Informationspflichten vor. Immer, wenn Daten erhoben (gesammelt) werden, muss der Betroffene informiert werden (was, warum, wie lange, durch wen etc.). Werden die Daten beim Betroffenen selbst erhoben (z.B. Formular, Befragung) legt man einfach eine Datenschutzinformation daneben oder verlinkt auf eine Darstellung auf der eigenen Homepage*.

Verarbeitung ohne unmittelbaren Kontakt zum Betroffenen

Vielfach kommt es jedoch zu Verarbeitungsprozessen, ohne dass man zu diesem Zeitpunkt Kontakt zu den Betroffenen gehabt hätte: Etwa indem man aus öffentlich verfügbaren Quellen Daten sammelt, um dann gezielt eine Werbe-Kampagne per Brief zu starten. Oder, das Unternehmen wird als Dienstleister eingeschaltet, ohne dabei Auftragsverarbeiter zu sein. Beispiele: Das Hotel erhält Daten vom Reisebüro. Der Hersteller eines Produktes erhält Informationen vom Händler für eine Maßanfertigung. Eine Bank wird im Hintergrund für eine Finanzierung eingebunden.

Die Lösung für die Werbekampagne ist einfach: Die Betroffenen sind beim ersten Kontakt, spätestens jedoch innerhalb eines Monats zu informieren. Vom ersten Sammeln der Daten bis zum Versand der Werbebriefe darf also nicht mehr als ein Monat vergehen. Alsdann platziert man im Anschreiben die Datenschutz-Informationen (oder einen Teaser und einen Link auf ausführliche Infos im Internet*) und der Informationspflicht nach Art. 14 ist grundsätzlich entsprochen.

Etwas komplizierter wird es, wenn der ursprünglich Verantwortliche die Daten an einen Dritten weitergibt (Händler oder Arbeitgeber an Bank, Reisebüro an Airline, Händler an Hersteller etc.). Die Empfänger der Daten müssen ebenfalls nach Art. 14 die Betroffenen informieren. Das ist natürlich wenig praxistauglich. Kein Arbeitgeber möchte, dass seine Bank die Mitarbeiter direkt anspricht und länglich über den Datenschutz bei der Bank informiert. Auch wer sich an einen Händler wendet, will von diesem im Umgang mit dem Hersteller betreut werden und nicht dann doch noch direkt vom Hersteller mit Verweis auf den Datenschutz kontaktiert werden.

Dass die Daten an einen Dritten weitergegeben werden, sollte die Betroffenen nicht überraschen; denn hierüber musste der ursprünglich Verantwortliche bereits informiert haben. Der Arbeitgeber muss seinen Mitarbeitern Transparenz darüber verschaffen, dass er die Daten an die Bank gibt. Das Reisebüro muss klarstellen, dass zur Buchung im Hotel eine Datenweitergabe erforderlich wird. Obwohl diese Datenübermittlungen oft sogar naheliegend und insofern quasi nicht der Rede wert sind, erledigt sich Informationspflicht der DSGVO damit nicht.

Defizite bei den Informationspflichten nach Art. 13 und 14 DSGVO können mit empfindlichen Bußgeldern belegt werden.

Wer muss wen worüber informieren?

Über die Weitergabe als solches informiert der ursprünglich Verantwortliche (Arbeitgeber, Reisebüro, Händler etc.). Über alle weiteren Aspekte des Datenschutzes beim Empfänger kann zuverlässig aber nur der Empfänger selbst informieren. Deshalb ist es auch seine Aufgabe.

Ein Hotel wird im Zweifel ohnehin direkten Kontakt mit den Reisenden aufnehmen und kann bei dieser Gelegenheit die Datenschutzhinweise platzieren (ggf. für Details über einen Link auf die DS-Hinweise des Hotels im Internet*). Der Hersteller oder die finanzierende Bank wird dageben keinen systematischen Kontakt mit allen Betroffenen aufnehmen. Art. 14 DSGVO gilt jedoch trotzdem. Hier bietet sich die Delegationslösung an.

Delegationslösung

Anstelle als Hersteller aufwändig Kontakt mit den Betroffenen der verabeiteten Daten aufzunehmen, könnte beispielsweise der Hersteller mit seinen Händlern vereinbaren, dass diese die Informationspflicht an Stelle des Herstellers übernehmen. Hierfür stellt der Hersteller dem Händler alle relevanten Informationen jeweils in aktueller Form zur Verfügung und verpflichtet diesen, diese Information an den Betroffenen weiterzugeben (Delegation).

Sobald die Betroffenen über die in Art. 14 DSGVO definierten Informationen verfügen, erlischt nach Art. 14 Abs. 5 die Verpflichtung des Verantwortlichen (im Beispiel der Hersteller), erneut und immer wieder zu informieren.

Im Beispiel müsste der Händler in seinen Datenschutzhinweisen lediglich die Information über die Datenweitergabe noch um die vom Hersteller überlassenen Angaben ergänzen. Hierfür mag ein Link* auf die relevanten DS-Hinweise des Herstellers genügen, eventuell ergänzt um das Angebot eines Ausdrucks (um einen Medienbruch zu vermeiden). Für den Ausdruck würde der Händler selbst auf den Link* klicken und die DS-Hinweise des Herstellers ausdrucken und dem Betroffenen übergeben. Über diese Lösung kann der Hersteller davon ausgehen, dass die Betroffenen tatsächlich immer die aktuellsten DS Hinweise erhalten und darf sich nun von der Informationspflicht befreit sehen.

Die Lösung hat Charme, weil sie geeinet scheint, die Betroffenen tatsächlich über alle in Art. 13 und 14 geforderten Kategorien zur Datenverarbeitung zu informieren – und zwar von jedem beteiligten Verantwortlichen (Unternehmen). Das beste daran: Einmal implementiert, verursacht die Lösung keine großen Aufwände.

Keine Informationspflicht durch Auftragsverarbeiter

Ist der Empfänger der Daten ein Auftragsverarbeiter, entfällt die Informationspflicht des nachgelagerten Verarbeiters. Das ist bei den gewählten Beispielen im vorstehenden Text jedoch kaum der Fall. Die Airline muss die Daten vom Reisebüro erhalten, wird deshalb aber nicht zum Auftragsverarbeiter des Reisebüros. Auch ein Hersteller eines Maßanzuges wird datenschutzrechtlich nicht zum Auftragsverarbeiter des Händlers.


*) Das Verlinken auf die Datenschutzhinweise der eigenen Homepage ist einfach und wird deshalb gerne und vielfach angewendet.

Problematisch wird die Lösung, wenn die Datenschutzhinweise ganz klassisch nur die Verarbeitung beim Besuch der Website erläutern. Solche Links gehen dann faktisch ins Leere und erfüllen nicht die Informationspflichten aus Art. 13 oder 14.