Die Pflichten aus der DSGVO treffen jeden Verantwortlichen, der personenbezogene Daten verarbeitet. Somit sind auch die Informationspflichten zu erfüllen, deren Inhalte sich aus den Artikeln 13 und 14 DSGVO ergeben. Wir erklären, wie diese Informationspflichten in Form einer Datenschutzerklärung erfüllt werden können.
Der mediale Fokus liegt seit Geltung der DSGVO auf den großen Konzernen, insbesondere der Online-Welt. Betreiber von Webseiten oder auch Online-Shops fragen sich seitdem, wie sie möglichst effizient die Verpflichtungen erfüllen können. Doch dabei wird oft die Perspektive klassischer Betriebe wie z.B. von Handwerkern und Arztpraxen vergessen. diese sind zwar mit ausreichend Informationen zu ihrer Webseite versorgt, gleichzeitig besteht aber Verunsicherung bezüglich der Verpflichtungen in der „analogen“ Welt. Um in diesen Fällen auf Nummer sicher zu gehen, greifen viele dieser Betriebe verständlicherweise für die Erfüllung ihrer Verpflichtungen in papierhafter Form auf den Prozess zu, den sie für ihre Webseite durchgeführt haben. Dies führt jedoch zu langen Texten, viel Papier und Kunden, denen nicht verständlich ist, weshalb sie nun ein Mehrseiten langes Dokument lesen und in manchen Fällen sogar unterschreiben müssen.
Der folgende Beitrag beschäftigt sich mit der effizienten Erfüllung der Informationspflichten aus den Artikeln 13 und 14 (Datenschutzerklärung) in der „offline-Welt“.
Die Verpflichtungen sind dieselben
Weder Artikel 13 noch Artikel 14 DSGVO unterscheiden darin, ob die Erhebung der betroffenen personenbezogenen Daten online oder offline geschieht. Entsprechend bestehen sämtliche Anforderung an die Inhalte der Informationspflichten für die Webseite genauso wie für die analoge Verarbeitung. Die betroffene Person ist somit bei Erhebung der Daten über Folgendes zu informieren:
- den Namen und die Kontaktdaten des Verantwortlichen
- sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten
- die Zwecke der Datenverarbeitung (z.B. „Erfüllung der Handwerksleistung“)
- die Rechtsgrundlage der Verarbeitung
- sofern die Verarbeitung auf die Wahrung berechtigter Interessen beruht, die Nennung dieses Interesses
- wenn Daten übermittelt werden die Empfänger bzw. die Kategorien der Empfänger (Beauftragen Sie z.B. ein Inkassounternehmen, müssen Sie erklären das zu diesen Zwecken Daten über Verbindlichkeiten und Anschrift übermittelt werden können.)
- sofern anwendbar, die Absicht, die Daten in ein Drittland zu übermitteln
Zusätzlich sollen, wenn dies dem Transparenzgrundsatz zugutekommt, folgende Informationen gegeben werden:
- die Dauer der Speicherung der personenbezogenen Daten
- die Rechte der betroffenen Person (z.B. das Auskunftsrecht)
- sofern die Einwilligung eingeholt wurde, das Recht, diese Einwilligung jederzeit für die Zukunft zu widerrufen
- das Bestehen des Beschwerderechts bei der zuständigen Aufsichtsbehörde
- wenn vorhanden, das Bestehen einer automatisierten Einzelfallentscheidung und wie diese zustande kommt
Für die Erhebung der Daten bei einer Person, die nicht die betroffene Person ist, bestehen zudem weitere Pflichten bezüglich des Zeitpunkts der Information.
Ultimativ geht es jedoch darum, die betroffene Person in die Lage zu versetzen, zu jeder Zeit das Wissen über die Art und Weise der Verarbeitung ihrer personenbezogenen Daten zu haben. Die Informationsgabe sollte demnach immer nach diesem Prinzip erfolgen, sowohl ihren Inhalten als auch ihrer Form zufolge. Eine Datenschutzerklärung, die zwar alle Verarbeitungsschritte bis ins kleinste Detail beschreibt, dafür jedoch 50 Seiten lang ist, kann genauso unzulässig sein. Um die Verpflichtung zu erfüllen, sollte jeder Verantwortliche sich vor Augen führen: so viel wie nötig und gelegentlich ist weniger tatsächlich mehr!
Nun stellt sich die Frage, wie auch einfache Betriebe diese Verpflichtung erfüllen können.
Die Erfüllung der Pflichten ist auch offline machbar
Nehmen wir als Beispiel einen kleinen Handwerksbetrieb von vier Mann. Der Handwerksbetrieb führt seine Tätigkeiten im B2C-Bereich vor Ort beim Kunden aus. Entsprechend werden für die Durchführung der Arbeiten personenbezogene Daten benötigt.
Eines Tages meldet sich ein neuer Kunde beim Handwerksbetrieb. Da auf der Webseite keine elektronische Kontaktmöglichkeit für eine Terminvereinbarung angegeben ist, meldet sich der Kunde telefonisch.
Es ist dem Handwerksbetrieb in dieser Situation nicht möglich, die Datenschutzinformationen z.B. in Form einer Erklärung, der betroffenen Person bei Erhebung der Daten, sprich am Telefon, mitzuteilen; insbesondere, wenn der Kunde schon von sich aus alle notwendigen Daten für den Auftrag mitteilt (Name, Adresse, evtl. Kontaktdaten wie E-Mail-Adresse und Telefonnummer, Art der durchzuführenden Arbeit). In diesem Fall stellt sich also die Frage, wann der korrekte Zeitpunkt für die Datenschutzinformation erfolgt.
„bei Erhebung“ heißt nicht „sofort“
Der Handwerksbetrieb hat sich die Daten analog (z.B. auf einem Zettel) notiert und fährt zum vereinbarten Termin beim Kunden vor. In diesem Moment geschieht oftmals folgendes: Der Kunde und der Handwerker tauschen sich noch aus. Es werden Details zu den Arbeiten geplant, das zu reparierende Objekt wird zunächst begutachtet und eventuell die Geschichte dazu erzählt. Es ist vollkommen ausreichend für den Handwerksbetrieb, im Rahmen dieses „Erstgesprächs“ die Datenschutzinformation, z.B. auf einem gesonderten Blatt, dem Kunden zu übergeben.
Der notwendige Inhalt der Datenschutzinformation
Die übergebene Datenschutzinformation muss nicht von allzu großer Länge sein. Der Handwerksbetrieb sollte sich bei Erstellung des Dokuments auf die wesentlichen Tatsachen konzentrieren. Dafür ist zunächst einmal relevant, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. In den meisten Fällen wird dies auf Grund der Erfüllung des Vertrages sowie auf Grund der Erfüllung rechtlicher Verpflichtungen (z.B. Aufbewahrungspflichten von Rechnungen) sein. Das bedeutet, um dem Grundsatz der Transparenz gerecht zu werden, sind für den Handwerksbetrieb folgende Informationen für die Datenschutzerklärung relevant:
- Name und Kontakt des Handwerksbetriebs: dies kann als eigenständiger Punkt oder als Verweis auf z.B. den Briefkopf erfüllt werden, der regelmäßig vorhanden ist
- sofern vorhanden: Kontaktdaten des Datenschutzbeauftragten
- die Zwecke der Datenverarbeitung (in diesem Fall zum einen die Durchführung des Vertragsverhältnisses sowie die Erfüllung rechtlicher Verpflichtungen)
- die Rechtsgrundlage der Verarbeitung (in diesem Fall die Artikel 6 Abs. 1 Buchstabe b und c DSGVO)
Um der Transparenz gerecht zu werden, sollten an dieser Stelle die Rechte der betroffenen Person aufgezählt werden (in diesem Fall wohl das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung sowie das Recht auf Einschränkung der Verarbeitung). In zwei Sätzen ist auch die Speicherdauer anzeigbar, z.B. „Wir speichern ihre Daten für die Dauer der Leistungserbringung. Für die Erfüllung unserer Aufbewahrungspflichten speichern wir bestimmte Daten – z.B. ihre Rechnungsnummer – für die Dauer von bis zu zehn Jahren“).
Diese Informationen sind gut auf wenig Platz darstellbar; es benötigt demnach keine seitenlange Erklärung. Durch die übersichtliche Information ist auch der betroffenen Person und somit dem Kunden geholfen.
Die Unterschrift des Kunden
Eine Unterschrift auf einem Exemplar der Datenschutzerklärung ist nicht zwingend erforderlich. Da der Handwerksbetrieb keine Einwilligung zur Datenverarbeitung einholt, ist die Abgabe der Datenschutzerklärung für die Erfüllung der Verpflichtung vollkommen ausreichend. Fraglich ist bei der analogen Abgabe der Information lediglich, wie der Handwerksbetrieb nachweisen kann, dieser Verpflichtung nachgekommen zu sein.
Hierfür kann eine Unterschrift sinnvoll sein und sollte der Kunde sowieso eine Unterschrift (z.B. unter dem Angebot) leisten müssen, wird dies auch nicht zu Irritationen beim Kunden führen. Allerdings sollte die Formulierung über der Unterschrift gut gewählt sein. Der gerne eingesetzte Satz „Ich erkläre mich mit der Datenschutzerklärung einverstanden“ kann schnell als Einwilligung interpretiert werden. Für eine wirksame Einwilligung bestehen jedoch besondere Anforderungen (insbesondere aus Artikel 7 DSGVO); zudem basiert die Datenverarbeitung mit gutem Recht nicht auf einer Einwilligung. Daher sollte ein weicherer Satz gewählt werden, z.B. „Ich bestätige die Kenntnisnahme der Datenschutzinformationen“. Findet der Handwerksbetrieb jedoch einen anderen Weg der Dokumentation, kann auch die Unterschrift entbehrlich sein. Sind bspw. zwei Handwerker zum Kunden geschickt worden, können die Handwerker im Nachgang im Betrieb die Übergabe der Datenschutzinformation protokollarisch festhalten und per vier-Augen-Prinzip bestätigen. Das erhöht den Aufwand nur minimal und erspart das Einholen der Unterschrift beim Kunden.
Der weitere Umgang mit den Daten
Nun kann der Handwerksbetrieb die Daten im für sich üblichen Prozess verarbeiten, z.B. in der Kundendatenbank aufnehmen, sofern noch nicht geschehen. Nur, falls mehr mit den Daten bezweckt ist, ist eine erneute Prüfung vorab durchzuführen. Für den „schlichten“ Umgang des Kunden für die Leistungserbringung hat der Handwerksbetrieb mit einem schlanken Prozess und wenig Aufwand sowie wenig Papier die Informationspflichten der DSGVO erfüllt.
Fazit
Das beschriebene Beispiel besteht wesentlich häufiger, als die Diskussion um die DSGVO in der Öffentlichkeit es suggerieren. Wichtig bleiben jedoch folgende Punkte:
- Ruhe bewahren: Die Verpflichtungen sind auch ohne großen Aufwand erfüllbar und vor allem
- Überladen Sie nicht: Transparenz bedeutet nicht so viel wie möglich, sondern eher „so viel wie nötig“!
Die DSGVO soll nämlich nicht zu einer Lahmlegung der Betriebe führen. Die Informationspflichten sollen die betroffenen Personen nur in die Lage des Wissenden versetzt werden. Und das ist auch auf einfachen Wegen zu bewerkstelligen.
Wir unterstützen Sie bei der Umsetzung Ihrer datenschutzrechtlichen Verpflichtungen. Lassen Sie uns gemeinsam einen schlanken, effizienten Prozess bauen, bei dem alle gewinnen – auch ihre Kunden.