DSGVO-Reform: Keine Informationspflichten für Handwerker, Vereine und „nicht datenintensive“ Tätigkeiten? Völlig missglückter Versuch der Kommission.

In diesem Beitrag möchte ich mich mit den vorgeschlagenen Änderungen der Kommission zum bestehenden Art. 13 DSGVO, konkret zu dessen Abs. 4 befassen. Es geht um eine Anpassung der Pflichten zur Information von betroffenen Personen in Situationen der Direkterhebung – also, wenn der Verantwortlicher die Daten direkt von der betroffenen Person erhält.

Anpassung des Art. 13 Abs. 4 DSGVO

Die Kommission schlägt einen neuen Abs. 4 vor:

„Die Absätze 1, 2 und 3 gelten nicht, wenn die personenbezogenen Daten im Rahmen einer klaren und begrenzten Beziehung zwischen den betroffenen Personen und einem für die Verarbeitung Verantwortlichen erhoben wurden, der eine nicht datenintensive Tätigkeit ausübt, und wenn berechtigter Grund zu der Annahme besteht, dass die betroffene Person bereits über die in Absatz 1 Buchstaben a) und c) von Absatz 1 bereits verfügt, es sei denn,

  • der Verantwortliche übermittelt die Daten an andere Empfänger oder Kategorien von Empfängern,
  • übermittelt die Daten in ein Drittland,
  • führt automatisierte Entscheidungen einschließlich Profiling gemäß Artikel 22 Absatz 1 durch oder
  • die Verarbeitung kann ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen im Sinne von Artikel 35 zur Folge haben.“

Im derzeit geltenden Abs. 4 ist nur vorgesehen, dass die Absätze 1, 2 und 3 des Art. 13 DSGVO keine Anwendung finden, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Zweck der Änderung

Laut ErwG 36 soll mit der Anpassung die Belastung der Verantwortlichen weiter verringert werden. Die Ausnahmeregelung soll auf Situationen ausgedehnt werden, in denen die Verarbeitung wahrscheinlich kein hohes Risiko im Sinne von Art. 35 DSGVO mit sich bringt und es berechtigte Gründe für die Annahme gibt, dass die betroffene Person bereits über die in Abs. 1 lit. a und c genannten Informationen verfügt, insbesondere im Hinblick auf die Beziehung zwischen den betroffenen Personen und dem Verantwortlichen.

Dies sollten Situationen sein, in denen der Kontext der Beziehung zwischen dem Verantwortlichen und der betroffenen Person sehr klar und begrenzt ist und die Tätigkeit des Verantwortlichen nicht datenintensiv ist.

Beispielhaft werden genannt:

  • die Beziehung zwischen einem Handwerker und seinen Kunden, bei der sich der Umfang der Verarbeitung auf die für die Erbringung der Dienstleistung erforderlichen Mindestdaten beschränkt.
  • Das Gleiche sollte für Vereine und Sportclubs gelten, bei denen die Verarbeitung personenbezogener Daten auf die Verwaltung der Mitgliedschaft, die Kommunikation mit den Mitgliedern und die Organisation von Aktivitäten beschränkt ist.

Soweit, so richtig, mag man aus Sicht der Praxis denken.

Verfehlte Ausnahmeregelung, die an der Praxis vorbeigeht

Sieht man sich den Vorschlag jedoch genauer an, wird leider deutlich, dass die Ausnahmeregelung wohl in der Praxis praktisch niemals gelten dürfte.

Warum?

Kritikpunkt 1

Der neue Abs. 4 enthält in seinem ersten Satz mehrere, kumulativ erforderliche Voraussetzungen. Unternehmen, Vereine etc. können sich nur dann auf die Ausnahme berufen, wenn

  • „die personenbezogenen Daten im Rahmen einer klaren und begrenzten Beziehung zwischen den betroffenen Personen und einem für die Verarbeitung Verantwortlichen erhoben wurden, der eine nicht datenintensive Tätigkeit ausübt“, und
  • „wenn berechtigter Grund zu der Annahme besteht, dass die betroffene Person bereits über die in Absatz 1 Buchstaben a) und c) von Absatz 1 bereits verfügt.“

Gerade die erste Voraussetzung dürfte in der Praxis für massive Unsicherheit und Unklarheiten sorgen. Denn: was meint die Kommission mit einer „nicht datenintensive Tätigkeit“? Dieser Begriff wird weder in den Erwägungsgründen noch in einer möglichen neuen Definition in Art. 4 DSGVO klar präzisiert oder definiert. Einzig ErwG 36 beschreibt: „Die Tätigkeit des Verantwortlichen ist nicht datenintensiv, wenn er nur eine geringe Menge personenbezogener Daten erhebt und seine Verarbeitungsvorgänge nicht komplex sind.“ – Das bringt dem Anwender in der Praxis leider keine Klarheit, weil neue unbestimmt Begriff verwendet werden („nur eine geringe Menge“, „nicht komplex“). Aus meiner Sicht ist Streit zu solch einem völlig unklaren Begriff vorprogrammiert.

Beispiel: der DFB ist ein Verein und verwaltet sicher die Daten seiner Mitglieder, die von dieser Datenverarbeitung auch ausgehen dürften. Also eine „klare und begrenzte“ Beziehung, wie es ErwG 36 anspricht. Aber ist die Mitgliederverwaltung des DFB „datenintensiv“? Wer legt dies fest? Mit welchen Kriterien soll man hier eine Grenz ziehen?

Die Kommission schafft mit der Ausnahmeregelung eigentlich eine Situation, die noch mehr Unsicherheit bringt, als derzeit besteht.

Kritikpunkt 2

Doch selbst, wenn man es irgendwie schafft zu argumentieren, dass das eigene Unternehmen oder der eigene Verein nicht „datenintensiv“ unterwegs ist, dürfte keine Rückausnahme des Abs. 4 greifen. Denn die neue Regelung leitet am Ende des Satz 1 vier Ausnahmen von der Ausnahmeregelung mit „es sei denn,“ ein. Und Achtung: die Ausnahmen stehen einzeln nebeneinander (getrennt durch „oder“).

Und jetzt kommt der (*ironisch*) Knaller: die neue Ausnahmeregelung des Art. 13 Abs. 4 DSGVO soll nicht gelten, wenn der Verantwortliche „die Daten an andere Empfänger oder Kategorien von Empfängern“ übermittelt. Bravo.

Als ich diese Rückausnahme las, habe ich gedacht: „Das kann doch nicht ernst gemeint sein?“. Anscheinend möchte die Kommission die Ausnahme von der Informationspflicht dann nicht gelten lassen, wenn etwa ein Handwerker, der Türen und Fenster bei Kunden einbaut, die Adressdaten der Kunden verwendet, um den Kunden Rechnungen zu übersenden. Denn: in diesem Fall gibt der Handwerker Adressdaten an den Postdienstleister, einen „Empfänger“ von Daten. Empfänger sind sowohl Auftragsverarbeiter als auch andere Verantwortliche.

Ich würde vermuten, dass die Ausnahmeregelung damit praktisch niemals gilt. Denn welcher Verein oder kleine Betrieb verarbeitet Kunden- oder Mitgliederdaten, ohne diese an irgendeinen Empfänger zu übermitteln? Das müsste also eine Situation sein, in der der Verein wirklich die ganze Datenverarbeitung auf eigenen Systemen und mit eigenen Mitteln durchführt. Diesen Anwendungsfall, den die Kommission vor Augen hatte, würde ich gerne sehen.

Empfänger“ sind etwa: IT-Dienstleister, Dienstleister zum Versand von Newslettern, ein Steuerberater oder Rechtsanwalt, Postdienstleister, Cloud-Anbieter für die Mitgliederverwaltung, App-Anbieter zur Planung des Trainings von Mannschaften, etc.

Bei diesem Vorschlag, der aus meiner Sicht im Kern absolut richtig ist, konnte ich beim Lesen wirklich kaum glauben, dass er ernst gemeint soll. Solch ein Vorschlag lässt jeglichen Blick für die Praxis und damit die Anwender und Adressaten der geplanten „Erleichterungen“ vermissen.