Datenschutzinformation – DSB und Gerichte verlangen konkrete Informationen statt abstrakter Umschreibungen
Beitrag verfasst von Dr. Rainer Knyrim und Mag. Stephan Varga, BSc – KTR-Newsletter Dezember 2023
Seit der Anwendbarkeit der DSGVO haben die zuständigen Datenschutzbehörden und Gerichte die Pflichten aus Art 13f zur Information über die Datenverarbeitung konkretisiert. Diese Konkretisierungen führen häufig zu zusätzlichen Anforderungen an die Datenschutzinformation, die auch über den Wortlaut der DSGVO-Bestimmungen hinausgehen. Wir geben daher einen kurzen Überblick über die wichtigsten Konkretisierungen in diesem Bereich:
Leitlinien für Transparenz der Artikel-29-Datenschutzgruppe (WP 260, zuletzt vom 11. April 2018) und Entscheidungen der DSB
Die Leitlinien der früheren Artikel-29-Datenschutzgruppe (nunmehr: Europäischer Datenschutzausschuss) sind auch heute noch relevant, da die Datenschutzbehörde (DSB) sie regelmäßig in ihren Entscheidungen heranzieht (ohne sie jedoch explizit anzuführen). So verlangen die Leitlinien, dass aufgrund des Transparenzgrundsatzes die konkreten Empfänger der Daten und nicht bloß die abstrakten Empfängerkategorien anzuführen sind. Bei der Datenübermittlung in Drittländer sollten aus Transparenzgründen die Drittländer namentlich genannt werden; zudem ist die rechtliche Grundlage anzuführen, nach der diese Übermittlung zulässig ist und es müssen Informationen bereitgestellt werden, wo und wie auf das entsprechende Dokument zugegriffen werden kann. Auch die Speicherfrist ist so anzugeben, dass die betroffene Person die Möglichkeit hat, ausgehend von ihrer konkreten Situation einzuschätzen, welche Frist für bestimmte Daten und Zwecke gilt. Ein allgemeiner Verweis auf die für die Zwecke der Verarbeitung notwendige Dauer ist nicht ausreichend. Teilweise gibt die DSB auch strengere Anforderungen als die Leitlinien vor. So ist nach der Entscheidung DSB 16.11.2018, DSB-D213.692/0001-DSB/2018) die Rechtsgrundlage für jede Datenverarbeitungstätigkeit konkret zu nennen, wobei die Datenverarbeitungstätigkeit den Datenverarbeitungsvorgang und den Datenverarbeitungszweck umfasst. Auch die konkreten berechtigten Interessen, auf die sich der Verantwortliche oder ein Dritter stützt, sind anzuführen.
OGH-Klauselkontrolle
Verbraucherschutzverbände haben nach § 28 Abs 1 KSchG eine Klagebefugnis, welche ihnen auch bezüglich Informationen über die Datenverarbeitung zusteht, die über einen Hinweischarakter hinausgehen und den Charakter einer Zustimmungserklärung haben (vgl. z.B. OLG Wien 31.8.2022, 5R168/20t). Dies ist z.B. dann der Fall, wenn die Datenschutzinformationen zur Kenntnis genommen werden müssen (OGH 23.11.2022, 7Ob112/22d). Aber auch eine augenscheinlich reine Informationsklausel kann der Inhaltskontrolle durch Verbraucherschutzverbände unterliegen und kann eine Intransparenz im Sinne des KSchG oder der DSGVO indizieren, wenn die Klausel geeignet ist, den Vertragspartner des Verwenders von der Durchsetzung seiner Rechte abzuhalten, da durch die Klausel ein unrichtiges Bild der Rechtslage vermittelt wird (OGH 28.6.2023, 6Ob215/22v). Nach dem OGH liegt bei Datenschutzinformationen, die den Charakter einer Zustimmungserklärung haben, eine wirksame Zustimmung nur dann vor, wenn die betroffene Person weiß, welche ihrer Daten zu welchem Zweck für welchen Zeitraum verwendet werden sollen. Bei einer Übermittlung umfasst dies auch die Angabe, welchen konkreten Dritten welche konkreten Daten zu welchen Zwecken weitergegeben werden. Formulierungen wie z.B. „Datenübermittlung an andere Unternehmen des Konzerns“, „Datenübermittlung zu Werbezwecken an Dritte“ oder „Weitergabe an Gläubigerschutzverbände“ sind zu unbestimmt und daher konsumentenschutz- und datenschutzwidrig.
Falls Sie an weiteren Informationen interessiert sind, kontaktieren Sie uns! Wir senden Ihnen auf Anfrage ein zweiseitiges Informationsblatt zu diesem Thema zu und stehen für eine Aktualisierung Ihrer Datenschutzinformation zur Verfügung.