Informationspflichten: Muster (nicht nur) für Kommunen
Im Sinne der Fairness und Transparenz, die zum Persönlichkeitsrecht dazugehören, sind die Informationspflichten, die Art. 13 der Datenschutz-Grundverordnung (DSGVO) regelt, folgerichtig – und sie waren längst überfällig.
Probleme bereiten allerdings das „Wie“ und die praktische Machbarkeit.
Die zentralen Fragen
Art. 13 DSGVO spricht davon, dass die Informationen „zum Zeitpunkt der Erhebung“ zu geben sind. Fakt ist also, dass eine zeitliche Nähe zwischen Datenerhebung und Bereitstellung der Informationen gefordert ist.
Aber ist damit auch eine örtliche Verbindung gemeint? Und wenn ja: Wie lässt sich dann eine Vielzahl von Formularen mit jeweils individuellen Informationen versehen?
Schließlich sind z.B. der Zweck der Datenabfrage oder der betroffene Personenkreis in der Regel unterschiedlich – je nach Verarbeitungstätigkeit.
Hinzu kommt, dass kommunale Verwaltungen Formulare in großer Zahl aus verschiedensten Quellen verwenden. Wie sieht es aus mit amtlichen Vordrucken oder solchen, die Fachverlage anbieten? Lässt sich hier eine angepasste Lieferung überhaupt bewerkstelligen?
Beim Fokus auf die Verortung der Informationen ist schnell die gedankliche Parallele zu den Allgemeinen Geschäftsbedingungen (AGB) im Bereich des Warenverkehrs gezogen. Doch lassen sich die Datenschutzinformationen wirklich in dieser Weise abbilden?
Aufgrund der Vielzahl an Verarbeitungstätigkeiten hinkt der Vergleich mit den AGB. Es würde ein bürokratischer Aufwand entstehen, den gerade kleine Verwaltungen nicht mehr in den Griff bekommen.
Wie also lässt sich dieser Gordische Knoten durchschlagen?
Die Fehler
Es ist von entscheidender Bedeutung – übrigens nicht nur hinsichtlich dieser Problemlösung –, die DSGVO als Neuregelung für 28 EU-Staaten zu lesen und nicht als Weiterentwicklung der bisherigen deutschen Datenschutzgesetze.
Manches, was wir als nächste Entwicklungsstufe hin zu einer eventuell noch bürokratischeren Umsetzung auffassen, ist in anderen Mitgliedstaaten die Aufforderung zu einer ersten Bestandsaufnahme.
Insofern gilt: Gedanklich auf null stellen und radikal „auf der grünen Wiese“ beginnen!
Um zu einer Lösung zu gelangen, ist es zunächst unumgänglich, die bisherigen Gedanken, die in die beschriebene „Sackgasse“ geführt haben, grundlegend zu hinterfragen.
Haben wir nicht (fast) alle spätestens ab Nr. 5 aufgehört, die Erwägungsgründe zu lesen? Diese vorangestellte „Prosa“ der DSGVO ist uns fremd.
Doch ausgerechnet zu den Informationspflichten trifft Erwägungsgrund 58 eine wichtige Aussage: „… Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. …“
Das ist ein entscheidender Baustein, um die Frage zu klären, wie sich der eingangs beschriebene örtliche Zusammenhang bei der Datenerhebung herstellen lässt. Dass Verwaltungen (und Unternehmen) die Informationen nach Art. 13 DSGVO auf ihrem Internetauftritt platzieren können, hilft schon einmal enorm weiter.
Setzen wir die Übung im neuen Denken fort: Art. 12 Abs. 1 DSGVO stellt den Betroffenenrechten – wozu die Informationspflichten gehören – eines ganz deutlich voran: Verständlichkeit, leicht zugängliche Form und klare, einfache Sprache.
Es ist also nicht gewollt, dass Verantwortliche Unmengen an Details über die Betroffenen ausschütten. Im Gegenteil: Immer wieder taucht der Begriff „Kategorien“ auf, was letztlich nichts anderes heißt, als dass es um einen ersten Überblick geht, statt um granulare Informationsflut und das Schließen jeder noch so kleinen Lücke.
Und schließlich müssen wir noch einen alten Zopf abschneiden: Das bisherige Verfahrensverzeichnis hat nichts mit dem Verzeichnis der Verarbeitungstätigkeiten zu tun!
Warum das für die Informationspflichten eine Rolle spielt? Legen wir Art. 30 zum Verzeichnis der Verarbeitungstätigkeiten und Art. 13 nebeneinander, stellen wir fest, dass die Inhalte, die die DSGVO für beides fordert, nahezu identisch sind. Das haben wir natürlich längst bemerkt. Doch genau diese Querverbindung hat in den Köpfen zur Verkomplizierung geführt.
War das alte Verfahrensverzeichnis geprägt von unzähligen Details, weil es die Fachverfahren – sprich Software – beschrieben hat, so ist es jetzt notwendig, den Fokus auf Tätigkeiten zu richten.
Die Grundverordnung will, dass wir darüber informieren, WAS wir tun, und nicht, WOMIT wir es tun!
Das Ziel
Überblicken wir all diese Erkenntnisse und bewegen wir uns weiter in Richtung einer Lösung, dann verdichten sich die Dinge zu vier Anforderungen:
1. Eine zentrale Informationsquelle
Der Administrator nennt es „Single Point of Administration“. Es geht darum, den Überblick zu bekommen und zu behalten!
Mit einem einzigen Dokument sämtliche Tätigkeiten zu beschreiben, schafft nicht nur Orientierung, sondern ist auch ganz im Sinne der Transparenz und Einfachheit.
2. Verzeichnis und Informationen zusammenfassen
Dass sich das Verzeichnis der Verarbeitungstätigkeiten und Informationen für betroffene Personen weitestgehend gleichen, kommt nicht von ungefähr: Das Verzeichnis ist Arbeitsgrundlage für sämtliche Betroffenenrechte. Es hilft, bei Auskunftsersuchen die Fundstellen zu identifizieren, bei Löschansprüchen die Zulässigkeit zu prüfen oder bei Widersprüchen die rechtlichen Möglichkeiten zu berücksichtigen.
Warum also nicht das Verzeichnis veröffentlichen, um die Informationspflichten abzudecken?
Das einzige, was diesem Gedanken entgegensteht, ist die Offenlegung von technisch-organisatorischen Maßnahmen. Das muss unbedingt unterbleiben, um nicht Hackern Vorschub zu leisten.
Nachdem Bayern ohnehin gesetzlich von den Kommunen Informationssicherheits-Konzepte fordert, wird – zumindest in Bayern – dieser Aspekt an dieser Stelle abgearbeitet. Es genügt also ein Verweis auf das besagte Konzept.
3. Details vermeiden
Sowohl bei der Benennung der Verarbeitungstätigkeiten als auch bei den Angaben der jeweiligen Inhalte ist darauf zu achten, dass ein möglichst „langlebiges“ Dokument entsteht. Das reduziert nicht nur den Pflegeaufwand, sondern dient auch der Lesbarkeit und Übersicht.
Letztlich besteht die Herausforderung darin, Vollständigkeit und Übersichtlichkeit gleichermaßen zu gewährleisten.
4. Ausklammern
Alle Informationen, die für jede Verarbeitungstätigkeit gleich bleiben, werden nur einmal gegeben. Sie werden sozusagen vor oder hinter die Klammer gezogen.
Auf diese Weise lassen sich z.B. die Informationen nach Art. 13 Abs. 2 DSGVO abhandeln, ebenso die Angaben zum Verantwortlichen und zum Datenschutzbeauftragten.
Die Lösung: ein Dokument für alles
Unter diesem Link finden Sie eine Tabelle, die im Ergebnis diese vier Punkte umsetzt. Die Idee, das Verzeichnis in tabellarischer Form darzustellen, stammt von den Internetseiten des Bayerischen Landesamts für Datenschutzaufsicht.
Mit dieser komprimierten Form ist es möglich, sämtliche Informationen in einem einzigen Dokument zu führen.
Bei der Definition der Verarbeitungstätigkeiten stand eine Kommune mittlerer Größe Pate. Sicherlich gibt es in anderen Rathäusern an einigen Stellen Überarbeitungsbedarf. Doch grundsätzlich ist der Spagat aus Komprimierung und Transparenz gelungen.
Mit dieser Lösung benötigt jedes Formular nur mehr den Hinweis auf die Fundstelle im Internet. Konkret bekommen alle Formulare den Hinweis „Informationen zum Datenschutz finden Sie unter www.musterdorf.de/datenschutz“. Das genügt, und der Hinweis kann bei selbsterstellten Formularen mittels Einfügung, ansonsten per Aufkleber oder Stempel erfolgen.
Und was ist zu tun, wenn ein Bürger am Schalter die Infos hier und jetzt haben möchte? Der Mitarbeiter druckt das 4-seitige PDF aus und gibt es als Merkblatt weiter.
Man sieht es dem Ergebnis nicht an, denn es wirkt fast schon zu simpel. Doch es stecken unzählige Stunden an Arbeit darin – und zwar von vielen verschiedenen Köpfen, die daran beteiligt waren.