Die DSGVO und das Thema "Transparenz"

Die DSGVO und das Thema "Transparenz"

10/2018

 

Wir bringen etwas Licht ins Dunkel (DSGVO)

 

Transparenzfaktoren gemäß der DSGVO

Informationspflicht gegenüber der betroffenen Person – Artikel 13 & 14

Instrumente zur Visualisierung

Wahrnehmung der Rechte der Betroffenen

 

 

Transparenzfaktoren gemäß der DSGVO


1.    Die wesentlichen Artikel zum Thema Transparenz in der DSGVO, die für die Rechte der betroffenen Person relevant sind, finden sich in Kapitel III (Rechte der betroffenen Person). In Artikel 12 sind die allgemeinen Regeln festgelegt, welche auf folgende Punkte Anwendung finden: die Unterrichtung der betroffenen Personen (nach den Artikeln 13 bis 14), die Kommunikation mit den betroffenen Personen über die Ausübung ihrer Rechte (nach den Artikeln 15 bis 22), und die Mitteilungen in Bezug auf Datenschutzverletzungen (Artikel 34). Insbesondere in Artikel 12 wird vorgeschrieben, dass die besagten Informationen oder Mitteilungen folgenden Vorgaben entsprechen müssen:

  • Die Vorlage hat in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erfolgen (Artikel 12 Absatz 1),
  • es ist eine klare und einfache Sprache zu verwenden (Artikel 12 Absatz 1),
  • die Anforderung der Verwendung einer klaren und einfachen Sprache gilt insbesondere für Informationen, die sich speziell an Kinder richten (Artikel 12 Absatz 1),
  • es gilt das Erfordernis der Schriftform „oder in anderer Form, gegebenenfalls auch elektronisch“ (Artikel 12 Absatz 1),
  • falls dies vonseiten der betroffenen Person verlangt wird, kann eine mündliche Erteilung erfolgen (Artikel 12 Absatz 1), und
  • die Zurverfügungstellung erfolgt grundsätzlich unentgeltlich (Artikel 12 Absatz 5).


„In präziser, transparenter, verständlicher und leicht zugänglicher Form“


2.    Die Anforderung der Unterrichtung von und Kommunikation mit den betroffenen Personen in einer „präzisen und transparenten“ Form bedeutet, dass die Verantwortlichen die Informationen / Mitteilungen auf eine einfache Formel gebracht und griffig formuliert vorlegen sollten, um einer Informationsermüdung vorzubeugen. Diese Informationen sollten klar von anderen Informationen, die sich nicht auf den Datenschutz beziehen – wie etwa Vertragsbestimmungen oder allgemeine Nutzungsbedingungen –, getrennt werden. Eine Verwendung von Mehrebenen-Datenschutzerklärungen / -hinweisen im Internet versetzt betroffene Personen in die Lage, zu einem bestimmten Teil der Datenschutzerklärungen / -hinweise, den sie sofort aufrufen möchten, zu navigieren, anstatt bei der Suche nach einzelnen Themen umfangreiche Texte durchkämmen zu müssen.

3.    Die Anforderung der „Verständlichkeit“ von Informationen bedeutet, dass Letztere für einen typischen Angehörigen des Zielpublikums verständlich sein sollten. Die Verständlichkeit ist eng mit der Forderung nach einer klaren und einfachen Sprache verbunden. Rechenschaftspflichtige Verantwortliche verfügen über Erkenntnisse zu den Personen, von denen Informationen erhoben werden und können dieses Wissen einsetzen, um zu entscheiden, was das Zielpublikum am ehesten in der Lage wäre, zu verstehen. So kann zum Beispiel ein Verantwortlicher, der personenbezogene Daten von Fachkräften erhebt, von einem breiteren Verständnishorizont bei seinem Zielpublikum ausgehen als ein Verantwortlicher, der die personenbezogenen Daten von Kindern erhebt. Herrscht bei den Verantwortlichen Unsicherheit bezüglich des Grads der Verständlichkeit bzw. der Transparenz der Informationen sowie der Aussagekraft der Benutzeroberflächen / Hinweise / Strategien, etc., können diesbezügliche Tests durchgeführt werden. Neben weiteren Ansätzen können hierfür zum Beispiel gegebenenfalls folgende Verfahren zum Einsatz kommen: Nutzergremien, Prüfungen der Verständlichkeit, formelle und informelle Beziehungen und Dialoge mit Industriegruppen, Verbraucherinteressen vertretenden Verbänden und Regulierungsbehörden.

4.    Bei dem in diesen Bestimmungen skizzierten Transparenzgrundsatz stellt die Tatsache einen zentralen Erwägungsfaktor dar, dass die betroffene Person den Umfang und die Folgen der Verarbeitung im Vorfeld ermitteln kann und nicht später von der Art und Weise überrascht werden sollte, in der ihre personenbezogenen Daten verwendet worden sind. Dies ist ebenfalls ein wichtiger Aspekt des Grundsatzes von Treu und Glauben nach Artikel 5 Absatz 1 der DSGVO und hier besteht auch eine faktische Verbindung zu dem Erwägungsgrund 39, in dem es heißt, dass natürliche Personen „über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert“ werden sollten. Die Datenschutzgruppe vertritt insbesondere den Standpunkt, dass die Verantwortlichen bei komplexen, technischen oder unerwarteten Verarbeitungsvorgängen neben der Bereitstellung der nach den Artikeln 13 und 14 vorgeschriebenen Informationen (die in den vorliegenden Leitlinien weiter unten behandelt werden) gesondert und eindeutig formuliert die wichtigsten Folgen der Verarbeitung erklären sollten: anders gesagt – welche Art von Auswirkungen ergeben sich durch die in den Datenschutzerklärungen / -hinweisen beschriebene spezifische Verarbeitung konkret für die betroffene Person? Der Verantwortliche sollte im Einklang mit dem Grundsatz der Rechenschaftspflicht und in Übereinstimmung mit Erwägungsgrund 39 abschätzen, ob sich für in diese Art der Verarbeitung eingebundene natürlichen Personen besondere Risiken ergeben, die den betroffenen Personen zur Kenntnis gebracht werden sollten. Dies kann zu der Bereitstellung einer Übersicht der Verarbeitungsarten mit den möglicherweise weitreichendsten Auswirkungen auf die Grundrechte und Grundfreiheiten der betroffenen Personen im Hinblick auf den Schutz ihrer personenbezogenen Daten beitragen.

5.    Die „leichte Zugänglichkeit“ bedeutet, dass die betroffene Person nicht gezwungen sein sollte, die Informationen selbst ausfindig zu machen; vielmehr sollte für sie sofort ersichtlich sein, wo und wie sie auf diese Informationen zugreifen kann. Dies kann zum Beispiel geschehen, indem sie ihr direkt zur Verfügung gestellt werden, durch die Bereitstellung eines entsprechenden Links, durch eine klare Kennzeichnung oder als Antwort auf eine Frage in natürlicher Sprache (etwa in Mehrebenen-Datenschutzerklärungen / -hinweisen im Internet, über FAQ (häufig gestellte Fragen), über kontextbezogene Pop-up-Menüs, die beim Ausfüllen eines Online-Formulars durch eine betroffene Person aktiviert werden, oder über eine Chatbot-Schnittstelle in einem interaktiven digitalen Zusammenhang, etc. Die entsprechenden Verfahren werden weiter unter noch näher beleuchtet, u. a in den Ziffern 33 bis 40).

„Klare und einfache Sprache“

6.    Im Fall von schriftlichen Angaben (sowie bei der mündlichen Übermittlung schriftlicher Informationen oder der Verwendung von Audio- / audiovisuellen Verfahren, u. a. für sehbehinderte betroffene Personen) sollten die bewährten Verfahren für eine klare und deutliche Schreibweise eingehalten werden. Der EU-Gesetzgeber hat schon zuvor vergleichbare Anforderungen an die Sprache (für eine „einfache, verständliche Sprache“) gestellt und auch im Zusammenhang mit der Einwilligung in Erwägungsgrund 42 der DSGVO wird ausdrücklich hierauf verwiesen. Die Forderung nach einer klaren und einfachen Sprache bedeutet, dass die Informationen in einer möglichst einfachen Art und Weise unter Vermeidung komplexer Satz- und sprachlicher Strukturen bereitgestellt werden sollten. Die Informationen sollten konkret und belastbar sein; abstrakte oder mehrdeutige Begriffe bzw. Interpretationsspielraum sind zu vermeiden. Insbesondere die Zwecke der und die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten sollten klar dargelegt werden.

„Die Unterrichtung von Kindern und sonstigen schutzbedürftigen Personen“

7.    Sofern das Zielpublikum des Verantwortlichen Kinder sind oder dieser sich des Umstands bewusst ist bzw. sein sollte, dass die Waren / Dienstleistungen insbesondere von Kindern genutzt werden (einschließlich der Fälle, in denen der Verantwortliche der kindlichen Einwilligung bedarf), sollte sichergestellt sein, dass die Wortwahl, die Tonalität und der Sprachstil der kindlichen Zielgruppe angepasst sind und positiven Anklang bei diesen finden, damit der kindliche Empfänger der Informationen auch erkennt, dass die Mitteilung / Information an ihn gerichtet ist. Das „UN Convention on the Rights of the Child in Child Friendly Language“ (Übereinkommen der Vereinten Nationen über die Rechte des Kindes in kindgerechter Sprache) liefert ein nützliches Beispiel kindgerechter Sprache als Alternative zu den juristischen Formulierungen in der Originalfassung.

8.    Die Datenschutzgruppe vertritt den Standpunkt, dass das Transparenzgebot ein eigenständiges Recht begründet, welches für Kinder und Erwachsene gleichermaßen gilt. Hierbei betont die Datenschutzgruppe insbesondere, dass Kinder in Situationen, auf die Artikel 8 der DSGVO Anwendung findet, als betroffene Personen ihrer Rechte auf Transparenz nicht automatisch durch die bloße Tatsache verlustig gehen, dass seitens des Trägers der elterlichen Verantwortung eine Einwilligung erteilt wurde. Obwohl diese Einwilligung in vielen Fällen von dem Träger der elterlichen Verantwortung punktuell gegeben bzw. genehmigt wird, hat ein Kind (wie jede andere betroffene Person auch) im Rahmen der gesamten Interaktion mit dem Verantwortlichen ein permanentes Recht auf Transparenz. Dies steht im Einklang mit Artikel 13 des Übereinkommens der Vereinten Nationen über die Rechte des Kindes in dem es heißt, dass Kinder ein Recht auf Meinungsfreiheit haben, was auch das Recht einschließt, sich Informationen und Gedankengut jeder Art zu beschaffen, zu empfangen und weiterzugeben. Zu betonen ist, dass Artikel 8, nach dem für ein Kind unter einer bestimmten Altersgrenze die Einwilligung in seinem Namen erforderlich ist, keine Transparenzverfahren für die Träger der elterlichen Verantwortung, welche die Einwilligung erteilen, vorsieht. Sofern sie Kinder ansprechen oder sich der Tatsache bewusst sind, dass ihre Waren oder Dienstleistungen insbesondere von Kindern in einem lese- und schreibkundigen Alter benutzt werden, sind die Verantwortlichen demnach im Einklang mit der ausdrücklichen Erwähnung von Transparenzverfahren für Kinder in Artikel 12 Absatz 1 (gestützt durch die Erwägungsgründe 38 und 58) verpflichtet, sicherzustellen, dass sämtliche Informationen und Mitteilungen in klarer und einfacher Sprache oder unter Verwendung eines für Kinder leicht verständlichen Mediums abgefasst werden. Um hier etwaige Missverständnisse zu vermeiden, unterstützt die Datenschutzgruppe jedoch auch die Auffassung, dass sich die Transparenzmaßnahmen im Fall sehr junger oder noch nicht des Lesens oder Schreibens mächtiger Kinder auch an die Träger der elterlichen Verantwortung richten können, da diese Kinder überwiegend nicht in der Lage sein werden, selbst die einfachsten auf das Transparenzgebot bezogenen Mitteilungen in Schrift- oder anderer Form zu verstehen.

„Schriftlich oder in anderer Form“

9.    Nach Artikel 12 Absatz 1 wird bei der Übermittlung von Informationen oder bei Mitteilungen an die betroffenen Personen in der Regel die Schriftform verwendet. (In Artikel 12 Absatz 7 wird zudem festgelegt, dass die Informationen in Kombination mit standardisierten Bildsymbolen bereitgestellt werden können, und dieses Thema wird in dem Abschnitt zu den Visualisierungswerkzeugen in den Ziffern 49 bis 53 aufgegriffen). Allerdings lässt die DSGVO auch die Nutzung sonstiger, nicht weiter benannter „Formen“, u. a. elektronischer Mittel zu. Gemäß dem Standpunkt der Datenschutzgruppe in Bezug auf die schriftliche elektronische Form wird für den Fall, dass ein Verantwortlicher eine Webseite betreibt (bzw. teilweise oder ganz über eine solche tätig ist), die Verwendung von Mehrebenen-Datenschutzerklärungen / -hinweisen empfohlen, die den Besuchern der Website das Aufrufen bestimmter Punkte von vorwiegendem Interesse für sie dort ermöglichen (weitere Angaben zu Mehrebenen-Datenschutzerklärungen / -hinweisen finden Sie in den Ziffern 35 bis 37). Allerdings sollten alle an die betroffenen Personen gerichteten Informationen für den Fall, dass diese die Gesamtheit der an sie gerichteten Informationen zur Rate ziehen möchten, auch leicht zugänglich an einem einzigen Ort oder in einem Gesamtdokument (ob digital oder im Papierformat) zur Verfügung gestellt werden. Wichtig ist, dass sich die Mehrebenen-Herangehensweise nicht nur auf die schriftlichen elektronischen Formen zur Bereitstellung von Informationen an die betroffenen Personen beschränkt. Gemäß Darstellung in den nachstehenden Ziffern 35 bis 36 und 38 kann ein Mehrebenen-Ansatz für die Unterrichtung der betroffenen Personen auch durch den Einsatz einer Kombination von Verfahren zur Sicherstellung der Transparenz in Bezug auf die Verarbeitung zum Tragen kommen.

10.    Natürlich stellt die Verwendung digitaler Mehrebenen-Datenschutzerklärungen / -hinweise nicht die einzige elektronische Form dar, welcher sich die Verantwortlichen bedienen können. Zu den weiteren elektronischen Formen zählen auch kontextbezogene „Just-in-time-Pop-up-Hinweise“, 3D Touch- oder Hover-over-Hinweise sowie Datenschutz-Dashboards. Zu den nicht schriftlichen elektronischen Formen, die zusätzlich zu den Mehrebenen-Datenschutzerklärungen /-hinweisen denkbar sind, könnten ggfs. Videos und Smartphone- oder IoT-Sprachmeldungen zählen. Zu den nicht notwendigerweise elektronischen „sonstigen Formen“ könnten beispielsweise Bildgeschichten, Infografiken oder Ablaufdiagramme zählen. Richten sich die Informationen gemäß dem Transparenzgebot speziell an Kinder, sollten die Verantwortlichen sich Gedanken darüber machen, welche Verfahrensarten für Kinder ggfs. besonders verständlich sind (hier könnten z. B. neben anderen Mitteln auch Bildgeschichten/Trickfilme, Piktogramme, Animationen, etc. zum Tragen kommen).

„Unentgeltlich“

11.    Nach Artikel 12 Absatz 5 können die Verantwortlichen grundsätzlich kein Entgelt für die Erteilung von Informationen nach den Artikeln 13 und 14 oder für Mitteilungen und getroffene Maßnahmen nach den Artikeln 15-22 (zu den Rechten der betroffenen Personen) sowie Artikel 34 (Benachrichtigung der von Verletzungen des Schutzes personenbezogener Daten betroffenen Personen) von den betroffenen Personen verlangen. Dieser Aspekt des Transparenzgebots bedeutet auch, dass eine nach den Transparenzanforderungen bereitgestellte Information in keinem Fall von finanziellen Transaktionen, zum Beispiel der Zahlung für oder dem Kauf von Dienstleistungen oder Waren, abhängig gemacht werden kann.


Informationspflicht gegenüber der betroffenen Person – Artikel 13 & 14


„Inhalt“

12.    Die DSGVO enthält eine Aufstellung der Kategorien von Informationen, die einer betroffenen Person im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten entweder bei der Erhebung von der betroffenen Person selbst (Artikel 13) oder Erlangung aus einer anderen Quelle (Artikel 14) zu erteilen sind.

„Geeignete Maßnahmen“

13.    Neben dem Inhalt sind auch die Form sowie die Art und Weise, wie der Informationspflicht nach den Artikeln 13 und 14 gegenüber der betroffenen Person nachgekommen wird, von Bedeutung. Der Hinweis mit den entsprechenden Informationen wird häufig als Datenschutzhinweis, Datenschutzbestimmungen, Datenschutzerklärung oder Hinweis für eine Verarbeitung nach Treu und Glauben bezeichnet. In der DSGVO werden weder das Format noch die Art und Weise vorgegeben, in der diese Informationen der betroffenen Person bereitzustellen sind, es geht jedoch klar aus der Verordnung hervor, dass es dem Verantwortlichen obliegt, „geeignete Maßnahmen“ im Zusammenhang mit der Bereitstellung der erforderlichen Information aus Gründen der Transparenz zu treffen. Konkret heißt dies, dass der Verantwortliche bei der Entscheidung über die geeignete Art und Weise sowie das Format der Bereitstellung sämtliche Umstände der Datenerhebung und -verarbeitung berücksichtigen sollte.

14.    Als Hilfestellung zur Festlegung der geeignetsten Art und Weise für die Bereitstellung der Informationen können die Verantwortlichen vor dem „Going Live“ verschiedene Vorgehensweisen ausprobieren mit Anwendertests (d. h. Auditoriumtests oder sonstige Standardtests der Verständlichkeit oder Zugänglichkeit), um so Rückmeldungen zu erhalten, wie zugänglich, verständlich und komfortabel die vorgeschlagene Maßnahme für die Nutzer ist.

„Wahl des Zeitpunkts für die Erteilung der Informationen“

15.    In den Artikeln 13 und 14 wird festgelegt, welche Informationen der betroffenen Person in der Anfangsphase des Verarbeitungszyklus zu übermitteln sind. Artikel 13 ist auf das Szenario anwendbar, in dem die Daten von der betroffenen Person selbst erhoben werden. Hierzu zählen Daten, die:

  • eine betroffene Person dem Verantwortlichen bewusst übermittelt (z. B. beim Ausfüllen eines Online-Formulars), oder
  • der Verantwortliche im Wege der Beobachtung von der betroffenen Person erhebt (z. B. unter Verwendung von automatisierten Datenerfassungsgeräten oder Datenerfassungssoftware wie Kameras, Netzwerkausrüstungen, Wi-Fi-Tracking, RFID oder sonstigen Arten von Sensoren).

Artikel 14 ist auf das Szenario anwendbar, in dem die personenbezogenen Daten nicht von der betroffenen Person selbst erlangt wurden. Hierzu zählen personenbezogene Daten, welche der Verantwortliche von folgenden Quellen erlangt hat:

  • dritten Verantwortlichen,
  • allgemein zugänglichen Quellen,
  • Datenvermittlern, oder
  • sonstigen betroffenen Personen.


16.    Im Hinblick auf den Zeitpunkt der entsprechenden Informationsbereitstellung stellt die rechtzeitige Erteilung ein wesentliches Element der Transparenzpflicht sowie der Pflicht zu einer Datenverarbeitung nach Treu und Glauben da. Für den Geltungsbereich von Artikel 13 heißt es nach Artikel 13 Absatz 1, dass die Informationen „zum Zeitpunkt der Erhebung dieser Daten“ zu übermitteln sind.

„Änderungen der Informationen nach Artikel 13 und Artikel 14“

17.    Die Rechenschaftspflicht in Bezug auf die Transparenz gilt unabhängig von der übermittelten Information oder Mitteilung nicht nur zum Zeitpunkt der Erhebung der personenbezogenen Daten, sondern während des gesamten Verarbeitungszyklus. Dies kommt beispielsweise bei Änderungen der Inhalte bestehender Datenschutzerklärungen bzw. -hinweise zum Tragen. Bei der Kommunikation sowohl der ursprünglichen Datenschutzerklärungen bzw. -hinweise als auch nachfolgender wesentlicher oder sachlicher Änderungen dieser Erklärungen bzw. Hinweise sollte der Verantwortliche hier den gleichen Grundsätzen folgen. Zu den Faktoren, welche die Verantwortlichen bei der Bewertung, was eine wesentliche oder sachliche Änderung darstellt, berücksichtigen sollten, zählen die Wirkung auf die betroffenen Personen (einschließlich deren Fähigkeit, ihre Rechte auszuüben) und wie unerwartet oder überraschend die Änderung für die betroffenen Personen wäre. Zu den Änderungen von Datenschutzerklärungen bzw.  hinweisen, welche den betroffenen Personen stets mitgeteilt werden sollten, zählen unter anderem die Änderung des Verarbeitungszwecks, die Änderung der Identität des Verantwortlichen oder die Änderung der Vorgehensweise, wie die betroffenen Personen ihre Rechte bezüglich der Verarbeitung ausüben können. Hingegen erachtet die Datenschutzgruppe beispielsweise Korrekturen von Rechtschreibfehlern oder stilistischen bzw. grammatikalischen Mängeln als Änderungen, die nicht von wesentlicher oder sachlicher Relevanz sind. Da die meisten Bestandskunden oder Nutzer wohl nur einen kurzen Blick auf Mitteilungen über geänderte Datenschutzerklärungen bzw.  hinweise werfen, sollten seitens der Verantwortlichen alle erforderlichen Maßnahmen für eine Bekanntgabe der besagten Änderungen in einer Art und Weise ergriffen werden, die gewährleistet, dass die Mehrzahl der Empfänger ihr auch tatsächlich Beachtung schenkt. Dies bedeutet beispielsweise, dass die Unterrichtung über Änderungen stets auf angemessene Art und Weise erfolgt (z. B. per E-Mail, per klassischem Brief auf Papier, per Pop-up auf einer Webseite oder auf eine andere Art und Weise, welche der betroffenen Person die Änderungen wirksam zur Kenntnis bringt) und dabei eigens den besagten Änderungen gewidmet (d.h. beispielsweise nicht mit Inhalten des Direktmarketings vermischt) sein sollte. Auch die Anforderungen nach Artikel 12 bezüglich einer präzisen, transparenten, verständlichen und leicht zugänglichen Form und der Verwendung einer klaren und einfachen Sprache sollte die Mitteilung erfüllen. Vor dem Hintergrund des Artikels 5 Absatz 1 Buchstabe a werden etwaige Verweise in Datenschutzerklärungen bzw.  hinweisen, welche besagen, dass die betroffene Person die Datenschutzerklärungen bzw. -hinweise regelmäßig auf Änderungen oder Aktualisierungen prüfen sollte, nicht nur als unzureichend, sondern auch als Verstoß gegen die Vorgabe eines Vorgehens „nach Treu und Glauben“ erachtet. Für weitere Erläuterungen bezüglich der Wahl des Zeitpunkts für die Unterrichtung der betroffenen Personen über etwaige Änderungen siehe die nachfolgenden Ziffern 30 und 31.

„Modalitäten – Format für die Unterrichtung“

18.    Sowohl in Artikel 13 als auch in Artikel 14 wird auf die Pflicht des Verantwortlichen, „der betroffenen Person Folgendes [mitzu]teil[en]“, verwiesen. Der Schlüsselbegriff lautet hier „mitzuteilen“. Dies bedeutet, dass der Verantwortliche selbst aktiv werden muss, um der betroffenen Person die Information bereitzustellen oder sie aktiv zu der Stelle zu leiten, wo die Angaben zur Verfügung stehen (z. B. über einen direkten Link, die Verwendung eines QR-Codes usw.). Der betroffenen Person muss die Bürde abgenommen werden, unter sonstigen Informationen wie den Nutzungsbedingungen für eine Website oder App aktiv nach den Informationen suchen zu müssen, welche von den genannten Artikeln abgedeckt werden. Das Beispiel in Ziffer 11 veranschaulicht dies. Wie in Ziffer 17 oben angeführt, empfiehlt die Datenschutzgruppe für den Fall, dass die betroffenen Personen alle an sie gerichteten Informationen einsehen möchten, diese Letzteren auch leicht zugänglich an einer einzigen Stelle oder in einem Gesamtdokument (in digital Form oder auf Papier) zur Verfügung zu stellen.

19.    Die Anforderungen, den betroffenen Personen einerseits die umfassenden Informationen gemäß der DSGVO bereitzustellen, und dies andererseits in präziser, transparenter, verständlicher und leicht zugänglicher Form zu leisten, erzeugen ein grundsätzliches Spannungsfeld in der DSGVO. Entsprechend müssen die Verantwortlichen eine eigene Analyse der Art, Umstände, des Umfangs und Kontextes der von ihnen vorgenommenen Verarbeitung personenbezogener Daten unter Berücksichtigung der wesentlichen Grundsätze von Rechenschaftspflicht und Treu und Glauben durchführen und innerhalb der Grenzen der rechtlichen Anforderungen der DSGVO sowie vor dem Hintergrund der Empfehlungen in diesen Leitlinien, insbesondere in Ziffer 36 unten, über die Priorisierung der den betroffenen Personen zur Verfügung zu stellenden Informationen sowie die angemessene Detail- und Verfahrenstiefe der Informationsübermittlung entscheiden.

„Mehrebenen-Ansatz in einer digitalen Umgebung und Mehrebenen-Datenschutzerklärungen / -hinweise“

20.    Angesichts der Menge an Informationen, die der betroffenen Person übermittelt werden müssen, kann von den Verantwortlichen im digitalen Bereich ein Mehrebenen-Ansatz verfolgt werden, in dessen Rahmen sie sich für einen Einsatz kombinierter Verfahren entscheiden, um Transparenz zu gewährleisten. Um Informationsermüdung zu vermeiden, empfiehlt die Datenschutzgruppe den Einsatz von Mehrebenen-Datenschutzerklärungen / -hinweisen insbesondere zur Verknüpfung der verschiedenen Kategorien von Informationen, die der betroffenen Person zur Verfügung gestellt werden müssen, anstelle einer Darstellung dieser gesamten Informationen auf dem Bildschirm in Form eines einzigen Hinweises. Mehrebenen-Datenschutzerklärungen / -hinweise können dazu beitragen, das Spannungsfeld zwischen Vollständigkeit und Verständnis zu überbrücken, vor allem indem den Nutzern so die Möglichkeit gegeben wird, den Teil der Erklärung / des Hinweises direkt aufzurufen, den sie gerade lesen möchten. Allerdings ist zu beachten, dass es sich bei Mehrebenen-Datenschutzerklärungen / -hinweisen nicht bloß um verschachtelte Seiten handelt, die erst über mehrere Klicks zu den maßgeblichen Informationen führen. Die Gestaltung und Gliederung der ersten Ebene der Datenschutzerklärungen / -hinweise sollten der betroffenen Person einen klaren Überblick über die ihr hinsichtlich der Verarbeitung ihrer personenbezogenen Daten zur Verfügung stehenden Informationen liefen und aufzeigen, wo / wie sie die einzelnen Informationen auf den jeweiligen Ebenen der Datenschutzerklärungen / -hinweise finden kann. Zudem ist es wichtig, dass die auf den verschiedenen Ebenen eines Mehrebenen-Hinweises enthaltenen Informationen konsistent sind und sich nicht in widersprüchlicher Weise von Ebene zu Ebene unterscheiden.

21.    Hinsichtlich des Inhalts der ersten Modalität, der sich der Verantwortliche bedient, um den betroffenen Personen unter Verwendung eines Mehrebenen-Ansatzes Informationen bereitzustellen (anders ausgedrückt, das hauptsächliche Mittel für den Verantwortlichen, mit der betroffenen Person erstmalig Kontakt aufzunehmen), oder des Inhalts der ersten Ebene bei Mehrebenen-Datenschutzerklärungen / -hinweisen empfiehlt die Datenschutzgruppe, dass die erste Ebene / Modalität Einzelheiten zu den Verarbeitungszwecken, die Identität des Verantwortlichen sowie eine Beschreibung der Rechte der betroffenen Person beinhalten sollte. (Diese Informationen sollten der betroffenen Person zudem direkt zum Zeitpunkt der Erhebung der personenbezogenen Daten zur Kenntnis gebracht werden, z. B. durch die Anzeige auf dem Bildschirm, während die betroffene Person ein Online-Formular ausfüllt.) Dass es wichtig ist, diese Informationen im Vorfeld zu übermitteln, ergibt sich insbesondere aus Erwägungsgrund 39. Wiewohl die Verantwortlichen in der Lage sein müssen, Rechenschaftspflicht hinsichtlich ihrer Entscheidung über die Priorisierung weiterer Informationen an den Tag zu legen, vertritt die Datenschutzgruppe den Standpunkt, dass die erste Ebene / Modalität im Einklang mit dem Grundsatz nach Treu und Glauben zusätzlich zu den weiter oben unter dieser Ziffer beschriebenen Informationen auch Angaben über die Verarbeitung, welche sich am stärksten auf die betroffene Person auswirkt, und die Verarbeitungsvorgänge, mit denen Letztere ggfs. nicht gerechnet hat, enthalten sollte. Mithin sollte die betroffene Person die Konsequenzen der fraglichen Verarbeitung für sich selbst anhand der in der ersten Ebene / Modalität enthaltenen Informationen verstehen können.

„Mehrebenen-Ansatz in einer nicht digitalen Umgebung“

22.    Auch im Offline- / nicht digitalen Bereich (d. h. in einer realen Umgebung, wie bei persönlichen Kontakten oder Telefongesprächen) besteht die Möglichkeit der Verwendung eines Mehrebenen-Ansatzes zur Übermittlung von Transparenzangaben an die betroffenen Personen. Die Verantwortlichen können hierbei viele Modalitäten einsetzen, um die Unterrichtung zu erleichtern. (Siehe auch Ziffer 33 bis 37 und 39 bis 40 bezüglich der verschiedenen Modalitäten zur Informationsübermittlung.) Ein solcher Ansatz ist nicht mit der hiervon zu unterscheidenden Veröffentlichung von Mehrebenen-Datenschutzerklärungen / -hinweisen zu verwechseln. Unabhängig von den im Rahmen dieses Mehrebenen-Ansatzes verwendeten Formaten empfiehlt die Datenschutzgruppe, dass die erste „Ebene“ (anders ausgedrückt, das hauptsächliche Mittel für den Verantwortlichen, mit der betroffenen Person erstmalig Kontakt aufzunehmen) grundsätzlich die wichtigsten Informationen vermitteln sollte (wie in Ziffer 36 oben angegeben), nämlich die Einzelheiten zu den Verarbeitungszwecken, die Identität des Verantwortlichen und die Existenz der Rechte der betroffenen Person – zusammen mit Informationen über die wichtigsten Auswirkungen der Verarbeitung bzw. Verarbeitungsvorgänge, mit denen die betroffene Person möglicherweise nicht rechnet. Stellt beispielsweise ein telefonischer Kontakt den ersten Berührungspunkt mit einer betroffenen Person dar, so könnten diese Informationen im Rahmen des besagten Telefongesprächs mit der betroffenen Person übermittelt werden. Für die Erteilung der restlichen, nach Artikel 13/ 14 erforderlichen Informationen bestünde dann die Möglichkeit, sich weiterer, anderer Mittel zu bedienen, wie der Zusendung einer Ausfertigung der Datenschutzbestimmungen per E-Mail und / oder eines Links zu den Mehrebenen-Datenschutzerklärungen / -hinweisen des Verantwortlichen an die betroffene Person.

„Sonstige Themen – Risiken, Vorschriften und Garantien“

23.    In Erwägungsgrund 39 der DSGVO wird auch auf eine nicht ausdrücklich durch die Artikel 13 und Artikel 14 abgedeckte Erteilung bestimmter Informationen verwiesen (siehe den Wortlaut des Erwägungsgrunds weiter oben unter Ziffer 28). Der Hinweis in diesem Erwägungsgrund, dass die betroffenen Personen über die Risiken, Vorschriften und Garantien im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert werden sollen, ist mit einer Reihe weiterer Themen verbunden. Zu diesen zählen die Datenschutz-Folgenabschätzungen (DSFA). Wie in den Leitlinien der Datenschutzgruppe zu den DSFA dargelegt, können die Verantwortlichen eine Veröffentlichung der DSFA (auch auszugsweise) zum Zwecke der Vertrauensbildung hinsichtlich der Verarbeitungsvorgänge und als Transparenz- und Rechenschaftspflichtnachweis in Betracht ziehen – obgleich diese Veröffentlichung nicht verpflichtend ist. Zudem kann die Einhaltung von Verhaltensregeln (vorgesehen in Artikel 40) zum Nachweis der Transparenz beitragen, da Verhaltensregeln ausgearbeitet werden können, um die Anwendung der DSGVO hinsichtlich folgender Punkte zu präzisieren: faire und transparente Verarbeitung, Unterrichtung der Öffentlichkeit und der betroffenen Personen, Unterrichtung und Schutz von Kindern – neben weiteren Themen.

24.    Der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (gemäß Artikel 25) stellt ein weiteres relevantes Thema dar. Gemäß diesen Grundsätzen sind die Verantwortlichen gefordert, datenschutzrechtliche Erwägungen von Anfang an in ihre Verarbeitungsvorgänge und Systeme einfließen zu lassen und den Datenschutz nicht nur als einen in letzter Minute zu beachtenden Aspekt bei der Einhaltung von Rechtsvorschriften zu behandeln. In Erwägungsgrund 78 wird auf die Ergreifung von Maßnahmen durch die Verantwortlichen verwiesen, die den Anforderungen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, einschließlich Maßnahmen zur Herstellung von Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten, entsprechen.

25.    Davon unabhängig spielt auch das Thema der gemeinsam für die Verarbeitung Verantwortlichen bei der Aufklärung der betroffenen Personen über die Risiken, Vorschriften und Garantien eine Rolle. In Artikel 26 Absatz 1 wird von den gemeinsam für die Verarbeitung Verantwortlichen gefordert, in transparenter Form festzulegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht, und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 nachkommt. In Artikel 26 Absatz 2 wird verlangt, der betroffenen Person das Wesentliche der Vereinbarung zur Verfügung zu stellen. Anders ausgedrückt, dürfen bei der betroffenen Person keine Zweifel aufkommen, an welchen Verantwortlichen sie sich im Falle der Absicht, eines oder mehrere Rechte nach der DSGVO wahrzunehmen, wenden kann.


Instrumente zur Visualisierung


26.    Wichtig ist, dass sich die Umsetzung des Grundsatzes der Transparenz im Rahmen der DSGVO nicht einfach auf die sprachliche Kommunikation (ob schriftlich oder mündlich) beschränkt. In der DSGVO sind bedarfsweise Instrumente zur Visualisierung vorgesehen (die sich insbesondere auf Bildsymbole, Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen beziehen). In Erwägungsgrund 58 wird darauf hingewiesen, dass die Zugänglichkeit von für die Öffentlichkeit oder die betroffenen Personen bestimmten Informationen im Netz besonders wichtig ist.

„Bildsymbole“

27.    Erwägungsgrund 60 sieht Informationen vor, die der betroffenen Person „in Kombination“ mit standardisierten Bildsymbolen bereitgestellt werden, und ermöglicht so einen Mehrebenen-Ansatz. Allerdings sollten durch die Verwendung von Bildsymbolen weder die für die Ausübung der Rechte der betroffenen Person erforderlichen Informationen einfach ersetzt, noch eine Einhaltung der Verpflichtungen nach den Artikeln 13 und 14 seitens des Verantwortlichen begründet werden. In Artikel 12 Absatz 7 wird die Verwendung dieser Bildsymbole vorgesehen und Folgendes dazu festgehalten:

„Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.“

„Zertifizierungsverfahren, Siegel und Prüfzeichen“

28.    Neben der Verwendung standardisierter Bildsymbole sieht die DSGVO (Artikel 42) auch den Einsatz von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen vor. Diese dienen dem Nachweis, dass die DSGVO von den Verantwortlichen oder Auftragsverarbeitern bei den Verarbeitungsvorgängen eingehalten wird, und sollen mehr Transparenz für die betroffenen Personen schaffen. Die Datenschutzgruppe wird zu gegebener Zeit Leitlinien zu den Zertifizierungsverfahren ausgeben.


Wahrnehmung der Rechte der Betroffenen


29.    Durch das Transparenzgebot wird den Verantwortlichen eine dreifache Pflicht in Bezug auf die Rechte der betroffenen Personen nach der DSGVO auferlegt:

  • Unterrichtung der betroffenen Personen über ihre Rechte (gemäß Artikel 13 Absatz 2 Buchstabe b und Artikel 14 Absatz 2 Buchstabe c),
  • Einhaltung des Grundsatzes der Transparenz (d. h. im Zusammenhang mit der Qualität der Mitteilungen gemäß Artikel 12 Absatz 1) bei der Unterrichtung der betroffenen Personen über ihre Rechte gemäß den Artikeln 15 bis 22 und 34 sowie

  • Erleichterung der Ausübung der Rechte der betroffenen Personen nach Artikel 15 bis 22.


30.    Die Anforderungen in der DSGVO bezüglich der Wahrnehmung dieser Rechte und der Art der erforderlichen Informationen sind entsprechend gestaltet, um den betroffenen Personen eine zweckdienliche Ausgangsposition zu verschaffen, damit sie ihre Rechte verteidigen und die Verantwortlichen für die Verarbeitung ihrer personenbezogenen Daten zur Verantwortung ziehen können. In Erwägungsgrund 59 wird betont, dass „Modalitäten festgelegt werden [sollten], die einer betroffenen Person die Ausübung der Rechte [...] erleichtern“ und dass der Verantwortliche „auch dafür sorgen [sollte], dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten elektronisch verarbeitet werden“. Die Modalität, die der Verantwortliche bereitstellt, damit die betroffenen Personen ihre Rechte ausüben können, sollte den jeweiligen Umständen und der Art des Verhältnisses und der Interaktionen zwischen dem Verantwortlichen und der betroffenen Person angemessen sein. Hierfür kann es dem Verantwortlichen ggfs. wünschenswert erscheinen, eine oder mehrere verschiedene Modalitäten, welche den unterschiedlichen Arten der Interaktion der betroffenen Personen mit dem Verantwortlichen Rechnung tragen, für die Ausübung der Rechte zur Verfügung zu stellen.

ec.europa.eu; Autoren, bow, Zugriff 25.09.2018
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227