Neueste Beiträge
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
- DSK veröffentlicht Bewertung von Pur-Abo-Modellen auf Websites
Archive
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Die Informationspflichten bilden die Basis für die Ausübung der Betroffenenrechte – insbesondere der Art. 15 ff. DSGVO. Grund genug für die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) sich der Thematik im zehnten Kurzpapier zur DSGVO zu widmen.
BEDEUTUNG
Nur wenn die betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese Rechte auch ausüben. Die Informationspflichten gemäß der DS-GVO gehen daher weit über die bisherige Rechtslage hinaus und müssen beachtet werden, sofern keine Ausnahmevorschriften greifen. Die DS-GVO regelt die Informationsverpflichtungen des Verantwortlichen gegenüber der betroffenen Person in Abhängigkeit davon, ob personenbezogene Daten bei der betroffenen Person (Direkterhebung, Art. 13 DS-GVO) oder bei Dritten (Dritterhebung, Art. 14 DS-GVO) erhoben werden. Zu beachten ist, dass aus dieser Unterscheidung nicht pauschal abzuleiten ist, wer für die Information verantwortlich ist. Auch der Verantwortliche, der die Daten direkt bei der betroffenen Person erhoben hat, kann über Art. 13 DS-GVO hinaus zur Mitteilung nach Art. 14 Abs. 3 lit. c DS-GVO verpflichtet sein, wenn er die Daten gegenüber einem anderen Empfänger offenbaren möchte.
INFORMATIONSPFLICHTEN BEI DIREKTERHEBUNG
Bei der Informationspflicht im Falle der Direkterhebung wird zwischen den Informationen unterschieden, die der betroffenen Person mitzuteilen sind
(Art. 13 Abs. 1 DGS-GVO) und solchen, die zur Verfügung zu stellen sind, um eine faire und transparente Verarbeitung der personenbezogenen Daten
zu gewährleisten (Art. 13 Abs. 2 DS-GVO).
- Name (ggf. Firmenname gem. § 17 Abs. 1 HGB oder Vereinsname gem. § 57 BGB) und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreter
- Kontaktdaten des ggf. vorhandenen Datenschutzbeauftragten
- Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen und zusätzlich die Rechtsgrundlage, auf der die Verarbeitung fußt
- das berechtigte Interesse, insofern die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten beruht (Art. 6 Abs. 1 lit. f DS-GVO)
- Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (vgl. Art. 4 Nr. 9 DS-GVO)
- Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln und zugleich Information, ob ein Angemessenheitsbeschluss der Kommission vorhanden ist oder nicht (bei Fehlen eines solchen Beschlusses ist auf geeignete oderangemessene Garantien zu verweisen und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind).
Zusätzlich sind nach Abs. 2 Informationen über
- die geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer,
- die Betroffenenrechte (Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit),
- das Recht zum jederzeitigen Widerruf einer Einwilligung und die Tatsache, dass die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung bis zum Widerruf unberührt bleibt,
- das Beschwerderecht bei einer Aufsichtsbehörde,
- ggf. die gesetzliche oder vertragliche Verpflichtung des Verantwortlichen, personenbezogene Daten Dritten bereitzustellen und die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten und
- im Falle einer automatisierten Entscheidungsfindung (einschließlich Profiling) aussagekräftige Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung.
zur Verfügung zu stellen.
INFORMATIONSPFLICHTEN BEI DRITTERHEBUNG
Auch im Falle einer Dritterhebung unterscheidet die DS-GVO zwischen mitzuteilenden Informationen (Art. 14 Abs. 1 DS-GVO) und zusätzlichen Informationen, die zur Gewährung einer fairen und transparenten Verarbeitung zur Verfügung zu stellen sind (Art. 14 Abs. 2 DS-GVO).
Art und Inhalt der mitzuteilenden bzw. der zur Verfügung zu stellenden Informationen entsprechen in wesentlichen Teilen denjenigen, die auch im Falle
einer Direkterhebung mitgeteilt werden müssen. Allerdings hat die betroffene Person im Gegensatz zur Direkterhebung nicht an der Datenerhebung
mitgewirkt und somit auch keine Kenntnis darüber, welche personenbezogene Daten erhoben wurden. Daher ist der Verantwortliche nach Art. 14 Abs. 1
lit. d DS-GVO verpflichtet, die Kategorien der verarbeiteten personenbezogenen Daten mitzuteilen. Diese Information muss so konkret sein, dass für
den Betroffenen erkennbar wird, zu welchen Folgen die Verarbeitung führen kann. Nur dann kann er eine bewusste Entscheidung darüber treffen, ob er
ergänzend von seinem Auskunftsrecht nach Art. 15 DS-GVO Gebrauch machen sollte.
Bei der Dritterhebung ist zudem nach Art. 14 Abs. 2 lit. f DS-GVO die Datenquelle anzugeben und, ob es sich dabei um eine öffentlich zugängliche Quelle
handelt. Stammen die Daten aus mehreren Quellen und kann die Herkunft nicht mehr eindeutig festgestellt werden, muss dennoch eine allgemeine Information gegeben werden.
Bei der Dritterhebung ist weiterhin zu beachten, dass Angaben über die berechtigten Interessen des Verantwortlichen oder eines Dritten (Art. 6 Abs. 1
lit. f DS-GVO) nicht – wie bei der Direkterhebung – unter Abs. 1 fallen, sondern im Rahmen der zusätzlichen Informationen nach Abs. 2 zur Verfügung
gestellt werden müssen (Art. 14 Abs. 2 lit. b DSGVO).
ZWECKÄNDERUNG UND ÜBERMITTLUNG
Die Informationspflichten im Falle einer Zweckänderung gelten sowohl für die Direkterhebung als auch für die Dritterhebung. Neben der Information über die geänderte Zweckbestimmung sind alle Informationspflichten gemäß Art. 13 Abs. 2 DS-GVO (Direkterhebung) oder gemäß Art. 14 Abs. 2 DSGVO
(Dritterhebung) erneut zu erfüllen. Die Übermittlung an einen Dritten ist häufig eine Zweckänderung, so dass schon aus diesem Grund
vor der Übermittlung die betroffene Person entsprechend zu informieren ist. Darüber hinaus stellt Art. 14 Abs. 3 lit. c DS-GVO klar, dass bei der Offenlegung an einen neuen Empfänger (einschließlich Auftragsverarbeitern, vgl. Art. 4 Nr. 9 DS-GVO) informiert werden muss, soweit dieser nicht von der bereits nach Artikel 13 Abs. 1 lit. e DS-GVO erteilten Information über Empfänger oder Empfängerkategorien umfasst ist.
ZEITPUNKT DER ERFÜLLUNG
Bei der Direkterhebung müssen die Informationen zum Zeitpunkt der Erhebung der Daten mitgeteilt bzw. zur Verfügung gestellt werden. Im Falle der Dritterhebung ist der Verantwortliche verpflichtet, die Informationen nachträglich innerhalb einer angemessenen Frist nach Erlangung der Daten mitzuteilen (Art. 14 Abs. 3 DS-GVO). Diese Frist bestimmt sich nach den spezifischen Umständen, darf aber einen Monat nicht überschreiten. Die
Monatsfrist ist eine Maximaldauer und sollte nicht pauschal angesetzt werden. Werden die personenbezogenen Daten zur Kommunikation mit der betroffenen
Person verwendet, sind die Informationen spätestens zum Zeitpunkt der ersten Kontaktaufnahme mitzuteilen. Falls die Offenlegung an einen
anderen Empfänger beabsichtigt ist, müssen die Informationen spätestens zum Zeitpunkt der ersten Offenlegung erteilt werden.
AUSNAHMEN
Die Informationspflichten nach den Art. 13 und 14 DS-GVO bestehen nicht, wenn und soweit die betroffene Person bereits über die Informationen
verfügt. Im Falle der Dritterhebung bestehen darüber hinaus keine Informationspflichten, wenn die Informationserteilung sich z. B. als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde, die Daten einem Berufsgeheimnis unterliegen oder die Erlangung durch Rechtsvorschrift
ausdrücklich geregelt ist. Außerdem sind in den §§ 32 und 33 des neuen Bundesdatenschutzgesetzes (BDSG-neu) weitere Ausnahmen von den Informationspflichten normiert. Die Informationspflicht nach Art. 13 DS-GVO soll beispielsweise gem. § 32 Abs. 1 Nr. 4 BDSG-neu nicht bestehen, wenn die Geltendmachung, Aus- übung oder Verteidigung rechtlicher Ansprüche beeinträchtigt würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen. Es bestehen jedoch Zweifel, ob die in den §§ 32 und
33 BDSG-neu vorgesehenen Beschränkungen der Informationspflichten nach Art. 23 DS-GVO zulässig sind. Jedenfalls sind diese Regelungen grundsätzlich
eng und im Sinne einer größtmöglichen Transparenz auszulegen. Ob und in welchem Umfang eine in den §§ 32 und 33 BDSG-neu vorgesehene Beschränkung
der Informationspflichten aufgrund des Anwendungsvorrangs der DS-GVO tatsächlich angewendet werden kann, bleibt einer Entscheidung im jeweiligen
konkreten Einzelfall vorbehalten.
FORM DER INFORMATIONSPFLICHT
Gemäß Art. 12 Abs. 1 DS-GVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln. Die Informationen sind schriftlich oder in anderer Form (ggf. elektronisch) zur Verfügung zu stellen. Wird aber auf eine elektronisch verfügbare Information Bezug genommen, dann muss diese leicht auffindbar sein. Hierbei können auch Bildsymbole hilfreich sein.
Die leicht zugängliche Form bedeutet auch, dass die Informationen in der konkreten Situation verfügbar sein müssen. Sollen die Daten also von einer anwesenden Person erhoben werden, darf die Person in der Regel nicht auf Informationen im Internet verwiesen werden. Dies gilt gleichermaßen für eine
schriftliche Korrespondenz auf dem Papierweg.
NACHWEISE DER INFORMATIONSPFLICHT
Der Verantwortliche hat im Hinblick auf das Transparenzgebot stets den Nachweis einer ordnungsgemäßen Erledigung der Informationspflichten zu
erbringen (Art. 5 Abs. 1 lit. a und Abs. 2 DS-GVO).
FOLGEN EINES VERSTOSSES
Der Verstoß gegen die Informationspflichten kann nach Art. 83 Abs. 5 lit. b DS-GVO mit einer Geldbuße bestraft werden.
EMPFEHLUNG
Es ist für Verantwortliche im eigenen Interesse ratsam, rechtzeitig die nach Art. 25 DS-GVO erforderlichen technischen und organisatorischen Maßnahmen
für eine zügige und korrekte Erfüllung der Informationspflichten zu treffen.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz