Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Informationspflichten

Erheben Verantwortliche personenbezogene Daten, sieht die Datenschutz-Grundverordnung (DSGVO) eine Reihe von Informationspflichten vor. Sie müssen die betroffenen Personen unter anderem darüber unterrichten, zu welchen Zwecken sie die Daten verwenden, welche Rechte die betroffenen Personen besitzen und über eine Reihe weiterer Details.

➜ Informationspflichten praktisch umsetzen

Transparenz als oberstes Gebot

Jedes Unternehmen mit einer Website muss transparent informieren, was es mit den dort verarbeiteten Daten tut. Wie lässt sich das in Zeiten von Abmahnungen wegen Google Fonts, von Analysetools, TTDSG und nötigen Belehrungen über Joint-Controller-Verhältnisse umsetzen?

Informationspflichten

Mit den Datenschutzhinweisen (der „Datenschutzerklärung“) setzen Unternehmen die Informationspflichten von Art. 13 und Art. 14 DSGVO um. Doch wie lassen sich die vorgeschriebenen Angaben praxisgerecht zur Verfügung stellen? Diese Vorschläge können Sie als DSB machen.

Datenschutz auf Websites

Selbst zwei Jahre nach Geltung der DSGVO herrscht immer noch Wildwuchs auf Websites. Dabei ist es kein Hexenwerk, zu entscheiden, ob ein Cookie-Banner notwendig ist. Und wenn ja, das Cookie-Banner rechtskonform zu gestalten.

Eine ganz zentrale Forderung bei den Betroffenenrechten: Daten sind unter bestimmten Voraussetzungen auch wieder zu löschen!
Bild: Spectral-Design / iStock / Thinkstock
Datenschutzorganisation

Datenschutz ist nur sinnvoll, wenn Betroffene das Recht haben, ihre Ansprüche durchzusetzen. Die Datenschutz-Grundverordnung (DSGVO) greift die schon früher unter dem altem Bundesdatenschutzgesetz geltenden Rechte auf und entwickelt sie weiter. Die interne Datenschutzorganisation muss diese Betroffenenrechte umsetzen können.

Online-Recht

Zu einer Website gehört zwingend eine ganze Reihe von Pflichtangaben. Die Besucher haben das Recht Informationen zu den Verantwortlichen und zum Umgang mit personenbezogenen Daten zu erhalten. Um Betreibern das Leben zu erleichtern, hat die Datenschutzbehörde in NRW ein Muster für Datenschutzhinweise veröffentlicht.

Informationspflichten

Kommt es zu einer Datenschutz-Verletzung, treten unter bestimmten Bedingungen Meldepflichten ein. Wann genau welche Informationspflicht eintritt, regelt die Datenschutz-Grundverordnung (DSGVO).

Pflichten des Verantwortlichen, Rechte des Betroffenen

Damit Betroffene ihre Rechte nach der Datenschutz-Grundverordnung (DSGVO / GDPR) wahrnehmen können, benötigen sie aussagekräftige Informationen darüber, dass und wie Verantwortliche ihre personenbezogenen Daten verarbeiten. Deshalb sieht die DSGVO mehrere Informationspflichten für Verantwortliche vor.

Betroffenenrechte

Die Informationspflichten bringen viele Verantwortliche, gleich ob öffentlich oder nicht, „aus dem Tritt“. Die Frage ist meist: Wie lässt sich das bloß in der Praxis umsetzen? Wir stellen ein konkretes Beispiel vor.

Die Informationspflichten bringen viele Verantwortliche, gleich ob öffentlich oder nicht, „aus dem Tritt“. Die Frage ist meist: Wie lässt sich das bloß in der Praxis umsetzen? Wir stellen ein konkretes Beispiel vor. Das Muster vereinigt Verzeichnis der Verarbeitungstätigkeiten und Informationen nach Art. 13 DSGVO.

Beschäftigtendatenschutz

Jedes Unternehmen lebt davon, Nachwuchs zu rekrutieren. Dabei muss es im Einklang mit den Vorgaben der DSGVO den Bewerber transparent über den Umgang mit seinen Daten informieren. Was sich einfach anhört, ist in der Praxis eine echte Herausforderung.

1 von 2

Pflicht zur Information und das Recht auf transparente Information

Die folgenden Gesetze und Vorschriften brauchen Sie, um sich mit diesem Betroffenenrecht auseinanderzusetzen:

  • Art. 13 DSGVO (Informationspflichten, wenn die Daten direkt bei der betroffenen Person erhoben werden) und § 32 BDSG (Ausnahmen in Deutschland)
  • Art. 14 DSGVO (Informationspflichten, wenn die Daten nicht direkt bei der betroffenen Person erhoben werden) sowie §§ 33 und 29 Abs. 1 Satz 1 BDSG (Ausnahmen in Deutschland)
  • Art. 12 DSGVO (Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Personen)

Ausnahmen von den Informationspflichten

Erhebt ein Verantwortlicher Daten direkt bei der betroffenen Person, muss er sie darüber und über die näheren Umstände informieren. Das gilt nur dann nicht, wenn die betroffene Person bereits über diese Informationen verfügt.

Weitere Ausnahmen enthält für Deutschland § 32 Bundesdatenschutzgesetz (BDSG). Danach können Verantwortliche statt der betroffenen Person die Öffentlichkeit informieren, etwa per Aushang. Das trifft unter anderem zu,

  • wenn es sich um analog gespeicherte Daten in einfach gelagerten Fällen handelt oder
  • wenn die Daten nötig sind, um Rechtsansprüche zu sichern.

Soweit ein Verantwortlicher die Information bei einem Dritten erhoben hat, also nicht direkt bei der betroffenen Person, muss er die betroffene Person nicht informieren, wenn sie die Details bereits kennt.

Weitere Ausnahmen: Das gilt auch,

  • wenn es unmöglich ist, der betroffenen Person die Informationen zu erteilen oder es einen unverhältnismäßigen Aufwand erfordern würde.
  • wenn nationale Rechtsvorschriften etwas anderes bestimmen. In Deutschland: § 33 BDSG – dann muss der Verantwortliche jedoch anstelle der betroffenen Person die Öffentlichkeit informieren – oder § 29 Abs. 1 Satz 1 BDSG bei Geheimhaltungspflichten.

Inhalt der Informationspflichten

Erfolgt die Datenerhebung direkt bei der betroffenen Person, gilt Art. 13 DSGVO. Findet sie dagegen bei einem Dritten statt, gilt Art. 14 DSGVO.

Die Inhalte beider Vorschriften sind recht ähnlich. Der Datenverarbeiter muss die betroffene Person jeweils informieren über:

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten (aber nicht notwendigerweise dessen Namen)
  • Zwecke, zu denen die Daten verarbeitet werden sollen
  • die Rechtsgrundlage für die Datenverarbeitung (Greift der Verantwortliche zur Begründung auf „berechtigte Interessen“ gemäß Art. 6 Abs. 1 Buchstabe f DSGVO zurück, muss er diese ebenfalls erläutern.)
  • nur wenn er die Daten bei Dritten erhebt: welche personenbezogenen Daten verarbeitet werden (Kategorien von Daten)
  • wenn die Dateien weitergegeben werden: die Kategorien der Empfänger
  • wenn der Verantwortliche die Daten in ein Drittland übermittelt: Information hierüber sowie die Rechtsgrundlage dafür

Darüber hinaus dienen weitere Informationen dazu, eine faire und transparente Verarbeitung zu gewährleisten:

  • die Speicherdauer der Daten oder zumindest Kriterien, um diese Speicherdauer festzulegen
  • Hinweis auf die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit
  • beruht die Verarbeitung auf einer Einwilligung: Hinweis auf das Widerrufsrecht
  • Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
  • Findet die Datenerhebung direkt bei der betroffenen Person statt: Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist, ob eine Pflicht zur Bereitstellung besteht und was die Folgen einer Nichtbereitstellung sind
  • Erhebt der Verantwortliche die Daten bei einem Dritten: Quelle, aus der die Daten stammen, und gegebenenfalls, ob es eine öffentlich zugängliche Quelle war
  • bei automatisierten Entscheidungen und Profiling: die involvierte Logik, die Tragweite und die Auswirkungen

Ändert sich später der Zweck, müssen Verantwortliche die Informationen erneut erteilen.

Zeitpunkt, um die Informationen zu erteilen

Erhebt ein Unternehmen die Daten direkt bei der betroffenen Person, muss es die Informationen zum Zeitpunkt der Datenerhebung mitteilen.

Erhebt es die Daten bei einem Dritten, gilt:

  • Die betroffene Person muss die Informationen spätestens innerhalb eines Monats erhalten.
  • Möchte ein Datenverarbeiter die Daten verwenden, um mit der betroffenen Person zu kommunizieren, darf er die Informationen auch später, spätestens aber zum Zeitpunkt der ersten Mitteilung geben.
  • Ist beabsichtigt, die Daten einem anderen Empfänger offenzulegen, muss die betroffene Person dies spätestens zum Zeitpunkt der ersten Offenlegung wissen.

Art und Weise der Informationserteilung

Verantwortliche müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung stellen (Art. 12 Abs. 1 DSGVO).

Die Informationen können in schriftlicher oder in anderer Form vorliegen, beispielsweise elektronisch über das Internet. Eine Internetseite dürfte die häufigste Form sein, wenn die Informationen für die Öffentlichkeit bestimmt sind.

Zu beachten ist, dass Datenverarbeiter die Informationen unentgeltlich erteilen müssen.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.