DSGVO: Wie Sie Ihre Informationspflichten erfüllen

Inhaltsverzeichnis
Wer hat die Daten erhoben?
Welchen Inhalt muss die Information haben?
Auf welchem Weg muss ein Verantwortlicher informieren?
Informationspflicht bei Zweckänderung
Informationspflicht bei Übermittlung
Information über Widerspruchsrecht
Informationspflichten in Verbindung mit einer Einwilligung
Form und Nachweis der Informationspflichten
Was ist jetzt zu tun?
Welche Daten und Informationen erheben und verarbeiten Verantwortliche? Darüber müssen sie gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung die betroffenen Personen aufklären.
Diese Verpflichtung zur Information bildet gleichzeitig die Grundlage für das Auskunftsrecht der Betroffenen. Denn wenn der Betroffene nicht weiß, dass jemand Daten über ihn verarbeitet, kann er schwerlich von seinem Recht Gebrauch machen.
Wer hat die Daten erhoben?
In der Praxis sind zwei Fälle denkbar, wie ein Verantwortlicher an die personenbezogenen Daten eines Betroffenen gelangt:
- zum einen durch Direkterhebung, das heißt bei den Betroffenen selbst
- zum anderen durch die Erhebung mittels eines Dritten
In beiden Fällen ist der Verarbeiter verpflichtet, dem Betroffenen sämtliche in Artikel 13 Absatz1 beziehungsweise Artikel 14 Absatz 1 DSGVO aufgelisteten Informationen bereitzustellen.
Dazu gehören unter anderem Name und Kontaktdaten des Verantwortlichen, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten und die Zwecke sowie Rechtsgrundlagen für die Verarbeitung.
- Im Falle der Direkterhebung muss der Verantwortliche diese Information zum Zeitpunkt der Erhebung übermitteln.
- Bei der Dritterhebung muss die Information vier Wochen nach der Erhebung erfolgen, so die Aufsichtsbehörden, etwa die Landesbeauftragte für den Datenschutz Brandenburg.
Welchen Inhalt muss die Information haben?
Die Betroffenen haben einen Anspruch auf Informationen darüber,
- zu welchem Zweck der Verantwortliche die Daten verarbeitet,
- welche Daten / Datenkategorien betroffen sind,
- wie lange das Unternehmen oder die Behörde die Daten speichert und aufbewahrt,
- ob eine Weitergabe und Übermittlung stattfindet mit Empfänger und Grund für die Übermittlung,
- ob der Verantwortliche Daten ins Ausland übermittelt, mit Angabe des Empfängerlands und dem Zweck der Übermittlung,
- welche Rechte der Betroffene nach DSGVO hat,
- woher die Daten stammen,
- ob der Verantwortliche Profiling beteibt,
- wer die verantwortliche Stelle ist und wie die Betroffenen den Datenschutzbeauftragten kontaktieren kann sowie
- dass sie das Recht haben, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.
Auf welchem Weg muss ein Verantwortlicher informieren?
Die DSGVO schreibt keine bestimmte Form der Information vor. Sie kann in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, erfolgen.
Grundsätzlich sollte der Verantwortliche für die Übermittlung das gleiche Medium nutzen, über das auch der oder die Betroffene kommuniziert hat.
Bei Brief oder Fax dürfen die weitergehenden Informationen auch online zur Verfügung stehen. Der Betroffene kann zum Beispiel durch Abrufen eines Links oder Scannen eines QR-Codes auf eine Webseite mit den vollständigen Informationen gelangen.
In der Online-Kommunikation, also bei einer E-Mail, reicht ein gut sichtbarer Link. Dieser Link verweist auf eine Website, auf der etwa die Datenschutzerklärung alle erforderlichen Informationen zur Verfügung stellt.
Informationspflicht bei Zweckänderung
Die Informationspflichten im Falle einer Zweckänderung gelten sowohl für die Direkterhebung als auch für die Dritterhebung.
Neben der Information über den geänderten Zweck sind alle Informationspflichten gemäß Artikel 13 Absatz 2 DSGVO (Direkterhebung) oder gemäß Artikel 14 Absatz 2 DSGVO (Dritterhebung) erneut zu erfüllen, wie die Aufsichtsbehörden für den Datenschutz betonen.
Informationspflicht bei Übermittlung
Die Übermittlung an einen Dritten ist häufig eine Zweckänderung. Schon aus diesem Grund müssen Verantwortliche die betroffene Person informieren, bevor sie die Daten übermitteln, so die Aufsichtsbehörden für den Datenschutz.
Weiterhin müssen sie informieren, wenn sie die Daten einem neuen Empfänger offenlegen. Das gilt etwa bei einem Auftragsverarbeiter, soweit er nicht schon in den Empfängern oder Empfängerkategorien auftaucht.
Wichtig: Information über Widerspruchsrecht
Ein Verantwortlicher muss die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf das Widerspruchsrecht nach Artikel 21 DSGVO hinweisen. Dieser Hinweis muss verständlich sein und getrennt von anderen Informationen erfolgen.
Informationspflichten in Verbindung mit einer Einwilligung
Die Einwilligung einer betroffenen Personin die Verarbeitung ihrer personenbezogenen Daten muss als „informierte Einwilligung“ erfolgen. Artikel 7 DSGVO (Bedingungen für die Einwilligung) fordert entsprechend:
„Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.“
Form und Nachweis der Informationspflichten
Die DSGVO fordert in Artikel 12 DSGVO insbesondere transparente Informationen.
Der Verantwortliche muss der betroffenen Person alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. Das gilt insbesondere für Informationen, die sich speziell an Kinder richten.
Zudem muss ein Verantwortlicher nachweisen können, dass er seinen Informationspflichten nachkommt. Die Datenschutz-Aufsichtsbehörden empfehlen, die Erfüllung der Informationspflichten schriftlich zu dokumentieren, um sich vor Auseinandersetzungen zu schützen.
Was ist jetzt zu tun?
Prüfen Sie, wie die verantwortliche Stelle im Unternehmen die Informationspflichten nach DSGVO umsetzt. Eine Reihe von Arbeitshilfen unterstützt Sie dabei: