Betroffeneninformation bei Plattformlösungen nach DSGVO

Fachbeitrag

Nicht nur aus Kostengründen finden diverse Plattformenlösungen ihren Einsatz in Unternehmen. Werden über diese Plattformen auch personenbezogene Daten verarbeitet, stellt sich schnell die Frage, durch wen und wie die Betroffeneninformation erfolgen muss. Denkbar sind zwei Varianten, die wir Ihnen im folgenden Artikel vorstellen möchten.

Wer ist grundsätzlich für die Betroffeneninformation verantwortlich?

Die Verpflichtung den Betroffenen über die Datenverarbeitung zu informieren, findet sich zentral in den Vorschriften Art. 13 DSGVO und 14 DSGVO. In Art. 13 DSGVO ist die Informationspflicht bei Direkterhebung und in Art. 14 DSGVO die Informationspflicht bei Dritterhebung geregelt. In welcher Form und mit welchem Inhalt zu informieren ist, können Sie im Artikel „Neue Informationspflichten mit der Datenschutz-Grundverordnung“ nachlesen.

Sowohl Art. 13 DSGVO, als auch Art. 14 DSGVO ziehen im Wortlaut den Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO in die Pflicht, den Betroffenen über die Datenverarbeitung zu unterrichten.

„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit (…)“

„Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit (…)“

Wer ist der „Verantwortliche“ bei Plattformlösungen?

Bei der Beantwortung dieser Frage hilft wie so oft zunächst der Blick ins Gesetz. Die Datenschutz-Grundverordnung definiert den Verantwortlichen in Art. 4 Nr. 7 DSGVO wie folgt:

„Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“

Damit wird klar, dass es entscheidend darauf ankommt, wer bei der Verarbeitung von personenbezogenen Daten über die Zwecke und Mittel entscheidet.

Setzt ein Unternehmen demnach eine Plattformlösung zu eigenen Zwecken ein, wird dadurch nicht etwa die Verantwortlichkeit an den Plattformbetreiber abgegeben. Er verarbeitet die personenbezogenen Daten lediglich im Auftrag des Verantwortlichen und ist daher als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO anzusehen.

Denkbar ist aber noch ein weiteres Konstrukt, die sog. gemeinsame Verantwortlichkeit. Dieses Konstrukt wurde in der Datenschutz-Grundverordnung erstmalig gesetzlich aufgenommen und greift, wie der Name schon vermuten lässt, wenn zwei oder mehrere Verantwortliche die Zwecke und Mittel gemeinsam festlegen.

Handelt es sich bei der Plattform also um ein gemeinsames Projekt der Anwender und des Betreibers und legen beide Seiten die Zwecke zusammen fest, liegt die datenschutzrechtliche Verantwortlichkeit zunächst bei Beiden. Vergleicht man die beiden Varianten miteinander wird klar, dass das Unternehmen beim Einsatz von Plattformlösungen zu eigenen Zwecken immer Verantwortlicher bleibt.

Wie kann man also der Informationspflicht nachkommen?

Wie oben dargestellt, sind die Konstellationen „Joint Controller“ und alleinig Verantwortlicher mit Auftragsverarbeiter zu unterscheiden.

Joint Controller

Bei der „Joint Controller“ Konstellation können Unternehmen recht einfach sichergehen, dass der Betroffeneninformation ausreichend nachgekommen wird. Nach Art. 26 DSGVO ist vorgeschrieben, dass die gemeinsam Verantwortlichen in einer transparenten Vereinbarung festlegen müssen, wer welche datenschutzrechtlichen Pflichten, insbesondere auch die Betroffeneninformation übernimmt.

Schon aus Gründen der Umsetzbarkeit macht es also Sinn in der Vereinbarung festzuhalten, dass der Plattformbetreiber die Betroffeneninformation gewährleistet. Dieser kann dann in der Datenschutzerklärung, in Angeboten oder bspw. auch in Stellenanzeigen die notwendigen Informationen an den Betroffenen weitergeben.

Alleinig Verantwortlicher mit Auftragsverarbeiter

Bleibt das Unternehmen jedoch alleinig Verantwortlicher und ist der Plattformbetreiber nur Auftragsverarbeiter, gestaltet sich der Informationsprozess etwas komplizierter.

Aktuell stellen die Betreiber verschiedener Handels- und Bewerbungsplattformen den Unternehmen die Möglichkeit zur Verfügung den entsprechenden Angeboten eigene Datenschutzerklärung anzuhängen, mit denen diese den Betroffenen informieren können. Alternativ werden die Betroffenen über das Angebot auf die eigene Webseite des Unternehmens weitergeleitet, auf der das Unternehmen dann entsprechend selbst informieren kann.

Aus unserer Sicht ist aber auch eine einfachere und vor allem für die Unternehmen komfortablere Lösung möglich.

Zwar trifft den Verantwortlichen die Pflicht zur Betroffeneninformation direkt, ein Ausschluss die notwendigen Informationen einem Dienstleister zur Verfügung zu stellen, die dieser dann an die Betroffenen lediglich weitervermittelt, ist nicht zu finden.

Denkbar wäre es also, dass die Betroffeneninformation nach Maßgabe des Verantwortlichen auch durch den Auftragsverarbeiter, also den Plattformbetreiber zur Ansicht zur Verfügung gestellt wird. Dieser könnte ein einfaches Formular zur Verfügung stellen, in dem der Verantwortliche die notwendigen Informationen weitergibt. Die optisch aufgearbeitete Variante wäre für den Betroffenen dann bei jedem Angebot in immer gleicher Form zu finden.

Das solch eine Variante möglich sein muss, wird durch Art. 13 Abs. IV DSGVO und Art. 14 Abs. V lit. a DSGVO noch bestärkt. Verfügt der Betroffene nämlich bereits über alle notwendigen Informationen, müssen diese durch den Verantwortlichen nicht mehr zur Verfügung gestellt werden. Hat der Plattformbetreiber bei der Datenerhebung bereits ausreichend informiert, entfällt diese Pflicht für den Verantwortlichen.

Handlungsempfehlung

  • Stellen Sie eine gemeinsame Verantwortlichkeit fest, gehen Sie sicher, dass die Informationspflicht beim Plattformbetreiber liegt. Für diesen ist sie wesentlich einfacher zu erfüllen.
  • Bleiben Sie alleinig für die Verarbeitung verantwortlich, fragen Sie nach der Möglichkeit dem Plattformbetreiber die Informationen zur Weitergabe an die Betroffenen zur Verfügung zu stellen und verpflichten Sie diesen vertraglich auch zur Weitergabe vor Erhebung.
  • Besteht diese Möglichkeit nicht, nutzen Sie nur Plattformlösungen, bei denen Sie eine eigene Datenschutzerklärung verlinken können oder die Nutzer auf Ihre Seite weitergeleitet werden.
intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

6 Kommentare zu diesem Beitrag

  1. Hallo!
    Ist denn auch geregelt in welcher Sprache die Betroffenen informiert werden müssen? Viele Datenschutzerklärungen sind nur in Englisch verfügbar. Wie soll der Betroffene die Informationen zu seiner Datenverarbeitung erhalten? Und wie kann der Betroffene die Forderung einer deutschen Information durchsetzen? Für eine Antwort wäre ich sehr dankbar. VG Reene

    • Laut Art. 12 Abs. 1 DSGVO muss der Verantwortliche die Informationen „in einer klaren und einfachen Sprache“ übermitteln. In Angesicht des Erfordernisses der „Verständlichkeit“, in Erwägungsgrund 58 ebenfalls hervorgehoben, wird man gut annehmen können, dass die Informationen in der Landessprache des Betroffenen bereitgestellt werden müssen. Jedenfalls wird man annehmen können, dass die Informationen in die Sprachen derjenigen Länder zu übersetzen sind, in denen der Verantwortliche seine Leistungen anbietet. Betreibt ein französisches Unternehmen bspw. einen Webshop, der auch in Deutsch verfügbar ist und auch die Lieferung von Produkten nach Deutschland ermöglicht, sollte auch die Datenschutzerklärung auf Deutsch vorgehalten werden. Um diese Verpflichtung des Verantwortlichen durchzusetzen kann der Betroffene zum einen von seinem Beschwerderecht bei Aufsichtsbehörde (Art. 77 DSGVO) gebrauch machen, als auch den Weg zu den Zivil- und Verwaltungsgerichten suchen. Genauere Erläuterungen zur gerichtlichen Durchsetzung würden den Rahmen eines Blog Kommentars sprengen. Möchten Sie einen derartigen Weg gehen, sollten Sie sich unbedingt an einen Rechtsanwalt wenden.

  2. Vielen Dank für die präzise Antwort. Ich bin ein großer Fan Ihrer Beiträge. Sie sind sehr gut und verständlich aufbereitet. Bitte machen Sie weiter so!:-)

  3. Hallo, vielen Dank für den Artikel! Für mich ergibt sich bei Plattformlösungen noch eine weitere Frage: Wenn Beschäftigte betriebsfremde Personen auf die Plattform einladen können. Wie geht man damit um? Folgende Möglichkeiten (die aber nicht korrekt sein müssen) schweben mir vor: a) Der Beschäftigte bestätigt, dass er die Einwilligung der betriebsfremden Personen hat, b) die betriebsfremden Personen werden eingeladen und erhalten die Informationen entsprechend Artikel 14 c) … offen für Vorschläge :) Vg

    • Der Verantwortliche ist gemäß der Definition des Art. 4 Nr. 7 DSGVO grundsätzlich derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Wer bei Plattformlösungen also die „Einladung“ zur Nutzung ausspricht, ist für die Stellung als Verantwortlicher nicht unbedingt relevant. Lädt demnach ein Beschäftigter eine betriebsfremde Person zur Nutzung einer durch den Arbeitgeber betriebenen Plattform ein, ändert dies nichts an der Stellung des Arbeitgebers (Plattformbetreiber) als für die Datenverarbeitung Verantwortlichem. An dieser Stelle jedoch ein kleiner Hinweis: Sogenannte Tell-a-friend Funktionen sind nach Rechtsprechung des Bundesgerichtshof faktisch nicht rechtskonform einsetzbar. Die Informationspflichten sind dann wie im Artikel beschrieben zu erfüllen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.