Hintergrund
Die DSGVO schreibt in Art. 13 und 14 vor, dass der Verantwortliche den betroffenen Personen zu einem bestimmten Zeitpunkt bestimmte Informationen im Zusammenhang mit einer geplanten Datenverarbeitung übermitteln muss. Art. 13 DSGVO betrifft die Erhebung direkt bei der betroffenen Person, Art. 14 die Erhebung von anderen Quellen. Dabei gilt:
- Direkterhebung (Art. 13) heisst (i) Mitteilung durch die betroffene Person und (ii) Erhebung von der betroffenen Person, bspw. durch Kameras und andere Sensoren;
- Indirekte Erhebung (Art. 14) heisst Mitteilung durch oder Erhebung von einer Drittquelle.
Art. 12 enthält sodann allgemeine Bestimmungen, die auch für die Informationspflicht nach Art. 13 f. DSGVO gelten. Art. 5 Abs. 1 DSGVO legt schliesslich den allgemeinen Grundsatz der Transparenz fest, und Art. 83 Abs. 5 lit. b DSGVO sieht Bussen für den Verletzungsfall vor.
Die Art.-29-Datenschutzgruppe hat im Dezember 2017 den Entwurf eines Arbeitspapiers WP260 zur Transparenz (“Guidelines on transparency under Regulation 2016/679”) veröffentlicht; bis am 23. Januar 2018 können noch Stellungnahmen eingereicht werden.
Gegenstand der Information
Das WP260 enthält im Anhang eine tabellarische Übersicht der erforderlichen Angaben mit weiterführenden Bemerkungen. Angaben finden sich zudem
- betr. Hinweise auf automatisierte Einzelfallentscheidungen in den Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (3.10.2017);
- betr. Kontaktangaben des Datenschutzbeauftragten in den Guidelines on Data Protection Officers (‘DPOs’) (13.12.2016
Die WP29 empfiehlt zudem, über das gesetzliche Minimum hinaus, Angaben
- zu den Konsequenzen der Verarbeitung, und zwar nicht nur über die wahrscheinlichsten, sondern vor allem die einschneidensten Konsequenzen;
- je nach Umständen weitere Angaben, z.B. Veröffentlichung einer Datenschutz-Folgenabschätzung.
Übermittlung der Information: Darstellung und Art und Weise
Verständliche Formulierung und Darstellung
Die Pflichtinformationen (Art. 13 und 14 DSGVO) müssen leicht verständlich sein. Das erfordert (besonders bei Kindern) adressatengerechte, knappe, leicht verständliche Formulierungen ohne komplizierte Nebensätze, ohne “Legalese” und ohne zu technische Ausdrücke. Zu vermeiden sind unbestimmte Formulierungen wie “könnten”, “öfter”, “möglicherweise”, “einige” oder “bestimmte” etc. Das gilt ganz besonders für die Angaben zu den Verarbeitungszwecken.
Ungenügend sind laut WP29 etwa folgende Angaben:
- “We may use your personal data to develop new services” (as it is unclear what the services are or how the data will help develop them);
- “We may use your personal data for research purposes” (as it is unclear what kind of research this refers to); and
- “We may use your personal data to offer personalised services” (as it is unclear what the personalisation entails).
Bei der Darstellung der Information ist auf klare Struktur zu achten, z.B. durch Aufzählungen und Titeiel.
Zudem sind die Pflichtangaben von anderen Informationen – ausserhalb des Datenschutzrechts – zu unterscheiden. Sie sind zudem in allen Sprachen vorzuhalten, die von den avisierten betroffenen Personen gesprochen werden.
Form
Formvorschriften bestehen nicht. Häufig werden Informationen in Textform übermittelt, aber auch andere Formen sind zulässig oder, je nach Umständen, erforderlich, bspw.
- mündliche Angaben unter Anwesenden oder (auch automatisch) über Telefon (auch wenn die Identität der betroffenen Personen [noch] nicht bekannt ist, trotz Art. 12 Abs. 1 DSGVO);
- Audioangaben bei einem Gerät ohne Bildschirm;
- Angaben auf Papier, z.B. durch Merkblätter oder Flyer oder in einem Produkt beigelegten Bedienungsanleitungen;
- Videoangaben, z.B. bei elektronischen Anleitungen in einer App;
- Mitteilungen durch SMS oder E‑Mail;
- öffentliche Informationen, z.B. in einer Zeitungsannonce (etwa bei Drohnenaufnahmen, sofern dabei Personendaten verarbeitet werden);
- Angaben auf einem Plakat, bspw. bei Videoüberwachung eines Ladenlokals.
Meist werden die Angaben in elektronischer Form übermittelt. Entscheidend ist jeweils, dass das gewählte Format nach den Umständen geeignet ist, die betroffenen Personen effektiv zu informieren, und dass der Verantwortliche die Information dokumentiert. Je nachdem empfehlen sich Kombinationen verschiedener Mittel.
Auch Icons können verwendet werden, ebenfalls in Ergänzung zu anderen Informationsformen (Art. 12 Abs. 7 DSGVO). Das Arbeitspapier enthält hierzu weitere Informationen, auch zur Auslegung des Begriffs “maschinenlesbar”, der auch an anderer Stelle der DSGVO verwendet wird (Art. 20 Abs. 1 betr. Datenportabilität).
Gestufte (“layered”) Information
Die WP29 empfiehlt – wie auch der EDÖB -, komplexere Informationen abgestuft zu übermitteln. Auf einer ersten Ebene sind dabei diejenigen Punkte zu nennen, die sich am stärksten auf die betroffenen Personen auswirken, so dass die Konsequenzen der Verarbeitung ohne weiterführende Angaben verstanden werden. Detailliertere Informationen können auf nachgelagerten Stufen übermittelt werden.
Angaben auf Websites
Die Informationen sind so zu präsentieren, dass sie leicht aufzufinden sind; die betroffene Person soll sie nicht suchen müssen. Hinweise auf einer Website können genügen, aber wohl nur dann, wenn die betroffenen Personen auf die Website hingewiesen werden. Für solche Hinweise dürfte eine Art Zugangsprinzip gelten. Die WP29 hält dazu fest:
The “easily accessible” element means that the data subject should not have to seek out the information; it should be immediately apparent to them where this information can be accessed, for example by providing it directly to them, by linking them to it, by clearly signposting it or as an answer to a natural language question (for example in an online layered privacy statement/ notice, in FAQs, by way of contextual pop-ups which activate when a data subject fills in an online form, or in an interactive digital context through a chatbot interface etc.).
Hinweise auf eine Website können laut WP29 bspw durch einen QR-Code auf einem Gerät erfolgen, z.B. bei IoT-Anwendungen (vgl. dazu die Opinion 8/2014 on the on Recent Developments on the Internet of Things vom 16.9.2014, die weiterhin Geltung hat). Der Link muss dabei direkt auf die Datenschutzerklärung führen.
Bei Online-Transaktionen sollte bei der Kundenschnittstelle ein Link auf die Datenschutzerklärung stehen, sofern die Pflichtangaben nicht direkt auf der betreffenden Seite wiedergegeben werden.
Empfohlen werden zusätzlich
- die Verwendung eines “Privacy Dashboards”, über das betroffene Personen Datenschutzeinstellungen zentral und geräteunabhängig verwalten können;
- “just in time”-Mitteilungen, die bspw. bei einem Online-Einkauf relevante Angaben zum entsprechenden Zeitpunkt übermitteln.
Angaben in Apps
In Apps sollten Datenschutzhinweise bereits vor dem Download verfügbar sein. Bei installierten Apps sollten Hinweise nie weiter als zwei Klicks bzw. Taps entfernt sein, bspw. über einen “Datenschutz”-Link in einem Menu.
Ausübung von Betroffenenrechten
Art. 12 Abs. 2 DSGVO und ErwG 59 verlangen, dass den betroffenen Personen die Ausübung ihrer Rechte erleichtert wird. Die WP29 hält hierzu fest, dass je nach Umständen unterschiedliche Mittel für die Ausübung der Betroffenenrechte zur Verfügung zu stellen sei. Bei Websites wird bspw. die Verwendung eines Formulars für Auskunftsbegehren empfohlen; lediglich auf den Kundendienst zu verweisen sei schlechte Praxis.
Übermittlung der Information: Zeitpunkt
Die Transparenzpflicht ist nicht auf einen bestimmten Zeitpunkt beschränkt. Sie gilt vielmehr während des gesamten Lifecycle der Verarbeitung, d.h. vor Beginn der Verarbeitung, während der Verarbeitung, bspw. bei der Kommunikation mit den betroffenen Personen über ihre Rechte, und bei bestimmten Ereignissen, z.B. bei einer Datenschutzverletzung. Insbesondere gelten die Anforderungen von Art. 12 für alle Mitteilungen.
Zeitpunkt bei Direkterhebung
Die Pflichtangaben nach Art. 13 DSGVO müssen “zum Zeitpunkt der Erhebung dieser Daten” erfolgen (Art. 13 Abs. 1).
Zeitpunkt bei indirekter Erhebung
Bei indirekter Erhebung müssen die Pflichtangaben möglichst rasch erfolgen, spätestens aber (je nachdem, was früher ist):
- einen Monat nach Erhebung;
- bei der ersten Mitteilung an die betroffene Person;
- bei der ersten Mitteilung an eine andere Person (einen anderen Verantwortlichen, einen gemeinsam Mitverantwortlichen oder einen Auftragsverarbeiter, nicht aber einen Angestellten).
Diese Maximalfristen sollten laut WP29 aber nicht ausgeschöpft werden, und der Verantwortliche sollte seine entsprechenden Überlegungen dokumentieren.
Auffrischen der Information
Die WP29 empfiehlt, die Pflichtinformationen bei Dauerleistungen nach längerer Dauer erneut zu übermitteln, auch ohne Änderungen (aber ohne bestimmte Intervalle zu nennen).
Mitteilung von Änderungen
Zeitpunkt
Bei Änderungen der den Angaben zugrundeliegenden Verhältnisse gelten für die Mitteilung der Änderungen die gleichen Anforderungen wie für die ursprüngliche Mitteilung. Insbesondere sollten die Änderungen in einer eigenen Mitteilung erfolgen, also nicht als Teil eines allgemeinen Newsletters:
[…] the controller should take all measures necessary to ensure that these changes are communicated in such a way that ensures that most recipients will actually notice them. This means for example that a notification of changes should always be communicated by way of an appropriate modality (e.g. email/ hard copy letter etc.) specifically devoted to those changes (e.g. not together with direct marketing content), with such a communication meeting the Article 12 requirements of being concise, intelligible, easily accessible and using clear and plain language.
Die DSGVO macht keine Angaben zum Zeitpunkt, zu dem Änderungen mitzuteilen sind. Die WP29 empfiehlt bei wichtigen Änderungen eine möglichst frühzeitige Mitteilung, besonders bei Änderungen, die den Kern der Verarbeitung berühren, z.B. bei einer Mitteilung an zusätzliche Kategorien von Empfängern oder der Bekanntgabe in Drittstaaten). Wiederum sollten Verantwortliche ihre Überlegungen zum Zeitpunkt der Mitteilung dokumentieren.
Information bei Zweckänderungen
Bei (kompatiblen!) Zweckänderungen sind nach Art. 13 Abs. 3 und Art. 14 Abs. DSGVO die “massgeblichen Informationen” jeweils nach Abs. 2 der Bestimmung zur Verfügung zu stellen. Laut WP29 sind jedoch grundsätzlich jeweils alle Angaben nach Abs. 2 zu nennen. Darüber hinaus seien die betroffenen Personen auch über die Kompatibilitätsanalyse (Art. 6 Abs. 4 DSGVO) zu orientieren, soweit der neue Zweck nicht durch eine Einwilligung gedeckt ist oder auf einer Basis im EU- bzw. mitgliedstaatlichen Recht beruht.
Diese Angaben müssen vor Beginn der Verarbeitung für den neuen Zweck erfolgen; den betroffenen Personen sei dabei ausreichend Zeit zu geben, sich eine Meinung zu bilden und ggf. ihre Rechte (z.B. das Widerspruchsrecht) auszuüben.
Ausnahmen von der Informationspflicht
Bereits vorhandene Informationen
Sowohl bei Direkterhebung als auch bei indirekter Erhebung entfällt die Informationspflicht, sofern und soweit die betroffene Person über die entsprechenden Angaben bereits verfügt. Diese Ausnahme soll nur gelten, wenn der Verantwortliche ihre Voraussetzungen dokumentieren kann. Die WP29 empfiehlt zudem, den betroffenen Personen jeweils alle Angaben zu übermitteln, auch diejenigen, über die sie bereits verfügt.
Zusätzliche Ausnahmen bei indirekter Erhebung
Nur bei der indirekten Erhebung entfällt die Informationspflicht, soweit ihre Erfüllung unmöglich wäre (Art. 14 Abs. 5 lit. b DSGVO). Die WP29 versteht diese Ausnahme eng; Unmöglichkeit lässt sie nur gelten, wenn die Information effektiv nicht möglich ist, was sehr selten der Fall sei. Vor allem sind Systeme und Abläufe so zu gestalten, dass die Information erfolgen kann; andernfalls kann ein Verstoss gegen den Privacy-by-Design-Grundsatz vorliegen. Das gilt auch etwa dann, wenn Daten aus unterschiedlichen Quellen zusammengeführt werden; hier hat der Verantwortliche dafür zu sorgen, dass die Angabe der jeweiligen Quelle möglich bleibt.
Die Informationspflicht entfällt ferner dann, wenn ihre Erfüllung unverhältnismässigen Aufwand verursachen würde (Art. 14 Abs. 5 lit. b DSGVO). Diese Ausnahme soll nur dann gelten, wenn sich dieser Aufwand gerade daraus ergibt, dass die Daten nicht bei der betroffenen Person erhoben werden; das schliesst die WP29 daraus, dass Art. 13 DSGVO keine entsprechende Ausnahme vorsieht. Zudem sei der Verantwortliche verpflichtet, die Abwägung des Aufwands gegen das Informationsinteresse zu dokumentieren.
Zudem entfällt die Informationspflicht bei indirekter Erhebung, wenn die Information die Erfüllung des Verarbeitungszwecks verunmöglichen oder ernsthaft beeinträchtigen würde. Hier sie die betroffene Person aber zumindest in allgemeiner Form generisch über die entsprechende Datenerhebung zu informieren.
Bei indirekter Erhebung entfällt die Informationspflicht auch dann, soweit diese auf dem Recht der EU bzw. eines Mitgliedstaats beruht Art. 14 Abs. 5 lit. c DSGVO). Die betroffene Person ist hier aber über die Datenverarbeitung gemäss dieser Gesetzesgrundlage zu informieren.
Zuletzt entfällt die Informationspflicht, wenn ihr eine gesetzliche Geheimhaltungspflicht entgegensteht, die sich wiederum aus dem Recht der EU bzw. eines Mitgliedstaats ergeben muss (Art. 14 Abs. 5 lit. d DSGVO).