Informationspflichten

Informationspflichten nach der DS-GVO

 

Mit dem Inkrafttreten der DS-GVO am 25.05.2018 sind umfangreiche Informationspflichten gegenüber den Betroffenen zu beachten.

In Artikel 12 der DS-GVO ist geregelt, dass der Verantwortliche geeignete Maßnahmen zu treffen hat, um die Betroffenen über die sich auf die Verarbeitung beziehenden Informationen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu informieren.

 

Datenschutz-informationen Göttingen

Hierbei ist insbesondere darauf zu achten, wie die Daten durch den Verantwortlichen erhoben wurden.

 

Informationspflichten bei Direkterhebung

 

Für den Fall, dass die Daten direkt beim Betroffenen erhoben werden, sind die Vorgaben des Art. 13 DS-GVO zu beachten. Hier ist geregelt, dass folgende Informationen zum Zeitpunkt der Erhebung zu erteilen sind:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Dies sind schon ziemlich viele Informationen, aber es kommt noch mehr. Gemäß Art. 13 Abs. 2 DS-GVO stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der Daten folgende weitere Informationen zur Verfügung:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

 

Praktische Folgen der Informationspflicht

 

Dies hört sich vielleicht nicht sehr kompliziert an, aber es ist zu bedenken, welche Fälle unter die Direkterhebung fallen. Unter anderem ist die Übergabe einer Visitenkarte beispielsweise eine Direkterhebung. Man kann nämlich davon ausgehen, dass diese Daten nicht einfach unbeachtet bleiben, sondern beispielsweise in einem CRM System oder ähnlichen verarbeitet werden. Damit würde Art. 13 DS-GVO Anwendung finden.

Informationspflichten

Viele Autoren vertreten in Fachartikeln die Meinung, dass der Verordnungsgeber hier ein wenig über das Ziel hinausgeschossen ist. Die praktische Umsetzung dieser Vorschrift ist noch unklar. Da ein Verstoß gegen die Vorschrift jedoch gem. Art. 83 Abs.5 lit.b DS-GVO mit einem hohem Bußgeld geahndet werden kann, sind hier kreative Lösungen gefragt. Vielleicht kann man seine eigenen Visitenkarten mit einem QR-Code versehen, welcher auf die geforderten Informationen verweist. Es ist noch unklar, inwieweit diese Lösung rechtskonform ist. Aber vielleicht geben die Aufsichtsbehörden noch rechtzeitig entsprechende Empfehlungen bekannt.

 

Informationspflicht bei Datenerhebung bei Dritten

 

Für den Fall, dass die Daten nicht beim Betroffenen erhoben werden, sondern über andere Quellen, greift die Informationspflicht gem. Art. 14 DS-GVO. Auch hier sind die Informationspflichten ähnlich umfangreich wie bei einer Direkterhebung. Der Verantwortliche hat dem Betroffenen folgende Daten mitzuteilen:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.

Wie auch bei der Direkterhebung der Daten sind dem Betroffenen außerdem folgende Informationen gem. Art. 14 Abs. 2 DS-GVO zur Verfügung zu stellen:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

DSGVO-Informationen

Fristen für die Informationspflichten

 

Für die oben genannten Informationspflichten bei Direkterhebung und bei der Datenerhebung über Dritte sind festgelegte Fristen zu beachten:

  • unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
  • falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
  • falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

 

Ausnahmen für Informationspflichten

 

Die Ausnahmen zu den Informationspflichten sind in Art. 14 Abs. 5 DS-GVO geregelt. Am relevantesten dürften sein:

  • die betroffene Person verfügt bereits über die Informationen,
  • die Erteilung dieser Informationen würde sich als unmöglich erweissen oder einen unverhältnismäßigen Aufwand erfordern

Aber bevor man sich auf diese Ausnahmen bezieht, sollte man die aktuellen Sichtweisen der Aufsichtsbehörden bzw. diesbezügliche Urteile kennen. Andernfalls würde man ein unkalkulierbares Risiko eingehen, da ein Verstoß gegen die Informationspflichten in den Bußgeldbereich bis 20 Millionen Euro fällt. Diese höchstmögliche Summe wird sicherlich nicht sofort verhängt werden, aber die niedrigen Bußgelder aus den BDSG Zeiten werden voraussichtlich auch nicht mehr zum Tragen kommen. Man muss hier ab dem 25.05.2018 die aktuellen Entwicklungen zu diesem Thema verfolgen.