Neue Informationspflichten – auch gegenüber Abonnenten

Die DSGVO schreibt die Transparenz der Datenverarbeitung groß. Für Unternehmen stellt sich die Herausforderung, die betroffenen Personen auch bei begrenztem Raum, etwa auf einer Bestellpostkarte, rechtskonform zu informieren.

Von Rechtsanwalt Frank Michael Höfinger, Köln

Am Ende des letzten Beitrags, der sich mit der neuen Rechtslage für Film- und Fotoaufnahmen befasste, wurden bereits die neuen Informationspflichten nach Art. 13 und 14 DSGVO angesprochen. Diese beiden Vorschriften regeln, worüber der Verantwortliche die „betroffene Person“ (also die natürliche Person, auf die sich die verarbeiteten Daten beziehen) informieren muss. Die DSGVO geht damit über das bisherige Datenschutzrecht deutlich hinaus. Die Informationspflichten unterscheiden sich danach, woher die Daten stammen.

  • Stellt die betroffene Person ihre selbst bereit („Direkterhebung“), dann gilt Art. 13 DSGVO – beispielsweise bei der Anmeldung für einen Newsletter oder beim Abschluss eines Vertrages.
  • Hat der Verlag die Daten nicht von der betroffenen Person selbst erhalten („Dritterhebung“), dann gilt Art. 14 DSGVO – etwa wenn Name und Adresse, die für Direktwerbung genutzt werden sollen, aus öffentlichen Quellen recherchiert oder im Wege des Adresshandels erlangt wurden.

Wie im letzten Beitrag (s. impresso 03_2018) erwähnt, gelten nur bei der Dritterhebung gewisse Ausnahmen. Bei der Direkterhebung sieht die DSGVO dagegen keine Abstriche von der Informationspflicht vor.

Die Informationen, die die betroffene Person erhalten muss, sind nach den beiden Vorschriften weitgehend dieselben. Naturgemäß muss nur bei der Dritterhebung der betroffenen Person auch mitgeteilt werden, aus welcher Quelle die auf sie bezogenen Daten stammen und um welche Daten es sich handelt.

Auch die Zeitpunkte, zu denen die betroffene Person informiert werden muss, sind unterschiedlich festgelegt:

  • Bei der Dritterhebung muss der Verantwortliche nach Art. 14 Abs. 3 DSGVO nur innerhalb einer angemessenen Frist informieren, die allerdings höchstens einen Monat beträgt. Sind die aus dritter Quelle stammenden Daten zur Kommunikation mit der betroffenen Person bestimmt (zum Beispiel für Direktwerbung) oder sind sie dazu bestimmt, Dritten mitgeteilt zu werden (zum Beispiel Weitergabe der Daten eines säumigen Schuldners an ein Inkassounternehmen), dann liegt der Zeitpunkt noch später: Dann muss die betroffene Person erst spätestens bei der ersten Kontaktaufnahme bzw. spätestens zum Zeitpunkt der Weitergabe an den Dritten informiert werden.
  • Die Regelung in Art. 13 Abs. 1 und 2 DSGVO liest sich auf den ersten Blick wesentlich strenger: Hier heißt es ohne Wenn und Aber, dass die im Einzelnen aufgeführten Informationen „zum Zeitpunkt der Erhebung“ der Daten mitgeteilt werden müssen.

Informationspflichten gegenüber Interessenten und Kunden

Schließt der Verlag mit einem neuen Abonnenten einen Vertrag ab, werden fast zwangsläufig personenbezogene Daten erhoben. Auch wenn der Abonnent eine juristische Person ist (deren Daten nicht durch das Datenschutzrecht geschützt sind), hat man es in aller Regel zugleich mit einem konkreten Mitarbeiter zu tun, also einer natürlichen Person. Und alle auf diese Person bezogenen Angaben wie Name, Kontaktdaten und Vertragsdaten sind personenbezogene Daten im Sinne der DSGVO. Diese Daten werden auch von der betroffenen Person selbst bereitgestellt, wenn sie telefonisch oder im Online-Shop bestellt oder eine Bestellpostkarte ausfüllt und absendet.

Alles das sind Fälle des Art. 13 DSGVO, und die betroffene Person muss umfassend darüber informiert werden, wie und wozu ihre Daten verarbeitet werden. Im Einzelnen muss die betroffene Person folgende Informationen erhalten:

  • Name und Kontaktdaten des Verlages, und (soweit vorhanden) die Kontaktdaten des Datenschutzbeauftragten.
  • Zwecke der Datenverarbeitung (zum Beispiel: Erfüllung des geschlossenen Vertrages) und die Rechtsgrundlage (im Beispiel: Art. 6 Abs. 1 Buchst. b DSGVO).

Gegebenenfalls die berechtigten Interessen, die verfolgt werden (dazu gehört vor allem die Nutzung der Daten für Werbewecke).

  • Gegebenenfalls die Empfänger der Daten: Hier müssen alle Dienstleister genannt werden, die die Daten verarbeiten. Das sind z. B. eine Verlagsauslieferung oder ein Anbieter wie Salesforce, bei dem der Verlag die Kundendaten speichert oder ein Anbieter, der für den Newsletter-Versand genutzt wird, oder aber auch Cloudanbieter wie AWS, Microsoft usw.
  • Sollen die Daten in einem „Drittland“ außerhalb des Geltungsbereichs der DSGVO (das ist die EU plus Island, Liechtenstein und Norwegen) verarbeitet werden, müssen Angaben zum Datenschutzniveau in diesem Drittland gemacht werden.
  • Ist die Bereitstellung der Daten der betroffenen Person vertraglich vorgeschrieben oder für den Vertragsschluss erforderlich? Welche Konsequenzen hat es, wenn sie die Daten nicht bereitstellt?
  • Außerdem muss die betroffene Person über sämtliche Rechte informiert werden, die sie nach der DSGVO hat.

Aufteilung der Informationen in zwei Ebenen

Art. 12 DSGVO fordert, dass die Informationen nach Art. 13 und 14 DSGVO „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ sind. Die Arbeitsgemeinschaft der Datenschutzaufsichtsbehörden der EU (nach der bisherigen Rechtsgrundlage in der Datenschutz-Richtinline aus dem Jahr 1995 als „Article 29 Working Party“ bezeichnet) hat erkannt, dass ein Spannungsverhältnis zwischen der Forderung nach umfassender Information einerseits und einer verständlichen und leicht zugänglichen Form anderseits besteht. Sie plädiert daher in der von ihr veröffentlichten Richtlinie WP 260 dafür, die Informationen in abgestufter Form bereitzustellen.

Nur die für die betroffene Person besonders wichtigen Informationen müssen demnach auf der ersten Ebene bereitgestellt werden. Dazu gehören die Information, wer die Daten verarbeitet (d. h. der „Verantwortliche“ im Sinne der DSGVO), für welche Zwecke er die Daten verarbeitet, welche wesentlichen Auswirkungen die Verarbeitung für die betroffene Person hat, und welche Rechte die betroffene Person hat. Alle weiteren Informationen, die Art. 13 DSGVO fordert, können auf einer zweiten Ebene bereitgestellt werden.

Zulässiger Medienbruch

Auch ein „Medienbruch“ ist daher zulässig, also wenn zum Beispiel auf der Bestellpostkarte für ein Abonnement nur die Informationen der „ersten Ebene“ enthalten sind (Papier) und alle weiteren Informationen dadurch bereitgestellt werden, dass die betroffene Person auf Datenschutzerklärung auf der Website (online) hingewiesen wird und/oder die weiteren Informationen in einem Begrüßungsschreiben „nachgeliefert“ werden.

Fazit

Da heutzutage davon ausgegangen werden kann, dass ein durchschnittlicher Neukunde über Internetzugang verfügt, ist auch eine nur online bereitgestellte Information „leicht zugänglich“ im Sinne des Art. 12 DSGVO. Empfehlenswert ist aber in jedem Fall, die vollständigen Informationen in das Begrüßungsschreiben aufzunehmen, wenn der neue Abonnent das Abonnement nicht über die Website des Verlages, sondern mittels einer Bestellpostkarte abgeschlossen hat.


Dieser Beitrag ist in Printform Mitte Dezember 2018 bereits in der impresso 04_2018 erschienen.

2019-01-14T13:57:57+00:00 17. Januar 2019|

impresso