Muss eine betroffene Person die Datenschutzerklärung / Datenschutzinformation unterschreiben (und damit zur Kenntnis nehmen)?
Kann der Verantwortliche die Leistung verweigern, wenn die betroffene Person die Datenschutzerklärung / Datenschutzinformation nicht unterschreibt?
Wer kennt das nicht. In der Autowerkstatt, beim Frisör oder im Hotel: Bevor man noch die ersten Worte gewechselt hat, wird eine „Datenschutzerklärung“ oder "Datenschutz-Information" vorgelegt, und man wird gebeten, diese zu unterschreiben.
Der Sinn und Zweck dieser Unterschrift bleibt im Unklaren. Die Person, die für den Verantwortlichen tätig ist, sagt:
"DSGVO halt, Sie wissen eh seit 25.05.2018 …"
und auf eine Rückfrage kommt die Antwort:
"Das brauchen wir wegen dem Datenschutz".
Eine Erklärung warum das Dokument zu unterschreiben ist, können die wenigsten Gesprächspartner geben, und dies zeigt einerseits die Unwissenheit um die Regelungen des Datenschutzes und andererseits die Unsicherheit der Verantwortlichen, wie die Vorgaben der DSGVO zu erfüllen sind. Dabei geht es in diesem konkreten Fall nur um die Art 12 und 13 DSGVO (eventuell auch um Art 14 DSGVO).
1. Die Unterschrift bewirkt keine „Vereinbarung“ und ist keine "Einwilligung" iSd Art 6 Abs 1 lit a DSGVO
Die betroffene Person muss der Verarbeitung ihrer Daten zB in einer vertraglichen Beziehung nicht „zustimmen“ oder in die Verarbeitung „einwilligen“. Die Verarbeitung der Daten darf im Rahmen einer Vertragsbeziehung erfolgen, sofern die Verarbeitung „erforderlich“ ist. (Art 6 Abs 1 lit b DSGVO). In bestimmten Bereichen (zB Gesundheitsvorsorge, Arbeitsverhältnis, Sozialrecht) ist es auch zulässig, dass Gesundheitsdaten verarbeitet werden (Art 9 Abs 2 lit b oder lit h DSGVO).
Die (datenschutzrechtilche) Einwilligung (Art 6 Abs 1
lit f DSGVO; Art 9 Abs 2 lit a DSGVO) sollte mE nur dort verwendet werden, wo eine anderer Rechtsgrundlage nicht herangezogen werden kann.
Der Klassiker ist der Newsletter, da mit den Abonnenten üblicherweise (noch) keine Geschäftsbeziehung besteht, und diese freiwillig und in informierter Weise sowie ohne Kopplung in die
Verarbeitung der Daten zum Zweck der Werbemaßnahme einwilligen, oder auch das Mitarbeiter_Innen-Foto auf der Website des Unternehmens.
Wenn aber ein Vertrag im Raum steht (Anbahnung durch die betroffene Person) oder abgeschlossen ist / wird, dann ist der Vertrags selbst die taugliche Rechtsgrundlage für die Verarbeitung der
Daten, die erforderlich sind, um den Vertrag zu erfüllen. Ein Vertrag zB mit einer Werkstatt oder beim Frisör, aber auch beim Anwalt kann auch mündlich geschlossen werden, und ist dann immer noch
die Grundlage für die Verarbeitung der notwendigen Daten.
2. Die Unterschrift bewirkt eine „Dokumentation“.
Es ist korrekt, dass durch die Unterschrift der betroffenen Person ein Vorgang dokumentiert wird, nämlich die Kenntnisnahme der Datenschutzinformation iSd Art 13 DSGVO.
In der DSGVO ist aber nicht vorgeschrieben, dass eine „Bestätigung“ der Erfüllung der Informationspflicht gem. Art 13 DSGVO von der betroffenen Person erfolgt, dh das „Fordern“ einer diesbezüglichen Unterschrift ist an sich nicht geboten, und kann die betroffenen Personen "überfordern".
3. Die gesetzliche Regelung erfordert eine „Information“, aber keine "Bestätigung" von den betroffenen Personen
Art 13 und Art 14 DSGVO fordern, dass die betroffenen Personen vom Verantwortlichen in Kenntnis gesetzt, dh informiert werden. Der konkrete Ablauf ist in der DSGVO nicht beschrieben, aber die Information muss präzise, transparent, verständlich und leicht zugänglich sein und soll in einer einfachen und klaren Sprache erfolgen (Art 12 Abs 1 DSGVO).
Eine mehrstufige Information (layered privacy notice) ist zulässig (siehe auch WP260; unten), und auf der ersten Ebene sollte die betroffene Person erfahren, wer der Verantwortliche ist (wenn dies nicht ohnehin aus dem Zusammenhang klar ist, weil die betroffene Person zB direkt im Geschäft des Verantwortlichen steht) und zu welchem konkreten Zweck die Daten verarbeitet werden (auch nur, sofern dies nicht aus den Umständen hervorgeht. Ein Zugang zu weiteren Informationen muss gegeben werden (zB durch Auflage der Datenschutz-Information im Geschäftslokal oder einen Link auf eine elektronisch verfügbare ergänzende Information).
Aufgrund der Rechenschaftspflicht des Art 5 Abs 2 DSGVO glauben viele Verantwortliche, dass es notwendig ist, dass 100% Sicherheit notwendig ist, und versuchen, die betroffenen Personen mit der Unterschrift die Kenntnisnahme der Datenschutzinformation bestätigen zu lassen.
Die dt. Datenschutz-Konferenz hat am 05.09.2018 zu einem besonderen Sachverhalt Stellung genommen:
Deutsche Ärztinnen und Ärzte sowie andere Angehörige von Gesundheitsberufen legten den Patienten Datenschutz-Informationen vor, und forderten diese auf diese mit Unterschrift zu bestätigen. Sie drohten die Ablehnung oder Verweigerung der Behandlung an, wenn die Patientin oder der Patient die Informationen nach Art. 13 DSGVO nicht mit ihrer oder seiner Unterschrift versieht.
Die DSK kam zum Schluss, dass eine derartige Praxis mit der DSGVO nicht vereinbar ist.
Wie die Informationspflicht erfüllt werden kann, wurde bereits in einem früheren Blog-Artikel beschrieben.
Autor (01.12.2018):
Michael Schweiger, zert DSBA
Kommentar schreiben