Personenbezogene Daten dürfen nur auf transparente Art und Weise verarbeitet werden. Dieser Grundsatz ergibt sich aus Art. 5 DSGVO (EU-Datenschutz-Grundverordnung). Die Pflicht zur Transparenz bei der Verarbeitung von Daten mag zunächst abstrakt klingen, hat aber in der Datenschutzpraxis ganz konkrete Folgen.

Bedeutung des Transparenz-Grundsatzes

Der Grundsatz der Transparenz stellt eine Ausprägung der Verarbeitung nach Treu und Glauben dar. Demnach ist der Betroffene bei der Verarbeitung seiner personenbezogenen Daten auf faire Art und Weise zu behandeln.

Eine Datenverarbeitung gilt in Bezug auf Transparenz als fair, wenn der Betroffene durch Aufklärung über den Umfang und die Ausmaße der Verarbeitung mehr Entscheidungsmacht über seine Daten erhält und seine Rechte besser ausüben kann.

Praktische Konsequenzen der Transparenz der Verarbeitung

Obwohl es sich um eine Ausprägung des Grundsatzes nach Treu und Glauben handelt, wird wegen der grundlegenden Bedeutung der Transparenz der Verarbeitung dieser Grundsatz in Art. 5 DSGVO explizit erwähnt. Die Bedeutsamkeit für die praktische Umsetzung im Unternehmen sollte deswegen nicht unterschätzt werden. Die wichtigsten Pflichten bzgl. der Transparenz sind:

Aufklärung und Rechte des Betroffenen

Gegenüber dem Betroffenen manifestiert sich der Grundsatz der Transparenz insbesondere im Rahmen der Informationspflichten gem. Art. 13 oder Art. 14 DSGVO. Hierdurch soll der Betroffene über die Umstände der Verarbeitung seiner Daten und auch über seine Rechte in Kenntnis gesetzt werden.

Die Pflicht zur Transparenz geht soweit, dass die Kontrolle über die Datenverarbeitung nicht nur bei dem Verantwortlichen (dem Datenverarbeiter) liegen darf. Der Betroffene muss sich gegen eine Verarbeitung entscheiden können und deren Rechtmäßigkeit oder zumindest ihre Schlüssigkeit überprüfen können. Dies entspricht auch dem bereits in der deutschen Rechtsordnung bekannten Grundrecht jedes Menschen auf informationelle Selbstbestimmung.

Verständlichkeit der Datenschutzerklärung

Um dem Grundsatz der Transparenz zu genügen, ist es gem. Erwägungsgrund 39 DSGVO erforderlich, dass für den Betroffenen „alle Informationen (…) leicht zugänglich und verständlich und einfacher Sprache abgefasst sind“.

Dies bedeutet z. B. für die Datenschutzerklärung auf einer Webseite, dass diese ausreichend verlinkt und vor (!) der Erhebung von Daten zugänglich ist. Inhaltlich muss die Datenschutzerklärung in klarer Weise die in Art. 13 DSGVO beziehungsweise Art. 14 DSGVO aufgezählten Punkte wiedergeben.

Die Datenschutzerklärung muss derart verfasst sein, dass sich ein außenstehender Dritte ein konkretes Bild der Verarbeitung seiner personenbezogenen Daten machen kann, um beurteilen zu können, ob er dies zulassen möchte oder nicht. Dabei soll es dem Betroffenen insbesondere ermöglicht werden, Zusammenhänge zwischen verschiedenen Verarbeitungsprozessen zu erkennen, etwa wenn ein Unternehmen etwa im Multichannel-Marketing personenbezogene Daten aus vielen unterschiedlichen Quellen sammelt, um ein Profil anzureichern.

Je komplexer eine Datenverarbeitung für den Betroffenen ist und je und mehr Konsequenzen sie hat, desto höher die Aufklärungspflicht. Sollte ein Unternehmen z. B. einen Datenempfänger in einem Drittland haben, sollte der Betroffene zuvor die Möglichkeit haben, sich gegen die Nutzung eines bestimmten Dienstes zu entscheiden, wenn dieser keine Weiterleitung seiner Daten in ein Drittland wünscht (nutzen Sie für die Erstellung Ihrer Datenschutzerklärung einfach unseren kostenlosen Generator).

Klarheit über die verantwortliche Stelle

Ebenfalls muss aus den Informationen für Betroffene klar hervorgehen, wer die verantwortliche Stelle ist. Denn Betroffene können von ihren Rechten etwa auf Auskunft, Berichtigung oder Löschung nicht Gebrauch machen, wenn sie nicht wissen, an wen sie sich wenden müssen.

Bei Konzernen, deren Unternehmen gemeinsam Daten verarbeiten, kann es dabei zu Unklarheiten kommen. Werden mehrere Unternehmen genannt, ist es unter Umständen nicht klar, ob alle genannten Unternehmen gemeinsam oder gegebenenfalls jeweils nur für einzelne Verarbeitungsvorgänge verantwortlich sind. Gegenüber wem wäre ein Widerspruch zu erklären, eine Einwilligung zu widerrufen oder ein Löschanspruch geltend zu machen? Wenn mehrere Stellen genannt sind, so müsste dies gegenüber allen möglich sein. Soll keine gemeinsame Verantwortlichkeit erfolgen, muss dies gegenüber dem Betroffenen kommuniziert werden und die Datenschutzerklärung dahingehend angepasst werden, dass nachvollziehbar ist, welches Unternehmen für welche Verarbeitungsvorgänge verantwortlich ist.

Umfang der Informationspflichten

Art. 13 DSGVO sieht für den Fall einer Direkterhebung und Art. 14 DSGVO als Pendant für die indirekte Erhebung personenbezogener Daten einen Katalog an notwendigen Informationen pro Verarbeitungsvorgang vor. Die Mindestanforderungen sind jeweils in Abs. 1 und Abs. 2 wiedergegeben, wobei die Unterteilung in zwei Absätze ein wenig unglücklich ist und für Verwirrung sorgt. Abs. 2 spricht insbesondere im Art. 13 DSGVO von „notwendigen“ Informationen, sodass der Eindruck erweckt wird, dass es sich bei diesen um optional zu stellende handelt. Sinn und Zweck des Art. 13 und 14 DSGVO ist es, insbesondere die Rechte und Interessen der Betroffenen zu stärken, sodass stets von einer Notwendigkeit dieser zusätzlichen Informationen auszugehen ist.

Konsequenzen bei Verstößen gegen den Transparenz-Grundsatz

Verstoßen Datenverarbeiter gegen die Grundsätze des Art. 5 DSGVO, können die Aufsichtsbehörden die höchsten Bußgelder verhängen – und zwar bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 Abs. 5 lit. a DSGVO). Es lohnt sich also, diesen Grundsätzen – wie z. B. dem der Transparenz – bei der Verarbeitung von personenbezogenen Daten größte Aufmerksamkeit zu schenken.

Bitte bewerten Sie diese Inhalte!
[5 Bewertung(en)/ratings]
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.