Die Arti­kel-29-Daten­schutz­grup­pe hat am 13. April 2018 die defi­ni­ti­ve Fas­sung des Arbeits­pa­piers (Working Paper) 260 zur Trans­pa­renz ver­öf­fent­licht (WP260 rev.01). Ein Ver­gleich die­ser Fas­sung mit der im Janu­ar 2018 ver­öf­fent­lich­ten Anhö­rungs­ver­si­on ergibt das nach­ste­hend zusam­men­ge­fass­te – selbst­re­dend nicht abschlie­ssen­de Bild. – Ein Ver­gleichs­do­ku­ment (red­li­ne) ist hier abruf­bar: PDF.

    • Die Art.-29-Gruppe betont, dass nicht alle Nuan­cen abge­bil­det wer­den kön­nen und das Ziel dar­in bestehe, dass Ver­ant­wort­li­che “at a high level” ver­ste­hen, was die Grup­pe unter Trans­pa­renz ver­steht – das unter­streicht, dass die Grund­sät­ze Leit­li­ni­en­cha­rak­ter haben, dass bei der Imple­men­tie­rung der Trans­pa­renz aber Ermes­sens­spiel­raum besteht;
    • gene­rell ist der Ansatz der Art.-29-Gruppe aber nicht prag­ma­ti­scher gewor­den. Man­che Hin­wei­se stel­len – meist in Nuan­cen – sogar Ver­schär­fun­gen dar;
    • wenn Daten­schutz­er­klä­run­gen auf­grund der DSGVO ange­passt wer­den, soll­te dies den betrof­fe­nen Per­so­nen aktiv mit­ge­teilt wer­den, wenn die Ände­run­gen umfas­send sind. Anson­sten genügt die Ver­öf­fent­li­chung;
    • auf Kin­der ist bei der For­mu­lie­rung und Gestal­tung von Daten­schutz­er­klä­run­gen beson­de­re Rück­sicht zu neh­men, wenn die Erklä­rung eine Ver­ar­bei­tung betrifft, die auf Kin­der zielt oder von der davon aus­zu­ge­hen ist, dass sie in beson­de­rem Mass Kin­der im urteils­fä­hi­gen Alter (“lite­ra­te age”) betref­fen wird;
    • der “layered”-Ansatz, den die Grup­pe emp­fiehlt, bezie­he sich nicht nur auf elek­tro­ni­sche Erklä­run­gen, son­dern auch auf das zeit­li­che Vor­ge­hen: Wenn just-in-time-Hin­wei­se erfol­gen (zB als Mou­se-over-Text in einem Online-For­mu­lar), müs­se die gesam­te Erklä­rung zusätz­lich als ein Doku­ment zur Ver­fü­gung ste­hen; auch dies stellt aus Sicht der Grup­pe einen Laye­red-Ansatz dar. Es fin­den sich zusätz­li­che Aus­füh­run­gen zum “laye­red” approach;
    • unbe­stimm­te For­mu­lie­run­gen (“may”, “might”, “some”, “pos­si­ble” etc.) soll­ten zwar ver­mie­den wer­den. Wer­den sie trotz­dem ver­wen­det, soll­te der Ver­ant­wort­li­che in der Lage sein, wes­halb sol­che Begrif­fe erfor­der­lich sind und dass sie den Fair­ness-Grund­satz nicht ver­let­zen – immer­hin;
    • bei Ände­run­gen der Bear­bei­tung soll­te nach der schon bis­her ver­tre­te­nen Mei­nung eine neue Mit­tei­lung erfol­gen – die Daten­schutz­grup­pe schlägt neu Kri­te­ri­en vor, die dabei zu berück­sich­ti­gen sind;
    • die Daten­schutz­grup­pe gibt ein neu­es Bei­spiel für den Aus­nah­me­tat­be­stand in Art. 14 Abs. 5 lit. b DSGVO (“unver­hält­nis­mä­ssi­ger Auf­wand”):

      A lar­ge metro­po­li­tan hospi­tal requi­res all pati­ents for day pro­ce­du­res, lon­ger-term admis­si­ons and appoint­ments to fill in a Pati­ent Infor­ma­ti­on Form which seeks the details of two next-of-kin (data sub­jects). Given the very lar­ge volu­me of pati­ents pas­sing through the hospi­tal on a daily basis, it would invol­ve dis­pro­por­tio­na­te effort on the part of the hospi­tal to pro­vi­de all per­sons who have been listed as next-of-kin on forms fil­led in by pati­ents each day with the infor­ma­ti­on requi­red under Arti­cle 14

    • beruft sich ein Ver­ant­wort­li­cher auf die­se Aus­nah­me, ist er nach att 14 Abs. 5 lit. b DSGVO ver­pflich­tet, Schutz­mass­nah­men zu tref­fen. Neu bestä­tigt die Daten­schutz­grup­pe, dass eine sol­che Schutz­mass­nah­me dar­in bestehen kann, z.B. im Inter­net eine Daten­schutz­er­klä­rung auf­zu­schal­ten, die ent­spre­chen­de Trans­pa­renz schafft.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.