In einem kürzlich veröffentlichten Bescheid gibt die
Datenschutzbehörde (DSB) Hinweise, wie aus ihrer Sicht
Datenschutzerklärungen zu gestalten sind; insbesondere äußert sich die
Behörde zu den zu erteilenden Informationen bezüglich
Verantwortlichkeit, Speicherdauer und Empfängern.
Informationspflichten nach Art 13 DSGVO
Werden personenbezogene Daten bei der betroffenen Person erhoben,
fordert Art 13 Abs 1 DSGVO, der betroffenen Person zum Zeitpunkt der
Erhebung dieser Daten eine Vielzahl an Informationen zur
Datenverarbeitung mitzuteilen. Während manche dieser
Informationspflichten kaum Unklarheiten in Bezug auf deren Umfang
aufwerfen (wie etwa im Hinblick auf Name und Kontaktdaten des
Verantwortlichen), ist der geforderte Detailgrad in Bezug auf andere
Punkte, über die aufzuklären ist, fraglich (etwa hinsichtlich der
Empfänger bzw Kategorien von Empfängern personenbezogener Daten).
In ihrem Bescheid zum Beschwerdeverfahren DSB-D130.206/0006-DSB/2019
vom 22.8.2019 hatte sich die DSB mit diesem erforderlichen Detailgrad
in Bezug auf die Informationspflichten auseinanderzusetzen. Sie gab der
Beschwerde teilweise statt, die eine Verletzung des Informationsrechts
nach Art 13 DSGVO moniert hatte und trug der Beschwerdegegnerin auf, dem
Beschwerdeführer innerhalb einer Frist von vier Wochen die
entsprechenden Informationen mitzuteilen. Dabei lieferte die DSB für die
Praxis aufschlussreiche Hinweise zur Gestaltung einer
Datenschutzerklärung.
„Datenschutzverantwortlicher“ kein Terminus der DSGVO
Zunächst bezog sich die DSB auf folgenden Satz der von der
Beschwerdegegnerin zur Verfügung gestellten Datenschutzerklärung, mit
der die Beschwerdegegnerin ihrer Informationspflicht nachkommen wollte:
„Ihre datenschutzrechtlichen Anfragen übermitteln Sie bitte schriftlich
oder per e-mail direkt an unsere Datenschutzverantwortliche.“ Hier hielt
die Behörde fest, dass die DSGVO den Begriff eines
„Datenschutzverantwortlichen“ nicht kennt: Unklar sei, ob damit der
Verantwortliche iSd Art 4 Z 7 DSGVO gemeint ist, eine Art interne
Ansprechstelle bei der Beschwerdegegnerin, ein Datenschutzbeauftragter
iSd Art 37 DSGVO oder allenfalls – da im konkreten Fall die
Beschwerdegegnerin in der Schweiz niedergelassen war – ein Vertreter iSd
Art 27 DSGVO.
Angabe von Empfängern bzw Kategorien von Empfängern
In der der Entscheidung zugrunde liegenden Datenschutzerklärung hieß
es weiter: „Personenbezogene Daten werden von uns […] an unsere
Geschäftspartner übermittelt.“ Unter Bezugnahme auf Art 13 Abs 1 lit e
DSGVO führte die DSB aus, dass sich die Beschwerdegegnerin mit dieser
Angabe offensichtlich darauf beschränkt hat, Kategorien von Empfängern
der personenbezogenen Daten zu nennen.
Dazu hält die Behörde fest – obgleich die DSGVO mit der Formulierung „Empfänger oder Kategorien von Empfängern“ offenbar eine Alternative gewähren will –, dass vor dem Hintergrund des Transparenzgrundsatzes davon auszugehen ist, dass der Nennung von konkreten Empfängern zumindest der Vorrang einzuräumen ist.
In jenem Fall, dass ein unverhältnismäßig hoher Aufwand verursacht würde oder die konkreten Empfänger noch nicht bekannt sind, könne sich der Verantwortliche hingegen auf die Nennung von Kategorien von Empfängern beschränken. Insbesondere in Bezug auf die Nennung von „Geschäftspartnern“ sei keinesfalls nachvollziehbar, weshalb nicht die konkreten „Geschäftspartner“ genannt würden. In jedem Fall sei aber die Empfängerkategorie „Geschäftspartner“ zu allgemein gehalten.
Im Ergebnis wurde die Beschwerdegegnerin daher dazu angehalten,
entweder die konkreten Empfänger der personenbezogenen Daten, und falls
dies nicht möglich ist oder einen unverhältnismäßig hohen Aufwand
darstellt, die Gründe dafür, in jedem Fall aber präzisere Informationen
im Hinblick auf die Empfängerkategorie „Geschäftspartner“ mitzuteilen.
Sofern man daher tatsächlich daran gehindert ist, konkrete Empfänger
personenbezogener Daten bekannt zu geben, so empfiehlt es sich,
einerseits zumindest zu begründen, warum die Nennung konkreter Empfänger
unterbleiben muss und andererseits, die Nennung von zu allgemeinen
Kategorien von Empfängern zu vermeiden; insbesondere werden die
konkreten Funktionen allfälliger „Geschäftspartner“, denen Daten
weitergegeben werden sollen, angeführt werden müssen.
Angaben zur Speicherdauer
Die im Verfahren vor der DSB gegenständliche Datenschutzerklärung enthielt auch eine Passage, wonach personenbezogene Daten von einem Löschungsverlangen unberührt bleiben würden, wenn diese Daten für Abrechnungs- und buchhalterische Zwecke oder zur Erfüllung rechtlicher Verpflichtungen benötigt werden.
Im Hinblick auf die Informationspflicht nach Art 13 Abs 2 lit a DSGVO (Angaben zur Speicherdauer) führte die DSB aus, dass der allgemeine Hinweis auf „Abrechnungs- und buchhalterische Zwecke“ oder die „Erfüllung rechtlicher Verpflichtungen“ nicht ausreiche, da es einer betroffenen Person nicht aufgebürdet werden kann, Fristen recherchieren zu müssen.
Die Beschwerdegegnerin wurde daher dazu angehalten, hinreichend
verständliche und präzise Informationen im Hinblick auf die Dauer, für
die die personenbezogenen Daten gespeichert werden, oder – falls dies
nicht möglich ist – die Kriterien für die Festlegung dieser Dauer
mitzuteilen. Von allzu allgemeinen Angaben zur Speicherdauer, wie im
konkreten Fall geschehen, ist somit dringend abzuraten.
Bereitstellungspflicht, Profiling, Weiterverarbeitung
Auch in Bezug auf andere zu erteilende Informationen gab die DSB in ihrem Bescheid vom 22.8.2019 wichtige Auslegungshinweise:
So geht die DSB offenbar davon aus, dass im Hinblick auf die Informationspflicht nach Art 13 (im Bescheid offenbar irrtümlich: Art 15) Abs 2 lit e DSGVO, wonach darüber zu informieren ist, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte, in jedem Fall eine diesbezügliche Angabe zu erfolgen hat.
Dies gilt sinngemäß auch für die Informationspflicht iSd Art 13 (im Bescheid wiederum offensichtlich irrtümlich: Art 15) Abs 2 lit f DSGVO, nämlich über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art 22 Abs 1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person: In beiden Fällen muss der Sichtweise der DSB folgend daher (sofern zutreffend) zumindest angegeben werden, dass keinerlei Pflicht zur Bereitstellung der personenbezogenen Daten besteht, welche Folgen die Nichtbereitstellung hätte bzw, dass keine automatisierte Entscheidungsfindung oder Profiling betrieben wird.
Da die Beschwerdegegnerin die personenbezogenen Daten des
Beschwerdeführers, die zum – ursprünglichen – Zweck der Beantwortung
einer Kundenanfrage verwendet worden waren, auch genützt hat, um dem
Beschwerdeführer ein Angebot zur Teilnahme an einem Newsletter mit
aktuellen Reiseangeboten zu unterbreiten, müsse auch mitgeteilt werden,
ob beabsichtigt wird, die personenbezogenen Daten für einen anderen
Zwecke als den Erhebungszweck weiterzuverarbeiten.
Conclusio für die Praxis
Aus dem Bescheid der DSB geht recht klar hervor, dass – jedenfalls im
Rahmen der Informationspflichten nach Art 13 DSGVO – der
Verordnungs-Wortlaut bzgl der pflichtgemäß zu erteilenden Informationen
streng im Sinne von Transparenz gegenüber den betroffenen Personen
ausgelegt werden sollte; dies betrifft einerseits insbesondere die
erforderliche Konkretisierung in Bezug auf die Empfänger bzw die Angaben
zur Speicherdauer: Hier ist jedenfalls davon abzuraten, allzu
generische Begriffe zu verwenden. Abgesehen davon wurde andererseits
recht klar festgehalten, dass in der Praxis häufig verwendete
Begrifflichkeiten, die der DSGVO aber fremd sind – wie konkret jene des
„Datenschutzverantwortlichen“ –, im Sinne des Präzisions- und
Verständlichkeitsgebots tunlichst vermieden werden sollten.
In einem kürzlich veröffentlichten Bescheid gibt die Datenschutzbehörde (DSB) Hinweise, wie aus ihrer Sicht Datenschutzerklärungen zu gestalten sind; insbesondere äußert sich die Behörde zu den zu erteilenden Informationen bezüglich Verantwortlichkeit, Speicherdauer und Empfängern.
Informationspflichten nach Art 13 DSGVO
Werden personenbezogene Daten bei der betroffenen Person erhoben, fordert Art 13 Abs 1 DSGVO, der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten eine Vielzahl an Informationen zur Datenverarbeitung mitzuteilen. Während manche dieser Informationspflichten kaum Unklarheiten in Bezug auf deren Umfang aufwerfen (wie etwa im Hinblick auf Name und Kontaktdaten des Verantwortlichen), ist der geforderte Detailgrad in Bezug auf andere Punkte, über die aufzuklären ist, fraglich (etwa hinsichtlich der Empfänger bzw Kategorien von Empfängern personenbezogener Daten).
In ihrem Bescheid zum Beschwerdeverfahren DSB-D130.206/0006-DSB/2019 vom 22.8.2019 hatte sich die DSB mit diesem erforderlichen Detailgrad in Bezug auf die Informationspflichten auseinanderzusetzen. Sie gab der Beschwerde teilweise statt, die eine Verletzung des Informationsrechts nach Art 13 DSGVO moniert hatte und trug der Beschwerdegegnerin auf, dem Beschwerdeführer innerhalb einer Frist von vier Wochen die entsprechenden Informationen mitzuteilen. Dabei lieferte die DSB für die Praxis aufschlussreiche Hinweise zur Gestaltung einer Datenschutzerklärung.
„Datenschutzverantwortlicher“ kein Terminus der DSGVO
Zunächst bezog sich die DSB auf folgenden Satz der von der Beschwerdegegnerin zur Verfügung gestellten Datenschutzerklärung, mit der die Beschwerdegegnerin ihrer Informationspflicht nachkommen wollte: „Ihre datenschutzrechtlichen Anfragen übermitteln Sie bitte schriftlich oder per e-mail direkt an unsere Datenschutzverantwortliche.“ Hier hielt die Behörde fest, dass die DSGVO den Begriff eines „Datenschutzverantwortlichen“ nicht kennt: Unklar sei, ob damit der Verantwortliche iSd Art 4 Z 7 DSGVO gemeint ist, eine Art interne Ansprechstelle bei der Beschwerdegegnerin, ein Datenschutzbeauftragter iSd Art 37 DSGVO oder allenfalls – da im konkreten Fall die Beschwerdegegnerin in der Schweiz niedergelassen war – ein Vertreter iSd Art 27 DSGVO.
Angabe von Empfängern bzw Kategorien von Empfängern
In der der Entscheidung zugrunde liegenden Datenschutzerklärung hieß es weiter: „Personenbezogene Daten werden von uns […] an unsere Geschäftspartner übermittelt.“ Unter Bezugnahme auf Art 13 Abs 1 lit e DSGVO führte die DSB aus, dass sich die Beschwerdegegnerin mit dieser Angabe offensichtlich darauf beschränkt hat, Kategorien von Empfängern der personenbezogenen Daten zu nennen.
Dazu hält die Behörde fest – obgleich die DSGVO mit der Formulierung „Empfänger oder Kategorien von Empfängern“ offenbar eine Alternative gewähren will –, dass vor dem Hintergrund des Transparenzgrundsatzes davon auszugehen ist, dass der Nennung von konkreten Empfängern zumindest der Vorrang einzuräumen ist.
In jenem Fall, dass ein unverhältnismäßig hoher Aufwand verursacht würde oder die konkreten Empfänger noch nicht bekannt sind, könne sich der Verantwortliche hingegen auf die Nennung von Kategorien von Empfängern beschränken. Insbesondere in Bezug auf die Nennung von „Geschäftspartnern“ sei keinesfalls nachvollziehbar, weshalb nicht die konkreten „Geschäftspartner“ genannt würden. In jedem Fall sei aber die Empfängerkategorie „Geschäftspartner“ zu allgemein gehalten.
Im Ergebnis wurde die Beschwerdegegnerin daher dazu angehalten, entweder die konkreten Empfänger der personenbezogenen Daten, und falls dies nicht möglich ist oder einen unverhältnismäßig hohen Aufwand darstellt, die Gründe dafür, in jedem Fall aber präzisere Informationen im Hinblick auf die Empfängerkategorie „Geschäftspartner“ mitzuteilen.
Sofern man daher tatsächlich daran gehindert ist, konkrete Empfänger personenbezogener Daten bekannt zu geben, so empfiehlt es sich, einerseits zumindest zu begründen, warum die Nennung konkreter Empfänger unterbleiben muss und andererseits, die Nennung von zu allgemeinen Kategorien von Empfängern zu vermeiden; insbesondere werden die konkreten Funktionen allfälliger „Geschäftspartner“, denen Daten weitergegeben werden sollen, angeführt werden müssen.
Angaben zur Speicherdauer
Die im Verfahren vor der DSB gegenständliche Datenschutzerklärung enthielt auch eine Passage, wonach personenbezogene Daten von einem Löschungsverlangen unberührt bleiben würden, wenn diese Daten für Abrechnungs- und buchhalterische Zwecke oder zur Erfüllung rechtlicher Verpflichtungen benötigt werden.
Im Hinblick auf die Informationspflicht nach Art 13 Abs 2 lit a DSGVO (Angaben zur Speicherdauer) führte die DSB aus, dass der allgemeine Hinweis auf „Abrechnungs- und buchhalterische Zwecke“ oder die „Erfüllung rechtlicher Verpflichtungen“ nicht ausreiche, da es einer betroffenen Person nicht aufgebürdet werden kann, Fristen recherchieren zu müssen.
Die Beschwerdegegnerin wurde daher dazu angehalten, hinreichend verständliche und präzise Informationen im Hinblick auf die Dauer, für die die personenbezogenen Daten gespeichert werden, oder – falls dies nicht möglich ist – die Kriterien für die Festlegung dieser Dauer mitzuteilen. Von allzu allgemeinen Angaben zur Speicherdauer, wie im konkreten Fall geschehen, ist somit dringend abzuraten.
Bereitstellungspflicht, Profiling, Weiterverarbeitung
Auch in Bezug auf andere zu erteilende Informationen gab die DSB in ihrem Bescheid vom 22.8.2019 wichtige Auslegungshinweise:
So geht die DSB offenbar davon aus, dass im Hinblick auf die Informationspflicht nach Art 13 (im Bescheid offenbar irrtümlich: Art 15) Abs 2 lit e DSGVO, wonach darüber zu informieren ist, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte, in jedem Fall eine diesbezügliche Angabe zu erfolgen hat.
Dies gilt sinngemäß auch für die Informationspflicht iSd Art 13 (im Bescheid wiederum offensichtlich irrtümlich: Art 15) Abs 2 lit f DSGVO, nämlich über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art 22 Abs 1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person: In beiden Fällen muss der Sichtweise der DSB folgend daher (sofern zutreffend) zumindest angegeben werden, dass keinerlei Pflicht zur Bereitstellung der personenbezogenen Daten besteht, welche Folgen die Nichtbereitstellung hätte bzw, dass keine automatisierte Entscheidungsfindung oder Profiling betrieben wird.
Da die Beschwerdegegnerin die personenbezogenen Daten des Beschwerdeführers, die zum – ursprünglichen – Zweck der Beantwortung einer Kundenanfrage verwendet worden waren, auch genützt hat, um dem Beschwerdeführer ein Angebot zur Teilnahme an einem Newsletter mit aktuellen Reiseangeboten zu unterbreiten, müsse auch mitgeteilt werden, ob beabsichtigt wird, die personenbezogenen Daten für einen anderen Zwecke als den Erhebungszweck weiterzuverarbeiten.
Conclusio für die Praxis
Aus dem Bescheid der DSB geht recht klar hervor, dass – jedenfalls im Rahmen der Informationspflichten nach Art 13 DSGVO – der Verordnungs-Wortlaut bzgl der pflichtgemäß zu erteilenden Informationen streng im Sinne von Transparenz gegenüber den betroffenen Personen ausgelegt werden sollte; dies betrifft einerseits insbesondere die erforderliche Konkretisierung in Bezug auf die Empfänger bzw die Angaben zur Speicherdauer: Hier ist jedenfalls davon abzuraten, allzu generische Begriffe zu verwenden. Abgesehen davon wurde andererseits recht klar festgehalten, dass in der Praxis häufig verwendete Begrifflichkeiten, die der DSGVO aber fremd sind – wie konkret jene des „Datenschutzverantwortlichen“ –, im Sinne des Präzisions- und Verständlichkeitsgebots tunlichst vermieden werden sollten.