Zwei Jahre nach Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) gilt seit 25. Mai 2018 europaweit die neue Rechtslage. Es wird sich weisen, auf die Einhaltung welcher Verpflichtungen die Aufsichtsbehörden und die betroffenen Personen verstärkt ihren Fokus legen werden: Dass die Bestimmungen zur Transparenz der Verarbeitung personenbezogener Daten darunter sind, ist anzunehmen.
Die DSGVO kennt mehrere Grundsätze, anhand derer personenbezogene Daten verarbeitet werden müssen: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie die Nachweispflicht hinsichtlich dieser Grundsätze. Ob manche davon als höherwertiger zu betrachten sind als andere, lässt sich der DSGVO nicht entnehmen.
Klar ist aber, dass der Grundsatz der Transparenz, somit die Verarbeitung personenbezogener Daten in einer für die betroffenen Personen nachvollziehbaren Weise, insofern eine Sonderstellung einnimmt, als die Einhaltung der diesbezüglichen Verpflichtungen schnell und einfach geprüft werden kann, ähnlich der Einhaltung von Impressums- oder Offenlegungspflichten gemäß dem Mediengesetz: Einschlägig sind insbesondere die Artikel 13 und 14 DSGVO, die normieren, welche Informationen den Betroffenen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten wann und auf welche Weise bereitzustellen sind.
Bereits der Umfang der zu erteilenden Informationen ist beachtlich: Neben Namen und Kontaktdaten des Verantwortlichen (und gegebenenfalls des Datenschutzbeauftragten) zählen insbesondere die Zwecke der Datenverarbeitung, die Rechtsgrundlage, eine Beschreibung von Empfängern bzw. Kategorien von Empfängern und beabsichtigten Drittlandtransfers, die Dauer der Datenspeicherung, die Belehrung über Betroffenenrechte oder der Umstand, ob automatisierte Entscheidungsfindung betrieben wird, dazu.
Vielen Unternehmen bereitet aber weniger der Umfang der zu erteilenden Informationen Kopfzerbrechen als vielmehr Zeitpunkt und Art deren Bereitstellung: Werden personenbezogene Daten nämlich direkt bei der betroffenen Person erhoben, sind die Informationen bereits im Zeitpunkt der Erhebung der Daten zu erteilen: Im Online-Kontext wird man sich dabei in vielen Fällen einer einfach und jederzeit abrufbaren Datenschutzerklärung auf der eigenen Website bedienen können.
Anders zu bewerten ist dies jedoch in Zusammenhang mit einer Verarbeitung personenbezogener Daten auf Basis physischer, telefonischer oder anderer Offline-Interaktion mit Betroffenen: Nach Meinung der Artikel-29-Datenschutzgruppe können etwa bei postalischen Vertragsschlüssen schriftliche Erklärungen, Flugblätter oder Informationen in der Vertragsdokumentation geeignete Formate sein, um die datenschutzrechtlichen Informationen bereitzustellen, bei Telefonaten mündliche Erklärungen oder automatische, voraufgenommene Texte, in Fällen direkter persönlicher Kontaktaufnahme mündliche oder übergebene schriftliche Erklärungen.
Datenverarbeiter stehen somit vor der Aufgabe, zu überlegen, auf welchen Kanälen sie personenbezogene Daten erheben, um rechtzeitig und transparent die Erteilung datenschutzrechtlicher Informationen an Betroffene bewerkstelligen zu können. Es wird sich erst im Zuge der Vollziehung der DSGVO zeigen, welche Formate sich als "best practices" herauskristallisieren, um den Informationspflichten angemessen und verhältniswahrend in Inhalt, Form und Zeitpunkt zu entsprechen.
