Euroforum

Euroforum GmbH-Geschäftsführer-Seminare
Info-Hotline: +49 2 11/88743-3340

Die Transparenzpflichten nach der Europäischen Datenschutzgrundverordnung

Dr. Arno Frings, Rechtsanwalt und Partner, und
Stephanie Simokat, Rechtsanwältin, fringspartners Rechtsanwälte

Die ab kommendem Mai geltende Europäische Datenschutzgrundverordnung (DSGVO) sieht im Bereich der Rechte der Betroffenen und den damit einhergehenden Pflichten des Unternehmens im Verhältnis zu dem derzeit geltenden BDSG erhebliche Erweiterungen vor.

Die DSGVO hat die Transparenz zu einem ihrer wesentlichen Grundsätze auserkoren. Damit einher geht eine Vielzahl von Rechten und Pflichten, die in der DSGVO näher ausgestaltet sind.

Der Transparenzgrundsatz

Der in Art. 5 Abs.1 DSGVO niedergelegte Grundsatz der Transparenz hat im Rahmen der DSGVO im Vergleich zur früheren Datenschutzrichtlinie bzw. dem BDSG eine enorme Stärkung erfahren. Er wird durch eine Vielzahl weiterer, ihn konkretisierende Vorschriften, weiter gefördert. Dies ist dem Umstand geschuldet, dass nach der Idee des europäischen Gesetzgebers der durch die DSGVO gewährte Schutz ins Nichts laufen würde, wenn der Betroffene nicht über eine etwaige Datenerhebung informiert werden würde. Erst die Kenntnis einer Datenerhebung versetzt den Betroffenen in die Lage, seine weitergehenden, durch die DSGVO gewährleisteten, Rechte geltend zu machen. Die Informationspflichten stellen demnach einige der wesentlichen und zentralen Pflichten der Verordnung dar.

Nicht unumstritten ist die „Qualität“ des Transparenzgrundsatzes. Unklar ist, ob er eine Rechtmäßigkeitsvoraussetzung jeder Datenerhebung oder lediglich ein zu beachtendes Grundprinzip der Verordnung darstellt. Diese Frage wird kontrovers diskutiert, allerdings spricht einiges für eine Interpretation des Grundsatzes als enge Rechtmäßigkeitsvoraussetzung. Dies vor allem vor dem Hintergrund des Gewichts, den der europäische Gesetzgeber dem Grundsatz beimisst. Denn eines ist klar – ohne zwingende Beachtung dieses Grundsatzes geht ein erheblicher Teil des von der DSGVO vorgesehenen Schutzes ins Nichts.

Die Konkretisierungen

Der Grundsatz der Transparenz findet in den Art. 12 ff DSGVO seine Ausgestaltungen. Art. 12 DSGVO beinhaltet Vorgaben bezüglich der Form der Information der Betroffenen. Die Informationen sind „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln. Ob diese Informationen schriftlich, elektronisch oder in sonstiger Form erfolgen, hat der europäische Gesetzgeber dahinstehen lassen. Vor dem Hintergrund der bestehenden Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO und der defacto Beweislastumkehr aus Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO empfiehlt sich zumindest die elektronische, wenn nicht sogar die schriftliche Form, damit hier der erforderliche Nachweis erfolgen kann.

Der Zeitpunkt der Information des betroffenen Mitarbeiters richtet sich danach, ob im Einzelfall eine Datenerhebung nach Art. 13 oder nach Art. 14 DSGVO vorliegt. Art. 13 DSGVO beschäftigt sich mit der Datenverarbeitung beim Betroffenen selbst, während Art. 14 DSGVO hingegen die Datenverarbeitung, die bei Dritten erfolgt, regelt. Beide Artikel sehen divergierende Zeitpunkte für die Informationspflicht vor. Während Art. 13 Abs. 1 DSGVO eine Information zum Zeitpunkt der Erhebung der Daten vorsieht, enthält Art. 14 Abs. 3 lit. a) DSGVO den Hinweis auf eine „angemessene Frist“ von maximal einem Monat. Bei der angegebenen Frist handelt es sich um eine Maximalfrist, die im Einzelfall durchaus kürzer zu bemessen sein wird.

Sowohl Art. 13 also auch Art. 14 DSGVO nennen in ihren jeweils ersten Absätzen diejenigen Merkmale, über die bei jeder Datenerhebung zu informieren sind. Darunter fallen beispielweise Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters, die Zwecke der Verarbeitung der Daten sowie die Rechtsgrundlage der Verarbeitung.

In Absatz 2 beider Artikel sind diejenigen Angaben aufgeführt, die nicht immer, sondern nur dann zu erteilen sind, wenn diese erforderlich sind, „um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten“. Dabei geht es unter anderem um die Dauer der Speicherung der Daten oder die Kriterien für die Festlegung dieser Dauer, das Bestehen eines Rechts auf Auskunft sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder auf Widerspruch sowie des Rechts auf Datenübertragbarkeit, das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, oder, wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Widerrufsrechts.

Das Verhältnis der beiden Normen ist nicht unumstritten. Streitgegenstand ist, wann eine Datenerhebung „bei“ der betroffenen Person im Sinne des Art. 13 DSGVO erfolgt. Dies ist insbesondere wegen des unterschiedlichen Informationszeitpunktes für die Frage der Zulässigkeit heimlicher Überwachungsmaßnahmen relevant. Dieses Problem reiht sich jedoch in die Vielzahl der ungeklärten Fragen ein. In jedem Fall ist im Bereich heimlicher Überwachungsmaßnahmen äußerste Vorsicht geboten.

Die drohenden Sanktionen

Nicht unerheblich sind die auf einen Verstoß gegen die Transparenzpflichten folgenden Sanktionen. Art. 83 Abs. 5 DSGVO regelt die Höhe der Sanktionen bei Verstößen gegen den in Art. 5 Abs. 1 DSGVO enthaltenen Transparenzgrundsatz und gegen seine geregelten Konkretisierungen in den Art. 12 ff DSGVO. Danach gilt, dass bei Verstößen Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Dies richtet sich danach, welcher Betrag höher ist.

Verantwortlicher im Sinne der DSGVO ist nach Art. 4 Ziffer 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Normadressat ist damit das Unternehmen als solches. Allerdings gibt es letztlich auch immer eine natürliche Person in Form des Geschäftsführers beispielsweise, die handelt und damit auch die persönliche Verantwortung trägt. Diese wird auch nicht durch die Bestellung eines Datenschutzbeauftragten abbedungen. Schließlich ergibt sich diese Pflicht nicht zuletzt aus § 43 Abs. 2 GmbHG.

Ausblick

Der Transparenzgrundsatz ist – zumindest – eines der zentralen Prinzipien der DSGVO und von elementarer Bedeutung. Allerdings ist vieles noch ungeklärt – sowohl bezüglich des Grundsatzes als solchem als auch seiner Konkretisierungen. Nicht nur die Frage, ob es sich bei der Transparenz um eine Rechtmäßigkeitsvoraussetzung der Datenverarbeitung handelt ist zweifelhaft. Ebenso fraglich ist, ob künftig überhaupt noch heimliche Überwachungsmaßnahmen von Mitarbeitern zulässig oder generell ausgeschlossen sind. Der Geschäftsführer ist in jedem Fall dringend gehalten, sich an die sich aus der DSGVO ergebenden Transparenzpflichten zu halten. Die drohenden Bußgeldzahlungen sind drakonisch. In diesem Zusammenhang sollten zwingend die sich ebenfalls aus der DSGVO ergebenen Nachweispflichten beachtet werden, damit die Einhaltung der Transparenzpflichten im Zweifelsfall bewiesen werden kann.