DSGVO – Die Informationspflichten nach Art. 13 und Art. 14 DS-GVO

Lesezeit: ca. 8 Minuten

Als Erstes sollte ein Unternehmen oder eine Behörde bei der Umsetzung der DSGVO die Bereiche bearbeiten, die von außen sichtbar sind und wahrgenommen werden. Es gibt einige Aspekte der DSGVO, bei denen sofort von außen erkennbar ist, ob Unternehmen oder Behörden Maßnahmen ergriffen haben, um die neuen datenschutzrechtlichen Regelungen anzuwenden.

Der europäische Gesetzgeber ändert dabei mit der DS-GVO ein Grundprinzip im Datenschutz. Bisher war es auf Basis der gesetzlichen Regelungen möglich, durch die Geltendmachung von Auskunftsansprüchen in Erfahrung zu bringen, wer welche personenbezogenen Daten eines Bürgers speichert und verarbeitet. Hier ist zukünftige Erwartungshaltung des europäischen Gesetzgebers, dass jede Stelle, sei es Unternehmen oder Behörde, unabhängig ob groß oder klein, den Betroffenen im Vorfeld über Datenverarbeitungsprozesse informiert. Wer beispielsweise in sein Warenwirtschaftssystem oder sein CRM-System personenbezogene Daten eingibt, soll darüber dem Betroffenen eine Information zukommen lassen. Dies ist aus Sicht des Gesetzgebers der wesentliche Beitrag zur Umsetzung der geforderten Selbstbestimmung über die Verwendung der personenbezogenen Daten.

Nach unserer Wahrnehmung ist dieser Aspekt leider erst sehr spät in das Bewusstsein der Unternehmen und Behörden gekommen. Vielfach sind die gesetzlich festgelegten Informationspflichten nach wie vor nicht im Fokus bei der Anwendung und Umsetzung der DSGVO. Dass es dem Gesetzgeber dabei durchaus sehr ernst ist, ergibt sich auch aus dem Umstand, dass die Umsetzung der Informationspflichten der 2. Bußgeldstufe, sprich Geldbußen von bis zu 20 Mio. Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes, zugeordnet wird. Aus dieser Klassifizierung ergibt sich deutlich, welche rechtlichen Regelungen dem Gesetzgeber besonders wichtig sind.

Transparente Informationen

Nach Art. 12 Abs. 1 DSGVO soll der Verantwortliche, sprich das Unternehmen oder die Behörden, betroffenen Personen alle Informationen gem. Art. 13 und 14 DSGVO geben, damit diese über die Verwendung ihrer personenbezogenen Daten informiert sind. Dabei stellt der Gesetzgeber die Forderung auf, dass eine solche Information in präziser, transparenter, verständlicher und leicht zugänglicher Form erfolgen soll und dabei eine klare und einfache Sprache verwendet werden soll. Ein Unternehmen oder eine Behörde soll sich nicht durch komplizierte juristische Formulierungen oder durch versteckte Datenschutzhinweise der Verantwortung entziehen. „Transparente Informationen“ sind eine der zentralen Forderungen der DSGVO.

 Sofortige Information an Betroffene

Konkret sieht Art. 13 DSGVO verschiedene Einzelinformationen vor, die dem Betroffenen mitzuteilen sind. Dabei verweist Art. 13 DSGVO auf die direkte Erhebung bei einer betroffenen Person. Dies kann beispielsweise durch die Verarbeitung einer E-Mail durch die Software des Verantwortlichen erfolgen. Werden also personenbezogene Daten bei der betroffenen Person erhoben, so soll der Verantwortliche zum Zeitpunkt der Erhebung dieser Daten seinen Informationspflichten nachkommen. Der Begriff „Datenerhebung“ ist nicht weiter definiert. In den juristischen Kommentierungen wird darauf abgestellt, dass eine Datenerhebung den Beginn eines Datenverarbeitungsprozesses darstellt. Mit der Datenerhebung wird erstmals zielgerichtet auf personenbezogene Daten zugegriffen, um diese weiterzuverarbeiten. Dies kann beispielsweise auch durch eine Löschung geschehen.

Umfang der Informationspflichten

Die Informationspflichten gliedern sich in statische Informationen, die in allen Fällen gleich sind, und variablen Informationen. Zu den statischen Informationen gehören beispielsweise der Name und die Kontaktdaten des Verantwortlichen und seines Vertreters und die Kontaktdaten des Datenschutzbeauftragten. Weiterhin ist darüber zu belehren, dass es ein Recht auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie ein Recht auf Berichtigung und Löschung gibt. Es soll auf ein Beschwerderecht bei der Aufsichtsbehörde hingewiesen werden, und für alle Inkassodienstleister von besonderer Bedeutung ist die Forderung, dass aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und angestrebte Auswirkungen von Datenverarbeitungen übermittelt werden sollen. Hier empfiehlt sich in der Praxis, dass eine Musterinformation erstellt wird, die für alle Fälle der Datenverarbeitung in einem Unternehmer oder Behörden diese statischen Informationspflichten entsprechend den genauen Anforderungen des Art. 13 DSGVO umsetzt.

Daneben gibt es variable Bestandteile einer Information nach Art. 13 DSGVO. Gem. Art. 13 Abs. 1 lit. c DSGVO soll dem Betroffenen mitgeteilt, für welche Zwecke die personenbezogenen Daten verarbeitet werden und auf Basis welcher Rechtsgrundlage die Verarbeitung erfolgt. Auch sollen die Empfänger oder Kategorien von Empfängern mitgeteilt werden (Art. 13 Abs. 1 lit. e DSGVO). Gem. Art. 13 Abs. 2 lit. a DSGVO ist weiterhin über die Dauer, für die die personenbezogenen Daten gespeichert werden, oder ggf. die Kriterien für die Festlegung der Dauer zu informieren.

Diskutiert wird aktuell, in welchem Detaillierungsgrad eine entsprechende Information erfolgen soll. Genügt es beispielsweise, für die Nennung der Rechtsgrundlage anzugeben, welche genaue rechtliche Regelung nach Art. 6 Abs. 1 DSGVO gilt. In Art. 6 Abs. 1 DSGVO ist im Einzelnen dargelegt, wann eine Verarbeitung von personenbezogenen Daten rechtmäßig ist. Genügt es also, die europäischen Regelungen der DSGVO lediglich zu zitieren oder wörtlich wiederzugeben. Teilweise wird die Auffassung vertreten, dass eine betroffene Person damit keine Möglichkeit hat, ihre rechtliche Position gegenüber der Datenverarbeitung einzuschätzen. Die Erlaubnistatbestände in Art. 6 Abs. 1 DSGVO sind überschriftartig formuliert. Um die Informationspflicht korrekt umzusetzen, wird gefordert, einzelfallbezogen und vollständig die jeweilige Rechtslage darzulegen. Der Verantwortliche soll die Rechtsgrundlage so erläutern, dass die betroffene Person deren Anwendung nachvollziehen kann. Hier haben sich bisher die Aufsichtsbehörden nicht deutlich positioniert. Es bleibt also abzuwarten, mit welchem Detaillierungsgrad die Rechtsgrundlage anzugeben ist. Im ersten Schritt genügt vermutlich erst einmal der Verweis auf Art. 6 Abs. 1 DSGVO. Die zukünftigen rechtlichen Diskussionen werden hoffentlich an dieser Stelle Klarheit bringen.

Bei der Speicherdauer genügt nicht ein pauschaler Hinweis, dass die gesetzlichen Regelungen über die Speicherung und Archivierung eingehalten werden. Die Information soll gem. Art. 12 DSGVO vollständig und präzise sein. Insoweit bedarf es einer konkreten Angabe und beispielsweise des Hinweises, nach wie vielen Monaten oder Jahren personenbezogene Daten gelöscht werden.

In der praktischen Anwendung dieser gesetzlichen Vorschrift ergeben sich nach unserer Erfahrung vielfältige Diskussionen, da bei Unternehmen und Behörden abschließend festgelegt werden muss, wann beispielsweise personenbezogene Daten gelöscht werden müssen oder können. Eine konkrete Festlegung mit Blick auf den Zweck der Verarbeitung und den gesetzlichen Anforderungen ist häufig nicht einfach.

Bedrohungen bei Missachtung der Informationspflichten

Sowohl für Unternehmen als auch für Behörden ergibt sich aus den Informationspflichten eine besondere finanzielle und wirtschaftliche Bedrohung. Eine fehlende Information oder auch beispielsweise eine fehlerhafte Festlegung der Speicherdauer kann bei den Betroffenen Schmerzensgeldansprüche auslösen. Es wäre also durchaus denkbar, dass bei einem E-Mail-Versand an eine Behörde oder ein Unternehmen im Nachgang eine Schmerzensgeldforderung aufgestellt wird, wenn nicht „zum Zeitpunkt der Erhebung“ eine Information über die Rechtsgrundlage, den Empfänger der Daten oder die Speicherdauer übermittelt wird. Hierbei ist noch unklar, welcher Zeitrahmen mit der Formulierung „zum Zeitpunkt der Erhebung“ gemeint ist. Allerdings ist davon auszugehen, dass ein wochenlanges Warten mit der Informationspflicht nicht im Sinne des Gesetzes ist.

Praxisbeispiel:

Eine Behörde oder ein Unternehmen erhält eine Bewerbung. Dann ist „zum Zeitpunkt der Erhebung“ dem Bewerber eine Information gem. Art. 13 DSGVO zu übermitteln. Dies unabhängig von der weiteren Bearbeitung der Bearbeitung. Wir empfehlen, beispielsweise, bei auf den Webseiten veröffentlichen E-Mail-Adressen für Bewerbungen sicherzustellen, dass kurzfristig, möglichst innerhalb eines Tages, eine erste Antwort und Rückmeldung dem Bewerber übermittelt wird. Anderenfalls besteht die Gefahr, dass Bewerber, die abgelehnt werden, im Nachgang nicht nur Forderungen nach dem AGG, sondern auch Forderungen wegen Datenschutzverstößen und Schmerzensgeldansprüche geltend machen.

Ausnahme von den Informationsplichten

Art. 13 DSGVO sieht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person nur eine einzige Ausnahme in Art. 13 Abs. 4 DSGVO vor. Wenn die betroffene Person bereits über die entsprechenden Informationen verfügt, muss keine erneute Information erfolgen. Andere Argumente, wie beispielsweise der Verweis auf einen unverhältnismäßigen Aufwand oder andere Arten der technischen oder organisatorischen Unmöglichkeit, sind bei Art. 13 DSGVO unbeachtlich. Die Erwartungshaltung des Gesetzgebers ist, dass alle Behörden und Unternehmen die Informationspflichten einhalten und umsetzen.

Praxistipp:

 Wir empfehlen allen Unternehmen und Behörden, in die E-Mail-Signatur einen entsprechenden Hinweis auf die Umsetzung der Informationspflicht nach Art. 13 DSGVO mit aufzunehmen. Es kann beispielsweise auf der Unternehmens- oder Behördenwebsite eine Unterseite eingerichtet werden, die die variablen und statischen Informationen nach Art. 13 DSGVO veröffentlicht. Mit einem entsprechenden Link erhält dann jeder Empfänger einer E-Mail eine transparente und leicht zugängliche Möglichkeit, sich zu informieren. Alternativ kann auch eine entsprechende Information beispielsweise bei Onlineshops im Rahmen der Neukundenregistrierung per E-Mail als PDF-Anhang übermittelt werden. Es ist eine gewisse Kreativität in der organisatorischen Abwicklung notwendig. Wir haben die Erfahrung gemacht, dass Organisationsabläufe, die nicht individuell bearbeitet werden müssen, eine Umsetzung der gesetzlichen Anforderungen am besten sicherstellen.

 Die Informationspflicht nach Art. 13 DSGVO gilt im Übrigen auch für die Kommunikation per Brief oder Telefon.

Art. 13 DS-GVO führt auch zusätzlich dazu, dass alle Datenschutzhinweise auf den Internetseiten zu ändern sind. In diesen Datenschutzerklärungen muss ebenfalls die Rechtsgrundlage der Verarbeitung und beispielsweise die Speicherdauer von IP-Adressen genannt werden. Werden Daten beispielsweise an Analyse-Tools weitergegeben, ist darüber zu informieren.

Ab dem 25.05.2018 ist also anhand der Datenschutzhinweise auf der Internetseite und anhand der Umsetzung der Informationspflichten bei der E-Mail-Kommunikation schnell von außen festzustellen, ob ein Unternehmen oder eine Behörde die Anforderungen der Datenschutz-Grundverordnung umgesetzt hat. Noch einmal ist zu betonen, dass eine unvollständige oder fehlerhafte Umsetzung der Informationspflichten nach Art. 13 DSGVO sowohl ein abschreckendes Bußgeld als auch Schmerzensgeldansprüche der betroffenen Personen auslösen kann.

Neben den Informationspflichten nach Art. 13 DSGVO sieht Art. 14 DSGVO auch eine Informationspflicht vor, wenn personenbezogene Daten nicht direkt bei der betroffenen Person erhoben werden. Erhalten Unternehmen und Behörden beispielsweise im Rahmen von kaufmännischen oder technischen Abwicklungen Daten Dritter, bestehen grundsätzlich ebenfalls die Informationspflichten. Der Ausnahmekatalog ist allerdings in Art. 14 Abs. 5 DSGVO deutlich weiter. Die verantwortliche Stelle, die personenbezogene Daten vermittelt erhält, muss nicht informieren, wenn die betroffene Person bereits über die Information verfügt. Auch besteht nach Art. 14 Abs. 5 lit. b DSGVO keine Informationspflicht, wenn die Erteilung der Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert. Diese Ausnahmenregelungen sollten aber vorsichtig angewandt anzuwenden. Eine fehlerhafte Interpretation oder zu weite Auslegung dieser Ausnahmenvorschriften löst ebenfalls einen Bußgeldtatbestand der zweiten Bußgeldstufe und ggf. einen Schmerzensgeldanspruch aus.

Wenn nicht sichergestellt werden kann, dass der „Erstverarbeiter“ der personenbezogenen Daten seinen Pflichten nach Art. 13 DSGVO nachgekommen ist, bleibt dem „Zweitverarbeiter“ nichts anderes übrig, als selber die Informationspflichten umzusetzen. Der Inhalt der Informationspflichten ähnelt in Art. 14 DSGVO weitestgehend den Anforderungen in Art. 13 DSGVO. Ergänzend kommt die Information über die Kategorien der personenbezogenen Daten, die verarbeitet werden, hinzu. Bei der Ersterhebung weiß der Betroffene, welche personenbezogenen Daten er übermittelt hat. Dies ist bei der Weitergabe von personenbezogenen Daten so nicht mehr sichergestellt. Daher muss über die Kategorien der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, informiert werden. Es wird nicht gefordert, dass die einzelnen Daten oder Datensätze genannt werden. Bewusst fordert der Gesetzgeber die Angabe der „Kategorien“.

Die Umsetzung der Informationspflichten sollte für alle Unternehmen und Behörden, die bisher noch keine Maßnahmen oder nur wenige Schritte in Richtung DSGVO unternommen haben, allererste Aufgabe sein. Viele andere Forderungen der DSGVO, die ebenfalls umgesetzt werden müssen, sind von außen nicht zu beurteilen. Mitbewerber, die datenschutzrechtliche Abmahnungen beabsichtigen, oder Betroffene können nicht erkennen, welchen Status die Umsetzung der Datenschutzregelungen haben. Bei den Informationspflichten ist dies sofort auf der Internetseite oder beispielsweise im Rahmen der E-Mail-Kommunikation zu erkennen. Wir empfehlen Sofortmaßnahmen, um eine transparente Information der betroffenen Personen zu erreichen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen