Die im Mai 2018 in Kraft tretende Datenschutz Grundverordnung (DSGVO) führt in einigen Bereichen zu erheblichen Änderungen der aktuellen Gesetzeslage. Eine wichtige Neuerung betrifft die nunmehr notwendigen Informationspflichten bei der Erhebung von personenbezogenen Daten. Dies bedeutet, dass Unternehmen in jedem Fall ihre Datenschutzerklärungen überarbeiten müssen, insbesondere auf ihren Webseiten, sofern dort über Formulare oder auf anderen Wegen personenbezogene Daten gesammelt werden. Dieser Artikel soll helfen, einen Überblick über die künftig notwendigen Informationen in Datenschutzerklärungen zu geben.

Welche Informationspflichten bestehen bei der Erhebung von personenbezogenen Daten?

Die wesentlichen Regelungen zu Informationspflichten und Transparenz finden sich in Art. 13 DSGVO und Art. 14 DSGVO. Mit Inkrafttreten der Datenschutz Grundverordnung ist dem Betroffenen damit nun ein ganzer Katalog an Informationen mitzuteilen. Es ist dabei zu unterschieden, ob die Daten direkt beim Betroffenen erhoben werden oder nicht. Werden personenbezogene Daten beim Betroffenen erhoben, sind die in Artikel 13 DSGVO benannten Informationspflichten zu beachten. Werden personenbezogene Daten anderweitig erhoben (also nicht beim Betroffenen) ist Artikel 14 DSGVO einschlägig.

Erhebung der personenbezogenen Daten direkt beim Betroffenen, Art. 13 Datenschutz Grundverordnung

Die verantwortliche Stelle muss den Betroffenen, sofern die Daten beim Betroffenen erhoben werden, zum Zeitpunkt der ersten Erhebung der Daten über:

Name und Kontaktdaten der verantwortlichen Stelle (ladungsfähige Anschrift sowie die elektronische und/oder telefonische Erreichbarkeit) sowie gegebenenfalls seines Vertreters;
Sofern ein Datenschutzbeauftragter zu bestellen ist, sind dessen Kontaktdaten (umstritten ist, ob hier auch der Name des Datenschutzbeauftragten genannt werden muss, jedenfalls wird zum Teil sogar eine ladungsfähige Anschrift gefordert, zumindest ist aber die elektronische und/oder telefonische Erreichbarkeit aufzuführen);
Zweck und genaue Rechtsgrundlage der Verarbeitung (d.h. der genaue Absatz und ggf. Buchstabe des Artikel 6, um der betroffenen Person eine belastbare Überprüfung der zugrunde gelegten Rechtsgrundlage zu ermöglichen);
ggf. bei Verarbeitung nach Art. 6 Abs. 1 Buchstabe f DSGVO, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden,
ggf. den Empfänger oder Kategorie von Empfänger der personenbezogenen Daten;
Information über die Absicht des Verantwortlichen, personenbezogene Daten an ein Drittland oder eine internationale Organisation zur übermitteln und eventuelles Vorhandensein/ Fehlen eines Angemessenheitsbeschlusses der Kommission. ((Liegt kein Angemessenheitsbeschluss der Kommission vor, kommen Übermittlungen gem. Art. 46 ff. in Betracht, wobei der Verantwortliche die betroffene Person auf die geeigneten oder angemessenen Garantien zu verweisen hat. Zudem ist darauf hinzuweisen, wie und wo eine Kopie der Garantien erhältlich ist.))Und damit nicht genug: Um eine faire und transparente Verarbeitung zu gewährleisten, hat die verantwortliche Stelle die Pflicht, gemäß Art. 13 Abs. 2 DSGVO weitere Informationen zur Verfügung zu stellen ((Gleichzeitig ist trotz der Fülle der Informationen weiterhin Art. 12 Abs. 1 DSGVO zu beachten, der vorschreibt diese Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu übermitteln. Siehe hierzu weiter unten die Ausführungen zu Art. 12 Abs. 5 DSGVO.)). Dabei handelt es sich um Informationen über:
die konkrete Dauer der Speicherung der personenbezogenen Daten (Angabe der Tage, Monate bzw. Jahre inkl. Beginn) oder falls nicht möglich Kriterien zur Festlegung der Dauer;
alle bestehenden Rechte des Betroffenen kumulativ:
- das Recht auf Auskunft gegen den Verantwortlichen in Bezug auf personenbezogene Daten (Art. 15),
- das Recht auf Berichtigung (Art. 16),
- das Recht auf Löschung („Recht auf Vergessen werden“),
- das Recht auf Einschränkung der Verarbeitung (Art. 18),
- das Recht auf Datenübertragbarkeit (Art. 20) und
- das Recht auf Widerspruch gegen die Verarbeitung (Art. 21).
  Beachte: Sollte eines dieser Rechte nicht bestehen, darf auch nicht darüber belehrt werden.
das Bestehen des Rechtes, bei einer Verarbeitung aufgrund einer Einwilligung des Betroffenen (basierend auf Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO) die Einwilligung jederzeit zu widerrufen und über die Tatsache, dass die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung bis zum Widerruf unberührt bleibt;
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (die Kontaktdaten der Behörde müssen hierbei nicht angegeben werden);
ob die Bereitstellung der personenbezogenen Daten (gesetzlich oder vertraglich) vorgeschrieben ist, ob die Bereitstellung der personenbezogenen Daten für einen Vertragsabschluss erforderlich ist, ob die betroffene Person eine Pflicht hat, die personenbezogenen Daten bereitzustellen und welche potenziellen Folgen die Nichtbereitstellung von personenbezogenen Daten haben kann (diese Mitteilung muss immer erfolgen, selbst wenn sich diese Mitteilung weitestgehend in negativen Aussagen erschöpft) und über das Bestehen einer automatisierten Entscheidungsfindung (einschließlich Profiling) gem. Art. 22 Abs. 1 und 4 DSGVO und – zumindest in den Fällen der automatisierten Entscheidungsfindung – aussagekräftige Informationen über die involvierte Logik (nur die Grundannahmen, nicht jedoch Details über den verwendeten Algorithmus) sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (z.B. das eine ermittelte schlechtere Bonität zu einem höheren Kreditzins führen kann).

Des Weiteren muss die verantwortliche Stelle – sofern sie plant, die personenbezogenen Daten für einen anderen als den ursprünglich bei der Erhebung mitgeteilten Zweck weiterzuverarbeiten – vor Beginn der Weiterverarbeitung die betroffene Person erneut informieren (Art. 13 Abs. 3 DSGVO).

Wenn der Betroffene allerdings bereits über die nötigen Informationen verfügt, entfällt die Mitteilungspflicht aus Art. 13 Abs. 1,2 und 3 DSGVO. Im neu verabschiedeten Bundesdatenschutzgesetz (BDSG-NEU) finden sich in § 32 BDSG-NEU weitere Ausnahmen von der Informationspflicht (z.B. nicht digitale Verarbeitung von Daten, Gefährdung öffentlicher Sicherheit oder Ordnung, Behinderung der Rechtsverfolgung).

Erhebung der personenbezogenen Daten nicht beim Betroffenen

Zukünftig gilt Art. 14 Abs. 1 und 2 DSGVO, sobald die Daten nicht beim Betroffenen, sondern anderweitig, erhoben werden.

Demnach ist die verantwortliche Stelle gemäß Art. 14 Abs. 1 DSGVO dazu verpflichtet, den Betroffenen über:

Name und Kontaktdaten der verantwortlichen Stelle (ladungsfähige Anschrift sowie die elektronische und/oder telefonische Erreichbarkeit) sowie gegebenenfalls seines Vertreters – wie bei Art. 13 -;
Sofern ein Datenschutzbeauftragter zu bestellen ist, dessen Name und Kontaktdaten (ladungsfähige Anschrift sowie die elektronische und/oder telefonische Erreichbarkeit) – wie bei Art. 13 -;
Zweck und genaue Rechtsgrundlage der Verarbeitung (d.h. der genaue Absatz und ggf. Buchstabe des Artikel 6, um der betroffenen Person eine belastbare Überprüfung der zugrunde gelegten Rechtsgrundlage zu ermöglichen) – wie bei Art. 13 -;
die Kategorien der personenbezogenen Daten – nur im Rahmen des Art. 14 –;
ggf. den Empfänger oder Kategorie von Empfänger der personenbezogenen Daten – wie bei Art. 13 -;
Information über die Absicht des Verantwortlichen, personenbezogene Daten an ein Drittland oder eine internationale Organisation zur übermitteln und eventuelles Vorhandensein/ Fehlen eines Angemessenheitsbeschlusses der Kommission – wie bei Art. 13 -.((Vgl. Fußnote 1.))zu informieren. Ergänzend müssen gemäß Art. 14 Abs. 2 zusätzliche Informationen bereitgestellt werden über:
die konkrete Dauer der Speicherung der personenbezogenen Daten (Angabe der Tage, Monate bzw. Jahre inkl. Beginn) oder falls nicht möglich Kriterien zur Festlegung der Dauer – wie bei Art. 13 -;
wenn die Verarbeitung auf Art. 6 Abs. 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden – wie bei Art. 13 -;
alle bestehenden Rechte des Betroffenen kumulativ – wie bei Art. 13 – und zwar:
- das Recht auf Auskunft gegen den Verantwortlichen in Bezug auf personenbezogene Daten (Art. 15),
- das Recht auf Berichtigung (Art. 16),
- das Recht auf Löschung („Recht auf Vergessen werden“),
- das Recht auf Einschränkung der Verarbeitung (Art. 18),
- das Recht auf Datenübertragbarkeit (Art. 20) und
- das Recht auf Widerspruch gegen die Verarbeitung (Art. 21).
  Beachte: Sollte eines dieser Rechte nicht bestehen, darf auch nicht darüber belehrt werden.;
das Bestehen des Rechtes, bei einer Verarbeitung aufgrund einer Einwilligung des Betroffenen (basierend auf Art. 6 Abs. 1 Buchstabe a oder Art. 9 Abs. 2 Buchstabe a DSGVO) die Einwilligung jederzeit zu widerrufen und über die Tatsache, dass die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung bis zum Widerruf unberührt bleibt – wie bei Art. 13 -;
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (die Kontaktdaten der Behörde müssen hierbei nicht angegeben werden) – wie bei Art. 13 -;
aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen – nur im Rahmen des Art. 14 –;
ob die Bereitstellung der personenbezogenen Daten (gesetzlich oder vertraglich) vorgeschrieben ist, ob die Bereitstellung der personenbezogenen Daten für einen Vertragsabschluss erforderlich ist, ob die betroffene Person eine Pflicht hat, die personenbezogenen Daten bereitzustellen und welche potenziellen Folgen die Nichtbereitstellung von personenbezogenen Daten haben kann (diese Mitteilung muss immer erfolgen, selbst wenn sich diese Mitteilung weitestgehend in negativen Aussagen erschöpft) und über das Bestehen einer automatisierten Entscheidungsfindung (einschließlich Profiling) gem. Art. 22 Abs. 1 und 4 DSGVO und – zumindest in den Fällen der automatisierten Entscheidungsfindung – aussagekräftige Informationen über die involvierte Logik (nur die Grundannahmen, nicht jedoch Details über den verwendeten Algorithmus) sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (z.B. das eine ermittelte schlechtere Bonität zu einem höheren Kreditzins führen kann) – wie bei Art. 13 -.

Sollten Sie Unterstützung in der Erfüllung der Datenschutzgrundverordnung benötigen, können wir Ihnen als zertifizierte Datenschutzbeauftragte helfen. Nehmen Sie dazu mit uns Kontakt auf.

Informationspflichten und Transparenz

Inhalt

Welche Informationspflichten bestehen bei der Erhebung von personenbezogenen Daten?

Erhebung der personenbezogenen Daten direkt beim Betroffenen, Art. 13 Datenschutz Grundverordnung

Erhebung der personenbezogenen Daten nicht beim Betroffenen

Schreibe einen Kommentar

Mehr zum Thema Datenschutz

Kontakt

Downloadbereich

Neueste Blogeinträge

Meldefrist bei Datenschutz-Verletzung: (keine) Probleme bei der Berechnung der 72-Stunden-Frist?

EU-U.S. Data Privacy Framework – die neue Grundlage für den Datentransfer in die USA

IoT (Internet of Things) und Datenschutz

Alle Cookies ablehnen?

Datenschutz und WhatsApp Business Cloud API

Betriebliches Gesundheits-Management (BGM) und Datenschutz

Sitemap