Art.-29-Datenschutzgruppe: Arbeits­pa­pier zur Transparenz

Hin­ter­grund

Die DSGVO schreibt in Art. 13 und 14 vor, dass der Ver­ant­wort­li­che den betrof­fe­nen Per­so­nen zu einem bestimm­ten Zeit­punkt bestimm­te Infor­ma­tio­nen im Zusam­men­hang mit einer geplan­ten Daten­ver­ar­bei­tung über­mit­teln muss. Art. 13 DSGVO betrifft die Erhe­bung direkt bei der betrof­fe­nen Per­son, Art. 14 die Erhe­bung von ande­ren Quel­len. Dabei gilt:

  • Direkt­er­he­bung (Art. 13) heisst (i) Mit­tei­lung durch die betrof­fe­ne Per­son und (ii) Erhe­bung von der betrof­fe­nen Per­son, bspw. durch Kame­ras und ande­re Sensoren;
  • Indi­rek­te Erhe­bung (Art. 14) heisst Mit­tei­lung durch oder Erhe­bung von einer Drittquelle.

Art. 12 ent­hält sodann all­ge­mei­ne Bestim­mun­gen, die auch für die Infor­ma­ti­ons­pflicht nach Art. 13 f. DSGVO gel­ten. Art. 5 Abs. 1 DSGVO legt schliess­lich den all­ge­mei­nen Grund­satz der Trans­pa­renz fest, und Art. 83 Abs. 5 lit. b DSGVO sieht Bus­sen für den Ver­let­zungs­fall vor.

Die Art.-29-Datenschutzgruppe hat im Dezem­ber 2017 den Ent­wurf eines Arbeits­pa­piers WP260 zur Trans­pa­renz (“Gui­de­li­nes on trans­pa­r­en­cy under Regu­la­ti­on 2016/679”) ver­öf­fent­licht; bis am 23. Janu­ar 2018 kön­nen noch Stel­lung­nah­men ein­ge­reicht werden.

Gegen­stand der Information

Das WP260 ent­hält im Anhang eine tabel­la­ri­sche Über­sicht der erfor­der­li­chen Anga­ben mit wei­ter­füh­ren­den Bemer­kun­gen. Anga­ben fin­den sich zudem

Die WP29 emp­fiehlt zudem, über das gesetz­li­che Mini­mum hin­aus, Angaben

  • zu den Kon­se­quen­zen der Ver­ar­bei­tung, und zwar nicht nur über die wahr­schein­lich­sten, son­dern vor allem die ein­schnei­den­sten Konsequenzen;
  • je nach Umstän­den wei­te­re Anga­ben, z.B. Ver­öf­fent­li­chung einer Daten­­­­­schutz-Fol­­­­gen­a­­b­­­­schät­­zung.

Über­mitt­lung der Infor­ma­ti­on: Dar­stel­lung und Art und Weise

Ver­ständ­li­che For­mu­lie­rung und Darstellung

Die Pflicht­in­for­ma­tio­nen (Art. 13 und 14 DSGVO) müs­sen leicht ver­ständ­lich sein. Das erfor­dert (beson­ders bei Kin­dern) adres­sa­ten­ge­rech­te, knap­pe, leicht ver­ständ­li­che For­mu­lie­run­gen ohne kom­pli­zier­te Neben­sät­ze, ohne “Lega­le­se” und ohne zu tech­ni­sche Aus­drücke. Zu ver­mei­den sind unbe­stimm­te For­mu­lie­run­gen wie “könn­ten”, “öfter”, “mög­li­cher­wei­se”, “eini­ge” oder “bestimm­te” etc. Das gilt ganz beson­ders für die Anga­ben zu den Verarbeitungszwecken.

Unge­nü­gend sind laut WP29 etwa fol­gen­de Angaben:

  • We may use your per­so­nal data to deve­lop new ser­vices” (as it is unclear what the ser­vices are or how the data will help deve­lop them);
  • We may use your per­so­nal data for rese­arch pur­po­ses” (as it is unclear what kind of rese­arch this refers to); and
  • We may use your per­so­nal data to offer per­so­na­li­sed ser­vices” (as it is unclear what the per­so­na­li­sa­ti­on entails).

Bei der Dar­stel­lung der Infor­ma­ti­on ist auf kla­re Struk­tur zu ach­ten, z.B. durch Auf­zäh­lun­gen und Titeiel.

Zudem sind die Pflicht­an­ga­ben von ande­ren Infor­ma­tio­nen – ausser­halb des Daten­schutz­rechts – zu unter­schei­den. Sie sind zudem in allen Spra­chen vor­zu­hal­ten, die von den avi­sier­ten betrof­fe­nen Per­so­nen gespro­chen werden.

Form

Form­vor­schrif­ten bestehen nicht. Häu­fig wer­den Infor­ma­tio­nen in Text­form über­mit­telt, aber auch ande­re For­men sind zuläs­sig oder, je nach Umstän­den, erfor­der­lich, bspw.

  • münd­li­che Anga­ben unter Anwe­sen­den oder (auch auto­ma­tisch) über Tele­fon (auch wenn die Iden­ti­tät der betrof­fe­nen Per­so­nen [noch] nicht bekannt ist, trotz Art. 12 Abs. 1 DSGVO);
  • Audio­an­ga­ben bei einem Gerät ohne Bildschirm;
  • Anga­ben auf Papier, z.B. durch Merk­blät­ter oder Fly­er oder in einem Pro­dukt bei­ge­leg­ten Bedienungsanleitungen;
  • Video­an­ga­ben, z.B. bei elek­tro­ni­schen Anlei­tun­gen in einer App;
  • Mit­tei­lun­gen durch SMS oder E‑Mail;
  • öffent­li­che Infor­ma­tio­nen, z.B. in einer Zei­tungs­an­non­ce (etwa bei Droh­nen­auf­nah­men, sofern dabei Per­so­nen­da­ten ver­ar­bei­tet werden);
  • Anga­ben auf einem Pla­kat, bspw. bei Video­über­wa­chung eines Ladenlokals.

Meist wer­den die Anga­ben in elek­tro­ni­scher Form über­mit­telt. Ent­schei­dend ist jeweils, dass das gewähl­te For­mat nach den Umstän­den geeig­net ist, die betrof­fe­nen Per­so­nen effek­tiv zu infor­mie­ren, und dass der Ver­ant­wort­li­che die Infor­ma­ti­on doku­men­tiert. Je nach­dem emp­feh­len sich Kom­bi­na­tio­nen ver­schie­de­ner Mittel.

Auch Icons kön­nen ver­wen­det wer­den, eben­falls in Ergän­zung zu ande­ren Infor­ma­ti­ons­for­men (Art. 12 Abs. 7 DSGVO). Das Arbeits­pa­pier ent­hält hier­zu wei­te­re Infor­ma­tio­nen, auch zur Aus­le­gung des Begriffs “maschi­nen­les­bar”, der auch an ande­rer Stel­le der DSGVO ver­wen­det wird (Art. 20 Abs. 1 betr. Datenportabilität).

Gestuf­te (“laye­red”) Information

Die WP29 emp­fiehlt – wie auch der EDÖB -, kom­ple­xe­re Infor­ma­tio­nen abge­stuft zu über­mit­teln. Auf einer ersten Ebe­ne sind dabei die­je­ni­gen Punk­te zu nen­nen, die sich am stärk­sten auf die betrof­fe­nen Per­so­nen aus­wir­ken, so dass die Kon­se­quen­zen der Ver­ar­bei­tung ohne wei­ter­füh­ren­de Anga­ben ver­stan­den wer­den. Detail­lier­te­re Infor­ma­tio­nen kön­nen auf nach­ge­la­ger­ten Stu­fen über­mit­telt werden.

Anga­ben auf Websites

Die Infor­ma­tio­nen sind so zu prä­sen­tie­ren, dass sie leicht auf­zu­fin­den sind; die betrof­fe­ne Per­son soll sie nicht suchen müs­sen. Hin­wei­se auf einer Web­site kön­nen genü­gen, aber wohl nur dann, wenn die betrof­fe­nen Per­so­nen auf die Web­site hin­ge­wie­sen wer­den. Für sol­che Hin­wei­se dürf­te eine Art Zugangs­prin­zip gel­ten. Die WP29 hält dazu fest:

The “easi­ly acces­si­ble” ele­ment means that the data sub­ject should not have to seek out the infor­ma­ti­on; it should be imme­dia­te­ly appa­rent to them whe­re this infor­ma­ti­on can be acces­sed, for examp­le by pro­vi­ding it direct­ly to them, by lin­king them to it, by clear­ly sign­po­sting it or as an ans­wer to a natu­ral lan­guage questi­on (for examp­le in an online laye­red pri­va­cy statement/ noti­ce, in FAQs, by way of con­tex­tu­al pop-ups which activa­te when a data sub­ject fills in an online form, or in an inter­ac­tive digi­tal con­text through a chat­bot inter­face etc.).

Hin­wei­se auf eine Web­site kön­nen laut WP29 bspw durch einen QR-Code auf einem Gerät erfol­gen, z.B. bei IoT-Anwen­­­­dun­­­­­­­gen (vgl. dazu die Opi­ni­on 8/2014 on the on Recent Deve­lop­ments on the Inter­net of Things vom 16.9.2014, die wei­ter­hin Gel­tung hat). Der Link muss dabei direkt auf die Daten­schutz­er­klä­rung führen.

Bei Online-Tran­s­ak­­ti­o­­­­nen soll­te bei der Kun­den­schnitt­stel­le ein Link auf die Daten­schutz­er­klä­rung ste­hen, sofern die Pflicht­an­ga­ben nicht direkt auf der betref­fen­den Sei­te wie­der­ge­ge­ben werden.

Emp­foh­len wer­den zusätzlich

  • die Ver­wen­dung eines “Pri­va­cy Dash­boards”, über das betrof­fe­ne Per­so­nen Daten­schutz­ein­stel­lun­gen zen­tral und gerä­te­un­ab­hän­gig ver­wal­ten können;
  • just in time”-Mit­tei­lun­gen, die bspw. bei einem Online-Ein­­­­kauf rele­van­te Anga­ben zum ent­spre­chen­den Zeit­punkt übermitteln.

Anga­ben in Apps

In Apps soll­ten Daten­schutz­hin­wei­se bereits vor dem Down­load ver­füg­bar sein. Bei instal­lier­ten Apps soll­ten Hin­wei­se nie wei­ter als zwei Klicks bzw. Taps ent­fernt sein, bspw. über einen “Datenschutz”-Link in einem Menu.

Aus­übung von Betroffenenrechten

Art. 12 Abs. 2 DSGVO und ErwG 59 ver­lan­gen, dass den betrof­fe­nen Per­so­nen die Aus­übung ihrer Rech­te erleich­tert wird. Die WP29 hält hier­zu fest, dass je nach Umstän­den unter­schied­li­che Mit­tel für die Aus­übung der Betrof­fe­nen­rech­te zur Ver­fü­gung zu stel­len sei. Bei Web­sites wird bspw. die Ver­wen­dung eines For­mu­lars für Aus­kunfts­be­geh­ren emp­foh­len; ledig­lich auf den Kun­den­dienst zu ver­wei­sen sei schlech­te Praxis.

Über­mitt­lung der Infor­ma­ti­on: Zeitpunkt

Die Trans­pa­renz­pflicht ist nicht auf einen bestimm­ten Zeit­punkt beschränkt. Sie gilt viel­mehr wäh­rend des gesam­ten Life­cy­cle der Ver­ar­bei­tung, d.h. vor Beginn der Ver­ar­bei­tung, wäh­rend der Ver­ar­bei­tung, bspw. bei der Kom­mu­ni­ka­ti­on mit den betrof­fe­nen Per­so­nen über ihre Rech­te, und bei bestimm­ten Ereig­nis­sen, z.B. bei einer Daten­schutz­ver­let­zung. Ins­be­son­de­re gel­ten die Anfor­de­run­gen von Art. 12 für alle Mitteilungen.

Zeit­punkt bei Direkterhebung

Die Pflicht­an­ga­ben nach Art. 13 DSGVO müs­sen “zuZeitpunkdeErhebung die­ser Daten” erfol­gen (Art. 13 Abs. 1).

Zeit­punkt bei indi­rek­ter Erhebung

Bei indi­rek­ter Erhe­bung müs­sen die Pflicht­an­ga­ben mög­lichst rasch erfol­gen, spä­te­stens aber (je nach­dem, was frü­her ist):

  • einen Monat nach Erhebung;
  • bei der ersten Mit­tei­lung an die betrof­fe­ne Person;
  • bei der ersten Mit­tei­lung an eine ande­re Per­son (einen ande­ren Ver­ant­wort­li­chen, einen gemein­sam Mit­ver­ant­wort­li­chen oder einen Auf­trags­ver­ar­bei­ter, nicht aber einen Angestellten).

Die­se Maxi­mal­fri­sten soll­ten laut WP29 aber nicht aus­ge­schöpft wer­den, und der Ver­ant­wort­li­che soll­te sei­ne ent­spre­chen­den Über­le­gun­gen doku­men­tie­ren.

Auf­fri­schen der Information

Die WP29 emp­fiehlt, die Pflicht­in­for­ma­tio­nen bei Dau­er­lei­stun­gen nach län­ge­rer Dau­er erneut zu über­mit­teln, auch ohne Ände­run­gen (aber ohne bestimm­te Inter­val­le zu nennen).

Mit­tei­lung von Änderungen

Zeit­punkt

Bei Ände­run­gen der den Anga­ben zugrun­de­lie­gen­den Ver­hält­nis­se gel­ten für die Mit­tei­lung der Ände­run­gen die glei­chen Anfor­de­run­gen wie für die ursprüng­li­che Mit­tei­lung. Ins­be­son­de­re soll­ten die Ände­run­gen in einer eige­nen Mit­tei­lung erfol­gen, also nicht als Teil eines all­ge­mei­nen Newsletters:

[…] the con­trol­ler should take all mea­su­res necessa­ry to ensu­re that the­se chan­ges are com­mu­ni­ca­ted in such a way that ensu­res that most reci­pi­ents will actual­ly noti­ce them. This means for examp­le that a noti­fi­ca­ti­on of chan­ges should always be com­mu­ni­ca­ted by way of an appro­pria­te moda­li­ty (e.g. email/ hard copy let­ter etc.) spe­ci­fi­cal­ly devo­ted to tho­se chan­ges (e.g. not toge­ther with direct mar­ke­ting con­tent), with such a com­mu­ni­ca­ti­on mee­ting the Arti­cle 12 requi­re­ments of being con­cise, intel­li­gi­b­le, easi­ly acces­si­ble and using clear and plain language.

Die DSGVO macht kei­ne Anga­ben zum Zeit­punkt, zu dem Ände­run­gen mit­zu­tei­len sind. Die WP29 emp­fiehlt bei wich­ti­gen Ände­run­gen eine mög­lichst früh­zei­ti­ge Mit­tei­lung, beson­ders bei Ände­run­gen, die den Kern der Ver­ar­bei­tung berüh­ren, z.B. bei einer Mit­tei­lung an zusätz­li­che Kate­go­ri­en von Emp­fän­gern oder der Bekannt­ga­be in Dritt­staa­ten). Wie­der­um soll­ten Ver­ant­wort­li­che ihre Über­le­gun­gen zum Zeit­punkt der Mit­tei­lung doku­men­tie­ren.

Infor­ma­ti­on bei Zweckänderungen

Bei (kom­pa­ti­blen!) Zweck­än­de­run­gen sind nach Art. 13 Abs. 3 und Art. 14 Abs. DSGVO die “mass­geb­li­chen Infor­ma­tio­nen” jeweils nach Abs. 2 der Bestim­mung zur Ver­fü­gung zu stel­len. Laut WP29 sind jedoch grund­sätz­lich jeweils alle Anga­ben nach Abs. 2 zu nen­nen. Dar­über hin­aus sei­en die betrof­fe­nen Per­so­nen auch über die Kom­pa­ti­bi­li­täts­ana­ly­se (Art. 6 Abs. 4 DSGVO) zu ori­en­tie­ren, soweit der neue Zweck nicht durch eine Ein­wil­li­gung gedeckt ist oder auf einer Basis im EU- bzw. mit­glied­staat­li­chen Recht beruht.

Die­se Anga­ben müs­sen vor Beginn der Ver­ar­bei­tung für den neu­en Zweck erfol­gen; den betrof­fe­nen Per­so­nen sei dabei aus­rei­chend Zeit zu geben, sich eine Mei­nung zu bil­den und ggf. ihre Rech­te (z.B. das Wider­spruchs­recht) auszuüben.

Aus­nah­men von der Informationspflicht

Bereits vor­han­de­ne Informationen

Sowohl bei Direkt­er­he­bung als auch bei indi­rek­ter Erhe­bung ent­fällt die Infor­ma­ti­ons­pflicht, sofern und soweit die betrof­fe­ne Per­son über die ent­spre­chen­den Anga­ben bereits ver­fügt. Die­se Aus­nah­me soll nur gel­ten, wenn der Ver­ant­wort­li­che ihre Vor­aus­set­zun­gen doku­men­tie­ren kann. Die WP29 emp­fiehlt zudem, den betrof­fe­nen Per­so­nen jeweils alle Anga­ben zu über­mit­teln, auch die­je­ni­gen, über die sie bereits verfügt.

Zusätz­li­che Aus­nah­men bei indi­rek­ter Erhebung

Nur bei der indi­rek­ten Erhe­bung ent­fällt die Infor­ma­ti­ons­pflicht, soweit ihre Erfül­lung unmög­lich wäre (Art. 14 Abs. 5 lit. b DSGVO). Die WP29 ver­steht die­se Aus­nah­me eng; Unmög­lich­keit lässt sie nur gel­ten, wenn die Infor­ma­ti­on effek­tiv nicht mög­lich ist, was sehr sel­ten der Fall sei. Vor allem sind Syste­me und Abläu­fe so zu gestal­ten, dass die Infor­ma­ti­on erfol­gen kann; andern­falls kann ein Ver­stoss gegen den Pri­­va­­­­cy-by-Design-Grun­­­­d­­­­satz vor­lie­gen. Das gilt auch etwa dann, wenn Daten aus unter­schied­li­chen Quel­len zusam­men­ge­führt wer­den; hier hat der Ver­ant­wort­li­che dafür zu sor­gen, dass die Anga­be der jewei­li­gen Quel­le mög­lich bleibt.

Die Infor­ma­ti­ons­pflicht ent­fällt fer­ner dann, wenn ihre Erfül­lung unver­hält­nis­mä­ssi­gen Auf­wand ver­ur­sa­chen wür­de (Art. 14 Abs. 5 lit. b DSGVO). Die­se Aus­nah­me soll nur dann gel­ten, wenn sich die­ser Auf­wand gera­de dar­aus ergibt, dass die Daten nicht bei der betrof­fe­nen Per­son erho­ben wer­den; das schliesst die WP29 dar­aus, dass Art. 13 DSGVO kei­ne ent­spre­chen­de Aus­nah­me vor­sieht. Zudem sei der Ver­ant­wort­li­che ver­pflich­tet, die Abwä­gung des Auf­wands gegen das Infor­ma­ti­ons­in­ter­es­se zu doku­men­tie­ren.

Zudem ent­fällt die Infor­ma­ti­ons­pflicht bei indi­rek­ter Erhe­bung, wenn die Infor­ma­ti­on die Erfül­lung des Ver­ar­bei­tungs­zwecks ver­un­mög­li­chen oder ernst­haft beein­träch­ti­gen wür­de. Hier sie die betrof­fe­ne Per­son aber zumin­dest in all­ge­mei­ner Form gene­risch über die ent­spre­chen­de Daten­er­he­bung zu informieren.

Bei indi­rek­ter Erhe­bung ent­fällt die Infor­ma­ti­ons­pflicht auch dann, soweit die­se auf dem Recht der EU bzw. eines Mit­glied­staats beruht Art. 14 Abs. 5 lit. c DSGVO). Die betrof­fe­ne Per­son ist hier aber über die Daten­ver­ar­bei­tung gemäss die­ser Geset­zes­grund­la­ge zu informieren.

Zuletzt ent­fällt die Infor­ma­ti­ons­pflicht, wenn ihr eine gesetz­li­che Geheim­hal­tungs­pflicht ent­ge­gen­steht, die sich wie­der­um aus dem Recht der EU bzw. eines Mit­glied­staats erge­ben muss (Art. 14 Abs. 5 lit. d DSGVO).