Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 09/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI Rechenschaftspflicht TTDSG Urteil Vorlagen
22. August 2023

DSGVO-Informationspflichten erfüllen – das können DSB empfehlen

Worüber müssen Verantwortliche informieren?
Bild: iStock.com / Ryzhi
4,00 (5)
drucken
Inhalte in diesem Beitrag
Pflichten des Verantwortlichen, Rechte des Betroffenen
Damit Betroffene ihre Rechte nach der DSGVO wahrnehmen können, benötigen sie aussagekräftige Informationen darüber, dass und wie Verantwortliche ihre personenbezogenen Daten verarbeiten. Deshalb sieht die DSGVO mehrere Informationspflichten vor.

Welche Daten und Informationen erheben und verarbeiten Verantwortliche? Darüber müssen sie gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung (DSGVO) die betroffenen Personen aufklären.

Diese Verpflichtung zur Information bildet gleichzeitig die Grundlage für das Auskunftsrecht der Betroffenen. Denn wenn eine betroffene Person nicht weiß, dass jemand Daten über sie verarbeitet, kann sie schwerlich von ihrem Recht Gebrauch machen.

➧ Wer hat die Daten erhoben?

In der Praxis sind zwei Fälle denkbar, wie ein Verantwortlicher an die personenbezogenen Daten einer betroffenen Person gelangt:

  • zum einen durch Direkterhebung, das heißt bei den Betroffenen selbst
  • zum anderen durch die Erhebung mittels eines Dritten

In beiden Fällen ist der Verarbeiter verpflichtet, der betroffenen Person sämtliche in Artikel 13 Absatz 1 beziehungsweise Artikel 14 Absatz 1 DSGVO aufgelisteten Informationen bereitzustellen.

Dazu gehören unter anderem Name und Kontaktdaten des Verantwortlichen, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten und die Zwecke sowie Rechtsgrundlagen für die Verarbeitung.

  • Im Falle der Direkterhebung muss der Verantwortliche diese Information zum Zeitpunkt der Erhebung übermitteln.
  • Bei der Dritterhebung muss die Information spätestens einen Monat nach der Erhebung erfolgen, so die Datenschutzkonferenz (DSK) als Gremium der Datenschutzaufsichtsbehörden.

➧ Welchen Inhalt muss die Information haben?

Die Betroffenen haben einen Anspruch auf Informationen darüber,

  • wer der Verantwortliche ist und wie die betroffene Person den Datenschutzbeauftragten kontaktieren kann,
  • zu welchem Zweck der Verantwortliche die Daten verarbeitet,
  • welche Daten / Datenkategorien betroffen sind,
  • wie lange das Unternehmen oder die Behörde die Daten speichert und aufbewahrt,
  • ob eine Weitergabe und Übermittlung stattfindet mit Empfänger und Grund für die Übermittlung,
  • ob der Verantwortliche Daten ins Ausland übermittelt, mit Angabe des Empfängerlands und des Zwecks der Übermittlung,
  • welche Rechte der Betroffene nach DSGVO hat,
  • woher die Daten stammen,
  • ob der Verantwortliche Profiling betreibt und
  • dass sie das Recht haben, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.

➧ Auf welchem Weg muss ein Verantwortlicher informieren?

Die DSGVO schreibt keine bestimmte Form der Information vor. Sie kann in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, erfolgen.

Grundsätzlich sollte der Verantwortliche für die Übermittlung das gleiche Medium nutzen, über das auch der oder die Betroffene kommuniziert hat.

Bei Brief oder Fax dürfen die weitergehenden Informationen auch online zur Verfügung stehen. Die betroffene Person kann zum Beispiel durch Abrufen eines Links oder Scannen eines QR-Codes auf eine Webseite mit den vollständigen Informationen gelangen.

In der Online-Kommunikation, also z.B. bei einer E-Mail, reicht ein gut sichtbarer Link. Dieser Link verweist auf eine Website, auf der etwa die Datenschutzerklärung alle erforderlichen Informationen zur Verfügung stellt.

Ein ähnlicher Weg empfiehlt sich bei mobilen Apps, da die Datenschutzerklärung auf den eher kleinen Displays der Smartphones nicht so gut zu lesen sein kann.

Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

➜ Jetzt professionell Datenschutz managen!

➧ Informationspflicht bei Zweckänderung

Die Informationspflichten im Falle einer Zweckänderung gelten sowohl für die Direkterhebung als auch für die Dritterhebung.

Neben der Information über den geänderten Zweck sind alle Informationspflichten gemäß Artikel 13 Absatz 2 DSGVO (Direkterhebung) oder gemäß Artikel 14 Absatz 2 DSGVO (Dritterhebung) erneut zu erfüllen, wie die Aufsichtsbehörden für den Datenschutz betonen.

➧ Informationspflicht bei Übermittlung

Die Übermittlung an einen Dritten ist häufig eine Zweckänderung. Schon aus diesem Grund müssen Verantwortliche die betroffene Person informieren, bevor sie die Daten übermitteln, so die Aufsichtsbehörden für den Datenschutz.

Weiterhin müssen sie informieren, wenn sie die Daten einem neuen Empfänger offenlegen. Das gilt etwa bei einem Auftragsverarbeiter, soweit er nicht schon in den Empfängern oder Empfängerkategorien auftaucht.

Wichtig: Information über Widerspruchsrecht

Ein Verantwortlicher muss die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf das Widerspruchsrecht nach Artikel 21 DSGVO hinweisen. Dieser Hinweis muss verständlich sein und getrennt von anderen Informationen erfolgen.

➧ Informationspflichten in Verbindung mit einer Einwilligung

Die Einwilligung einer betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten muss als „informierte Einwilligung“ erfolgen. Artikel 7 DSGVO (Bedingungen für die Einwilligung) fordert entsprechend:

„Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.“

➧ Welche Form ist erforderlich? Welche Nachweise sind nötig?

Die DSGVO fordert in Artikel 12 DSGVO insbesondere transparente Informationen.

Der Verantwortliche muss der betroffenen Person alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. Das gilt insbesondere für Informationen, die sich speziell an Kinder richten. Das ist zwar leichter gesagt als getan. Doch die DSGVO ist da eindeutig.

Zudem muss ein Verantwortlicher nachweisen können, dass er seinen Informationspflichten nachkommt. Die Datenschutz-Aufsichtsbehörden empfehlen, die Erfüllung der Informationspflichten schriftlich zu dokumentieren, um sich vor Auseinandersetzungen zu schützen.

➧ Was ist zu tun?

Prüfen Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter, wie die verantwortliche Stelle im Unternehmen oder in der Behörde die Informationspflichten nach DSGVO umsetzt. Eine Reihe von Arbeitshilfen unterstützt Sie dabei:

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
19. September 2023
Vorsicht bei heimlichen Gesprächsaufnahmen!
Bild: iStock.com / AntonioGuillem

Heimliche Aufzeichnung eines Personalgesprächs: Kündigung zulässig?

Urteil
Urteil
14. September 2023
Das Schutzstufenkonzept im Datenschutz
Bild: Jirsak / iStock / Thinkstock

Das Schutzstufenkonzept im Datenschutz

Hintergrund
04. September 2023
Daten sicher löschen: Das müssen Sie beachten
Bild: Anatoliy Babiy / iStock / Thinkstock

Daten sicher löschen: Das müssen Sie beachten

Ratgeber
04. September 2023
Im Urteil geht es auch darum, wann Daten personenbezogen sind
Bild: iStock.com / anatoliy_gleb

Handyaufnahmen von „Lärmkindern“ – zulässig oder nicht?

Urteil
Fotos Urteil
01. September 2023
DP+
Infrarotkameras sind eine der vielen Alternativen zur Videoüberwachung. Es gibt sie also durchaus, die „milderen Mittel“ zur Videoüberwachung – man muss sie nur kennen und einsetzen.
Bild: iStock.com / Buzun Maksimilian

Absicherung des Außengeländes: Alternativen zur Videoüberwachung

Praxisbericht
KI
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.