Im Zivilrechtsrepetitorium meines Jurastudiums lernte ich den „Oma-Test“ kennen. Dabei fragt man sich am Ende einer juristischen Prüfung: Was würde meine Oma von diesem Ergebnis halten? Geprüft wird, ob das Ergebnis allgemeinverständlich und nachvollziehbar ist. Insbesondere für unkomplizierte Sachverhalte bietet der Test grundsätzlich sehr gute Ergebnisse, was in einer Demokratie ja auch erwartbar sein sollte. In diesem Artikel widmen wir uns der Informationspflicht im Rahmen der Betroffenenrechte, die wir zum einen Anhand des Gesetzes und den herrschenden (Literatur-)Meinungen, aber auch nach Maßgabe des „Oma-Tests“ prüfen. Konkret soll es um die Informationspflicht über das Beschwerderecht bei der Aufsichtsbehörde nach Art. 13 Abs. 2 lit. d) DS-GVO gehen.
Die Informationspflicht nach Art. 13 und 14 DS-GVO
Artikel 13 DS-GVO kodifiziert die Informationspflicht für den Fall, dass personenbezogene Daten beim Betroffenen erhoben werden, während Artikel 14 DS-GVO die Situation regelt, in der die Daten nicht bei der betroffenen Person (selbst) erhoben werden. Als betroffene Person einer Datenverarbeitung hat man das Recht sich bei der zuständigen Aufsichtsbehörde zu beschweren, worüber sie von dem Verantwortlichen in Kenntnis gesetzt werden muss, Art. 13 Abs. 2 lit. d), bzw. Art. 14 Abs. 2 lit. e) DS-GVO.
Der Hauptunterschied zwischen den Informationspflichten von Art. 13 und 14 DS-GVO liegt darin, dass (nur) nach Art. 14 Abs. 5 DS-GVO die Aufklärung unterbleiben kann, wenn sie einen unverhältnismäßigen Aufwand erfordert, oder wenn sie durch Rechtsvorschriften abbedungen wird. Diese Ausnahmen lässt Art. 13 DS-GVO nicht zu. Nach Art. 13 Abs. 4 DS-GVO darf die Aufklärung nur dann unterbleien, wenn die betroffene Person bereits Kenntnis von dem Aufklärungsinhalt hat. Der Ausnahmetatbestand (der in beiden Normen existiert) wirft für die Praxis zweierlei Fragen auf:
Welcher Betroffene hat tatsächlich Kenntnis über sein Beschwerderecht bei der zuständigen (!) Aufsichtsbehörde und welcher Verantwortliche weiß dann auch noch, dass der Betroffene diese Kenntnis hat? Aus Gründen der Rechtssicherheit bleibt dem Verantwortlichen daher stets nur die Möglichkeit eine Datenschutzinformation in alle Unternehmensprozesse zu implementieren, bei denen beim Betroffenen Daten verarbeitet werden.
Nur holzschnittartig soll aufgezeigt werden, was eine umfassende Information erfasst: Gemäß Art. 13 DS-GVO ist unter anderem (!) aufzuklären über
- die Rechtsgrundlage der Verarbeitung,
- die Speicherdauer, oder dessen Kriterien,
- ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist.
Da beispielsweise die Rechtsgrundlage und der Speicherdauer bei ähnlichen Verarbeitungsvorgängen variieren können, ergibt sich schnell das Problem, dass Standardlösungen fehleranfällig werden.
Die Praxis
Braucht meine Oma einen Friseurtermin, ruft sie (initiativ) vorher beim Friseur an. Dieser notiert ihren Namen, ihre Telefonnummer und den Termin. Hierbei handelt es sich um eine Datenverarbeitung beim Betroffenen, da der Friseur ihre Daten gemäß Art. 4 Nr. 2 DS-GVO sowohl erfasst als auch im Kalender speichert. Dementsprechend löst die Datenverarbeitung Informationspflichten aus. Man kann weder davon ausgehen, dass meine Oma schon mal von der (zuständigen) Aufsichtsbehörde gehört hat, noch dass sie Kenntnis darüber hat, wie lange ihr Friseur seinen Kalender aufbewahrt. Das bizarre daran ist, dass der Friseur beides wohl auch nicht weiß. Dennoch muss er informieren.
Hierzu sei noch gesagt, dass sich dieses Problem nicht über einen Websitehinweis lösen lässt. Denn gemäß Art. 13 Abs. 1 DS-GVO muss die Information zum Zeitpunkt der Datenerhebung erfolgen und aus Sinn und Zweck der Vorschrift ergibt sich, dass die Information bereits vor der Datenverarbeitung und ohne Medienbruch erfolgen muss (Taeger/Gabel/Mester, 4. Aufl. 2022, DS-GVO Art. 13 Rn. 34-36).
In einem letzten Rettungsversuch könnte man daran denken, Art. 14 Abs. 5 lit. b) DS-DVO analog auf Art. 13 DS-GVO anzuwenden, um zu sagen, dass an dieser Stelle die Informationspflichten einen unverhältnismäßig hohen Aufwand bedeuteten. Dieser Rettungsversuch ist aber aus mehren Gründen zum Scheitern verurteilt: Zum einen besteht schon keine Regelunglücke, da man wohl davon ausgehen muss, dass der Gesetzgeber zwei unterschiedliche Informationspflichten für zwei unterschiedliche Situationen schaffen wollte. Aufgrund der systematischen und sprachlichen Ähnlichkeiten spricht daher alles für eine bewusste Andersformulierung und somit gegen eine Regelungslücke.
Ferner ergibt sich aus Art. 14 Abs. 5 lit. b) DS-DVO, sowie aus Erwägungsgrund 62, dass ein unverhältnismäßig hoher Aufwand vorliege, wenn „im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke, oder zu statistische Zwecke“, dies erforderten. Diese Gründe sind für unseren Fall allesamt nicht subsumtionsfähig und regeln deutlich abweichende Konstellationen. Folglich wäre ein Unterlassen der Information selbst dann nicht unverhältnismäßig, wenn man (zu Unrecht) eine Analogie bejahen würde.
Zuletzt sei nicht nur darauf hingewiesen, dass der Friseur hinsichtlich der erfolgten Aufklärung rechenschaftspflichtig (also nachweispflichtig) ist (Art. 5 Abs. 2 DS-GVO), sondern auch auf die Konsequenzen, welche die DS-GVO für das Unterbleiben der Aufklärung vorsieht. Nach Art. 83 Abs. 5 lit. b) DS-GVO können Unternehmen mit einer Geldbuße in Höhe von bis zu vier Prozent des weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres bestraft werden, wenn sie nicht – oder nicht richtig – informieren. Für Nicht-Unternehmen ist die Strafe auf 20 Millionen Euro gedeckelt.
Fazit
Der Alltagstest macht deutlich, dass die DS-GVO für die großen Player geschrieben wurde, aber schnell an ihre Grenzen stößt, wenn sie (beispielsweise) von kleinen Unternehmen angewendet werden soll. Das Ergebnis ist in zweierlei Hinsicht widersprüchlich: Der Datenschutz begegnet uns der ständig im Alltag –etwa auf Hinweisschildern von Überwachungskameras, oder wenn wir Softwareupdates erhalten. Somit werden wir auch über das Beschwerderecht bei der Aufsichtsbehörde alltäglich aufgeklärt – und trotzdem kennen es die wenigsten Betroffenen.
Man kann daher wohl mir Recht sagen, dass es den Googles und Metas dieser Welt nicht gelingt die Betroffenen – und schon gar nicht meine Oma – adäquat zu informieren. Mit dieser Aufgabe faktisch überfordert, wird nun der Friseurbetrieb von nebenan vor dieselbe Aufgabe gestellt – und scheitert (selbstverständlich) ebenfalls. Dabei sei gesagt, dass es sich hier nicht um ein exklusives „Friseurproblem“ handelt. Auch das Abspeichern von Handynummern im Berufshandy, stellt Datenverarbeitung dar – und das ganz abgesehen von jeder Problematik um eine datenschutzkonforme WhatsApp-Nutzung. Wer einen Kontakt via Mail weiterleitet, oder eine Anrufnotiz erstellt, muss den Anrufer ebenfalls DS-GVO konform informieren. Ein Ergebnis, das wohl nicht nur für meine Oma schwer nachzuvollziehen wäre.
Ausblick
Kern des Problems ist, dass die durch die DS-GVO verpflichteten Akteure zu unterschiedlich sind, um gleich behandelt zu werden. Lösung kann nur sein, dass ein Friseursalon hinsichtlich der Informationspflicht anders als ein millionenschweres Unternehmen reguliert werden muss. Eine denkbare Lösung wäre eine Erweiterung des Art. 23 Abs. 1 DS-GVO. Dieser lässt gesetzliche Beschränkungen der Betroffenenrechte zu, wenn es beispielsweise durch Belange der öffentlichen Sicherheit erforderlich ist. Eine Öffnung der Norm für Alltagsprobleme könnte Abhilfe schaffen, um individuell auf die Bedürfnisse der Betroffenen eingehen zu können. Die aktuelle Lösung führt jedenfalls zu erheblichen Rechtsunsicherheiten – sowohl in der Praxis, als auch bei meiner Großmutter.
Über den Autor: Felix Lückert ist Volljurist (Ass. Jur.) und beim Dresdener Institut für Datenschutz als externer Datenschutzbeauftragter tätig. Der Fokus seiner Tätigkeiten liegt in der Beratung von Hochschulen und Gemeinden. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.