Datenschutz ABC: I wie Informationspflicht

Die Informationspflicht. Seit der Einführung der DSGVO können wir uns von Papier, Dateien und Belehrungen kaum noch retten. Und tatsächlich sind es die Datenschutz-Hinweise, die mir nun überall in die Hand gedrückt werden, ob beim Arzt, im Fitnessstudio, bei meiner Bank oder Versicherung. Überall. Dies sind in der Regel Texte, die man selten bis gar nicht liest und wenn doch, dann fällt auf, dass es immer und immer wieder das Gleiche ist. So sieht es zunächst aus.

Die DSGVO hat mit den Informationspflichten ein wichtiges Betroffenenrecht gestärkt. Jeder von Datenverarbeitung Betroffene hat das Recht zu erfahren, wofür die Daten verwendet werden und was mit ihnen geschieht, wenn er diese preis gibt. Das Bundesverfassungsgericht nannte dies Informationelle Selbstbestimmung. Die DSGVO macht daraus das Recht der Betroffenen auf Auskunft zu personenbezogenen Daten und somit für alle Unternehmen und Institutionen - also Verarbeitern von Daten - zur Pflicht zur Information.

Die Artikel 12, 13 und 14 der Datenschutzgrundverordnung beschäftigen sich mit den Informationspflichten, die Verantwortliche gegenüber den Betroffenen haben. Hier ist von Transparenz, leichter Zugänglichkeit, präziser, leichter und verständlicher Sprache die Rede. Hier wird genau geregelt, welche Informationen den Betroffenen bei der Erhebung der Daten in Form von Datenschutzhinweisen oder Datenschutzinformationen zur Verfügung gestellt werden müssen. Und genau diese Artikel sind es, die Datenschutz zu einem solchen Ärgernis machen, weil darin immer die gleichen Dinge gefordert sind - weiterhin fehlt hier der Wunsch der Betroffenen. Die Informationen müssen dem Betroffenen immer zur Verfügung gestellt werden, wenn personenbezogene Daten erhoben werden. Nicht etwa immer dann, wenn der Betroffene dies zu erfahren wünscht.

Man muss ihm die Datenschutzhinweise jedes Mal wieder aufdrängen, ob er das will oder nicht. Die einzige Ausnahme: Wenn ich genau weiß, dass bereits jemand dem Betroffenen seine Informationen und Rechte mitgeteilt hat, dann muss ich das nicht mehr tun. Aber: Ich muss das nachweisen können: Rechenschaftspflicht. Das führt dazu, dass man dann doch lieber einen Datenschutzhinweis zu viel als zu wenig austeilt. Auch müssen alle Betroffenenrechte jedes Mal aufs Neue aufgelistet sein. Dies ist eine Forderung des Artikels 13 DSGVO und es könnte tatsächlich der Fall sein, dass dies der erste Datenschutzhinweis ist, den der Betroffene jemals in Händen hält. Dennoch wäre doch anzunehmen, dass Betroffene irgendwann nach dem 15. Datenschutzhinweis wissen, dass sie Datenschutzrechte haben und wo sie diese nachlesen können. Ist es wirklich notwendig, dass man diese immer und immer wieder in voller Länge wiederholt? Derzeit ist dies tatsächlich so, da Artikel 13 DSGVO (und Artikel 14 DSGVO) dies ausdrücklich verlangen. Somit ist dies eine Compliance-Anforderung, die wir erfüllen müssen.

Ein weiterer Stolperstein kann der Zeitpunkt der Bereitstellung der Datenschutzhinweise sein: Bei der Erhebung. In vielen Fällen kann eine solche Information erst bereitgestellt werden, wenn der Kontakt zu einer Person bereits hergestellt wurde oder Daten schon geflossen sind. Hier bedarf es einer Menge Fingerspitzengefühl und gute Kenntnisse und Kontrolle des Verarbeitungsprozesses.

An dieser Stelle finden wir einen wirklichen Vorteil der Informationspflicht der Verantwortlichen: Prozesssicherheit. Ein Unternehmen kann nur dann gute und sinnvolle Informationspflichten zur Verfügung stellen, wenn die Prozesse um die Datenverarbeitung klar definiert und beschrieben sind. Umgekehrt: Die Erstellung von verständlichen Datenschutzhinweisen bereitet besonders viele Probleme, wenn diese Dinge nicht durchdacht oder definiert sind. Hier kann die gründliche Auseinandersetzung mit dem Datenschutz sehr hilfreich sein. Ein klarer Plan, wann welche Daten benötigt werden und warum, und somit auch, wann ich sie nicht mehr benötige und löschen kann, bringt Effizienz in die internen Abläufe und spart möglicherweise Ressourcen.

Bei allem Ärger über die Informationsüberflutung stellt der Datenschutzhinweis eine echte Chance dar. Er ist der erste Anlaufpunkt der Betroffenen, wenn es um die Beantwortung der Frage geht, warum die Daten benötigt werden, ob die Datenverarbeitung rechtmäßig und angemessen ist und was genau mit den Daten passiert. Findet der Betroffene all diese Informationen bereits in einer sauberen und übersichtlich gestalteten Datenschutzinformation hat er möglicherweise keinen weiteren Grund zu einer Beschwerde – entweder direkt beim Verantwortlichen oder bei der Aufsichtsbehörde. Dies schafft Vertrauen und befördert eine weitere gute Zusammenarbeit. Ein guter Datenschutzhinweis ist deutlich weniger aufwendig als die Bearbeitung einer Auskunftsanfrage über personenbezogene Daten oder eine Beschwerde bei der Datenschutzaufsichtsbehörde.

Gerne unterstützen wir Sie bei der Optimierung Ihrer Datenverarbeitungsprozesse und der Erstellung Ihrer Datenschutzhinweise.

Kontaktieren Sie uns – noch heute!