Datenschutz und Barrierefreiheit für Unternehmen
Ab dem 28.06.2025 gilt das Barrierefreiheitsstärkungsgesetz (BFSG). Dieses soll Hindernisse für die Teilhabe in der Gesellschaft für Menschen mit Beeinträchtigungen eliminieren. Für Unternehmen bedeutet dies, ihre Produkte und Dienstleistungen barrierefrei bereitzustellen. Oft geht dies mit umfangreichen technischen und organisatorischen Maßnahmen einher, um Unternehmensangebote und -verfahren entsprechend anzugleichen. Gerade aus datenschutzrechtlicher Sicht können sich hierbei verschiedene Herausforderungen für Unternehmen ergeben.
Bisherige Gesetzeslage
Bislang gelten in Deutschland Gesetze bezüglich der Barrierefreiheit nur für öffentliche Stellen. Grundlage hierfür ist etwa das Behindertengleichstellungsgesetz (BGG) und die Barrierefreie-Informationstechnik-Verordnung (BITV 2.0). Diese schreiben vor, dass öffentliche Organisationen Webseiten und andere Angebote barrierefrei aufbauen müssen, etwa durch Gebärdensprache. Vergleichbare Regelungen für private Unternehmen gab es bislang nicht.
Barrierefreiheitsstärkungsgesetz
Das BFSG basiert auf der europäischen Richtlinie (EU) 2019/882 vom 17.04.2019 über die Barrierefreiheitsanforderungen für Produkte und Dienstleistungen, auch European Accessibility Act (EAA) genannt. Das am 16.07.2021 erlassene BFSG setzt die Richtlinie in nationales Recht um. Ziel ist es, die gleichberechtigte und diskriminierungsfreie Teilhabe von Menschen mit Behinderungen oder Einschränkungen und älteren Menschen zu fördern. Dafür müssen Produkte und Dienstleistungen, die ab dem ab dem 28.06.2025 in den Verkehr gebracht oder erbracht werden, barrierefrei hergestellt sein. Die am 22.06.2022 verabschiedete Verordnung zum Barrierefreiheitsstärkungsgesetz (BFSGV) definiert insofern die genauen Barrierefreiheitsanforderungen für Produkte und Dienstleistungen.
Wer ist betroffen?
Das neue Gesetz richtet sich wie der neue Cyber Resilience Act an Hersteller, Händler und Importeure von bestimmten Produkten sowie an Erbringer bestimmter Dienstleistungen. Abhängig von der Größe und des Umsatzes des Unternehmens müssen Privatunternehmen die verschiedenen Vorgaben umsetzten. Kleinstunternehmen, also Unternehmen, die weniger als zehn Personen beschäftigen und entweder einen Jahresumsatz von höchstens 2 Millionen Euro erzielen oder dessen Jahresbilanzsumme sich auf höchstens 2 Millionen Euro beläuft, sind zu Teilen von den Vorgaben befreit. Nach § 1 BFSG fallen unter den Anwendungsbereich beispielsweise Hardwaresysteme von Universalrechnern, inklusive Betriebssystemen, Geldautomaten, Smartphones, E-Book-Reader oder Webseiten von Personenbeförderungsdiensten, wie etwa Fluggesellschaften.
Datenschutzrechtliche Relevanz
Muss in einem der oben genannten Bereiche eine Anpassung aufgrund des BFSG vorgenommen werden, muss hierbei auch die Einhaltung der datenschutzrechtlichen Vorgaben, insbesondere der Datenschutzgrundverordnung (DSGVO) beachtet werden.
Transparenzpflichten
Art. 13 und 14 DSGVO machen verschiedene Vorgaben zu Informations- und Transparenzpflichten. Art. 12 Abs. 1 DSGVO schreibt bereits vor, dass diese Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind. Hierneben müssen betroffene Unternehmen nun bei der Datenschutzerklärung auch die Barrierefreiheit beachten.
Betroffenenanfragen
Art. 15 ff. DSGVO bestimmt eine Reihe an Rechten, die von Datenverarbeitung Betroffene gegen Verantwortliche geltend machen können. In Anbetracht des BFSG müssen Unternehmen nun auch sicherstellen, dass diese Betroffenenrechte zukünftig auch barrierefrei geltend gemacht werden können. Gerade aufgrund fehlender Formvorgaben sollte sichergestellt werden, dass sowohl eine telefonische als auch eine schriftliche Geltendmachung möglich ist. Zudem sollten auch nicht eindeutige Anfragen wenigstens mit einer Nachfrage beantwortet werden, statt sie nicht zu beantworten, um eine Benachteiligung potenziell geistig beeinträchtigter Personen zu vermeiden. Ebenso sollte auch die Beantwortung von Anfragen in leicht verständlicher Sprache und unter Verweis auf audiovisuelle Mitteilungen erfolgen.
Sicherheitsmaßnahmen
In Anbetracht eigentlich erforderlicher Sicherheitsvorkehrungen kann es gegebenenfalls zu einer Reduzierung des Sicherheitsniveaus aufgrund der jeweiligen Umstände und Zwecke der Datenverarbeitung kommen (vgl. Art. 32 Abs. 1 DSGVO). So entschied beispielsweise bereits 2023 das Sozialgericht Hamburg (S 39 AS 517/23), dass eine eigentlich verschlüsselungspflichtige E-Mail ohne diese versendet werden durfte, da die Adressatin die Nachricht nicht entschlüsseln konnte.
Fazit
Das BFSG markiert einen Schritt hin zu einer inklusiveren Gesellschaft. Für Unternehmen kann dies jedoch eine Fülle an technischen und organisatorischen Anpassungen bedeuten. Dies erfordert eine frühzeitige Planung und auch ein Umdenken, um den Spagat zwischen Zugänglichkeit und Datenschutz erfolgreich zu meistern. Bei der Implementierung entsprechender Umstrukturierungen in Ihrem Unternehmen helfen wir Ihnen als Externe Datenschutzbeauftragte gerne weiter.