Betriebliche Informationspflichten

Betriebliche Informationspflichten


In meinem letzten Beitrag habe ich gezeigt, dass der Gesetzgeber von uns in den absurdesten Verarbeitungssituationen umfangreichste Datenschutzinformationen verlangt. Der heutige Beitrag widmet sich der Frage, wie die betriebliche Praxis damit umgehen kann. Denn inner- und außerbetrieblich werden diverse Datenmengen verarbeitet. Beispielsweise werden Kontaktinformationen auf Internetseiten bereitgestellt, elektronische Signaturen erstellt, Kalender, Allergielisten und Fahrtenbücher geführt und wir bestellen neue Büroklammern bei Amazon. Aufgrund der Vielzahl von Verarbeitungstätigkeiten bilden Betriebe, die den vollständigen Überblick über all ihre Tätigkeiten haben, die absolute Ausnahme. Dementsprechend groß ist die Herausforderung, über alle Datenverarbeitungen transparent und nachvollziehbar zu informieren.


Eine allgemeine Datenschutzinformation

Einen guten Lösungsansatz bildet eine allgemeine Datenschutzinformation, die über die alltäglichen Verarbeitungen informiert, aber schnell in dem Transparenzgrundsatz ihre Grenzen finden kann. Schließlich werden nicht alle Beschäftigten mit denselben Verarbeitungssituationen konfrontiert, sodass es kaum möglich sein wird, alle Beschäftigten gemeinsam und umfassend über alle Verarbeitungssituationen zu informieren. Dennoch empfiehlt sich eine allgemeine Information beispielsweise bezüglich alltäglicher Büroanwendungen und Rechnungsdaten zu erteilen.

Dabei wird die Herausforderung zum einen darin liegen, ausreichend transparente Informationen zur Verfügung zu stellen, die aber zum anderen so generell gehalten sind, dass ausreichend Verarbeitungsvorgänge abgebildet werden. Darüber hinaus gilt es einen Prozess zu gestalten, der alle Beschäftigten – auch jene die bereits seit 30 Jahren im Betrieb arbeiten – erreicht und Veränderungen der Information zulässt. Beispielsweise könnten die allgemeinen Informationen im Rahmen einer jährlichen Datenschutzschulung besprochen werden.


Die spezielle Datenschutzinformation

Neben der allgemeinen Information wird man es nicht vermeiden können, über einige Prozesse einzeln zu informieren. Wenn beispielweise eine Beschäftigte auf der Internetseite abgebildet werden soll, wäre es wohl stets intransparent auf diese Information zu verzichten. In diesen Fällen sollte man sich von Verarbeitungstätigkeit zu Verarbeitungstätigkeit überlegen, wie eine transparente und sinnvolle Information gestaltet werden kann. Die Überlegungen könnten sich dabei gut entlang des Verzeichnisses für Verarbeitungstätigkeiten orientieren.


Die Ausnahme des Art. 13 Abs. 4 DS-GVO

Grundsätzlich kann auch überlegt werden, ob von einer Information gänzlich abgesehen werden kann. Die Rechtsgrundlage hierfür bildet Art. 13 Abs. 4 DS-GVO, welche besagt, dass wer bereits Kenntnis vom Informationsinhalt hat, hierüber nicht informiert werden muss. Exemplarisch soll das Fahrtenbuch in einer Steuerkanzlei herhalten, um zu zeigen, auf wie viele Informationen verzichtet werden könnten. Denn in einer Steuerkanzlei wissen die Beschäftigen, dass das Führen eines Fahrtenbuchs steuerliche Gründe hat, kennen somit sowohl den Verarbeitungszweck, als auch das Finanzamt als Datenempfänger. Außerdem kann man einem Steuerberater zumuten, dass er weiß, dass sein Arbeitsvertrag (und die Pflicht gegenüber dem Finanzamt) die Rechtsgrundlage für die Verarbeitung bildet. Somit ließe sich wohl durchaus vertreten, von einer Information nach Art. 13 Abs. 1 DS-GVO abzusehen.

Allerdings müsste wohl dennoch nach Art. 13 Abs. 2 über die Löschfristen und die Betroffenenrechte (dazu gleich) informiert werden. Hier liegt ein Problem, welches auch im Rahmen der allgemeinen Datenschutzinformation schnell auftreten kann. Wer also den rechtssicheren Weg gehen will, wird wohl nie gänzlich auf eine Information verzichten können.


Betroffenenrechte

An dieser Stelle sei wieder einmal die Absurdität der Informationspflicht über Betroffenenrechte aufgezeigt, Art. 13 Abs. 2 lit. b), d) DS-GVO. Sollte keine allgemeine Datenschutzinformation bestehen und über jede Verarbeitungstätigkeit einzeln informiert werden, könnte man sich fragen, wann der Zeitpunkt eintritt, ab dem die Beschäftigen ihre Betroffenenrechte kennen und dementsprechend auf die Information verzichtet werden kann. Wer vertritt, es gebe diesen Zeitpunkt, könnte allerdings mit ähnlichem Argument vertreten, dass ein Beschäftigter seine Betroffenenrechte kenne, weil er sich bei Facebook angemeldet hat (und hierbei nachweislich informiert worden ist). Die allgemeine Datenschutzinformation vermag die Frage, ob in spezielleren Datenschutzinformationen auf die Informationen über Betroffenenrechte verzichtet werden kann, auch nicht abschließend beantworten, da hiergegen dieselben Argumente wie oben anzuführen wären.

Das Problem lässt sich am sinnvollsten lösen, indem man die Betroffenenrechte bei Beschäftigtenschulungen bespricht. Denn gut geschulte Beschäftigte kennen die Betroffenenrechte und müssen hierüber nicht mehr darüber informiert werden. Dasselbe gilt für Vertiefungswissen zur allgemeinen Information.


Praktische Empfehlungen

Wie genau eine allgemeine Information aussehen sollte, unterscheidet sich bezüglich der betrieblichen Anforderungen und der Adressaten. Allerdings ist zu empfehlen, diese zu erstellen und regelmäßig zu überprüfen. Zudem sollte sie allen Beschäftigen bereits bei Dienstantritt vorgelegt werden und ein Prozess eingeführt werden, der die Information aktuell hält. Außerdem sollte gewährleistet werden, dass stets alle Beschäftigten korrekt informiert sind. Hierfür können sich Schulungen gut anbieten.

Daneben sollte die Informationspflicht beim Führen des Verzeichnisses für Verarbeitungstätigkeiten direkt mitgedacht werden. Gemäß Art. 24 Abs. 1 DS-GVO gilt es hierbei (auch) bezüglich des Nachweises über die Information einen risikobasierten Ansatz zu fahren. Dementsprechend gilt es, sich mehr Gedanken über die Informationspflicht (und dessen Nachweis) zu machen, je größer die Risiken für die Rechte und Freiheiten der Beschäftigen sind.

Über den Autor: Felix Lückert ist Volljurist (Ass. Jur.) und beim Dresdener Institut für Datenschutz als externer Datenschutzbeauftragter tätig. Der Fokus seiner Tätigkeiten liegt in der Beratung von Hochschulen und Gemeinden. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.