(openPR) Die DSGVO hat im alltäglichen Geschäftsleben einiges durcheinandergewirbelt, auch weil sie die Rechte der Betroffenen gestärkt hat. Auch drei Monate nach Aktivierung der Datenschutz-Grundverordnung stellen sich bei der konkreten Umsetzung im Alltag immer wieder spezielle Fragen. Oder anders gesagt: DSGVO trifft auf Geschäftsalltag. Die Informationspflicht ist ein exzellentes Beispiel für die Unsicherheiten mit der DSGVO. Hierbei sind verschiedene Anforderungen zu beachten, deren Umsetzung je nach Situation verschiedene Herausforderungen stellt.
Rechtsgrundlage: Bei der direkten Datenerhebung ist die Informationspflicht gegenüber der betroffenen Person sehr streng. Artikel 13 DSGVO legt fest, dass die Informationspflichten bereits zum Zeitpunkt der Datenerhebung erfüllt sein müssen. So müssen Informationen bei Erhebung über Identität des Verantwortlichen, Verarbeitungszwecke, Kontaktdaten des Datenschutzbeauftragten u.a. in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden. Im Geschäftsalltag zeigt es sich aber, dass für einige Beispiele nur schwierig praktikable Lösungen gefunden werden können.
1. Beispiel: Initiativbewerbungen. Bei Bewerbungen aufgrund einer Online-Stellenanzeige sind die Informationspflichten leicht zu erfüllen. Das gesamte Konvolut an Informationen ließe sich an die Anzeige anhängen bzw. verlinken; noch leichter ist dies auf einer unternehmenseigenen Bewerberplattform, da hierbei sogar die Kenntnisnahme bestätigt werden kann. Aber bei einer Initiativbewerbung? Es ist nicht abzusehen, wohin und wann diese vom Bewerber geschickt wird. Möglicher Lösungsweg könnte eine separate E-Mail-Adresse allein für Bewerbungen sein, die umgehend nach Eingang der Mail eine automatische Antwort mit den Informationspflichten versendet, wohlwissend, dass diese Informationen den Bewerber formal erst nach der Datenerhebung erreichen. Sollten die Initiativbewerber Ihre E-Mail an eine andere Adresse senden, so müsste mit größter Sorgfalt schnellstmöglich eine Antwort verfasst werden, mit welcher wieder die Informationspflichten erfüllt werden.
2. Beispiel: Gewinnspiel auf Postkarten. Wenn ein Unternehmen Gewinnspiele auf Postkarten oder Flyern veranstalten möchte, so sind auch hier die Informationspflichten zu beachten, denn der Gewinnspielteilnehmer gibt seine Kontaktdaten bekannt, um bei einem möglichen Gewinn darüber benachrichtigt werden zu können. Folge: die Postkarte müsste um eine gesamte DIN-A4-Seite erweitert werden, die umfangreich über die entsprechenden Punkte informiert. Dies führt zu erhöhten Kosten und einer starken Bürokratisierung für Veranstalter und Teilnehmer. Ein Medienbruch könnte hier die Lösung sein. Hierbei werden die Informationspflichten in gestufter Form und mittels verschiedener Medien bereitgestellt. In einer „ersten Stufe“ müssten die wichtigsten Informationen sofort auf der Postkarte und in einer „zweiten Stufe“ alle anderen Informationen sodann über ein anderes Medium (z. B. Homepage, Mail) bereitgestellt werden.
3. Beispiel: Austausch von Visitenkarten. War der Visitenkartentausch unter Geschäftspartnern früher kein Problem, müsste in Zeiten der DSGVO bei der Visitenkartenübergabe durch den Empfänger auch ein Informationsblatt ausgetauscht werden, um den datenschutzrechtlichen Anforderungen zu entsprechen. Dies ist natürlich im Geschäftsalltag wenig pragmatisch umsetzbar: So wäre es eher „befremdlich“, neben der Scheckkarten-großen Visitenkarte auch ein DIN-A4-Zettel auszutauschen. Ähnlich wie bei der Initiativbewerbung sollte zeitnah eine Information folgen, was vermutlich im Rahmen eines „Follow-Ups“ (Mail in Folge der Besprechung, der Messe etc.) unproblematisch umsetzbar ist; ob mit Hilfe eines Mail-Anhangs oder einer Verlinkung auf die Datenschutzerklärung der Firmen-Internetpräsenz.
4. Beispiel: Call Center. Theoretisch müsste – bevor eine Durchstellung zu einem Mitarbeiter stattfindet – eine Ansage abgespielt werden, welche die kompletten Informationspflichten mündlich mitteilt. Im Rahmen eines professionellen Call Centers kann dies durch das Angebot eines Menüpunkts im „Interactive Voice System“ vermutlich angemessen realisiert werden; dies scheint bei der Telefonanlage einer kleinen Arztpraxis aber schon technisch problematisch umsetzbar. Auch hier sollte dies zeitnah nachgeholt werden, beispielsweise mittels des Informationsblatts, das dem Patienten beim ersten Besuch übergeben wird.
„Rom wurde auch nicht an einem Tag erbaut“, lautet der Kommentar von Datenschutzfachmann Dr. Jörn Voßbein, „das Ganze wird sich nach und nach finden. Allerdings muss das eigene Handeln immer überprüft und hinterfragt werden, nur auf eine laxe Haltung der Aufsichtsbehörden zu spekulieren ist ganz sicher der falsche Weg.“
Ausblick: Erkennbar wird anhand der Beispiele, dass die DSGVO-konformen Lösungen nicht immer die praktikabelsten sind. Gerade in einer modernen Kommunikationsgesellschaft erweisen sich die Vorgaben als sperrig. „Der Medienbruch bietet sich als ein Lösungsweg an, um einige komplexe Situationen datenschutzrechtlich zu entspannen oder gar ganz aufzulösen“, sagt UIMC-Geschäftsführer Dr. Jörn Voßbein. Die Akteure der Wirtschaft müssten auch in Zukunft ihre kreative Ader bewahren, um die Informationspflichten alltagstauglich zu gestalten und gleichzeitig datenschutzrechtlich sicheres Terrain unter den Füßen zu behalten. Die Diskussionen von Verbrauchern und Unternehmern über die Probleme bei der datenschutzrechtlichen Umsetzung der DSGVO könnten nach Einschätzung von Dr. Voßbein zu einer einfacheren Gestaltung und Handhabung der Vorgaben führen. In jedem Fall bleibt es spannend und es empfiehlt sich für Unternehmen die aktuelle Diskussion rund um die DSGVO im Blick zu behalten.
