Praxistipp: Transparenz der Verarbeitung

Praxistipp Datenschutz 7|2018

Die Transparenzpflicht dürfte für einige Verantwortliche einige Überraschungen bereithalten. Der Gesetzgeber hat erhebliche Anforderungen an die Rechte der betroffenen Personen in die DSGVO eingebracht. Verantwortliche und Datenschutzbeauftragte bekommen in den kommenden Monaten interessante Aufgaben zu erledigen.

Praxisfall

Eine betroffene Person erhält einen Werbebrief einer Bank. Darin wird ein Kreditangebot unterbreitet. Die betroffene Person hatte mit dieser Bank noch nie eine Geschäftsbeziehung und möchte die näheren Umstände erfahren, wie die Bank an die Daten gelangt ist, welche Daten genau dort verarbeitet werden, wie die Bank zu diesen Daten gekommen ist und ob die Daten an andere Verantwortliche weitergegeben wurden. Außerdem möchte die betroffene Person wissen, wo die Daten wie lange gespeichert werden. Zu diesem Zweck macht die betroffene Person unter anderem ihr Recht geltend, nähere Informationen unter anderem zur Transparenz der Verarbeitung zu erhalten.

Wenige Worte mit erheblichen Folgen

„Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz)“. So will es die DSGVO in Artikel 5 Abs. 1 lit. a. Angesichts der heute üblichen sehr komplexen Verarbeitung personenbezogener Daten kann dies für Verantwortliche erhebliche Konsequenzen nach sich ziehen. Je umfangreicher die Verarbeitung und je genauer die Formulierung des Auskunftsersuchens einer betroffenen Person, desto komplexer müssen die Antworten des Verantwortlichen sein.

Verbunden mit der Rechenschaftspflicht

Aber nicht genug mit der Forderung nach Transparenz, die DSGVO geht noch weiter und verlangt eine ausdrückliche Rechenschaftspflicht. „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (Rechenschaftspflicht)“

Betroffene Personen wissen oft viel zu wenig über die Umstände der Verarbeitung ihrer Daten

Die Forderung nach Transparenz der Verarbeitung ist nicht neu, aber neu in der Art und Weise, wie sie in der DSGVO gefordert wird. Hintergrund ist die Tatsache, dass betroffene Personen, deren Grundrechte und Grundfreiheiten und insbesondere deren Recht auf Schutz personenbezogener Daten zu den wesentlichen Zielen der DSGVO gehört, zu oft zu wenig darüber wissen, unter welchen Umständen welche Daten über sie verarbeitet werden.

Das will der Gesetzgeber erreichen

„Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. (Erwägungsgrund 39 zur DSGVO).

Bisher im Wesentlichen das öffentliche Verfahrensverzeichnis

Im alten BDSG stand hier die Verpflichtung, für jedermann auf Nachfrage ein so genanntes öffentliches Verfahrensverzeichnis vorzuhalten. Da dieses nur sehr selten nachgefragt wurde, macht es aus Sicht der betroffenen Personen Sinn, dieses durch die Rechtmäßigkeit der Verarbeitung, die Verarbeitung nach Treu und Glauben und die Transparenz zu ersetzen.

Homepage kann der Ort der Information sein

In der heutigen Zeit bietet es sich an, die diesbezügliche Erklärung auf der Homepage oder den Homepages des Verantwortlichen im Rahmen der Datenschutzerklärungen zu veröffentlichen. So können betroffene Personen bzw. deren Vertreter selbst einsehen, ob die hier genannten Grundsätze mutmaßlich eingehalten werden und ob gegebenenfalls weitere Fragen offen sind.

Sammlung aller Verarbeitungen

Wenn die Information des Art. 5 Abs. 1 lit. a korrekt wiedergegeben werden soll, muss dieser Passus der Datenschutzerklärung eine Sammlung aller Verarbeitungstätigkeiten des Verantwortlichen beinhalten. Daher wird sich dieser Teil der Datenschutzerklärung relativ häufig ändern, wenn es nicht gelingt, eine Zusammenfassung dergestalt zu erstellen, die einerseits in der gebotenen Weise die geforderten Informationen enthält, andererseits aber auch nicht zu sehr ins Detail geht, weil sonst mit jedem neuen Prozess eine Veränderung der Zusammenfassung erforderlich würde.

Auch die verbundenen Risiken mit aufnehmen

„Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. (Erwägungsgrund 39 zur DSGVO).

Zwecke genau beschreiben

Personenbezogene Daten können zu den unterschiedlichsten Zwecken erforderlich sein. Allerdings liegt genau in diesem Begriff „erforderlich“ auch die Grenze des Erlaubten. Um einen bestimmten Zweck zu erfüllen, der durch die Rechtmäßigkeitsgründe des Art. 6 DSGVO gedeckt sein muss, muss die Verarbeitung der personenbezogenen Daten tatsächlich erforderlich sein und nicht etwa sinnvoll oder vielleicht zu einem späteren Zeitpunkt einmal erforderlich. Die in den bisherigen öffentlichen Verfahrensbeschreibungen oft anzutreffende Floskel „Erfüllung diverser gesetzlicher Bestimmungen“ wird unter der DSGVO nicht ausreichen. Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.

Daten sollen für die Zwecke angemessen und erheblich sein

Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt.

Löschfristen vorsehen und Löschungen vornehmen

Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Dazu sind die Rechte der betroffenen Personen in den Artikeln 13 bis 22 DSGVO definiert worden. Hierfür sind Löschkonzepte und Löschregeln für die einzelnen Datenkategorien zu definieren. Außerdem sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden.

Schutz personenbezogener Daten sichern

Personenbezogene Daten sollten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.

Viel zu tun für Datenschutzbeauftragte

Die meisten dieser Anforderungen sind nicht wirklich neu, sie sind heute in der DSGVO jedoch deutlich schärfer und exakter formuliert als in vorherigen Gesetzen. Damit haben Datenschutzbeauftragte für die kommenden Monate genügend Aufgaben zu erledigen. Langweilig wird die Tätigkeit jedenfalls nicht.

Hier gibts den Praxistipp als kostenlosen PDF-Download: