Zu den Anfor­de­run­gen an die Erfül­lung der Infor­ma­ti­ons­pflicht nach dem revDSG

Das revDSG (ab dem 1. Sep­tem­ber 2023) sieht bekannt­lich neben dem Trans­pa­renz­grund­satz eine ver­schärf­te Infor­ma­ti­ons­pflicht vor (Art. 19). Dabei ist nach wie vor nicht ganz geklärt, auf wel­che Art und Wei­se die­se Infor­ma­ti­ons­pflicht erfüllt wer­den kann, wes­halb sich eine nähe­re Betrach­tung lohnt.

Aus­le­gungs­grund­sät­ze für die Erfül­lung der Informationspflicht

Kei­ne Informations‑, son­dern eine Informationsbereitstellungspflicht

Klar ist zunächst, dass im Rah­men der Infor­ma­ti­ons­pflicht nach dem revDSG kein Zugangs­prin­zip gilt. (Art. 13 DSV (“Der Ver­ant­wort­li­che muss der betrof­fe­nen Per­son die Infor­ma­ti­on […] mit­tei­len”) ist inso­fern falsch – man muss nicht “mit­tei­len”, son­dern “bereit­stel­len”.) Das ist soweit ersicht­lich unbe­strit­ten und kommt sogar in Art. 13 DSV zum Aus­druck, jeden­falls wenn man die fol­gen­den Anfor­de­run­gen nach die­ser Bestim­mung (“… in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form”) nicht nur auf den Inhalt und die Gestal­tung der Infor­ma­ti­on bezieht, son­dern auch auf ihre Bereit­stel­lung. Es reicht dem­nach, die Pflicht­in­for­ma­tio­nen auf leicht zugäng­li­che Wei­se bereit­zu­stel­len.

Leicht zugäng­lich” lässt dabei erken­nen, dass der – leicht zu ermög­li­chen­de – Zugang letzt­lich beim Betrof­fe­nen liegt – er oder sie muss also mit­wir­ken, wenn er die ent­spre­chen­de Infor­ma­ti­on zur Kennt­nis will. Das geht der Sache nach auch aus der Bot­schaft hervor:

Wer­den die Daten hin­ge­gen nicht bei der betrof­fe­nen Per­son beschafft, muss der Ver­ant­wort­li­che prü­fen, wie die Infor­ma­ti­on erfol­gen muss, damit die betrof­fe­ne Per­son tat­säch­lich von ihr Kennt­nis neh­men kann. Gege­be­nen­falls reicht es in die­sem Fall nicht aus, ledig­lich Infor­ma­tio­nen zur Ver­fü­gung zu stel­len, son­dern die betrof­fe­ne Per­son muss aktiv infor­miert werden

- denn “gege­be­nen­falls” bedeu­tet, dass es durch­aus genü­gen kann, die Infor­ma­ti­on “zur Ver­fü­gung zu stel­len”; nur gege­be­nen­falls und je nach Umstän­den ist das nicht ausreichend.

Ins­ge­samt ist die Infor­ma­ti­ons­pflicht also eine Infor­ma­ti­ons­be­reit­stel­lungs­pflicht. Der Ver­ant­wort­li­che muss eine Mög­lich­keit schaf­fen, der Betrof­fe­ne kann sie wahr­neh­men, so er es will; muss es aber nicht – auch das ein Aus­druck des Selbst­be­stim­mungs­rechts, das das Daten­schutz­recht schüt­zen will, bis­wei­len durch Bevor­mun­dung aber gera­de geringschätzt.

Ver­fas­sungs­kon­for­me Auslegung

Die Infor­ma­ti­ons­pflicht ist eine öffent­lich-recht­li­che Pflicht, anders als der pri­vat­recht­li­che Trans­pa­renz­grund­satz. Des­halb kann eine Ver­let­zung der Infor­ma­ti­ons­pflicht nicht wie eine Per­sön­lich­keits­ver­let­zung gene­rell durch Gesetz, Ein­wil­li­gung oder über­wie­gen­de Inter­es­sen gerecht­fer­tigt wer­den, son­dern nur im star­re­ren Rah­men von Art. 20 revDSG.

Die­se Infor­ma­ti­ons­pflicht ist als Ein­griff in die durch Art. 27 BV geschütz­te Wirt­schafts­frei­heit auf­zu­fas­sen. Die­se gilt umfas­send und schützt auch die freie Wahl der Betriebs­mit­tel. Man könn­te die­sen Punkt sicher ver­tie­fen, er hät­te es ver­dient, aber es liegt nahe, die oft nicht ein­fach umzu­set­zen­de Infor­ma­ti­ons­pflicht und die ent­ste­hen­den Kosten und Auf­wen­dun­gen als Ein­griff in den geschütz­ten Bereich von Art. 27 BV zu ver­ste­hen. Die­ser Ein­griff ist an Art. 36 BV zu mes­sen, ins­be­son­de­re am Gebot der Ver­hält­nis­mä­ssig­keit. Er darf ent­spre­chend nicht wei­ter gehen, als es erfor­der­lich ist. Damit ist für die prak­ti­sche Anwen­dung wenig gewon­nen, zuge­ge­ben – bestimm­te, kon­kre­te Anfor­de­run­gen las­sen sich damit weder bele­gen noch wider­le­gen -, aber es zeigt doch, dass eine wei­te Aus­le­gung der Infor­ma­ti­ons­pflicht auch unter die­sem Gesichts­punkt beson­ders begrün­dungs­pflich­tig ist.

Zu beden­ken ist wei­ter die Straf­bar­keit einer vor­sätz­li­chen Ver­let­zung der Infor­ma­ti­ons­pflicht nach Art. 60 Abs. 1 lit. b revDSG. Bei Nor­men, die sowohl zivil­recht­li­cher als auch straf­recht­li­cher Natur sind, erfolgt pra­xis­ge­mäss eine ver­fas­sungs­recht­lich begrün­de­te, ein­schrän­ken­de Aus­le­gung; so etwa bei Art. 3 Abs. 1 lit. a UWG (Her­ab­set­zung; hier wird des­halb eine “beson­de­re Schwe­re” der Her­ab­set­zung ver­langt) – vgl. z.B. 6S.858/1999. Die­se ein­schrän­ken­de Aus­le­gung gilt nach der Recht­spre­chung sodann gene­rell, nicht nur, wenn die ent­spre­chen­de Norm als Straf­recht ange­wandt wird, um eine Nor­men­spal­tung zu ver­mei­den. Auch des­halb ist die Infor­ma­ti­ons­pflicht ins­ge­samt ein­schrän­kend aus­zu­le­gen, beson­ders die dar­in ent­hal­te­ne Gene­ral­klau­sel (aber natür­lich auch die Art und Wei­se ihrer Erfüllung).

Das wirft die Fra­ge auf, ob die Gene­ral­klau­sel damit toter Buch­sta­be wird. Das wäre zwar an sich wün­schens­wert, aber eine über­trie­be­ne Fol­ge­rung. Eine ein­schrän­ken­de Aus­le­gung schliesst es nicht a prio­ri aus, in Aus­nah­me­fäl­len eine bestimm­te Infor­ma­ti­on unter die Gene­ral­klau­sel zu fas­sen. Es kann aber nur um Aus­nah­me­fäl­le gehen.

Schutz nur eines schutz­wür­di­gen Informationsinteresses

Die Infor­ma­ti­ons­pflicht dient sodann dem Infor­ma­ti­ons­in­ter­es­se der Betrof­fe­nen. Das ergibt sich aus den genann­ten Mate­ria­li­en, aber auch aus der Aus­nah­me­re­ge­lung von Art. 20 revDSG: Dem­nach kann eine Inter­es­sen­ab­wä­gung eine Ein­schrän­kung der Infor­ma­ti­ons­pflicht recht­fer­ti­gen (eine Inter­es­sen­ab­wä­gung im Ein­zel­fall oder eine vor­weg­ge­nom­me­ne, gene­rell-abstrak­te Inter­es­sen­ab­wä­gung durch den Gesetz­ge­ber). Im Kern geht es ent­spre­chend um den Schutz die­ses Informationsinteresses.

Nun muss ein Inter­es­se schutz­wür­dig sein, um von der Rechts­ord­nung geschützt zu wer­den. Schutz­wür­dig ist ein Inter­es­se an einem Han­deln eines ande­ren aber nur, soweit eige­nes Han­deln nicht zumut­bar ist. Das ist ein Gebot der Logik und einer frei­heit­li­chen Ord­nung, ent­spricht aber offen­sicht­lich auch dem Ver­ständ­nis des Gesetzgebers.

In die­sem Zusam­men­hang ist auch der Unter­schied zwi­schen dem Trans­pa­renz­grund­satz und der Infor­ma­ti­ons­pflicht zu berück­sich­ti­gen. Der Gesetz­ge­ber hat die­se Abgren­zung zwar ver­wischt, indem er bei der Infor­ma­ti­ons­pflicht eine Gene­ral­klau­sel ein­ge­führt hat, aber bei­des ist den­noch nicht das gleiche:

Eine Grund­trans­pa­renz muss der Ver­ant­wort­li­che ohne­hin schaf­fen. Die Infor­ma­ti­ons­pflicht kommt inso­weit als zwei­te Ebe­ne hin­zu. Ein grund­sätz­li­ches Infor­ma­ti­ons­be­dürf­nis wird damit bereits auf erster Ebe­ne befrie­digt, und die Infor­ma­ti­ons­pflicht dient nur einem wei­ter­ge­hen­den Infor­ma­ti­ons­be­dürf­nis. Der Gesetz­ge­ber mag ein sol­ches wei­ter­ge­hen­des Infor­ma­ti­ons­be­dürf­nis zwar durch Ein­füh­rung einer all­ge­mei­nen Infor­ma­ti­ons­pflicht fin­gie­ren, aber bei der Aus­le­gung muss gleich­wohl berück­sich­tigt wer­den, dass die Infor­ma­ti­ons­pflicht nicht mehr die Auf­ga­be haben kann, den infor­ma­tio­nel­len Grund­be­darf zu decken. Auch aus die­ser War­te ist dem Betrof­fe­nen etwas mehr zuzumuten.

Dem könn­te man ent­ge­gen­hal­ten, die Infor­ma­ti­ons­pflicht sei nicht Ergän­zung, son­dern Kon­kre­ti­sie­rung der Trans­pa­renz­pflicht. Folg­lich gehe sie ein über das grund­le­gen­de Trans­pa­renz­be­dürf­nis hin­aus, son­dern lege dies erst fest. Das lie­sse das vor­an­ge­hen­de Argu­ment ent­fal­len. Die­ses Ver­ständ­nis wider­spricht aber zwei Überlegungen:

  • Der Trans­pa­renz­grund­satz hät­te kei­ne eigen­stän­di­ge Bedeu­tung mehr, wenn er in der Infor­ma­ti­ons­pflicht aufginge.
  • Eine Infor­ma­ti­ons­pflicht, die eine Kon­kre­ti­sie­rung des Trans­pa­renz­grund­sat­zes ist, müss­te eben­so wie die­se auch für den Auf­trags­be­ar­bei­ter gel­ten, der die Bear­bei­tungs­grund­sät­ze auch ein­hal­ten muss, und gera­de dies hat die DSV, anders als der E‑VDSG, fallengelassen.

Ent­spre­chend ist die Infor­ma­ti­ons­pflicht eine Ergän­zung des Trans­pa­renz­grund­sat­zes, die über die­sen hin­aus­geht und des­halb auch unter höhe­ren Anfor­de­run­gen steht.

Zwi­schen­er­geb­nis

Aus den vor­ste­hen­den Über­le­gun­gen ist der Schluss zu zie­hen, dass die Anfor­de­run­gen an die Erfül­lung der Infor­ma­ti­ons­pflicht restrik­tiv aus­zu­le­gen sind. Zusam­men­fas­send beruht die­ser Schluss aus drei Grün­den; der erste folgt aus dem Norm­zweck selbst und die wei­te­ren aus einer ver­fas­sungs­kon­for­men Auslegung:

  1. Die Infor­ma­ti­ons­pflicht schützt nur das berech­tig­te Infor­ma­ti­ons­in­ter­es­se der Betrof­fe­nen, das über die Grund­trans­pa­renz hin­aus­geht, was eine gewis­se Zurück­hal­tung bei der Aus­le­gung nahelegt.
  2. Bei der Anwen­dung als Straf­norm ver­langt das ver­fas­sungs­recht­lich begrün­de­te straf­recht­li­che Lega­li­täts­prin­zip beson­de­re Zurück­hal­tung bzw. eine “grund­sätz­lich restrik­ti­ve Auslegung”.
  3. Sie stellt einen Ein­griff in die Wirt­schafts­frei­heit dar. Der Grund­satz der Ver­hält­nis­mä­ssig­keit ver­langt eine Beschrän­kung auf das erfor­der­li­che Mass.

Es ist des­halb system­wid­rig, wenn die Bot­schaft sagt, die Aus­nah­men von Art. 20 revDSG sei­en eng aus­zu­le­gen. Die­se “Aus­nah­men” sind der Sache nach kei­ne Aus­nah­men, son­dern das not­wen­di­ge Kor­rek­tiv einer poten­ti­ell zu wei­ten Pflicht des Ver­ant­wort­li­chen. Ohne­hin ist der Topos, dass Aus­nah­me­be­stim­mun­gen all­ge­mein ein­schrän­kend aus­zu­le­gen sind, metho­disch falsch – eine Aus­nah­me hat den vom Gesetz­ge­ber zuge­wie­se­nen Umfang, und die­ser ist durch die übli­chen Aus­le­gungs­grund­sät­ze zu ermitteln.

Anfor­de­run­gen an die Infor­ma­ti­ons­pflicht bei Medienbruch

Grund­trans­pa­renz über die Bear­bei­tung als Mindestanforderung

Ins­be­son­de­re dann, wenn eine Daten­be­ar­bei­tung nicht online erfolgt, son­dern sich eine betrof­fe­ne Per­son off­line bewegt, stellt sich die Fra­ge, auf wel­che Wei­se sie zu infor­mie­ren ist.

Es bie­tet sich an, auch in sol­chen Situa­tio­nen über eine Web­site zu infor­mie­ren, aus meh­re­ren Grün­den: Zum einen ist die­se Form rela­tiv ein­fach und ohne zu gro­ssen Auf­wand und hohe Kosten mög­lich, und zum ande­ren ent­spricht sie inzwi­schen wohl den Erwar­tun­gen und erfah­rungs­ge­mäss auch der Pra­xis (auch jene im Hin­blick auf das revDSG). Beson­ders in der Schweiz ist es eher unüb­lich, im Off­line-Kon­text über die Beschaf­fung von Infor­ma­tio­nen zu infor­mie­ren (anders als z.B. in Deutsch­land, wo man Daten­schutz­er­klä­rung auf der Rück­sei­te von Kas­sen­zet­teln fin­den kann), wäh­rend all­ge­mein bekannt ist, dass sich auf Web­sites Infor­ma­tio­nen zum Daten­schutz finden.

Die Erläu­tern­de Bericht zur DSV gibt hier­zu einen Anhaltspunkt:

Es ist […] fest­zu­hal­ten, dass die Kom­mu­ni­ka­ti­on über eine Web­site nicht immer genügt: Die betrof­fe­ne Per­son muss wis­sen, dass sie die Infor­ma­tio­nen auf einer bestimm­ten Web­site findet.

Das ist natür­lich rich­tig. Wer nicht weiss, dass ein bestimm­ter Ver­ant­wort­li­cher Per­so­nen­da­ten bear­bei­tet, hat kei­ne Ver­an­las­sung, sei­ne Web­site zu besu­chen. Dar­aus folgt, dass zumin­dest eines erfor­der­lich ist: Das Wis­sen oder Wis­sen-Sol­len, dass ein bestimm­ter Ver­ant­wort­li­cher Per­so­nen­da­ten bearbeitet.

Der Ver­ant­wort­li­che ist aller­dings dann nicht gehal­ten, den Betrof­fe­nen aus­drück­lich auf sei­ne Bear­bei­tung und sei­ne Web­site hin­zu­wei­sen, wenn die betrof­fe­ne Per­son den Umstän­den ent­neh­men kann, dass über sie Per­so­nen­da­ten bear­bei­tet wer­den und wo sie dazu Infor­ma­tio­nen fin­den kann. Dies aus meh­re­ren Grün­den: Erstens kann die Infor­ma­ti­ons­pflicht wie oben dar­ge­legt nicht wei­ter gehen, als es not­wen­dig ist, um dem Betrof­fe­nen die Kennt­nis­nah­me der Daten­schutz­er­klä­rung in zumut­ba­rer Wei­se zu ermög­li­chen. Zwei­tens ergänzt die Infor­ma­ti­ons­pflicht die Trans­pa­renz, die nicht mehr ver­langt, als dass eine Daten­be­ar­bei­tung aus den Umstän­den erkenn­bar ist. Um im Bei­spiel zu blei­ben: Die Trans­pa­renz lässt erken­nen, dass der Ver­ant­wort­li­che Per­so­nen­da­ten bear­bei­tet (ange­nom­men, dies sei in einem kon­kre­ten Fall so), und die anschlie­ssen­de Infor­ma­ti­ons­pflicht ver­langt, die Pflicht­in­for­ma­tio­nen auf zumut­ba­re Wei­se bereitzustellen.

Die Infor­ma­ti­ons­pflicht wird durch die­ses Ver­ständ­nis nicht sinn­ent­leert, denn sie stellt sicher, dass der Betrof­fe­ne zumin­dest die in Art. 19 revDSG genann­ten Infor­ma­tio­nen fin­den kann. Das Bei­spiel der Bot­schaft ist hier rich­tig gewählt:

Gege­be­nen­falls reicht es in die­sem Fall nicht aus, ledig­lich Infor­ma­tio­nen zur Ver­fü­gung zu stel­len, son­dern die betrof­fe­ne Per­son muss aktiv infor­miert wer­den, sei dies in einer geeig­ne­ten all­ge­mei­nen Form oder durch indi­vi­du­el­le Infor­ma­ti­on. So wird bei­spiels­wei­se eine Per­son, die nie Bücher kauft, kaum die Web­site eines Online-Buch­händ­lers besu­chen und des­sen Daten­schutz­er­klä­rung lesen. Dem­entspre­chend wird sie auf­grund die­ser all­ge­mei­nen Erklä­rung auch nicht erfah­ren, dass der Online-Buch­händ­ler Daten über sie bear­bei­tet, weil sie gar nicht damit rechnet.

Dar­in kommt der vor­ste­hen­de Gedan­ke deut­lich zum Aus­druck: Hat die betrof­fe­ne Per­son damit zu rech­nen, dass ein Buch­händ­ler ihre Daten bear­bei­tet – und dafür muss der Ver­ant­wort­li­che wie ange­merkt nach dem Trans­pa­renz­grund­satz sor­gen -, so genügt es, die Infor­ma­tio­nen im Inter­net zur Ver­fü­gung zu stel­len. Wer also z.B. in der sehr emp­feh­lens­wer­ten Buch­hand­lung Para­noia City ein Buch kauft, der lässt ent­we­der kei­ne Per­so­nen­da­ten bear­bei­ten oder aber er weiss, dass er nur “para­noia city” zu goo­geln braucht, um auf https://paranoiacity.ch zu gelan­gen, wo er in Zukunft zwei­fel­los eine Daten­schutz­er­klä­rung fin­den wird.

Es ist des­halb fest­zu­hal­ten, dass es genügt, im Inter­net eine Daten­schutz­er­klä­rung zur Ver­fü­gung zu stel­len, wenn der Betrof­fe­ne weiss oder wis­sen muss, dass er auf dort Daten­schutz­in­for­ma­tio­nen fin­den wird. Dazu muss der Ver­ant­wort­li­che weder aus­drück­lich sei­ne Iden­ti­tät nen­nen (es genügt z.B., wenn die Domain der Fir­ma oder Ens­eig­ne ent­spricht), noch muss er auf die Inter­net­sei­te aktiv hinweisen.

Abzu­leh­nen ist des­halb auch die Mei­nung, es brau­che einen ersten Hin­weis, eine aus­drück­li­che Ver­knüp­fung und viel­leicht sogar einen QR-Code, damit im Inter­net über eine Off­line statt­fin­den­de Bear­bei­tung infor­miert wer­den kann. Die­se Mei­nung die obi­gen Über­le­gung ausser Acht.

Auch muss man heu­te kei­ne URL mehr abtip­pen, um auf eine Inter­net­sei­te zu gelan­gen – man kann genau­so gut pas­sen­de Begrif­fe im Such­feld ein­ge­ben. Soweit ersicht­lich sind dazu kei­ne Sta­ti­sti­ken ver­füg­bar, aber man darf anneh­men, dass dies für vie­le Nut­zer der bevor­zug­te Weg ist, zu einer Web­site zu gelan­gen. Dass dies län­ger dau­ert als der Scan eines QR-Code, für den man die Kame­ra-App star­ten und dann auf den Link klicken muss, ist zu bezwei­feln und fie­le jeden­falls nicht ins Gewicht.

Man kann dem ent­ge­gen­hal­ten, dass ein QR-Code ver­läss­li­cher ist, d.h. mit grö­sse­rer Wahr­schein­lich­keit zum rich­ti­gen Ziel führt, und dass er durch sei­ne Exi­stenz schon aus­drück­lich auf eine Fund­stel­le im Inter­net hin­weist, aber letz­te­res ist nach hier ver­tre­te­ner Mei­nung nicht zwin­gend. Dazu kommt, dass der Nut­zer bei einem QR-Code nicht immer sehen kann, wel­chen Link er beim Scan­nen besucht, was Sicher­heits­fra­gen aufwirft.

Es gibt im Übri­gen bereits nach heu­ti­gem Recht Fäl­le, wo eine akti­ve Infor­ma­ti­on not­wen­dig ist, weil die Erkenn­bar­keit anders nicht her­ge­stellt wer­den kann. Hier fragt sich heu­te schon, ob eine Infor­ma­ti­on im Inter­net aus­reicht. Der EDÖB hat es indes wie­der­holt genü­gen las­sen, dass not­wen­di­ge Hin­wei­se nur im Inter­net ver­öf­fent­licht wer­den, erfah­rungs­ge­mäss auch bei nicht unheik­len Bear­bei­tun­gen, die eine Viel­zahl von Per­so­nen betreffen.

Die Daten­schutz­be­auf­trag­te Zürich ihrer­seits hat sogar für öffent­li­che Orga­ne fest­ge­hal­ten, dass eine DSE im Inter­net die Infor­ma­ti­ons­pflicht erfül­len kann (im Leit­fa­den Video­über­wa­chung vom Novem­ber 2020 – und damals galt schon die akti­ve Infor­ma­ti­ons­pflicht von § 12 IDG ZH):

[…] die Video­über­wa­chung […] ist der Öffent­lich­keit mit Hin­wei­sen anzu­zei­gen, falls sie für betrof­fe­ne Per­so­nen nicht offen­sicht­lich erkenn­bar ist. Hin­weis­ta­feln sol­len grund­sätz­lich dort ange­bracht wer­den, wo sie für die betrof­fe­nen Per­so­nen zugäng­lich und gut sicht­bar sind. Der Inhalt der Hin­weis­ta­feln rich­tet sich nach den Umstän­den vor Ort, wobei grund­sätz­lich ein Pik­to­gramm (Kame­ra­sym­bol, Auge) genügt. Bei Bedarf kön­nen zusätz­li­che Infor­ma­tio­nen ange­ge­ben wer­den, wie das zustän­di­ge Organ, eine Tele­fon­num­mer oder wo das ent­spre­chen­de Video­über­wa­chungs­re­gle­ment auf­zu­fin­den ist.

Gera­de bei der Video­über­wa­chung genügt es des­halb, auf die Über­wa­chung als sol­che hin­zu­wei­sen. In die­se Rich­tung hat sich auch der EDÖB schon geäu­ssert, in den Leit­li­ni­en vom April 2014:

Die für die Video­über­wa­chung Ver­ant­wort­li­chen müs­sen alle Per­so­nen, die das Auf­nah­me­feld der Kame­ras betre­ten, mit einem gut sicht­ba­ren Hin­weis­schild über das Über­wa­chungs­sy­stem infor­mie­ren. Sind die auf­ge­nom­me­nen Bil­der mit einer Daten­samm­lung ver­bun­den (wer­den sie also in irgend einer Form gespei­chert), muss auch ange­ge­ben sein, bei wem das Aus­kunfts­recht gel­tend gemacht wer­den kann, falls sich dies nicht aus den Umstän­den ergibt (Prin­zip von Treu und Glau­ben sowie Auskunftsrecht).

Man muss sich fra­gen, ob es nicht schon genügt, dass die Kame­ras und ihr Auf­nah­me­be­reich erkenn­bar sind, auch ohne Pik­to­gramm, aber das wäre wohl nur mit Zurück­hal­tung zu beja­hen. Man darf wohl eine Infor­ma­ti­on durch ein Pik­to­gramm ver­lan­gen, auch weil dies all­ge­mein üblich ist.

Das Inter­net ist aus­rei­chend verbreitet

Heu­te gehört das Inter­net zur Grund­aus­stat­tung. Das dürf­te unbe­strit­ten sein. Die Netz­ab­deckung bei mobi­len Daten ist fast umfas­send, und anschei­nend gab es in der Schweiz 2019 rund 1.26 Mobi­la­bos pro Ein­woh­ner. Eine Stu­die zu Liech­ten­stein für 2019 ergab, dass rund 95% der Ein­woh­ner das Inter­net min­de­stens gele­gent­lich nut­zen. Ohne zynisch klin­gen zu wol­len: Auch der SKOS-Waren­korb rech­net für den Grund­be­darf mit 8.8% Kosten für Nach­rich­ten­über­mitt­lung, Inter­net und Radio/TV. Dass bei einer Infor­ma­ti­on im Inter­net ein Pro­zent­satz von Per­so­nen aus­ge­schlos­sen bleibt, lässt sich nicht von der Hand wei­sen, aber das ist nicht zu ver­mei­den – es gibt immer Men­schen, die aus unter­schied­li­chen Grün­den nicht in der Lage sind, ein bestimm­tes Medi­um zu nut­zen. Das ist hin­zu­neh­men, nicht weil die­se Men­schen kei­ne Rol­le spie­len, son­dern weil sich die Infor­ma­ti­ons­pflicht nach der All­ge­mein­heit richtet.

Dass auch der Gesetz­ge­ber davon aus­geht, dass das Inter­net all­ge­mein ver­wen­det wer­den kann, zei­gen wei­te­re Bestim­mun­gen, z.B. die Tat­sa­che, dass bei Bun­des­ge­set­zen die im Inter­net publi­zier­te Fas­sung mass­ge­bend ist (Art. 1a und Art. 15 PublG), aber auch Art. 27 Abs. 2 der neu­en DSV, wonach Bun­des­or­ga­ne die Kon­takt­da­ten des Daten­schutz­be­ra­ters «im Inter­net» veröffentlichen.

Auch unter die­sem Aspekt kann die Infor­ma­ti­on im Inter­net also ausreichen.

Trans­pa­renz­för­dern­de Massnahmen

Es kann je nach Umstän­den indes­sen ange­zeigt sein, zusätz­lich und über den Mini­mal­stan­dard hin­aus Infor­ma­tio­nen bereit­zu­stel­len. Das kann etwa in Situa­tio­nen sinn­voll sein, in denen eine Infor­ma­ti­on im Inter­net nicht leicht auf­ge­ru­fen wer­den kann. Das kann etwa Fäl­le betref­fen, in denen eine Per­son aus zeit­li­chen Grün­den nicht in Ruhe eine Daten­schutz­er­klä­rung nach­le­sen kann. Ein Bei­spiel wäre wohl das Betre­ten einer mit Video­ka­me­ras über­wach­ten Flä­che. Aller­dings bie­tet eine Daten­schutz­er­klä­rung im Inter­net hier Vor­tei­le, weil eine Daten­schutz­er­klä­rung hier so gestal­tet wer­den kann, dass die wesent­li­chen Infor­ma­tio­nen auf einen Blick erkenn­bar sind, z.B. durch eine Zusam­men­fas­sung, ein ver­link­tes Inhalts­ver­zeich­nis, durch Aus­klapp­tex­te, durch zusam­men­fas­sen­de Hin­wei­se bei ein­zel­nen Kapi­teln usw. Gera­de die Vari­an­te mit aus­klapp­ba­ren Tex­ten (Har­mo­ni­ka) lässt sich off­line nicht umsetzen.

In einem sol­chen Fall wäre aller­dings auch mit einem Hin­weis­schild mit Basis­in­for­ma­tio­nen (wie es die deut­schen Behör­den ver­lan­gen, z.B. das BayL­DA) wenig gewon­nen, es sei denn, die­ses Schild ent­hält schon alle Pflicht­in­for­ma­tio­nen nach Art. 19 revDSG. Um beim Bei­spiel der Video­über­wa­chung zu blei­ben: Wer etwa eine Ver­kaufs­flä­che eines Gross­ver­tei­lers betritt, sieht – das sei unter­stellt – beim Betre­ten ein Kame­ra­sym­bol, und wer der Ver­ant­wort­li­che ist, ist eben­falls offen­sicht­lich. Damit ist auch klar, wo die Daten­schutz­in­for­ma­tio­nen zu fin­den sind.

In bestimm­ten Fäl­len kann es aber sinn­voll sein, vor Ort eine gedruck­te Daten­schutz­er­klä­rung bereit­zu­hal­ten, die auf Anfra­ge aus­ge­hän­digt bzw. aus­ge­druckt wer­den kann. Die Nach­fra­ge ist dem Betrof­fe­nen aller­dings zuzu­mu­ten, wenn die Bear­bei­tung als sol­che erkenn­bar ist (was wie gesagt ohne­hin sicher­ge­stellt wer­den muss).

Ergeb­nis

Die all­ge­mei­ne Infor­ma­ti­ons­pflicht ist eine gro­sse Neue­rung des revDSG. Sie soll ins­be­son­de­re die Trans­pa­renz sicher­stel­len, auch als Grund­vor­aus­set­zung der Betrof­fe­nen­rech­te. Sie tritt damit neben die all­ge­mei­ne Trans­pa­renz­pflicht als Bearbeitungsgrundsatz.

Sie soll dem­entspre­chend auf ein Infor­ma­ti­ons­be­dürf­nis ant­wor­ten. Das bedeu­tet im Umkehr­schluss aber auch, dass nur ein ech­tes Infor­ma­ti­ons­be­dürf­nis zu schüt­zen ist. Unter ande­ren dar­aus folgt, dass dem Betrof­fe­nen eige­ne Schrit­te zuzu­mu­ten sind, will er die Daten­schutz­in­for­ma­tio­nen effek­tiv zur Kennt­nis nehmen.

Dar­aus, aber auch aus ver­fas­sungs­recht­li­chen Über­le­gun­gen, folgt, dass der Ver­ant­wort­li­che Infor­ma­tio­nen grund­sätz­lich im Inter­net bereit­stel­len darf, und zwar auch dann, wenn die Daten­be­ar­bei­tung off­line erfolgt. Ver­langt ist nur, aber immer­hin, dass die Daten­be­ar­bei­tung als sol­che erkenn­bar ist, und wei­ter­ge­hend, dass zumin­dest aus den Umstän­den her­vor­geht, wo der Betrof­fe­ne eine Daten­schutz­er­klä­rung fin­den kann. Dem­ge­gen­über kann nicht ver­langt wer­den, dass der Ver­ant­wort­li­che den Betrof­fe­nen aus­drück­lich auf sei­ne Inter­net­sei­te hin­weist oder sogar einen QR-Code bereitstellt.