DSB-Entscheidung:
Wie kann die Informationspflicht erfüllt werden?
Die DSB hat am 22. August 2019 (DSB-D130.206/0006-DSB/2019) eine Entscheidung zur Informationspflicht gem. Art 13 DSGVO gefällt.
Daraus sind wichtige Schlüsse ableitbar, in welcher Art und Weise die Informationspflicht gem. Art 13 und 14 DSGVO erfüllt werden kann.
Ein Verweis auf Datenschutzinformation auf der Website ist nach Ansicht der DSB zulässig, wenn Daten über die Website erhoben werden oder mit den betroffenen Personen per Email kommuniziert wird.
Im Verfahren hat der Verantwortliche ein Kontaktformular sowie eine Buchungsmöglichkeit auf der Website angeboten.
Daher ist die DSB davon ausgegangen, dass der Verantwortliche (über die Website) personenbezogene Daten erhebt und zwar zumindest Vorname und Nachname sowie die E-Mailadresse.
Die Entscheidung der DSB
(in diesem Punkt; siehe 4. des Bescheides)
Wie aus ErwGr 58 zweiter Satz DSGVO erhellt, kann der von Art. 12 Abs. 1 DSGVO geforderte Maßstab im Hinblick auf eine „leichte Zugänglichkeit“ der Informationen nach Art. 13 DSGVO aber dadurch erreicht werden, indem die Informationen in elektronischer Form bereitgestellt werden, „beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist“.
Eine Reaktion in der Form, dass die Informationen nach Art. 13 DSGVO bei Erhebung proaktiv per E-Mail an eine betroffene Person zu übermitteln sind, ist daher (jedenfalls im Online-Kontext) nicht gefordert, sofern die Voraussetzung der „leichten Zugänglichkeit“ erfüllt ist (vgl. vgl. Art. 29-Datenschutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev.01, 17/DE, S 22, wonach die Informationspflicht auch dadurch erfüllt werden kann, indem eine betroffene Person „aktiv zu der Stelle geleitet wird, wo die Angaben zur Verfügung stehen“, etwa über einen direkten Link).
Im vorliegenden Fall hat die Beschwerdegegnerin allerdings zu keinem Zeitpunkt ins Treffen geführt, dass die Informationen nach Art. 13 DSGVO iSd Überlegungen auf einer öffentlich zugänglichen Website für den Beschwerdeführer „leicht zugänglich“ waren. Auch im E-Mail der Beschwerdegegnerin vom 23. Jänner 2019 sind keine Anhaltspunkte ersichtlich, dass die Beschwerdegegnerin ihrer Informationspflicht nachkommt (etwa ein sinngemäßer Hinweis: „Informationen zu unserem Umgang mit Ihren personenbezogenen Daten finden Sie unter [Link])
Ein Verantwortlicher kann daher Informationen iSd Art 13 (oder auch 14 DSGVO) über die Website „leicht zugänglich“ zur Verfügung stellen, insbes. wenn die Erhebung der Daten der betroffenen Personen über die Website erfolgt (Kontaktformular, Webshop, Buchungsmöglichkeit).
Verantwortliche, die mit den betroffenen Personen per E-Mail kommunizieren, haben ebenfalls die Möglichkeit durch einen Hinweis und einen Link die Informationspflicht zu erfüllen. Die DSB verweist selbst darauf und führt ein Beispiel an:
„Informationen zu unserem Umgang
mit Ihren personenbezogenen Daten finden Sie unter [Link]“
Der Verantwortliche hat jedoch im Verfahren die Nachweispflicht zu erfüllen.
15.11.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben