Immer wieder gibt die DSGVO neue Gründe, sich über die richtige Ausführung von Datenschutz zu streiten. So herrscht zum Beispiel immer noch Uneinigkeit darüber, wie konkret in einer Datenschutzerklärung die Datenempfänger anzugeben sind.
Erfahren Sie hier, welche Meinungen vertreten werden und wie Sie das Problem in Ihrer Datenschutzerklärung am besten lösen können.
Was sagt die DSGVO zur Nennung von Datenempfängern?
Die DSGVO schreibt in Art. 13 I lit. e und in Art. 14 I lit. e vor, dass der betroffenen Person „die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten“ mitzuteilen sind. Probleme bereitet hier das Wort „oder“, da es suggeriert, dass der Verantwortliche wählen kann, ob er als Empfänger zum Beispiel „Auftragsverarbeiter nach Art. 28 DSGVO“ oder „Unternehmen xy“ angibt. Tatsächlich besteht unter Datenschützern jedoch Uneinigkeit darüber, ob der Verantwortliche hier frei wählen kann. Vor allem ist fraglich, inwiefern das Transparenzgebot den Verantwortlichen hier zu einer konkreten Benennung zwingt.
Wie legen Aufsichtsbehörden die DSGVO hier aus?
Selbst unter den datenschutzrechtlichen Aufsichtsbehörden besteht Uneinigkeit über die Auslegung dieser Vorschriften.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit legt die Vorschriften restriktiv aus. Datenempfänger müssten vor allem im Gesundheitsbereich so konkret wie möglich benannt werden. Die Behörde entscheidet somit zugunsten der Transparenz und lehnt die freie Wahl des Verantwortlichen bei der Benennung der Empfänger ab.
Der Landesbeauftragte für den Datenschutz in Niedersachsen legt sich bezüglich der Auslegung nicht fest. Dies erweckt den Anschein, dass sich für ein freies Wahlrecht des Verantwortlichen ausgesprochen wird. Den selben Anschein erweckt die Datenschutzkonferenz (DSK), die in einem Kurzpapier nur den Gesetzeswortlaut wiederholt.
Wie werden die Vorschriften sonst noch ausgelegt?
Die ehemalige Artikel-29-Datenschutzgruppe hat sich ebenfalls positioniert. In einer von ihnen entworfenen Leitlinie spricht sich die Gruppe für eine größtmögliche Transparenz jedoch gegen einen unbedingten Zwang zur konkreten Benennung aus. Stattdessen empfiehlt die Gruppe nur, die Angaben „so genau wie möglich“ zu formulieren.
Wie sollte man Datenempfänger in der Praxis angeben?
Als datenschutzrechtlich Verantwortlicher fährt man am sichersten, wenn man sich der strengsten Ansicht unterwirft. Das bedeutet in diesem Fall, die Datenempfänger immer konkret zu benennen. Die Angaben sind dann maximal transparent.
Sollte in einem Einzelfall der Verantwortliche doch nur eine Kategorie von Empfänger angeben, ist es ratsam, diese Angabe so konkret wie möglich auszuformulieren.
Sie benötigen Unterstützung bei der Formulierung Ihrer Datenschutzerklärung? Kontaktieren Sie hier unser Team an Experten. Wir helfen Ihnen gerne weiter!