Informationspflichten des Verantwortlichen nach Art. 13 und Art. 14 DSGVO

Lesezeit: ca. 6 Minuten

Der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe zu den Informationspflichten des Verantwortlichen nach Art. 13 und Art. 14 DSGVO mit Stand 26.11.2018 herausgegeben. Das Dokument finden Sie unter folgender Website:

https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Informationspflichten.pdf

In der Einleitung wird bereits darauf hingewiesen, dass diese Orientierungshilfe „erste Antworten und Hilfestellungen“ bieten sollen. Dies überrascht dann doch, dass nach einer zweijährigen Vorbereitungszeit bis zum 25.05.2018 und nach mehrmonatiger Umsetzung und Anwendung der DSGVO nunmehr im November 2018 eine Orientierungshilfe für eines der Kernthemen der DSGVO von einer Aufsichtsbehörde veröffentlicht wird und darauf hingewiesen wird, dass es sich hierbei um erste Antworten und Hilfestellungen handelt.

Dies zeigt nach unserer Erfahrung und Beobachtung auch den derzeitigen Status der Aufsichtsbehörden, den es trotz der langen Umsetzung und Vorbereitungszeit nicht gelungen ist, vorzeitig und zeitgerecht für Behörden und Unternehmen Regelungen und Hilfestellungen zu entwickeln, die die Anwendung der DSGVO erleichtern und unterstützen.

Dabei ist an dieser Stelle noch einmal zu betonen, dass die Informationspflichten nach Art. 13 DSGVO und nach Art. 14 DSGVO sowohl für Behörden als auch Unternehmen vollumfänglich gelten. Es gibt hier keinen Sonderstatus der öffentlichen Einrichtungen, sondern es wird erwartet, dass die Informationspflichten vollständig von allen umgesetzt werden.

Richtig weist die Aufsichtsbehörde darauf hin, dass sich die Angaben, die nach Art. 13 und Art. 14 DSGVO bereitzustellen sind, vielfältig mit den Informationen aus dem Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO decken. Insoweit führt ein ordnungsgemäßes Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, das zum 25.05.2018 bereits vorliegen sollte, auch zu einer erleichterten Anwendung der Informationspflichten aus der DSGVO.

Weiterhin stellt die Aufsichtsbehörde fest, dass der Verantwortliche informieren muss. Es ist nicht Aufgabe des Datenschutzbeauftragten, hier die Informationspflichten zu übernehmen.

Der Datenschutzbeauftragte soll entsprechend den gesetzlichen Regelungen in Art. 39 DSGVO die Einhaltung der Informationspflichten überwachen.

Mit Hilfe der Informationspflichten sollen betroffene Personen in die Lage versetzt werden, die Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen, sei es ein Unternehmen oder eine Behörde, einschätzen zu können. Heimliche Datenverarbeitungen sollen auf diese Weise weitgehend ausgeschlossen werden.

Wann entsteht die Informationspflicht?

Die Informationspflicht entsteht nach Art. 13 Abs. 1 und Abs. 2 DSGVO bei der „Erhebung“. Der Begriff „Erhebung“ ist in der DSGVO selbst nicht definiert. Art. 5 Nr. 2 DSGVO zeigt lediglich, dass die Erhebung in der Regel den Beginn der Verarbeitung von personenbezogenen Daten darstellt. Nach Auffassung der Bayerischen Datenschutzaufsicht setzt das Erheben voraus, dass der Verantwortliche durch aktives Handeln Kenntnis oder Verfügungsmacht über die betroffenen personenbezogenen Daten erhält. Dabei wird aber der Begriff „aktives Handeln“ weit interpretiert.

Die Aufsichtsbehörde weist in den weiteren Ausführungen darauf hin, dass es in bestimmten Konstellationen schwierig zu beurteilen ist, ob ein aktives Handeln seitens des Verantwortlichen vorliegt. Hier wird auf eine weitergehende Entwicklung in der Rechtsprechung und in der aufsichtsbehördlichen Praxis verwiesen, wirkliche Hilfestellungen gibt es aber nicht. Dies ist aus Sicht der Praxis sehr misslich. Es wird dann seitens der Aufsichtsbehörde nur der Ratschlag gegeben, dass in Zweifelsfällen lieber den Informationspflichten nach Art. 13 DSGVO nachgekommen werden soll.

Es werden dann im weiteren Verlauf der Erörterungen Beispiele aufgezeigt, wann Informationspflichten bestehen und Gegenbeispiele, wann diese nicht bestehen. Insbesondere soll eine Initiativübermittlung durch Bürger zunächst keine Informationspflicht auslösen. Allerdings wird beispielsweise nach Auffassung der Bayerischen Aufsichtsbehörde eine Informationspflicht ausgelöst, wenn Behördenmitarbeiter bei Bürgern nachfragen und weitere Informationen einholen. Daher ist bei einer weitergehenden Kommunikation davon auszugehen, dass Informationspflichten bestehen.

Formulierungshilfen bei dem genauen Inhalt

Eine Stärke der Orientierungshilfe der Bayerischen Aufsichtsbehörde ist, dass verschiedene Formulierungsbeispiele gegeben werden.

Im Einzelnen wird dargestellt, worüber informiert werden muss. Mit verschiedenen Formulierungsbeispielen wird dann aufgezeigt, wie die gesetzlichen Anforderungen in der Praxis umgesetzt werden können. Wichtig ist, dass durch den Inhalt der Informationen Betroffene eine stabile rechtliche Beurteilungsgrundlage haben, ob die jeweilige Datenverarbeitung zu Recht erfolgt.

Im Zusammenhang mit der Rechtsgrundlage wird darauf verwiesen, dass ein pauschaler Verweis nicht ausreichend ist, sondern die jeweils konkreten Rechtsgrundlagen, zumindest die Rechtsgrundlage aus der DSGVO anzugeben ist.

Bei der Mitteilung der Empfänger sollen auch Organisationseinheiten innerhalb derselben öffentlichen Stelle genannt werden, hier wird beispielsweise der Personalrat als gesonderte Stelle genannt. Wenn also Unterlagen und personenbezogene Daten an den Personalrat weitergegeben werden, muss darüber informiert werden.

Wann muss informiert werden?

Zu der Frage, wann informiert werden muss, gibt es leider nur wenig Informationen. Es wird darauf verwiesen, dass die Informationen in einem unmittelbaren zeitlichen Zusammenhang mit dem Beginn der Datenverarbeitung bereitzustellen sind. Was dies genau bedeutet, ob hier in Minuten, Stunden oder in Tagen gerechnet werden muss, lässt die Aufsichtsbehörde unbeantwortet.

Aus unserer Sicht ist es nach wie vor nicht nachvollziehbar, warum sich die Aufsichtsbehörden hier nicht stärker positionieren und deutlich machen, welche Erwartungshaltung sie beispielsweise hinsichtlich der Zeitabläufe an die Umsetzung der Informationspflichten haben. Es ist nunmehr über 2 1/2 Jahre her, dass die Datenschutzgrundverordnung veröffentlicht wurde. Es erstaunt nach wie vor, dass die Aufsichtsbehörden nach 2 1/2 Jahren es noch nicht geschafft haben, hier Erwartungshaltungen deutlich zu formulieren.

Wie muss informiert werden?

Hinsichtlich des „wie“ gibt es mittlerweile bessere Vorgaben der Aufsichtsbehörden. Zwar wird auf das Spannungsfeld zwischen transparenter und verständlicher sowie präziser Information hingewiesen. Es wird aber nicht mehr gefordert, dass auf Medienbrüche verzichtet werden muss. Das Bereitstellen von Informationen auf einer Internetseite wird in den meisten Fällen als ausreichend angesehen. Es ist aber dabei das Kriterium zu berücksichtigen, dass die Information in leicht zugänglicher Form bereitgestellt werden muss. Deutlich verweist die Aufsichtsbehörde darauf, dass angesichts der mittlerweile hohen Internet-Zugangsquoten und der Vielzahl an onlinefähigen Geräten davon auszugehen ist, dass die Bereitstellung der Information auf einer Internetseite in Verbindung mit einem entsprechenden Verweis grundsätzlich an die Umsetzung der Informationspflichten genügt.

Allerdings wird erwartet, dass im Falle eines Medienbruchs der betroffenen Person alternative Bezugsmöglichkeiten aufgezeigt werden. Dies ist in vielen Fällen noch umzusetzen.

Insgesamt ist festzustellen, dass die Orientierungshilfe schon vertiefende Informationen, insbesondere hilfreiche Formulierungsbeispiele gibt. Allerdings bleiben nach wie vor viele Lücken. Dies ist in Anbetracht der gesetzgeberischen Einordnung der Verstöße gegen die Informationspflichten in die zweite Bußgeldstufe, sprich der höheren Bußgeldstufe, äußerst ärgerlich. Hier wird seitens der Aufsichtsbehörden das Risiko von Bußgeldverstößen einfach auf die Behörden und Unternehmen verlagert. Es bleibt im Moment vielen Unternehmen und Behörden nicht anderes übrig, als die weitere Praxis der Aufsichtsbehörden zu beobachten. Wir werden sowohl auf unserem YouTube Kanal „Mission Datenschutz“ als auch auf unserer Internetseite hier entsprechende Informationen über Präzisierung der Vorgaben der Aufsichtsbehörden kurzfristig berichten.

Folgen einer Verletzung der Informationspflicht

Interessant ist am Schluss noch der Hinweis, welche Folgen eine Verletzung der Informationspflicht hat. Hier wird darauf hingewiesen, dass ggf. ein Bußgeld verhängt werden kann. Zwar sind in Bayern, auf Bundesebene und in vielen Bundesländern die öffentlichen Stellen von der Bußgeldbedrohung ausgenommen. Allerdings ist in vielen Landesdatenschutzgesetzen geregelt, dass ein Bußgeld verhängt werden kann, wenn öffentliche Stellen mit Unternehmen am Wettbewerb teilnehmen.

Weiterhin wird seitens der Aufsichtsbehörde darauf hingewiesen, dass ein Verstoß gegen die Informationspflichten auch die Rechtmäßigkeit der Verarbeitung personenbezogener Daten infrage stellen kann. Dies könnte in der Praxis tatsächlich noch erhebliche Probleme nach sich ziehen.

Die Aufsichtsbehörde geht aber offensichtlich nicht davon aus, dass Schadensersatzansprüche nach Art. 82 DSGVO aufgrund der Verletzung von Informationspflichten bestehen können. Der Verweis auf den Schadensersatz und auf Art. 82 DSGVO fehlt in dem Dokument vollständig. Dies ist aus unserer Sicht ebenfalls eine echte Lücke. Nach unserer Einschätzung kann durchaus erwartet werden, dass in der Zukunft Betroffene Ansprüche nach Art. 82 DSGVO, insbesondere Schmerzensgeldforderungen gegenüber Behörden und Unternehmen bei Verstößen gegen die Informationspflichten geltend machen werden. Da nach den gesetzlichen Regelungen Gerichtsstand jeweils der Wohnsitz des Betroffenen ist, kann es dabei zu einer sehr wunden und möglicherweise sich widersprechenden Rechtsprechung kommen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen