Informationspflicht nach DSGVO
was ist das?
Immer noch gibt es Unternehmen, die bei Anfragen zu Auskünften von personenbezogenen Daten unsicher sind, wie solche Auskünfte zu handhaben sind und welche Informationen und Daten weitergegeben werden dürfen.
Die DSGVO regelt die Informationspflichten in zwei Artikeln, und zwar in den beiden Art. 13 und 14. Allgemein gültiges Prinzip dabei ist die transparente Verarbeitung der betroffenen Daten.
Die wesentliche Unterscheidung dabei ist wo die Erhebung der Daten erfolgt. Werden die Daten direkt bei dem Betroffenen erhoben gelten die Informationspflichten nach Art. 13 DSGVO, wenn die Erhebung der Daten nicht direkt bei dem Betroffenen erfolgt trifft Art. 14 DSGVO zu.
Welche Informationspflicht besteht bzw. welche Informationen müssen nun gemäss DSGVO bereitgestellt werden, wenn eine Auskunft von Daten verlangt wird:
Identität des Verantwortlichen:
Daten zu Namen und Kontakt des Verantwortlichen. Hinweis: vor der Bearbeitung einer Anfrage sollte die Identität des Anfragenden zweifelsfrei festgestellt werden
Kontaktdaten des Datenschutzbeauftragten:
Bei Unternehmen, die einen Datenschutzbeauftragten benennen müssen, ansonsten genügen die Kontaktdaten des Mitarbeiters, der mit Datenschutzanliegen befasst ist
Verarbeitungszwecke und Rechtsgrundlage:
neben dem Zweck sollte angegeben werden, ob z.B. eine Einwilligung vorliegt oder Erfüllung eines Vertrages als Rechtsgrundlage dient.
Berechtigtes Interesse:
sehr oft werden hier Kundenbeziehungen angeführt werden, aufgrund derer mit einer Verarbeitung der Daten z.B. zu Verwaltungszwecken zu rechnen ist
Empfänger:
die betroffenen Personen sind grundsätzlich über die konkreten Empfänger oder Kategorien von Empfängern der Datenübermittlung zu informieren
Übermittlung in Drittstaaten:
bei Übermittlung personenbezogener Daten in Drittstaaten muss nach Art. 44 DSGVO mitgeteilt werden, auf welcher Grundlage die Übermittlung beruht und welche Maßnahmen ergriffen wurden, um beim Empfänger ein angemessenes Datenschutzniveau zu garantieren.
Darüber hinaus ist es nach Art. 13 Abs. 2 DSGVO vorgeschrieben, dass eine Informationspflicht gegenüber der betroffenen Person besteht, weitere Daten mitzuteilen, bzw. die Person über folgende Punkte aufzuklären:
Speicherdauer:
es besteht eine Informationspflicht bezüglich der Dauer für wie lange personenbezogene Daten gespeichert werden. Nur ausnahmsweise, wenn die Angabe einer Konkreten Zeitspanne dem Verantwortlichen nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung der Daten aus.
Rechte der Betroffenen:
dazu gehören das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit. Als Grundlage dafür sind die Art. 15 bis 21 DSGVO ergeben
Widerruf von Einwilligungen:
falls die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist das Recht auf Widerruf zu erwähnen
Beschwerderecht bei der Aufsichtsbehörde:
im Art. 77 DSGVO ist erwähnt, dass sich ein Betroffener bei einer Aufsichtsbehörde beschweren kann, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Informationen rechtswidrig erfolgt. Zuständig ist die jeweilige Datenschutzbehörde des Landes, in dem der Verantwortliche seinen Sitz hat
Informationspflicht personenbezogener Daten:
der Verantwortliche muss der betroffene Person Informationen bereitstellen über die Bereitstellung seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche Folgen eine Nichtbereitstellung hätte
Automatisierte Entscheidungsfindung und Profiling:
hierbei muss der Betroffene Informationen über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren erhalten. Diese Informationspflicht erstreckt sich auf Angaben zu der dazu verwendeten Logik oder des Algorithmus.
In diesem Zusammenhang können wir aus Sicht des Datenschutzes allen Unternehmen nur empfehlen die Informationspflichten nach DSGVO ernst zu nehmen und die o.g. Punkte bei Auskünften zu berücksichtigen.
Ähnliche Vorgaben als der Art.13 macht auch Art. 14 DSGVO, d.h. bei Erhebung von Daten nicht direkt bei der betroffenen Person. Dazu gehört beispielsweise die Verpflichtung nach DSGVO die Quelle anzugeben, woher die Informationen stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.
Wir werden bezüglich der Informationspflicht auch immer wieder mit Fragen konfrontiert, in welcher Form die Informationen und Daten gegeben werden sollten und wann.
Nach Art. 12 DSGVO sind die oben dargestellten Daten in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an die betroffene Person übermittelt werden. Bei einer Direkterhebung der Daten muss der Betroffene nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung informiert werden. Bei allen anderen Anfragen wird als angemessene Frist zur Auskunft 4 Wochen angenommen.
In diesem Zusammenhang können wir aus Datenschutzsicht allen Unternehmen nur empfehlen die Fristen für die Auskunftserteilung und Informationspflicht zu berücksichtigen.
In nur ganz wenigen Fällen, kann die Informationspflicht nach DSGVO eingeschränkt sein. Dies gilt beispielsweise, wenn stichhaltig begründet werden kann, dass die Beschaffung der Daten unverhältnismäßig schwierig und aufwändig ist. In einzelnen Fällen kann auch ein Berufsgeheimnis oder Geheimhaltungspflicht dem entgegenstehen.
In diesem Zusammenhang können wir aus Datenschutzsicht allen Unternehmen nur empfehlen durch den Datenschutzbeauftragten genau prüfen zu lassen, ob eine Einschränkung der Informationspflicht besteht.
Bei Verstößen gegen die Informationspflicht drohen den Unternehmen wiederum hohe Bußgelder.
In diesem Zusammenhang können wir aus Datenschutzsicht allen Unternehmen nur empfehlen einen definierten Ablauf, bzw. Prozess zu erstellen, damit Form und Zeitpunkt der Informationspflichten nach Art. 13 und 14 DSGVO umgesetzt werden können.
Ein souveräner Umgang mit diesem Thema erfordert zudem, dass alle Mitarbeiter entsprechend über die Informationspflicht sensibilisiert sind und zumindest wissen, an wen sie sich im Unternehmen wenden können.
