Gratis
23. April 2019 - Pflichten des Verantwortlichen, Rechte des Betroffenen

DSGVO: Wie Sie Ihre Informationspflichten erfüllen

Drucken

Damit Betroffene ihre Rechte nach der Datenschutz-Grundverordnung (DSGVO / GDPR) wahrnehmen können, benötigen sie aussagekräftige Informationen darüber, dass und wie Verantwortliche ihre personenbezogenen Daten verarbeiten. Deshalb sieht die DSGVO mehrere Informationspflichten für Verantwortliche vor.

Worüber müssen Verantwortliche informieren? Eine große Änderungn gegenüber dem alten Datenschutzrecht: Die Informationspflichten sind wesentlich umfangreicher geworden (Bild: iStock.com / Ryzhi)

Inhaltsverzeichnis
Wer hat die Daten erhoben?
Welchen Inhalt muss die Information haben?
Auf welchem Weg muss ein Verantwortlicher informieren?
Informationspflicht bei Zweckänderung
Informationspflicht bei Übermittlung
Information über Widerspruchsrecht
Informationspflichten in Verbindung mit einer Einwilligung
Form und Nachweis der Informationspflichten
Was ist jetzt zu tun?

Welche Daten und Informationen erheben und verarbeiten Verantwortliche? Darüber müssen sie gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung die betroffenen Personen aufklären.

Diese Verpflichtung zur Information bildet gleichzeitig die Grundlage für das Auskunftsrecht der Betroffenen. Denn wenn der Betroffene nicht weiß, dass jemand Daten über ihn verarbeitet, kann er schwerlich von seinem Recht Gebrauch machen.

Wer hat die Daten erhoben?

In der Praxis sind zwei Fälle denkbar, wie ein Verantwortlicher an die personenbezogenen Daten eines Betroffenen gelangt:

  • zum einen durch Direkterhebung, das heißt bei den Betroffenen selbst
  • zum anderen durch die Erhebung mittels eines Dritten

In beiden Fällen ist der Verarbeiter verpflichtet, dem Betroffenen sämtliche in Artikel 13 Absatz1 beziehungsweise Artikel 14 Absatz 1 DSGVO aufgelisteten Informationen bereitzustellen.

Dazu gehören unter anderem Name und Kontaktdaten des Verantwortlichen, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten und die Zwecke sowie Rechtsgrundlagen für die Verarbeitung.

  • Im Falle der Direkterhebung muss der Verantwortliche diese Information zum Zeitpunkt der Erhebung übermitteln.
  • Bei der Dritterhebung muss die Information vier Wochen nach der Erhebung erfolgen, so die Aufsichtsbehörden, etwa die Landesbeauftragte für den Datenschutz Brandenburg.

Welchen Inhalt muss die Information haben?

Die Betroffenen haben einen Anspruch auf Informationen darüber,

  • zu welchem Zweck der Verantwortliche die Daten verarbeitet,
  • welche Daten / Datenkategorien betroffen sind,
  • wie lange das Unternehmen oder die Behörde die Daten speichert und aufbewahrt,
  • ob eine Weitergabe und Übermittlung stattfindet mit Empfänger und Grund für die Übermittlung,
  • ob der Verantwortliche Daten ins Ausland übermittelt, mit Angabe des Empfängerlands und dem Zweck der Übermittlung,
  • welche Rechte der Betroffene nach DSGVO hat,
  • woher die Daten stammen,
  • ob der Verantwortliche Profiling beteibt,
  • wer die verantwortliche Stelle ist und wie die Betroffenen den Datenschutzbeauftragten kontaktieren kann sowie
  • dass sie das Recht haben, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.

Auf welchem Weg muss ein Verantwortlicher informieren?

Die DSGVO schreibt keine bestimmte Form der Information vor. Sie kann in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, erfolgen.

Grundsätzlich sollte der Verantwortliche für die Übermittlung das gleiche Medium nutzen, über das auch der oder die Betroffene kommuniziert hat.

Bei Brief oder Fax dürfen die weitergehenden Informationen auch online zur Verfügung stehen. Der Betroffene kann zum Beispiel durch Abrufen eines Links oder Scannen eines QR-Codes auf eine Webseite mit den vollständigen Informationen gelangen.

In der Online-Kommunikation, also bei einer E-Mail, reicht ein gut sichtbarer Link. Dieser Link verweist auf eine Website, auf der etwa die Datenschutzerklärung alle erforderlichen Informationen zur Verfügung stellt.

Informationspflicht bei Zweckänderung

Die  Informationspflichten  im  Falle  einer  Zweckänderung  gelten  sowohl  für  die  Direkterhebung  als auch für die Dritterhebung.

Neben der Information über  den  geänderten  Zweck  sind  alle Informationspflichten gemäß Artikel 13 Absatz 2 DSGVO (Direkterhebung)  oder  gemäß Artikel 14  Absatz  2  DSGVO (Dritterhebung) erneut zu erfüllen, wie die Aufsichtsbehörden für den Datenschutz betonen.

Informationspflicht bei Übermittlung

Die  Übermittlung  an  einen  Dritten  ist  häufig  eine Zweckänderung.  Schon  aus  diesem  Grund müssen Verantwortliche die  betroffene  Person informieren, bevor sie die Daten übermitteln, so die Aufsichtsbehörden für den Datenschutz.

Weiterhin müssen sie informieren, wenn sie die Daten einem neuen Empfänger offenlegen. Das gilt etwa bei einem Auftragsverarbeiter, soweit er nicht schon in den Empfängern  oder  Empfängerkategorien auftaucht.

Wichtig: Information über Widerspruchsrecht

Ein Verantwortlicher muss die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf das Widerspruchsrecht nach Artikel 21 DSGVO hinweisen. Dieser Hinweis muss verständlich sein und getrennt von anderen Informationen erfolgen.

Informationspflichten in Verbindung mit einer Einwilligung

Die Einwilligung einer betroffenen Personin die Verarbeitung ihrer personenbezogenen Daten muss als „informierte Einwilligung“ erfolgen. Artikel 7 DSGVO (Bedingungen für die Einwilligung) fordert entsprechend:

„Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.“

Form und Nachweis der Informationspflichten

Die DSGVO fordert in Artikel 12 DSGVO insbesondere transparente Informationen.

Der Verantwortliche muss der betroffenen Person alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. Das gilt insbesondere für Informationen, die sich speziell an Kinder richten.

Zudem muss ein Verantwortlicher nachweisen können, dass er seinen Informationspflichten nachkommt. Die Datenschutz-Aufsichtsbehörden empfehlen, die Erfüllung der Informationspflichten schriftlich zu dokumentieren, um sich vor Auseinandersetzungen zu schützen.

Was ist jetzt zu tun?

Prüfen Sie, wie die verantwortliche Stelle im Unternehmen die Informationspflichten nach DSGVO umsetzt. Eine Reihe von Arbeitshilfen unterstützt Sie dabei:

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.