DSGVO Informationspflichten

Wie erfülle ich die Informationspflichten der DSGVO gegenüber meinen Kunden?

04 Oktober 2018 Daniel Rink 20 Minuten Lesezeit

Die Informationspflichten gegenüber Kunden (Art. 12 ff. DSGVO) zu erfüllen ist eine besondere Herausforderung für Unternehmer. Gerade der so wichtige Erstkontakt wird nach dem Gesetzeswortlaut überschattet mit zahlreichen Verpflichtungen, den Betroffenen über die anstehende Datenverarbeitung aufzuklären. Wir zeigen Ihnen in diesem Artikel die Probleme und einen praxisrelevante Lösung.

Die Datenschutzgrundverordnung (DSGVO) regelt in Kapitel 3 unter anderem die Informationspflichten gegenüber dem Betroffenen. In diesem Artikel will ich nicht auf die Vorschriften, insbesondere Artikel 13 DSGVO (Erhebung beim Betroffenen) oder Artikel 14 DSGVO (Erhebung bei Dritten) eingehen, sondern auf das spezielle praktische Problem, wie die Information wann praxisgerecht erbracht werden kann. Denn, soviel sei schon hier gesagt, die Umsetzung gestaltet sich teilweise als extrem schwierig.

Was muss ich nach dem Wortlaut der DSGVO informieren?

Im Bereich der nicht direkten Erhebung von personenbezogenen Daten ist die Norm - zumindest für eine Vielzahl von Fällen - in der Praxis gut anzuwenden. Zum einen regelt Art. 14 Abs. 3 DSGVO bis wann der Betroffene informiert werden muss. Der Verantwortliche hat längstens einen Monat Zeit. Auch sieht die Norm in Art. 14 Abs. 5 DSGVO Ausnahmeregelungen vor.

Anders sieht es aber bei dem Fall der Direkterhebung aus. Also der klassische Fall, Sie haben Kunden, die informiert werden müssen.

Nach dem Wortlaut der Norm ist hier zum Zeitpunkt der Erhebung der Daten zu informieren.

Muss ich als Arzt bei Anrufen von neuen
Patienten die Datenschutzerklärung vorlesen?

Die Datenschutzgrundverordnung ist vom Wortlaut eindeutig. Dieses praktische Problem haben aber mittlerweile auch teilweise die Aufsichtsbehörden versucht praxisgerecht zu lösen:

Positionen der Aufsichtsbehörden

In Niedersachsen schlägt die Landesbeauftragte für den Datenschutz in einem Hinweispapier zur Beschilderung bei einer Videoüberwachung durch nichtöffentliche Stellen eine gestufte Informationserteilung vor. Danach soll ein Hinweisschild ausreichend sein, wobei die restlichen Informationen an einer anderen Stelle erfolgen kann. Allerdings weist das Hinweispapier darauf hin, dass lediglich ergänzende Informationen z.B. auf einer Internetadresse zur Verfügung gestellt werden können.

Die schleswig-holsteinische Aufsichtsbehörde gehtin ihrem
Positionierungspapier für Heilberufe wesentlich weiter. Hiernach soll es ausreichend sein, wenn die Information nicht direkt zum Zeitpunkt der Erhebung (also dem Telefonat), sondern im engen zeitlichen Zusammenhang mit der Erhebung der Daten erfolgt.

Diese Auffassung ist sehr zu begrüßen. Rechtssicher ist sie aber nicht. Der Wortlaut der Norm ist eindeutig.

Der Europäische Datenschutzausschuss hat das Arbeitspapier WP 260 rev. 01 („Guidelines on transparency under Regulation 2016/ 679“ ) der Art. 29 Gruppe übernommen. Aus diesem Papier ergibt sich ebenfalls, dass eine gestufte Informationserteilung zulässig ist. So sei es zulässig, in einem Telefonat kurz auf die Datenverarbeitung und den Zweck hinzuweisen und dem Betroffenen später einen Link zu den vollständigen Hinweisen auf einer Internetseite zu übersenden.

Hilft die "Link-Lösung" aus dem Dilemma?

Vorab sei gesagt: wir sind Befürworter der sog. "Link-Lösung". Worum geht es? Die Datenschutzhinweise werden auf einer Internetseite abgelegt, auf die Sie verweisen können.

Unsere Hinweise, wie wir mit Ihren Daten umgehen,
finden Sie unter www.xyz.de/DS

Die "Link-Lösung" hat den entscheidenden Vorteil, dass die Informationen zum Zeitpunkt der Erhebung für den Betroffenen schon zur Verfügung stehen. Artikel 13 Abs. 1 DSGVO schreibt nicht vor, wie die Informationen zu erteilen sind:

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit...

Eine aktive Überreichung der Informationen vom Verantwortlichen an den Betroffenen wird gerade nicht gefordert. Auch die Befürworter der Ansicht erkennen an, dass aber mit Fug und Recht die geforderte "leichte Zugänglichkeit", welche nach Art. 12 Abs. 1 S. 1 DSGVO gefordert wird, nicht unbedingt gewährleistet wäre.

In der heutigen Zeit hat aber durch die Verbreitung von Smartphones, Tablets etc. ein Großteil der Bevölkerung dauerhaft Zugang zum Internet, um an diese Informationen ohne größere Umstände zu gelangen. Richtigerweise wird auch darauf verwiesen, dass dem Teil der Bevölkerung, denen das nicht möglich ist, ein individueller Weg gefunden werden kann.

Wenn Sie die "Link-Lösung" in Ihrem Unternehmen anwenden wollen, werden Sie sich diese Frage im Hinblick auf Ihre Betroffenen stellen müssen.

Ausnahmen - Anmerkung vom 24.08.2018

Erwägungsgrund 60 spricht im Zusammenhang mit den Informationspflichten von

Grundsätzen einer fairen und transparenten Verarbeitung

Vermeiden Sie daher die sog. "Link-Lösung immer dann, wenn Sie personenbezogene Daten für einen Zweck verwenden, den der Betroffene vernünftigerweise (oder typischerweise) nicht erwarten würde, denn es besteht die Gefahr, dass durch den Medienbruch ein Widerspruch zur fairen und transparenten Verarbeitung entstehen könnte.

Keine offen zugänglichen Links - Anmerkung vom 01.10.2019

Ein kleiner Tipp: Wenn Sie die Seite auf Ihrer Homepage online stellen, verlinken Sie diese nicht direkt von ihrer Homepage (Verwendung sog. Deep-Links). Wie oben ersichtlich wird, ist die Rechtslage alles andere als klar. So stellen Sie sicher, dass die Informationen auch nur jenen zugänglich gemacht werden, für welche diese bestimmt sind.

Zur Übersicht