Wir beraten immer wieder gerne dahingehend die Informationspflichten auch im Rahmen der elektronischen Kommunikation zu erfüllen. Konkret raten wir immer dazu einen Link zur Datenschutzerklärung in jede Mailkommunikation mit einzubinden.
Warum wir das machen ist schnell und einfach erklärt:
Wir erreichen damit einen sehr großen Kreis der Betroffenen und arbeiten somit auch viele Informationspflichten ab.
Um hier konkreter zu werden, wurde an das BayLDA eine Anfrage gestellt, ob ein Link in der E-Mail den Datenschutzinformationen auf der Webseite ausreichen kann um die Informationspflichten nach Art. 13 DSGVO zu erfüllen. Das BayLDA gibt in seiner Antwort folgende Punkte zur Berücksichtigung vor:
- Eine gestufte Information ist möglich. Dem Betroffenen müssen in der ersten Schicht jedoch bereits Informationen zum Verantwortlichen, zum Zweck der Verarbeitung und zum Bestehen von Betroffenenrechten gemacht werden.
- Die Informationen zum Verantwortlichen und zum Verarbeitungszweck werden sich regelmäßig aus dem Kontext des Schriftverkehrs ergeben, so dass diese Informationen gem. Art. 13 Abs. 4 bzw. Art. 14 Abs. 5 lit. a DSGVO nicht mehr separat zu benennen sind.
- Es fehlt bisher jedoch noch der Hinweis auf das Bestehen von Betroffenenrechten.
- Der Verantwortliche muss die Erfüllung der Informationspflichten nachweisen können. Bisher gibt es jedoch keine gefestigte Meinung, wie dieser Nachweis nach Art. 24 Abs. 1 bzw. Art. 5 Abs. 2 DSGVO erbracht werden kann.
Bisher haben wir Link-Texte vorgeschlagen, wie diesen:
„Unsere Informationen zum Umgang mit personenbezogenen Daten finden Sie hier.“
Zukünftig bitten wir den Text etwas zu erweitern, beispielsweise in dieser Form:
„Informationen zur Datennutzung und zu Ihren Betroffenenrechten finden Sie hier.“
Gem. der Nachweispflicht empfehlen wir die Nutzung einer zentralseitigen Lösung für die E-Mail-Signaturen. Dadurch kann gewährleistet werden, dass die Signatur unabhängig vom Endgerät und von der Gerätekonfiguration unter allen E-Mails ausgegeben wird, die das Unternehmen verlassen. Dokumentieren Sie die Einrichtung der entsprechenden Funktionalität. Aus unserer Sicht sollte damit ein ausreichender Nachweis erbracht sein, dass Sie den Informationspflichten bisher und in Zukunft nachkommen.
Gerade von Mandanten, die vorwiegend im B2B-Umfeld tätig sind, werden wir gelegentlich gefragt, ob die Linklösung überhaupt notwendig sei. Bisher bestätigen wir die Anforderung mit dem Hinweis, dass der Betroffene (der Beschäftigte des Kunden oder Lieferanten) anlassbezogen geändert werden könnte und der neue Ansprechpartner noch keine Informationen von Ihnen erhalten hat.
Ähnlich sieht es auch das BayLDA: „Im B2B-Bereich müsste geklärt werden, wie die Information zur Verfügung gestellt werden kann und ob mit den Partnern ggf. vereinbart werden kann, dass diese ihren Mitarbeitern entsprechende Informationen zur Verfügung stellen, sodass Sie sich auf die Ausnahme in Art. 13 Abs. 4 bzw. 14 Abs. 5 lit. a) DS-GVO berufen können.“
Damit ergibt sich für Sie folgende Abwägung zu Aufwand, Kosten, Nutzen und Nachweisbarkeit:
• Sie vereinbaren mit allen Partnern eine Bereitstellung der eigenen Informationen nach Art. 13 DSGVO an die Beschäftigten des Partners.
• Sie prüfen die Einrichtung der Link-Lösung, passen diese ggf. den oben genannten Informationen an und sorgen so für eine ausreichende Information der Betroffenen.
Wir bleiben unsererseits beratend immer bei der praxisnahen und durchführbaren Variante und schlagen auch hier weiterhin die Link-Lösung vor!
