Die Artikel-29-Datenschutzgruppe hat am 13. April 2018 die definitive Fassung des Arbeitspapiers (Working Paper) 260 zur Transparenz veröffentlicht (WP260 rev.01). Ein Vergleich dieser Fassung mit der im Januar 2018 veröffentlichten Anhörungsversion ergibt das nachstehend zusammengefasste – selbstredend nicht abschliessende Bild. – Ein Vergleichsdokument (redline) ist hier abrufbar: PDF.
-
- Die Art.-29-Gruppe betont, dass nicht alle Nuancen abgebildet werden können und das Ziel darin bestehe, dass Verantwortliche “at a high level” verstehen, was die Gruppe unter Transparenz versteht – das unterstreicht, dass die Grundsätze Leitliniencharakter haben, dass bei der Implementierung der Transparenz aber Ermessensspielraum besteht;
- generell ist der Ansatz der Art.-29-Gruppe aber nicht pragmatischer geworden. Manche Hinweise stellen – meist in Nuancen – sogar Verschärfungen dar;
- wenn Datenschutzerklärungen aufgrund der DSGVO angepasst werden, sollte dies den betroffenen Personen aktiv mitgeteilt werden, wenn die Änderungen umfassend sind. Ansonsten genügt die Veröffentlichung;
- auf Kinder ist bei der Formulierung und Gestaltung von Datenschutzerklärungen besondere Rücksicht zu nehmen, wenn die Erklärung eine Verarbeitung betrifft, die auf Kinder zielt oder von der davon auszugehen ist, dass sie in besonderem Mass Kinder im urteilsfähigen Alter (“literate age”) betreffen wird;
- der “layered”-Ansatz, den die Gruppe empfiehlt, beziehe sich nicht nur auf elektronische Erklärungen, sondern auch auf das zeitliche Vorgehen: Wenn just-in-time-Hinweise erfolgen (zB als Mouse-over-Text in einem Online-Formular), müsse die gesamte Erklärung zusätzlich als ein Dokument zur Verfügung stehen; auch dies stellt aus Sicht der Gruppe einen Layered-Ansatz dar. Es finden sich zusätzliche Ausführungen zum “layered” approach;
- unbestimmte Formulierungen (“may”, “might”, “some”, “possible” etc.) sollten zwar vermieden werden. Werden sie trotzdem verwendet, sollte der Verantwortliche in der Lage sein, weshalb solche Begriffe erforderlich sind und dass sie den Fairness-Grundsatz nicht verletzen – immerhin;
- bei Änderungen der Bearbeitung sollte nach der schon bisher vertretenen Meinung eine neue Mitteilung erfolgen – die Datenschutzgruppe schlägt neu Kriterien vor, die dabei zu berücksichtigen sind;
- die Datenschutzgruppe gibt ein neues Beispiel für den Ausnahmetatbestand in Art. 14 Abs. 5 lit. b DSGVO (“unverhältnismässiger Aufwand”):
A large metropolitan hospital requires all patients for day procedures, longer-term admissions and appointments to fill in a Patient Information Form which seeks the details of two next-of-kin (data subjects). Given the very large volume of patients passing through the hospital on a daily basis, it would involve disproportionate effort on the part of the hospital to provide all persons who have been listed as next-of-kin on forms filled in by patients each day with the information required under Article 14
- beruft sich ein Verantwortlicher auf diese Ausnahme, ist er nach att 14 Abs. 5 lit. b DSGVO verpflichtet, Schutzmassnahmen zu treffen. Neu bestätigt die Datenschutzgruppe, dass eine solche Schutzmassnahme darin bestehen kann, z.B. im Internet eine Datenschutzerklärung aufzuschalten, die entsprechende Transparenz schafft.