Das revDSG (ab dem 1. September 2023) sieht bekanntlich neben dem Transparenzgrundsatz eine verschärfte Informationspflicht vor (Art. 19). Dabei ist nach wie vor nicht ganz geklärt, auf welche Art und Weise diese Informationspflicht erfüllt werden kann, weshalb sich eine nähere Betrachtung lohnt.
Auslegungsgrundsätze für die Erfüllung der Informationspflicht
Keine Informations‑, sondern eine Informationsbereitstellungspflicht
Klar ist zunächst, dass im Rahmen der Informationspflicht nach dem revDSG kein Zugangsprinzip gilt. (Art. 13 DSV (“Der Verantwortliche muss der betroffenen Person die Information […] mitteilen”) ist insofern falsch – man muss nicht “mitteilen”, sondern “bereitstellen”.) Das ist soweit ersichtlich unbestritten und kommt sogar in Art. 13 DSV zum Ausdruck, jedenfalls wenn man die folgenden Anforderungen nach dieser Bestimmung (“… in präziser, transparenter, verständlicher und leicht zugänglicher Form”) nicht nur auf den Inhalt und die Gestaltung der Information bezieht, sondern auch auf ihre Bereitstellung. Es reicht demnach, die Pflichtinformationen auf leicht zugängliche Weise bereitzustellen.
“Leicht zugänglich” lässt dabei erkennen, dass der – leicht zu ermöglichende – Zugang letztlich beim Betroffenen liegt – er oder sie muss also mitwirken, wenn er die entsprechende Information zur Kenntnis will. Das geht der Sache nach auch aus der Botschaft hervor:
Werden die Daten hingegen nicht bei der betroffenen Person beschafft, muss der Verantwortliche prüfen, wie die Information erfolgen muss, damit die betroffene Person tatsächlich von ihr Kenntnis nehmen kann. Gegebenenfalls reicht es in diesem Fall nicht aus, lediglich Informationen zur Verfügung zu stellen, sondern die betroffene Person muss aktiv informiert werden
- denn “gegebenenfalls” bedeutet, dass es durchaus genügen kann, die Information “zur Verfügung zu stellen”; nur gegebenenfalls und je nach Umständen ist das nicht ausreichend.
Insgesamt ist die Informationspflicht also eine Informationsbereitstellungspflicht. Der Verantwortliche muss eine Möglichkeit schaffen, der Betroffene kann sie wahrnehmen, so er es will; muss es aber nicht – auch das ein Ausdruck des Selbstbestimmungsrechts, das das Datenschutzrecht schützen will, bisweilen durch Bevormundung aber gerade geringschätzt.
Verfassungskonforme Auslegung
Die Informationspflicht ist eine öffentlich-rechtliche Pflicht, anders als der privatrechtliche Transparenzgrundsatz. Deshalb kann eine Verletzung der Informationspflicht nicht wie eine Persönlichkeitsverletzung generell durch Gesetz, Einwilligung oder überwiegende Interessen gerechtfertigt werden, sondern nur im starreren Rahmen von Art. 20 revDSG.
Diese Informationspflicht ist als Eingriff in die durch Art. 27 BV geschützte Wirtschaftsfreiheit aufzufassen. Diese gilt umfassend und schützt auch die freie Wahl der Betriebsmittel. Man könnte diesen Punkt sicher vertiefen, er hätte es verdient, aber es liegt nahe, die oft nicht einfach umzusetzende Informationspflicht und die entstehenden Kosten und Aufwendungen als Eingriff in den geschützten Bereich von Art. 27 BV zu verstehen. Dieser Eingriff ist an Art. 36 BV zu messen, insbesondere am Gebot der Verhältnismässigkeit. Er darf entsprechend nicht weiter gehen, als es erforderlich ist. Damit ist für die praktische Anwendung wenig gewonnen, zugegeben – bestimmte, konkrete Anforderungen lassen sich damit weder belegen noch widerlegen -, aber es zeigt doch, dass eine weite Auslegung der Informationspflicht auch unter diesem Gesichtspunkt besonders begründungspflichtig ist.
Zu bedenken ist weiter die Strafbarkeit einer vorsätzlichen Verletzung der Informationspflicht nach Art. 60 Abs. 1 lit. b revDSG. Bei Normen, die sowohl zivilrechtlicher als auch strafrechtlicher Natur sind, erfolgt praxisgemäss eine verfassungsrechtlich begründete, einschränkende Auslegung; so etwa bei Art. 3 Abs. 1 lit. a UWG (Herabsetzung; hier wird deshalb eine “besondere Schwere” der Herabsetzung verlangt) – vgl. z.B. 6S.858/1999. Diese einschränkende Auslegung gilt nach der Rechtsprechung sodann generell, nicht nur, wenn die entsprechende Norm als Strafrecht angewandt wird, um eine Normenspaltung zu vermeiden. Auch deshalb ist die Informationspflicht insgesamt einschränkend auszulegen, besonders die darin enthaltene Generalklausel (aber natürlich auch die Art und Weise ihrer Erfüllung).
Das wirft die Frage auf, ob die Generalklausel damit toter Buchstabe wird. Das wäre zwar an sich wünschenswert, aber eine übertriebene Folgerung. Eine einschränkende Auslegung schliesst es nicht a priori aus, in Ausnahmefällen eine bestimmte Information unter die Generalklausel zu fassen. Es kann aber nur um Ausnahmefälle gehen.
Schutz nur eines schutzwürdigen Informationsinteresses
Die Informationspflicht dient sodann dem Informationsinteresse der Betroffenen. Das ergibt sich aus den genannten Materialien, aber auch aus der Ausnahmeregelung von Art. 20 revDSG: Demnach kann eine Interessenabwägung eine Einschränkung der Informationspflicht rechtfertigen (eine Interessenabwägung im Einzelfall oder eine vorweggenommene, generell-abstrakte Interessenabwägung durch den Gesetzgeber). Im Kern geht es entsprechend um den Schutz dieses Informationsinteresses.
Nun muss ein Interesse schutzwürdig sein, um von der Rechtsordnung geschützt zu werden. Schutzwürdig ist ein Interesse an einem Handeln eines anderen aber nur, soweit eigenes Handeln nicht zumutbar ist. Das ist ein Gebot der Logik und einer freiheitlichen Ordnung, entspricht aber offensichtlich auch dem Verständnis des Gesetzgebers.
In diesem Zusammenhang ist auch der Unterschied zwischen dem Transparenzgrundsatz und der Informationspflicht zu berücksichtigen. Der Gesetzgeber hat diese Abgrenzung zwar verwischt, indem er bei der Informationspflicht eine Generalklausel eingeführt hat, aber beides ist dennoch nicht das gleiche:
Eine Grundtransparenz muss der Verantwortliche ohnehin schaffen. Die Informationspflicht kommt insoweit als zweite Ebene hinzu. Ein grundsätzliches Informationsbedürfnis wird damit bereits auf erster Ebene befriedigt, und die Informationspflicht dient nur einem weitergehenden Informationsbedürfnis. Der Gesetzgeber mag ein solches weitergehendes Informationsbedürfnis zwar durch Einführung einer allgemeinen Informationspflicht fingieren, aber bei der Auslegung muss gleichwohl berücksichtigt werden, dass die Informationspflicht nicht mehr die Aufgabe haben kann, den informationellen Grundbedarf zu decken. Auch aus dieser Warte ist dem Betroffenen etwas mehr zuzumuten.
Dem könnte man entgegenhalten, die Informationspflicht sei nicht Ergänzung, sondern Konkretisierung der Transparenzpflicht. Folglich gehe sie ein über das grundlegende Transparenzbedürfnis hinaus, sondern lege dies erst fest. Das liesse das vorangehende Argument entfallen. Dieses Verständnis widerspricht aber zwei Überlegungen:
- Der Transparenzgrundsatz hätte keine eigenständige Bedeutung mehr, wenn er in der Informationspflicht aufginge.
- Eine Informationspflicht, die eine Konkretisierung des Transparenzgrundsatzes ist, müsste ebenso wie diese auch für den Auftragsbearbeiter gelten, der die Bearbeitungsgrundsätze auch einhalten muss, und gerade dies hat die DSV, anders als der E‑VDSG, fallengelassen.
Entsprechend ist die Informationspflicht eine Ergänzung des Transparenzgrundsatzes, die über diesen hinausgeht und deshalb auch unter höheren Anforderungen steht.
Zwischenergebnis
Aus den vorstehenden Überlegungen ist der Schluss zu ziehen, dass die Anforderungen an die Erfüllung der Informationspflicht restriktiv auszulegen sind. Zusammenfassend beruht dieser Schluss aus drei Gründen; der erste folgt aus dem Normzweck selbst und die weiteren aus einer verfassungskonformen Auslegung:
- Die Informationspflicht schützt nur das berechtigte Informationsinteresse der Betroffenen, das über die Grundtransparenz hinausgeht, was eine gewisse Zurückhaltung bei der Auslegung nahelegt.
- Bei der Anwendung als Strafnorm verlangt das verfassungsrechtlich begründete strafrechtliche Legalitätsprinzip besondere Zurückhaltung bzw. eine “grundsätzlich restriktive Auslegung”.
- Sie stellt einen Eingriff in die Wirtschaftsfreiheit dar. Der Grundsatz der Verhältnismässigkeit verlangt eine Beschränkung auf das erforderliche Mass.
Es ist deshalb systemwidrig, wenn die Botschaft sagt, die Ausnahmen von Art. 20 revDSG seien eng auszulegen. Diese “Ausnahmen” sind der Sache nach keine Ausnahmen, sondern das notwendige Korrektiv einer potentiell zu weiten Pflicht des Verantwortlichen. Ohnehin ist der Topos, dass Ausnahmebestimmungen allgemein einschränkend auszulegen sind, methodisch falsch – eine Ausnahme hat den vom Gesetzgeber zugewiesenen Umfang, und dieser ist durch die üblichen Auslegungsgrundsätze zu ermitteln.
Anforderungen an die Informationspflicht bei Medienbruch
Grundtransparenz über die Bearbeitung als Mindestanforderung
Insbesondere dann, wenn eine Datenbearbeitung nicht online erfolgt, sondern sich eine betroffene Person offline bewegt, stellt sich die Frage, auf welche Weise sie zu informieren ist.
Es bietet sich an, auch in solchen Situationen über eine Website zu informieren, aus mehreren Gründen: Zum einen ist diese Form relativ einfach und ohne zu grossen Aufwand und hohe Kosten möglich, und zum anderen entspricht sie inzwischen wohl den Erwartungen und erfahrungsgemäss auch der Praxis (auch jene im Hinblick auf das revDSG). Besonders in der Schweiz ist es eher unüblich, im Offline-Kontext über die Beschaffung von Informationen zu informieren (anders als z.B. in Deutschland, wo man Datenschutzerklärung auf der Rückseite von Kassenzetteln finden kann), während allgemein bekannt ist, dass sich auf Websites Informationen zum Datenschutz finden.
Die Erläuternde Bericht zur DSV gibt hierzu einen Anhaltspunkt:
Es ist […] festzuhalten, dass die Kommunikation über eine Website nicht immer genügt: Die betroffene Person muss wissen, dass sie die Informationen auf einer bestimmten Website findet.
Das ist natürlich richtig. Wer nicht weiss, dass ein bestimmter Verantwortlicher Personendaten bearbeitet, hat keine Veranlassung, seine Website zu besuchen. Daraus folgt, dass zumindest eines erforderlich ist: Das Wissen oder Wissen-Sollen, dass ein bestimmter Verantwortlicher Personendaten bearbeitet.
Der Verantwortliche ist allerdings dann nicht gehalten, den Betroffenen ausdrücklich auf seine Bearbeitung und seine Website hinzuweisen, wenn die betroffene Person den Umständen entnehmen kann, dass über sie Personendaten bearbeitet werden und wo sie dazu Informationen finden kann. Dies aus mehreren Gründen: Erstens kann die Informationspflicht wie oben dargelegt nicht weiter gehen, als es notwendig ist, um dem Betroffenen die Kenntnisnahme der Datenschutzerklärung in zumutbarer Weise zu ermöglichen. Zweitens ergänzt die Informationspflicht die Transparenz, die nicht mehr verlangt, als dass eine Datenbearbeitung aus den Umständen erkennbar ist. Um im Beispiel zu bleiben: Die Transparenz lässt erkennen, dass der Verantwortliche Personendaten bearbeitet (angenommen, dies sei in einem konkreten Fall so), und die anschliessende Informationspflicht verlangt, die Pflichtinformationen auf zumutbare Weise bereitzustellen.
Die Informationspflicht wird durch dieses Verständnis nicht sinnentleert, denn sie stellt sicher, dass der Betroffene zumindest die in Art. 19 revDSG genannten Informationen finden kann. Das Beispiel der Botschaft ist hier richtig gewählt:
Gegebenenfalls reicht es in diesem Fall nicht aus, lediglich Informationen zur Verfügung zu stellen, sondern die betroffene Person muss aktiv informiert werden, sei dies in einer geeigneten allgemeinen Form oder durch individuelle Information. So wird beispielsweise eine Person, die nie Bücher kauft, kaum die Website eines Online-Buchhändlers besuchen und dessen Datenschutzerklärung lesen. Dementsprechend wird sie aufgrund dieser allgemeinen Erklärung auch nicht erfahren, dass der Online-Buchhändler Daten über sie bearbeitet, weil sie gar nicht damit rechnet.
Darin kommt der vorstehende Gedanke deutlich zum Ausdruck: Hat die betroffene Person damit zu rechnen, dass ein Buchhändler ihre Daten bearbeitet – und dafür muss der Verantwortliche wie angemerkt nach dem Transparenzgrundsatz sorgen -, so genügt es, die Informationen im Internet zur Verfügung zu stellen. Wer also z.B. in der sehr empfehlenswerten Buchhandlung Paranoia City ein Buch kauft, der lässt entweder keine Personendaten bearbeiten oder aber er weiss, dass er nur “paranoia city” zu googeln braucht, um auf https://paranoiacity.ch zu gelangen, wo er in Zukunft zweifellos eine Datenschutzerklärung finden wird.
Es ist deshalb festzuhalten, dass es genügt, im Internet eine Datenschutzerklärung zur Verfügung zu stellen, wenn der Betroffene weiss oder wissen muss, dass er auf dort Datenschutzinformationen finden wird. Dazu muss der Verantwortliche weder ausdrücklich seine Identität nennen (es genügt z.B., wenn die Domain der Firma oder Enseigne entspricht), noch muss er auf die Internetseite aktiv hinweisen.
Abzulehnen ist deshalb auch die Meinung, es brauche einen ersten Hinweis, eine ausdrückliche Verknüpfung und vielleicht sogar einen QR-Code, damit im Internet über eine Offline stattfindende Bearbeitung informiert werden kann. Diese Meinung die obigen Überlegung ausser Acht.
Auch muss man heute keine URL mehr abtippen, um auf eine Internetseite zu gelangen – man kann genauso gut passende Begriffe im Suchfeld eingeben. Soweit ersichtlich sind dazu keine Statistiken verfügbar, aber man darf annehmen, dass dies für viele Nutzer der bevorzugte Weg ist, zu einer Website zu gelangen. Dass dies länger dauert als der Scan eines QR-Code, für den man die Kamera-App starten und dann auf den Link klicken muss, ist zu bezweifeln und fiele jedenfalls nicht ins Gewicht.
Man kann dem entgegenhalten, dass ein QR-Code verlässlicher ist, d.h. mit grösserer Wahrscheinlichkeit zum richtigen Ziel führt, und dass er durch seine Existenz schon ausdrücklich auf eine Fundstelle im Internet hinweist, aber letzteres ist nach hier vertretener Meinung nicht zwingend. Dazu kommt, dass der Nutzer bei einem QR-Code nicht immer sehen kann, welchen Link er beim Scannen besucht, was Sicherheitsfragen aufwirft.
Es gibt im Übrigen bereits nach heutigem Recht Fälle, wo eine aktive Information notwendig ist, weil die Erkennbarkeit anders nicht hergestellt werden kann. Hier fragt sich heute schon, ob eine Information im Internet ausreicht. Der EDÖB hat es indes wiederholt genügen lassen, dass notwendige Hinweise nur im Internet veröffentlicht werden, erfahrungsgemäss auch bei nicht unheiklen Bearbeitungen, die eine Vielzahl von Personen betreffen.
Die Datenschutzbeauftragte Zürich ihrerseits hat sogar für öffentliche Organe festgehalten, dass eine DSE im Internet die Informationspflicht erfüllen kann (im Leitfaden Videoüberwachung vom November 2020 – und damals galt schon die aktive Informationspflicht von § 12 IDG ZH):
[…] die Videoüberwachung […] ist der Öffentlichkeit mit Hinweisen anzuzeigen, falls sie für betroffene Personen nicht offensichtlich erkennbar ist. Hinweistafeln sollen grundsätzlich dort angebracht werden, wo sie für die betroffenen Personen zugänglich und gut sichtbar sind. Der Inhalt der Hinweistafeln richtet sich nach den Umständen vor Ort, wobei grundsätzlich ein Piktogramm (Kamerasymbol, Auge) genügt. Bei Bedarf können zusätzliche Informationen angegeben werden, wie das zuständige Organ, eine Telefonnummer oder wo das entsprechende Videoüberwachungsreglement aufzufinden ist.
Gerade bei der Videoüberwachung genügt es deshalb, auf die Überwachung als solche hinzuweisen. In diese Richtung hat sich auch der EDÖB schon geäussert, in den Leitlinien vom April 2014:
Die für die Videoüberwachung Verantwortlichen müssen alle Personen, die das Aufnahmefeld der Kameras betreten, mit einem gut sichtbaren Hinweisschild über das Überwachungssystem informieren. Sind die aufgenommenen Bilder mit einer Datensammlung verbunden (werden sie also in irgend einer Form gespeichert), muss auch angegeben sein, bei wem das Auskunftsrecht geltend gemacht werden kann, falls sich dies nicht aus den Umständen ergibt (Prinzip von Treu und Glauben sowie Auskunftsrecht).
Man muss sich fragen, ob es nicht schon genügt, dass die Kameras und ihr Aufnahmebereich erkennbar sind, auch ohne Piktogramm, aber das wäre wohl nur mit Zurückhaltung zu bejahen. Man darf wohl eine Information durch ein Piktogramm verlangen, auch weil dies allgemein üblich ist.
Das Internet ist ausreichend verbreitet
Heute gehört das Internet zur Grundausstattung. Das dürfte unbestritten sein. Die Netzabdeckung bei mobilen Daten ist fast umfassend, und anscheinend gab es in der Schweiz 2019 rund 1.26 Mobilabos pro Einwohner. Eine Studie zu Liechtenstein für 2019 ergab, dass rund 95% der Einwohner das Internet mindestens gelegentlich nutzen. Ohne zynisch klingen zu wollen: Auch der SKOS-Warenkorb rechnet für den Grundbedarf mit 8.8% Kosten für Nachrichtenübermittlung, Internet und Radio/TV. Dass bei einer Information im Internet ein Prozentsatz von Personen ausgeschlossen bleibt, lässt sich nicht von der Hand weisen, aber das ist nicht zu vermeiden – es gibt immer Menschen, die aus unterschiedlichen Gründen nicht in der Lage sind, ein bestimmtes Medium zu nutzen. Das ist hinzunehmen, nicht weil diese Menschen keine Rolle spielen, sondern weil sich die Informationspflicht nach der Allgemeinheit richtet.
Dass auch der Gesetzgeber davon ausgeht, dass das Internet allgemein verwendet werden kann, zeigen weitere Bestimmungen, z.B. die Tatsache, dass bei Bundesgesetzen die im Internet publizierte Fassung massgebend ist (Art. 1a und Art. 15 PublG), aber auch Art. 27 Abs. 2 der neuen DSV, wonach Bundesorgane die Kontaktdaten des Datenschutzberaters «im Internet» veröffentlichen.
Auch unter diesem Aspekt kann die Information im Internet also ausreichen.
Transparenzfördernde Massnahmen
Es kann je nach Umständen indessen angezeigt sein, zusätzlich und über den Minimalstandard hinaus Informationen bereitzustellen. Das kann etwa in Situationen sinnvoll sein, in denen eine Information im Internet nicht leicht aufgerufen werden kann. Das kann etwa Fälle betreffen, in denen eine Person aus zeitlichen Gründen nicht in Ruhe eine Datenschutzerklärung nachlesen kann. Ein Beispiel wäre wohl das Betreten einer mit Videokameras überwachten Fläche. Allerdings bietet eine Datenschutzerklärung im Internet hier Vorteile, weil eine Datenschutzerklärung hier so gestaltet werden kann, dass die wesentlichen Informationen auf einen Blick erkennbar sind, z.B. durch eine Zusammenfassung, ein verlinktes Inhaltsverzeichnis, durch Ausklapptexte, durch zusammenfassende Hinweise bei einzelnen Kapiteln usw. Gerade die Variante mit ausklappbaren Texten (Harmonika) lässt sich offline nicht umsetzen.
In einem solchen Fall wäre allerdings auch mit einem Hinweisschild mit Basisinformationen (wie es die deutschen Behörden verlangen, z.B. das BayLDA) wenig gewonnen, es sei denn, dieses Schild enthält schon alle Pflichtinformationen nach Art. 19 revDSG. Um beim Beispiel der Videoüberwachung zu bleiben: Wer etwa eine Verkaufsfläche eines Grossverteilers betritt, sieht – das sei unterstellt – beim Betreten ein Kamerasymbol, und wer der Verantwortliche ist, ist ebenfalls offensichtlich. Damit ist auch klar, wo die Datenschutzinformationen zu finden sind.
In bestimmten Fällen kann es aber sinnvoll sein, vor Ort eine gedruckte Datenschutzerklärung bereitzuhalten, die auf Anfrage ausgehändigt bzw. ausgedruckt werden kann. Die Nachfrage ist dem Betroffenen allerdings zuzumuten, wenn die Bearbeitung als solche erkennbar ist (was wie gesagt ohnehin sichergestellt werden muss).
Ergebnis
Die allgemeine Informationspflicht ist eine grosse Neuerung des revDSG. Sie soll insbesondere die Transparenz sicherstellen, auch als Grundvoraussetzung der Betroffenenrechte. Sie tritt damit neben die allgemeine Transparenzpflicht als Bearbeitungsgrundsatz.
Sie soll dementsprechend auf ein Informationsbedürfnis antworten. Das bedeutet im Umkehrschluss aber auch, dass nur ein echtes Informationsbedürfnis zu schützen ist. Unter anderen daraus folgt, dass dem Betroffenen eigene Schritte zuzumuten sind, will er die Datenschutzinformationen effektiv zur Kenntnis nehmen.
Daraus, aber auch aus verfassungsrechtlichen Überlegungen, folgt, dass der Verantwortliche Informationen grundsätzlich im Internet bereitstellen darf, und zwar auch dann, wenn die Datenbearbeitung offline erfolgt. Verlangt ist nur, aber immerhin, dass die Datenbearbeitung als solche erkennbar ist, und weitergehend, dass zumindest aus den Umständen hervorgeht, wo der Betroffene eine Datenschutzerklärung finden kann. Demgegenüber kann nicht verlangt werden, dass der Verantwortliche den Betroffenen ausdrücklich auf seine Internetseite hinweist oder sogar einen QR-Code bereitstellt.