Personenbezogene Daten dürfen nur auf transparente Art und Weise verarbeitet werden. Dieser Grundsatz ergibt sich aus Art. 5 DSGVO (Datenschutz-Grundverordnung). Die Pflicht zur Transparenz bei der Verarbeitung von Daten mag zunächst abstrakt klingen, hat aber in der Datenschutzpraxis ganz konkrete Folgen.
Bedeutung des Transparenz-Grundsatzes
Der Grundsatz der Transparenz stellt eine Ausprägung der Verarbeitung nach Treu und Glauben dar. Demnach ist der Betroffene bei der Verarbeitung seiner personenbezogenen Daten auf eine faire Art und Weise zu behandeln.
Eine Datenverarbeitung gilt in Bezug auf das Transparenzerfordernis als fair, wenn der Betroffene durch Aufklärung über den Umfang und die Ausmaße der Verarbeitung mehr Entscheidungsmacht über seine Daten erhält und seine Rechte besser ausüben kann.
Erwägungsgrund 60 DSGVO macht deutlich, dass eine faire und transparente Verarbeitung nicht nur damit einhergeht, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke informiert wird. Sie muss ebenso alle weiteren Informationen erhalten, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen notwendig sind, unter denen die personenbezogenen Daten verarbeitet werden, um eine faire und transparente Verarbeitung zu gewährleisten. Dazu gehört insbesondere auch der Hinweis auf Profiling und seine Folgen.
Praktische Konsequenzen der Transparenz der Verarbeitung
Obwohl es sich um eine Ausprägung des Grundsatzes von Treu und Glauben handelt, wird wegen der grundlegenden Bedeutung der Transparenz der Verarbeitung dieser Grundsatz in Art. 5 Abs. 1 lit. a DSGVO explizit erwähnt. Demnach müssen personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Die Bedeutsamkeit für die praktische Umsetzung im Unternehmen sollte nicht unterschätzt werden. Die wichtigsten Pflichten hinsichtlich der Transparenz sind:
Aufklärung und Rechte des Betroffenen
Gegenüber dem Betroffenen manifestiert sich der Grundsatz der Transparenz insbesondere im Rahmen der Informationspflichten gem. Art. 13 oder Art. 14 DSGVO. Hierdurch sollen Betroffene über die Umstände der Verarbeitung ihrer Daten und auch über ihre Rechte in Kenntnis gesetzt werden.
Die Pflicht zur Transparenz geht so weit, dass die Kontrolle über die Datenverarbeitung letztlich nicht allein bei dem Verantwortlichen (dem Datenverarbeiter) liegen darf. Der Betroffene muss sich gegen eine Verarbeitung entscheiden können und deren Rechtmäßigkeit oder zumindest ihre Schlüssigkeit überprüfen können. Dies entspricht auch dem in der deutschen Rechtsordnung bekannten Grundrecht jedes Menschen auf informationelle Selbstbestimmung.
Verständlichkeit der Datenschutzerklärung
Um dem Grundsatz der Transparenz zu genügen, ist es gem. Erwägungsgrund 39 DSGVO erforderlich, dass für den Betroffenen „alle Informationen und Mitteilungen zur Verarbeitung (…) leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind“.
Dies bedeutet z. B. für die Datenschutzerklärung auf einer Webseite, dass diese ausreichend verlinkt und vor (!) der Erhebung von Daten zugänglich ist. Inhaltlich muss die Datenschutzerklärung in klarer Weise die in Art. 13 DSGVO beziehungsweise Art. 14 DSGVO aufgezählten Punkte wiedergeben.
Die Datenschutzerklärung muss derart verfasst sein, dass sich außenstehende Dritte ein konkretes Bild der Verarbeitung ihrer personenbezogenen Daten machen können, um beurteilen zu können, ob sie diese zulassen möchten oder nicht. Dabei soll es Betroffenen insbesondere ermöglicht werden, Zusammenhänge zwischen verschiedenen Verarbeitungsprozessen zu erkennen, z.B. wenn ein Unternehmen etwa im Multichannel-Marketing personenbezogene Daten aus vielen unterschiedlichen Quellen sammelt, um ein Profil anzureichern.
Je komplexer eine Datenverarbeitung für Betroffene ist und umso gravierendere Konsequenzen sie hat, desto höher sind die Anforderungen an die Aufklärungspflicht.
Klarheit über die verantwortliche Stelle
Ebenfalls muss aus den Informationen für Betroffene klar hervorgehen, wer die verantwortliche Stelle ist. Denn Betroffene können von ihren Rechten etwa auf Auskunft, Berichtigung oder Löschung nur Gebrauch machen, wenn sie wissen, an wen sie sich wenden müssen.
Bei Konzernen, deren Unternehmen gemeinsam Daten verarbeiten, kann es dabei zu Unklarheiten kommen. Werden mehrere Unternehmen genannt, ist unter Umständen nicht klar ersichtlich, ob alle genannten Unternehmen gemeinsam oder gegebenenfalls jeweils nur für einzelne Verarbeitungsvorgänge verantwortlich sind.
Wem gegenüber kann eine Einwilligung widerrufen oder ein Löschanspruch geltend gemacht werden? Wenn mehrere Stellen genannt sind, so müsste dies gegenüber allen möglich sein. In jedem Fall sind bei Vorliegen einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO die Informationspflichten nach Art. 13 bzw. 14 DSGVO in transparenter Weise gegenüber den Betroffenen zu erfüllen. Zudem müssen Betroffene wesentliche Informationen über den Vertrag zur gemeinsamen Verantwortlichkeit erhalten. Betroffene Personen müssen darüber im Klaren sein, wer welchen Datenschutzpflichten nachkommt bzw. an wen sie sich bei bestimmten Fragen wenden können.
Liegt keine gemeinsame Verantwortlichkeit vor, muss dies gegenüber den Betroffenen klar kommuniziert werden und die Datenschutzerklärung dahingehend angepasst werden, so dass nachvollziehbar ist, welches Unternehmen konkret für welche Verarbeitungsvorgänge verantwortlich ist.
Umfang der Informationspflichten
Art. 13 DSGVO sieht für den Fall einer Direkterhebung und Art. 14 DSGVO als Pendant für die indirekte Erhebung personenbezogener Daten einen Katalog an notwendigen Informationen für jeden einzelnen Verarbeitungsvorgang vor. Die Mindestanforderungen sind jeweils in Abs. 1 und Abs. 2 wiedergegeben. Bei einer Direkterhebung ist es z.B. notwendig, dem Betroffenen die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die jeweiligen Verarbeitung mitzuteilen.
Die Unterteilung in zwei Absätze sorgt dabei oftmals für Verwirrung, da Abs. 2 insbesondere in Art. 13 DSGVO von „notwendigen“ Informationen spricht, so dass der Eindruck erweckt wird, dass es sich bei den darin aufgezählten Informationspflichten lediglich um optional einzuhaltende handelt. Sinn und Zweck von Art. 13 und 14 DSGVO ist es jedoch, insbesondere die Rechte und Interessen der Betroffenen zu stärken, so dass stets von einer Notwendigkeit dieser zusätzlichen Informationen ausgegangen werden muss.
Konsequenzen bei Verstößen gegen den Transparenz-Grundsatz
Betroffene Personen sollten vorab darüber aufgeklärt werden, welche Verarbeitungen von Daten ihre Person betreffend und in welchem Umfang (künftig) beabsichtigt ist oder bereits stattfindet und sämtliche W-Fragen (Wer? Was? Wie? Wofür? Wie lange? Wohin? etc.) von der verantwortlichen Stelle beantwortet bekommen. Denn nur wer weiß, was mit seinen Daten passiert, kann selbstbestimmt darüber entscheiden, ob er der Datenverarbeitung zustimmt oder seine Rechte als betroffene Person wahrnimmt.
Verstoßen Unternehmen gegen die Grundsätze des Art. 5 DSGVO, können die Aufsichtsbehörden die höchsten Bußgelder verhängen – und zwar bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 Abs. 5 lit. a DSGVO). Es lohnt sich also, diesen Grundsätzen bei der Verarbeitung von personenbezogenen Daten größte Aufmerksamkeit zu schenken.