Die Stellungnahmen, (vorherigen) Empfehlungen und in Einzelfällen gefällten Urteile der ungarischen Nationalen Behörde für Datenschutz und Informationsfreiheit (ungarische Abkürzung: NAIH, im Weiteren: NAIH) in Verbindung mit der Datenschutzreform können als Wegweiser zur rechtlichen Compliance mit der Datenschutzgrundverordnung der Europäischen Union (General Data Protection Regulation – DSGVO) und in der Gestaltung des Rahmens zur zutreffenden Datenverarbeitungspraxis dienen.
Die NAIH hatte bereits vor der Anwendung der DSGVO eine ausgearbeitete Praxis für die formalen und inhaltlichen Anforderungen der als Grundlage zur Einwilligung der betroffenen Personen dienenden Mitteilung zur Datenverarbeitung entwickelt, aber auch nach dem 25. Mai 2018 gab es mehrere behördliche Stellungnahmen zu diesem Thema. In diesem Artikel fassen wir die wichtigsten Feststellungen der NAIH zusammen.
Ausgangspunkt: Einwilligung der betroffenen Personen ohne Mitteilung zur Datenverarbeitung entspricht nicht der DSGVO
Gemäß Artikel 4 Abs. 11 DSGVO ist die Einwilligung der betroffenen Person eine freiwillige, auf angemessene Informationen basierende und unmissverständliche Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Das heißt, die Einwilligungserklärung der betroffenen Personen entspricht nur dann der DSGVO, wenn sie von der betroffenen Person aufgrund einer Vorabmitteilung abgegeben wurde. Es ist wichtig, darauf hinzuweisen, dass bei dieser Tatsache – angesichts des Prinzips der Rechenschaft – die Beweispflicht beim Verantwortlichen liegt. Eines der besten Instrumente, dies zu tun, ist, wenn die Einwilligungserklärung – mit fortlaufender Seitennummerierung und zusammengetackerten Blättern – die Mitteilung zur Datenverarbeitung folgt.
Die wichtigsten formalen Anforderungen der Mitteilung zur Datenverarbeitung
Die NAIH erwartet, dass die Datenverarbeitungserklärung gut lesbar (passende Schriftgröße), transparent gestaltet und richtig gegliedert ist. Eine gute Praxis ist nach Ansicht von der NAIH, die Tabellenform zu verwenden. Ein Frage-Antwort-Bogen kann bei der betroffenen Person ebenfalls zum besseren Verstehen der Mitteilung zur Datenverarbeitung beitragen. Eine wichtige Anforderung besteht darin, dass die Mitteilung zur Datenverarbeitung für die betroffene Person zugänglich ist (z. B. auf der Fußzeile einer Webseite).
Die wichtigsten inhaltlichen Anforderungen der Mitteilung zur Datenverarbeitung über die obligatorischen Inhaltselemente hinaus, die in der DSGVO festgelegt sind
Nach der Meinung der NAIH – im Einklang mit der Präambel der DSGVO und Artikel 12 Abs. 1 DSGVO – gilt die Mitteilung dann als angemessen, wenn sie den Kreis der betroffenen Personen (gruppenspezifische Merkmale) berücksichtigt und die Formulierung klar und verständlich gestaltet ist. Typische Fehler in der Praxis sind unter anderem die zu allgemeine oder zu komplizierte Formulierung der Mitteilung zur Datenverarbeitung, das Weglassen von Beispielen oder das Außerachtlassen des Alters der betroffenen Personen (als gruppenspezifisches Merkmal).
Das Erfordernis einer klaren und verständlichen Formulierung bedeutet auch, dass die Mitteilung zur Datenverarbeitung den betroffenen Personen auch sprachlich zur Verfügung steht. Auch laut einer vorherigen Stellungnahme der NAIH „wenn sich die Datenverarbeitung nach Absicht der Verantwortlichen von vornherein auf personenbezogenen Daten von ausländischen Staatsbürgern (wie dem Gästebuch eines Hostels oder einer Ausschreibung für Ausländer) erstreckt, muss der Verantwortliche sicherstellen, dass die Datenverarbeitungserklärung zumindest in englischer Sprache zur Verfügung steht.“ Die NAIH erklärte gemäß der Richtlinie WP260 rev.01.über die Transparenz, die durch die Datenschutz-Arbeitsgruppe nach Artikel 29 der Richtlinie 95/46/EG und für das Erleichtern der Anwendung und der Auslegung der DSGVO erfasst wurde, dass „wenn festgestellt wird, dass Empfänger einer Applikation auch in einem bestimmten Land, so z.B. in Ungarn lebende/oder sich in Ungarn aufhaltende betroffene Personen sind – zum Beispiel, weil die Website auch in dieser Sprache zur Verfügung steht – dass dann erwartet werden kann, dass die Mitteilung zur Datenverarbeitung auch in Ungarisch verfügbar ist, und in diesem Fall sich das Nichtvorhandensein der Mitteilung auf die Verletzung des Erfordernisses der eindeutigen und leicht verständlichen Formulierung andeuten lässt. In diesem Fall würde die Datenverarbeitung aufgrund unzureichender Informationen gegen Artikel 13 DSGVO verstoßen.“
Bei der Formulierung und Anwendung der Mitteilung zur Datenverarbeitung sollten die Verantwortlichen die obengenannten Feststellungen der NAIH beachten und diese in ihre Datenverarbeitungspraxis integrieren, da die NAIH während einer eventuellen Prüfung – im Einklang mit der DSGVO – die oben aufgeführte Form der Mitteilung zur Datenverarbeitung von den Verantwortlichen einfordern wird.
Wenn Sie wissen möchten, ob die Datenverarbeitungspraxis Ihres Unternehmens den Anforderungen der DSGVO entspricht, kontaktieren Sie uns und wir überprüfen gern mittels Datenschutzaudit Ihre derzeitige Praxis!