Informationspflichten | Delegationslösung

In der Praxis tun sich viele Verantwortliche noch immer schwer mit den Informationspflichten aus der DSGVO, speziell mit denen aus Art. 14. Dabei gibt es eine pragmatische Lösung: die Delegation.

Transparenz ist gefragt

Die DSGVO will Transparenz über die Datenverarbeitung für die Betroffenen. Deshalb sieht die Norm eine umfangreiche Information der Betroffenen vor. Wer diese Pflicht nicht erfüllt, riskiert ein Bußgeld. Sobald Daten erhoben / gesammelt / übernommen werden, muss der Betroffene informiert werden (was, warum, wie lange, durch wen etc.).

Die Angelegenheit ist einfach, wenn die Daten direkt beim Betroffenen erhoben werden (z.B. Formular, Befragung). Hier legt man einfach eine Datenschutzinformation daneben oder verlinkt auf eine Erklärung auf einer Webseite.

Verarbeitung ohne unmittelbaren Kontakt zum Betroffenen

Etwas anspruchsvoller wird es bei Verarbeitungsprozessen ohne unmittelbaren direkten Kontakt zum Betroffenen:

1. Sammlung von Informationen als Werbeagentur aus öffentlich verfügbaren Quellen (Geschäftsberichte, Internet etc.) mit dem Ziel, die Informationen für eine Vertriebskampagne zu nutzen.
2. Übergabe von Daten durch einen Händler an einen Hersteller zur Produktion von Maßanfertigungen.
3. Finanzierung eines eigentümergeführten Unternehmens durch eine Bank.

Für alle Beispiele (Werbeagentur, Hersteller, Bank) gilt Art. 14 DSGVO: Die Betroffenen sind vom Verarbeitenden (Verantwortlichen) zu informieren. Die DSGVO bietet eine Ausnahme in Absatz 5 lit. b an: Die Information kann unterbleiben, wenn sie unmöglich oder mit unverhältnismäßigem Aufwand verbunden ist. Wir empfehlen, von dieser Ausnahme keinen großzügigen Gebrauch zu machen; denn es gibt pragmatische Lösungen – auch wenn es eben keinen direkten unmittelbaren Kontakt mit den Betroffenen gibt. Die Aufsichtsbehörden haben bereits Bußgelder wegen unterlassener Information gefordert (z. B. in Polen).

Die Lösung für die Werbeagentur: Die Betroffenen sind beim ersten Kontakt, spätestens jedoch innerhalb eines Monats zu informieren. Vom ersten Sammeln der Daten bis zum Versand der Werbebriefe darf also nicht mehr als ein Monat vergehen. Alsdann platziert man im eigentlichen Werbeanschreiben die Datenschutz-Information. Im Fall der Werbeagentur wird die Rechtsgrundlage wohl ein berechtigtes Interesse sein, sodass die Betroffenen unbedingt auch auf ihr Widerspruchsrecht hinzuweisen sind.

Der Hersteller erhält die Daten des Kunden vom Händler, produziert die Ware und übergibt sie an den Händler. Der Hersteller ist hier nach unserer Überzeugung nicht als Auftragsverarbeiter zu bewerten, sodass eine Information des Betroffenen (Kunden) eigentlich durch den Hersteller erforderlich wird. Eine direkte Kontaktaufnahme durch den Hersteller ist jedoch nicht im Interesse des Händlers. Auch der Hersteller wird für eine Entlastung dankbar sein. Der Händler bietet dem Hersteller also an, die Datenschutz-Information anstelle des Herstellers gegenüber dem Kunden zu übernehmen. Dieses Vorgehen vereinbaren Hersteller und Händler verbindlich. Der Hersteller kann somit darauf vertrauen, dass der Kunde bereits informiert ist und eine zusätzliche Information somit nicht mehr erforderlich wird. Unter diesen Bedingungen kann dann von der Ausnahme nach Absatz 5 lit. a Gebrauch gemacht werden.

Eine Bank wird sich in der Konstellation des Beispiels (eigentümergeführter Mittelständler) ein Bild darüber machen wollen, wie riskant ein Ausfall des geschäftsführenden Gesellschafters ist. Gibt es eine Führungsmannschaft, die auch ohne den Eigentümer das Unternehmen erfolgreich steuern kann? Hierzu wird der Unternehmer Informationen über seine Führungskräfte der Bank offenbaren müssen. Weder die Bank, noch der Unternehmer oder die Führungskräfte selbst wollen jedoch, dass die Bank nach Erhalt der Informationen die Führungskräfte zur Erfüllung der Pflichten aus Artikel 14 DSGVO jeweils direkt ansprechen wird und über die Verarbeitung informiert (Anruf, Brief oder Mail).

Die Bank verpflichtet also ihren Kreditnehmer über den Vertrag, die betroffenen Führungskräfte selbst über die Datenverarbeitung bei der Bank zu informieren. Dass der Unternehmer die Daten seiner Führungsriege an die Bank offenlegt, muss er den Betroffenen ohnehin bekannt machen. Diese Information muss nur noch um einige Informationen seitens der Bank ergänzt werden. Hierfür stellt der Bankkunde (Unternehmer) seinen Führungskräften einen Web-Link zur Verfügung, den die Bank eingerichtet hat. Der Web-Link zeigt auf eine Seite mit allen relevanten Details.

Solange die Bank darauf vertrauen kann, dass der Kunde den Web-Link seinen Führungskräften tatsächlich zur Verfügung stellt, können diese als informiert gelten. Somit kann auch die Bank aufgrund der Ausnahme nach Artikel 14 Absatz 5 lit. a auf eine eigene individuelle Information der Betroffenen verzichten.

Informieren mittels Delegation

Hersteller und Bank haben die Information über eine vertragliche Vereinbarung auf den Händler bzw. auf den Kreditnehmer delegiert. Wir nennen diese praktische und schlanke Variante deshalb Delegationslösung.

Die Delegationslösung funktioniert vor allem dann besonders einfach, wenn die Linklösung angewendet werden kann: Die Betroffenen werden nur kurz und knapp auf die Verarbeitung und den Dritten hingewiesen. Alle weiteren Details können bei Interesse im Internet nachgelesen werden – und hierauf verweist ein Web-Link.

Wer dem Vorwurf des Medienbruchs etwas entgegenstellen will, bietet neben dem Web-Link auch noch an, auf Anforderung alle Informationen in Papierform zur Verfügung zu stellen. Wichtig ist lediglich, dass die Betroffenen sich ausführlich informieren können, wenn sie es wollen. Ein (aufwändiger) direkter Kontakt ist dank der Delegationslösung nicht mehr notwendig.

Keine Informationspflicht durch Auftragsverarbeiter

Ist der Empfänger der Daten ein Auftragsverarbeiter, entfällt die Informationspflicht des nachgelagerten Verarbeiters. Das ist bei den gewählten Beispielen im vorstehenden Text jedoch nicht der Fall. Der Hersteller eines maßgeschneiderten Produkts wird genauso wie die Bank durch die Nutzung der überlassenen Daten kaum zum Auftragsverarbeiter.