X
Digital
Datenschutz Digital Monitor News

DSB-Tipps für Datenschutzerklärungen

(Bild: © iStock) (Bild: © iStock)

In einem kürzlich veröffentlichten Bescheid gibt die Datenschutzbehörde (DSB) Hinweise, wie aus ihrer Sicht Datenschutzerklärungen zu gestalten sind; insbesondere äußert sich die Behörde zu den zu erteilenden Informationen bezüglich Verantwortlichkeit, Speicherdauer und Empfängern.

Informationspflichten nach Art 13 DSGVO

Werden personenbezogene Daten bei der betroffenen Person erhoben, fordert Art 13 Abs 1 DSGVO, der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten eine Vielzahl an Informationen zur Datenverarbeitung mitzuteilen. Während manche dieser Informationspflichten kaum Unklarheiten in Bezug auf deren Umfang aufwerfen (wie etwa im Hinblick auf Name und Kontaktdaten des Verantwortlichen), ist der geforderte Detailgrad in Bezug auf andere Punkte, über die aufzuklären ist, fraglich (etwa hinsichtlich der Empfänger bzw Kategorien von Empfängern personenbezogener Daten).

In ihrem Bescheid zum Beschwerdeverfahren DSB-D130.206/0006-DSB/2019 vom 22.8.2019 hatte sich die DSB mit diesem erforderlichen Detailgrad in Bezug auf die Informationspflichten auseinanderzusetzen. Sie gab der Beschwerde teilweise statt, die eine Verletzung des Informationsrechts nach Art 13 DSGVO moniert hatte und trug der Beschwerdegegnerin auf, dem Beschwerdeführer innerhalb einer Frist von vier Wochen die entsprechenden Informationen mitzuteilen. Dabei lieferte die DSB für die Praxis aufschlussreiche Hinweise zur Gestaltung einer Datenschutzerklärung.

„Datenschutzverantwortlicher“ kein Terminus der DSGVO

Zunächst bezog sich die DSB auf folgenden Satz der von der Beschwerdegegnerin zur Verfügung gestellten Datenschutzerklärung, mit der die Beschwerdegegnerin ihrer Informationspflicht nachkommen wollte: „Ihre datenschutzrechtlichen Anfragen übermitteln Sie bitte schriftlich oder per e-mail direkt an unsere Datenschutzverantwortliche.“ Hier hielt die Behörde fest, dass die DSGVO den Begriff eines „Datenschutzverantwortlichen“ nicht kennt: Unklar sei, ob damit der Verantwortliche iSd Art 4 Z 7 DSGVO gemeint ist, eine Art interne Ansprechstelle bei der Beschwerdegegnerin, ein Datenschutzbeauftragter iSd Art 37 DSGVO oder allenfalls – da im konkreten Fall die Beschwerdegegnerin in der Schweiz niedergelassen war – ein Vertreter iSd Art 27 DSGVO.

Angabe von Empfängern bzw Kategorien von Empfängern

In der der Entscheidung zugrunde liegenden Datenschutzerklärung hieß es weiter: „Personenbezogene Daten werden von uns […] an unsere Geschäftspartner übermittelt.“ Unter Bezugnahme auf Art 13 Abs 1 lit e DSGVO führte die DSB aus, dass sich die Beschwerdegegnerin mit dieser Angabe offensichtlich darauf beschränkt hat, Kategorien von Empfängern der personenbezogenen Daten zu nennen.

Dazu hält die Behörde fest – obgleich die DSGVO mit der Formulierung „Empfänger oder Kategorien von Empfängern“ offenbar eine Alternative gewähren will –, dass vor dem Hintergrund des Transparenzgrundsatzes davon auszugehen ist, dass der Nennung von konkreten Empfängern zumindest der Vorrang einzuräumen ist.

In jenem Fall, dass ein unverhältnismäßig hoher Aufwand verursacht würde oder die konkreten Empfänger noch nicht bekannt sind, könne sich der Verantwortliche hingegen auf die Nennung von Kategorien von Empfängern beschränken. Insbesondere in Bezug auf die Nennung von „Geschäftspartnern“ sei keinesfalls nachvollziehbar, weshalb nicht die konkreten „Geschäftspartner“ genannt würden. In jedem Fall sei aber die Empfängerkategorie „Geschäftspartner“ zu allgemein gehalten.

Im Ergebnis wurde die Beschwerdegegnerin daher dazu angehalten, entweder die konkreten Empfänger der personenbezogenen Daten, und falls dies nicht möglich ist oder einen unverhältnismäßig hohen Aufwand darstellt, die Gründe dafür, in jedem Fall aber präzisere Informationen im Hinblick auf die Empfängerkategorie „Geschäftspartner“ mitzuteilen.

Sofern man daher tatsächlich daran gehindert ist, konkrete Empfänger personenbezogener Daten bekannt zu geben, so empfiehlt es sich, einerseits zumindest zu begründen, warum die Nennung konkreter Empfänger unterbleiben muss und andererseits, die Nennung von zu allgemeinen Kategorien von Empfängern zu vermeiden; insbesondere werden die konkreten Funktionen allfälliger „Geschäftspartner“, denen Daten weitergegeben werden sollen, angeführt werden müssen.

Angaben zur Speicherdauer

Die im Verfahren vor der DSB gegenständliche Datenschutzerklärung enthielt auch eine Passage, wonach personenbezogene Daten von einem Löschungsverlangen unberührt bleiben würden, wenn diese Daten für Abrechnungs- und buchhalterische Zwecke oder zur Erfüllung rechtlicher Verpflichtungen benötigt werden.

Im Hinblick auf die Informationspflicht nach Art 13 Abs 2 lit a DSGVO (Angaben zur Speicherdauer) führte die DSB aus, dass der allgemeine Hinweis auf „Abrechnungs- und buchhalterische Zwecke“ oder die „Erfüllung rechtlicher Verpflichtungen“ nicht ausreiche, da es einer betroffenen Person nicht aufgebürdet werden kann, Fristen recherchieren zu müssen.

Die Beschwerdegegnerin wurde daher dazu angehalten, hinreichend verständliche und präzise Informationen im Hinblick auf die Dauer, für die die personenbezogenen Daten gespeichert werden, oder – falls dies nicht möglich ist – die Kriterien für die Festlegung dieser Dauer mitzuteilen. Von allzu allgemeinen Angaben zur Speicherdauer, wie im konkreten Fall geschehen, ist somit dringend abzuraten.

Bereitstellungspflicht, Profiling, Weiterverarbeitung

Auch in Bezug auf andere zu erteilende Informationen gab die DSB in ihrem Bescheid vom 22.8.2019 wichtige Auslegungshinweise:

So geht die DSB offenbar davon aus, dass im Hinblick auf die Informationspflicht nach Art 13 (im Bescheid offenbar irrtümlich: Art 15) Abs 2 lit e DSGVO, wonach darüber zu informieren ist, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte, in jedem Fall eine diesbezügliche Angabe zu erfolgen hat.

Dies gilt sinngemäß auch für die Informationspflicht iSd Art 13 (im Bescheid wiederum offensichtlich irrtümlich: Art 15) Abs 2 lit f DSGVO, nämlich über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art 22 Abs 1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person: In beiden Fällen muss der Sichtweise der DSB folgend daher (sofern zutreffend) zumindest angegeben werden, dass keinerlei Pflicht zur Bereitstellung der personenbezogenen Daten besteht, welche Folgen die Nichtbereitstellung hätte bzw, dass keine automatisierte Entscheidungsfindung oder Profiling betrieben wird.

Da die Beschwerdegegnerin die personenbezogenen Daten des Beschwerdeführers, die zum – ursprünglichen – Zweck der Beantwortung einer Kundenanfrage verwendet worden waren, auch genützt hat, um dem Beschwerdeführer ein Angebot zur Teilnahme an einem Newsletter mit aktuellen Reiseangeboten zu unterbreiten, müsse auch mitgeteilt werden, ob beabsichtigt wird, die personenbezogenen Daten für einen anderen Zwecke als den Erhebungszweck weiterzuverarbeiten.

Conclusio für die Praxis

Aus dem Bescheid der DSB geht recht klar hervor, dass – jedenfalls im Rahmen der Informationspflichten nach Art 13 DSGVO – der Verordnungs-Wortlaut bzgl der pflichtgemäß zu erteilenden Informationen streng im Sinne von Transparenz gegenüber den betroffenen Personen ausgelegt werden sollte; dies betrifft einerseits insbesondere die erforderliche Konkretisierung in Bezug auf die Empfänger bzw die Angaben zur Speicherdauer: Hier ist jedenfalls davon abzuraten, allzu generische Begriffe zu verwenden. Abgesehen davon wurde andererseits recht klar festgehalten, dass in der Praxis häufig verwendete Begrifflichkeiten, die der DSGVO aber fremd sind – wie konkret jene des „Datenschutzverantwortlichen“ –, im Sinne des Präzisions- und Verständlichkeitsgebots tunlichst vermieden werden sollten.

Christian Kern ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte. Wir von Preslmayr Rechtsanwälte sind führende Experten im Wirtschaftsrecht. Neben den rechtlichen Aspekten gilt unsere Aufmerksamkeit vor allem den wirtschaftlichen Zielen unserer Mandanten. Wir sehen uns als juristische Begleiter und Problemlöser mit unternehmerischem Denken.