auftragsverarbeitung vertrag informationspflichten ausnahmen

Wann gelten die Ausnahmen für die Informationspflichten?

/von

Eines der großen Themen der DS-GVO sind und waren die Informationspflichten. Jede Person, deren Daten verarbeitet werden, muss durch die für die Datenverarbeitung Verantwortlichen über Zwecke, Art und Umfang der Verarbeitung informiert werden. Hierzu gehören zudem Angaben zu Namen und Kontaktdaten des Verantwortlichen, ggf. auch die Kontaktdaten des Datenschutzbeauftragten sowie die Rechte der Betroffenen usw. Alle genauen Anforderungen sind in Artt. 13 und14 DS-GVO zu finden, nachfolgend noch einmal kurz eine Zusammenfassung, bevor wir zum eigentlichen Thema kommen.

In welchen Fällen besteht eine Informationspflicht?

Groß war in der Anfangszeit die Unsicherheit, wer wann zu informieren war. Diese Unsicherheit trieb so manche Blüte – mittlerweile aber steht fest, dass es eigentlich nur wenige Anlässe gibt, die eine Informationspflicht auslösen:

  • Personenbezogene Daten werden direkt bei der betroffenen Person erhoben (Art. 13 DS- GVO)
  • Personenbezogene Daten werden nicht bei der betroffenen Person erhoben (also z.B. bei Dritten oder aus öffentlich zugänglichen Quellen, Art. 14 DS-GVO)
  • Der Verantwortliche beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten bei der betroffenen Person (Art. 13 Abs. 3 DS-GVO) erhoben wurden oder sonst erlangt wurden (Art. 14 Abs. 4 DS-GVO).

Die Informationspflichten bilden zudem die Basis für das Auskunftsrecht der betroffenen Personen. Schließlich kann nur von seinen Rechten Gebrauch machen, wer weiß, dass diese existieren.

Sofern die Daten direkt bei den betroffen Personen erhoben werden, muss der Informationspflicht direkt bei Erhebung (eigentlich sogar davor) nachgekommen werden. Für die Erhebung bei Dritten und die Zweckänderung gilt, dass innerhalb von vier Wochen informiert werden muss.

Wie muss informiert werden?

Auf welchem Weg informiert werden muss, wird nicht vorgeschrieben. Die Informationen müssen in schriftlicher oder anderer Form, ggf. auch elektronisch erfolgen. Hierfür können, Briefe, Links, QR Codes, FAX, E-Mail oder andere Medien verwendet werden.  Zu beachten ist, dass der Kostenfaktor kein Grund ist den Informationspflichten nicht nachzugehen. Zielführend ist, das gleiche Medium einzusetzen, über das mit einer betroffenen Person kommuniziert wird. Wichtig zu beachten ist alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln (siehe Art. 12 Abs. 1 DS-GVO).

Wann welches Medium zum Einsatz kommt, sollte sich aus den unterschiedlichen Gegebenheiten ableiten. Sofern beispielsweise von 100 Kunden 80 Prozent per E-Mail kontaktiert werden können und bei dem Rest nur eine Postanschrift vorliegt, sollte das Ergebnis nicht sein, dass nur die Kunden mit einer vorliegenden E-Mail-Adresse angeschrieben werden und der Rest außer Acht gelassen wird. In so einem Fall müsste für den Rest ein weiteres Medium, wie der Versand per Post, hinzugezogen werden, auch wenn hierdurch gegebenenfalls hohe Kosten entstehen.

Nicht zu vergessen, ist zudem, dass der Verantwortliche nachweisen muss, dass die Informationspflichten eingehalten wurden (siehe Art. 5 Abs. 2 DS-GVO). Das bedeutet letztlich, dass jeder Verantwortliche eine (wie auch immer geartete) Dokumentation als Nachweis anzulegen und vorzuhalten hat.

Gibt es Ausnahmen?

Natürlich gibt es auch bei dieser Anforderung der DS-GVO Ausnahmen. Eine Informationserteilung ist demnach nicht erforderlich, wenn und soweit die betroffene Person bereits über die Informationen verfügt (Art. 14. Abs. 5 lit. a DS-GVO). Eine Information der betroffenen Person kann ebenfalls unterbleiben, wenn die Erteilung einer Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert, insbesondere bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder Statistikzwecke (Art. 14 Abs. 5 lit. b DS-GVO).

Soweit so gut. Nachvollziehbar sollte der Punkt, „wenn die Person bereits über die Informationen verfügt“ sein, aber was genau bedeutet „wenn die Erteilung der Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert“? Wann genau ist eine Erteilung der Information unmöglich und wann kann sich auf einen unverhältnismäßigen Aufwand zurückgelehnt werden?

Doch keine Ausnahmen?

Genau zu dieser Fragestellung gibt es interessante Neuigkeiten aus Polen. Am 26.03.2019 gab die polnische Aufsichtsbehörde für den Datenschutz (UODO) bekannt, ein erstes Bußgeld nach DS-GVO in Höhe von PLN 943.000 (das sind knapp € 220.000) verhängt zu haben. Stein des Anstoßes war, dass ein Unternehmen von der Ausnahme des Art. 14 Abs. 5 lit. b DS-GVO Gebrauch gemacht hatte. So wurden Daten von über 6 Millionen Personen erhoben. Bei nur etwas über 90.000 Personen allerdings lag eine E-Mailadresse vor und so wurde entschieden, nur diese Personen gemäß Art. 14 DS-GVO zu informieren. Für die restlichen ca. 5,9 Millionen Personen argumentierte man, dass der Aufwand für die Information per Post oder Telefon (diese Daten lagen angeblich vor) unverhältnismäßig hoch sei.

Dieser Argumentation wird vermutlich jedes Unternehmen sofort folgen können. Die polnische Aufsichtsbehörde sah das allerdings anders. Um diese Ansicht zu beurteilen, ist es unseres Erachtens notwendig, einen weiteren Fakt in die Beurteilung mit einzubeziehen. So sollen nämlich von den 90.000 informierten Personen mehr als 12.000 Personen, also fast 15% der Angeschriebenen, der Verarbeitung widersprochen haben. Bei einer dermaßen hohen Widerspruchs-Rate ist in der Tat fraglich, ob der Entfall der Informationspflicht so einfach mit dem entstehenden Aufwand wegzudiskutieren ist. Schließlich scheinen die betroffenen Personen ein hohes Interesse am Unterbleiben der Verarbeitung zu haben.

Und jetzt?

Eine allgemein gültige Aussage, wann Unternehmen auf die Erteilung der Information verzichten können, kann somit nicht getroffen werden, da der „unverhältnismäßige Aufwand“ ohnehin eher im Auge des Betrachters liegt. Darüber hinaus müssen weitere Fakten in die Entscheidung mit einfließen, schließlich steckt in der Formulierung „unverhältnismäßig hoch“ eben die Abwägung gegen weitere Kriterien. Gleiches könnte für die „Unmöglichkeit“ der Auskunft gelten. Letztlich gibt es keine Faustregel, was bedeutet, dass jeder Fall individuell und aus allen Blickwinkeln, auch dem der betroffenen Personen, zu betrachten ist.

Möchten Sie die Einhaltung der Informationspflichten auf den Prüfstand stellen? Rufen Sie an, wir helfen gerne!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoSerie Rechtsgrundlagen: Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO
bußgeld dsgvoDSGVO – Nach der “Party” – das große Aufräumen
bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsgBDSG-neu: Kabinett beschließt Entwurf des DSAnpUG-EU
fotos datenschutz kugFotos und der Datenschutz – ein Dauerbrenner
bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsgTTDSG passiert Bundesrat – endlich verbindliche Regelungen für Cookies
scc p2p standardvertragsklauseln neu bgb 273 zahlen mit datenGesetzesänderung – Daten sind nun ganz offiziell ein Zahlungsmittel!