Die DSGVO bringt auch eine Informationspflicht mit sich. Das ist grundsätzlich erstmal gut, leider fehlt mal wieder eine konkrete Regelung. Bei einer wörtlichen Umsetzung würden sich bei einer Visitenkartenübergabe oder bei Telefonaten kuriose Szenen abspielen. Die Geschäftswelt benötigt hier etwas Praktikableres. Wir empfehlen die vom Datenschutz-Guru vorgeschlagene Link-Lösung für Informationspflichten aus Art. 13 DSGVO.
Karl Fröhlich, Chefred speicherguide.de
und zertifizierter Datenschutzbeauftragter Drei Wochen ist die DSGVO nun am Start und die Wogen scheinen sich etwas zu glätten. Entfliehen kann man der DSGVO kaum, irgendwie möchte jeder aus irgendeinem Grund eine Unterschrift wegen dem Datenschutz. Was ich bisher aber noch nicht gesehen habe, ist eine korrekte Umsetzung der Informationspflicht (DSGVO Art. 13).
Darum geht’s: Als Verbraucher haben wir das Recht darauf informiert zu werden, was mit unseren Daten passiert, warum, wieso, weshalb, auf welcher Basis und so weiter und so fort… Diese Informationspflicht ist einzulösen, bei der Erhebung der Daten.
Dies treibt aber natürlich seltsame »Blüten«. Das beginnt auf Webseiten, die plötzlich nur noch benutzbar sind, wenn man eine Checkbox bestätigt. Information gesät, Benutzer hat es bestätigt, alles gut!? Nein, eigentlich nicht. Ich bin in der Regel immer gut beschäftigt und vermutlich nicht der Einzige, der die Dinger einfach wegklickt. Hinzukommt, für die Details wird man eh auf die Datenschutzerklärung verwiesen. Hier möchte ich behaupten, dass alle, die mit einem Generator erstellt wurden, mehr oder weniger unleserlich und nahezu unverständlich sind. Die stammen halt von Anwälten und die können scheinbar nur geschwurbelte Texte verfassen. Ausnahmen bestätigen die Regel… Letztendlich bedienen sich auch viele Datenschutzbeauftragten einer Vorlage und diversen Textbausteinen. Was ich sagen will, eine Datenschutzerklärung, so gut und ausführlich sie auch gemeint ist, informiert eigentlich nicht wirklich. Das heißt, das eigentliche Ziel wird verfehlt.
DSGVO skurril: Kontaktaufnahme & Informationspflicht
Die Informationspflicht geht aber noch weiter. Im Prinzip müsste man jeden, mit dem man Visitenkarten austauscht, direkt noch eine Datenschutzerklärung aushändigen. Ich kann bzw. muss davon ausgehen, dass der Betroffene meine Daten bei sich auf seinem Rechner abspeichert, sei es in einer Datenbank oder zumindest in seinem E-Mail-Programm. Dadurch verarbeitet er (oder sie) meine persönlichen Daten. Deshalb obliegt dieser – eigentlich ganz normale – Vorgang laut DSGVO der Informationspflicht. Sie kennen hierzu das Youtube-Video von RA Christian Solmecke?
Gilt im Übrigen auch für Anrufe. Beispiel: Sie rufen wegen eines Termins beim Arzt oder in der Autowerkstatt an. Hier wird dann – selbstverständlich – zumindest Ihr Name und Telefonnummer oder das Autokennzeichen erfasst. Gleichwohl müsste Ihnen nun aber die Datenschutzerklärung des jeweiligen Unternehmens vorgelesen werden. Herzlichen Glückwunsch und viel Spaß.
Das macht natürlich keiner. Zu Recht, denn dies will keiner hören bzw. im Falle der Visitenkarte, niemand möchte mit einem »Papierkrieg« durch die Lande laufen bzw. einen solchen überreicht bekommen. Damit handelt man aber gegen die Informationspflicht. Ausnahmen hat der Gesetzgeber nicht vorgesehen. Seufz…
Was nun, fragen sie jetzt natürlich? Wir machen einfach so weiter wie bisher? Machen sowieso alle und wer soll sich deswegen schon beschweren? Vermutlich wird auch nichts passieren, wenn Sie sich genau so verhalten. Bis Sie oder einer Ihrer KollegInnen auf einen »Unruhestifter« stoßen oder auf einen Kunden, bei dem einfach mal alles schiefgelaufen ist und der deswegen nicht gut auf Ihr Unternehmen zu sprechen ist. Nichts tun oder aussitzen ist daher keine Option.
Link-Lösung für Informationspflicht nach DSGVO Art. 13
Eine und aus meiner Sicht die praktikabelste Option ist die sogenannte Link-Lösung für Informationspflichten aus Art. 13 DSGVO. Das heißt, wir fassen auf einer extra Page unserer Webseite die Informationen zur Datenverarbeitung in unserem Unternehmen zusammen. Hierfür verwenden wir einen Deep-Link. Dies soll verhindern, dass es zu Verwechslungen und Verwirrungen mit der Datenschutzerklärung kommt. Außerdem sollen das auch nur Leute sein, die auch mit uns in Kontakt stehen.
Für den Link empfiehlt sich eine einprägsame Bezeichnung und darauf hinzuweisen, wann immer es nötig ist. Ich verwende den Link in meiner E-Mail-Signatur und werde ihn auch auf meine Visitenkarte drucken, dann kann sich jeder, der möchte, informieren.
Wenn speicherguide.de ein Betrieb oder ein Ladengeschäft wäre (und nicht nur ein Home-Office), würden wir am Empfangstresen, an der Kasse und im Besprechungsraum einen gut sichtbaren Aufsteller anbringen, mit folgenden Text:
»Hinweise zu unseren Datenschutzgrundsätzen finden Sie hier: www.speicherguide.de/DS«
Zusätzlich sollte die Link-Lösung als Unternehmensanweisung festgehalten werden. Damit müsste man eigentlich der Rechenschaftspflicht genüge getan sein. Festzuhalten ist, der Gesetzgeber hat keine Vorgaben geregelt, wie die Informationspflichten aus Art. 13 DSGVO erfüllt werden muss.
Link-Lösung – ein praktikabler Vorschlag
Die Link-Lösung zur Informationspflicht ist »nur« ein Vorschlag. Ich folge hier aber einer Empfehlung und Mustervorlage des Datenschutz-Guru und der Kanzlei Stephan Hansen-Oest – eine Webseite, die ich als Infoquelle für Datenschützer nur empfehlen kann. Einige Aufsichtsbehörden sind zwar dran, eine praxisnahe Regelung zu finden, verabschiedet ist aber noch nichts. Je mehr Unternehmen sich daher dieser Link-Lösung anschließen, desto größer ist die Chance, dass sie auch von den Behörden als praktikabler Standard angesehen wird.
Entweder verwendet Ihr das oben verlinkte Muster drüben beim Datenschutz-Guru oder Ihr baut Euch unsere Version um. Diese sollte für die meisten mittelständischen Unternehmen ausreichen. Wir haben für uns beispielsweise noch eine Ergänzung vorgenommen. Normalerweise ist der Verarbeitungsort Deutschland. Wenn ich aber auf Reisen gehe, geschäftlich wie privat, habe ich meine E-Mails auch von unterwegs aus immer im Blick. Das heißt aber auch, dass sich der Nutzungsort in einem anderen Land, außerhalb der EU, befinden kann. Aus Datenschutzsicht quasi ein Disaster…
- EuGH-Urteil zu Facebook-Seiten: Ruhe bewahren
- Eine Woche DSGVO: Der Start hätte sinnvoller geplant sein können
- Nervfaktor DSGVO: Warum Zurückhaltung die bessere Strategie war
- Rant zur DSGVO/GDPR: Der größte Blödsinn des Jahrhunderts
- Ausbildung zum Datenschutzbeauftragten im Selbstversuch
- Warum brauchts eigentlich immer einen Arschtritt?