Umsetzung der Informationspflichten

Lesezeit: ca. 6 Minuten

Wenn ein Unternehmen bisher die Umsetzung der DSGVO wenig bis gar nicht vorangetrieben hat, empfehlen wir als erstes eine intensive Bearbeitung der gesetzlichen Anforderungen zur Umsetzung der Informationspflichten gemäß Art. 12 ff. DSGVO. Der EU-Gesetzgeber hat diese Vorschriften als besonders wichtig erachtet und in die zweite höhere Bußgeldstufe eingeordnet. Es lässt sich von außen gut erkennen, ob die DSGVO diesbezüglich entsprechend den gesetzlichen Anforderungen umgesetzt ist. Fehlt beispielsweise bei der Übergabe einer Kundenkarte eine entsprechende Information über die Datenverarbeitung oder wird auf der Webseite nicht darüber informiert, welche personenbezogenen Daten beim Besuch der Internetseite erhoben und verarbeitet werden, so kann jeder Laie sofort erkennen, dass es mit Blick auf die Umsetzung der DSGVO noch deutliche Vollzugsdefizite gibt.

Bringschuld der Unternehmen gem. DSGVO

Mit der DSGVO hat der Gesetzgeber ein neues Grundprinzip im Datenschutz festgelegt. Jedes Unternehmen und jede Behörde sollen Kunden, Bürgern,. Mitarbeitern und sonstigen Personen, deren personenbezogene Daten gespeichert und verarbeitet werden, genau mitteilen, was und in welchem Umfang im Rahmen der Datenverarbeitung geschieht. Nach altem Datenschutzrecht konnten diese Informationen zwar über einen Datenschutzauskunft in Erfahrung gebracht werden. Dass es einen solchen gesetzlichen Auskunftsanspruch gab, wussten wenige Kunden und Mitarbeiter, sodass in der Praxis Unternehmen mit Auskunftsansprüchen nicht oder fast nicht konfrontiert wurden. Nunmehr erwartet der Gesetzgeber als „Bringschuld“, dass der jeweilige Datenverarbeiter aktiv auf die Betroffenen, also Kunden, Lieferanten und Mitarbeiter, mit Informationen zugeht, deren Daten verarbeitet werden.

Dies ist aus Sicht des Gesetzgebers wesentlich, um für die Betroffenen zu einer Selbstbestimmung über die Verwendung personenbezogener Daten zu kommen.

Einfache Sprache bei den Informationen gem. DSGVO

In Art. 12 Abs. 1 DSGVO ist festgelegt, dass der Verantwortliche betroffenen Personen alle Informationen gemäß Art. 13 und Art. 14 DSGVO geben soll, damit diese über die Verwendung ihrer personenbezogenen Daten informiert sind. Dabei erwartet der Gesetzgeber keine komplexen und komplizierten juristischen Formulierungen, sondern fordert die Unternehmen auf, diese Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form bereitzuhalten. Ausdrücklich wird auf eine klare und einfache Sprache verwiesen.

In Art. 13 DSGVO sind dann konkret verschiedene Einzelinformationen aufgelistet, die einem Kunden, einem Mitarbeiter oder Dritten mitzuteilen sind. Art. 13 DSGVO ist anzuwenden, wenn die Datenerhebung direkt beim Kunden erfolgt.

Inhalt der Informationen

Die Informationspflichten nach Art. 13 DSGVO gliedern sich in „statische Informationen“, die in allen Fällen gleich sind. Zu diesen statischen Informationen gehören beispielsweise der Name und die Kontaktdaten des Verantwortlichen und seines Vertreters sowie die Kontaktdaten des Datenschutzbeauftragten. Auch sind Kunden, Mitarbeiter und Dritte über ihre Betroffenenrechte zu belehren, beispielsweise, dass es ein Recht auf Auskunft, ein Recht auf Berichtigung und ein Recht auf Löschung gibt. Darüber hinaus soll auf das Beschwerderecht bei der Aufsichtsbehörde hingewiesen werden.

Daneben gibt es „variable Bestandteile“ der Information nach Art. 13 DSGVO. Gemäß Art. 13 Abs. 1 lit. c) DSGVO soll dem Betroffenen mitgeteilt werden, auf welcher Rechtsgrundlage die jeweilige Datenverarbeitung erfolgt und für welchen Zweck die Daten verarbeitet werden.

Hier werden keine ausführlichen juristischen Formulierungen erwartet. Allerdings soll ein Betroffener mit diesen Informationen überprüfen können, ob die angegebene Rechtsgrundlage für die Datenverarbeitung geeignet ist und ob er die Daten genau für den angegebenen Zweck an das Unternehmen übergeben hat. Auch der Empfänger der Daten oder zumindest Kategorien von Empfängern sollen gemäß Art. 13 Abs. 1 lit. e) DSGVO dem Betroffenen mitgeteilt werden.

Mitteilung der Speicherdauer

Eine besondere Herausforderung in der praktischen Umsetzung ist die nach Art. 13 Abs. 2 lit. a) DSGVO geforderte Mitteilung über die Speicherdauer. Der Gesetzgeber sieht dazu zwei Varianten vor. Entweder wird die Dauer, für die die personenbezogenen Daten gespeichert werden, genau angegeben oder es werden ggf. die Kriterien für die Festlegung der Dauer mitgeteilt, sodass der Betroffene selbst berechnen kann, wie lange die personenbezogenen Daten gespeichert werden. An dieser Stelle genügt nicht ein pauschaler Hinweis, dass ein Unternehmen sich an die gesetzlichen Regelungen hält. Die Erwartungshaltung des Gesetzgebers ist weitergehend. Beispielsweise soll in Monaten und Jahren konkret die Speicherdauer benannt sein.

Auch bei der Angabe der Rechtsgrundlage für die Datenverarbeitung genügt kein pauschaler Hinweis darauf, dass eine gesetzliche Grundlage an sich vorhanden ist. Es wird eine konkrete Benennung der Rechtsgrundlage erwartet.

Gibt es keine Rechtsgrundlage für die Datenverarbeitung, muss diese unterbleiben. Insoweit ist die fehlende Angabe einer Rechtsgrundlage ein Indiz dafür, dass die jeweilige konkrete Datenverarbeitung nach der DSGVO unzulässig und illegal ist.

Fehlen die statischen und variablen Informationen nach Art. 13 DSGVO, so kann dies für das Unternehmen einen Bußgeldtatbestand auslösen. Auch können Betroffene einen Schmerzensgeldanspruch geltend machen. Es wird darüber hinaus diskutiert, ob allein aufgrund der fehlenden Informationen die jeweilige konkrete Datenverarbeitung rechtswidrig ist.

Im Gesetz ist nur eine einzige Ausnahme formuliert, bei der nach Art. 13 DSGVO keine Informationen an Kunden, Mitarbeiter oder andere Betroffene übermittelt werden müssen. Gemäß Art. 13 Abs. 4 DSGVO ist dann nicht weitergehend zu informieren, wenn der Betroffene bereits über die Informationen verfügt.

E-Mail und Datenschutz

Die Informationspflicht nach Art. 13 DSGVO gilt auch, wenn per E-Mail mit dem Unternehmen Kontakt aufgenommen wird. Wir empfehlen daher, in die E-Mail-Signatur einen entsprechenden Hinweis auf eine Datenschutzerklärung mit aufzunehmen, und in diesem Hinweis sollten dann die Rechtsgrundlage und auch die Speicherdauer der E-Mail sowie die anderen gesetzlich geforderten Angaben genannt sein. Solche Informationen müssen nicht direkt in der E-Mail selber mitgeschickt werden, sodass eine Überfrachtung mit gesetzlichen Informationen in E-Mails vermieden wird. Es ist möglich, über einen Link auf weitergehende Datenschutzinformationen zu verweisen. Ausdrücklich erlauben die Datenschutzaufsichtsbehörden einen Medienbruch, um Informationen zu übermitteln.

Internetseite und Informationspflichten

Die Informationspflichten bestehen auch in Bezug auf die Nutzung und die Veröffentlichung einer Internetseite. Häufig werden Analysetools, wie beispielsweise Google Analytics, eingesetzt, um die Besucher auf der Internetseite zu analysieren. Dann ist ebenfalls mit einer Datenschutzerklärung für die Internetnutzung darzulegen, zu welchem Zweck, auf Basis welcher Rechtsgrundlage und für welche Dauer personenbezogene Daten gespeichert werden. Wenn die Internetseite bei einem Drittanbieter gehostet wird, ist dieser ebenfalls zu benennen.

Daten von Dritten

Viele Unternehmen erheben nicht nur selber Daten, sondern bekommen auch Daten durch Dritte übermittelt. In solchen Fällen gelten die Regelungen nach Art. 14 DSGVO. Dort ist festgelegt, wie mit den Informationspflichten umzugehen ist, wenn personenbezogene Daten nicht direkt bei der betroffenen Person erhoben werden. In diesem Fall sind die Ausnahmeregelungen deutlich weiter gefasst. Gemäß Art. 14 Abs. 5 DSGVO muss beispielsweise nicht informiert werden, wenn die ersterhebende Stelle entsprechende Informationen übermittelt hat. Auch wenn die Erteilung der Information sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert, können entsprechende Informationen an Kunden, Mitarbeiter und andere Betroffene unterbleiben. Allerdings sollten die entsprechenden Ausnahmeregelungen sehr vorsichtig gehandhabt werden.

In der Praxis ergeben sich aber einige Hürden bei der Umsetzung. Nur wenn bei dem „Erstverarbeiter“ die gesetzlichen Informationspflichten ausreichend umgesetzt wurden, kann das Unternehmen als „Zweitverarbeiter“ der personenbezogenen Daten auf weitergehende Belehrungen verzichten. Eine Unternehmen muss sich sicher sein, dass beispielsweise eine vermittelnde Stelle genau diese gesetzlichen Pflichten sorgfältig beobachtet. Wenn dies nicht sicher ist, empfehlen sich eigene Belehrungen, um rechtliche Risiken zu vermeiden.

Ein Unternehmen steht also vor der Frage, ob sie sich auf die richtige Umsetzung der Datenschutzvorschriften von anderen vermittelnden Stellen verlassen kann und will? Dann müsste in der eigenen Organisation zwischen den Betroffenen differenziert werden, die bereits eine Information erhalten haben und den anderen Betroffenen, die noch informiert werden müssen.

In vielen Fällen ist es einfacher und praktikabler, beispielsweise durch einen entsprechenden Link auf einer Internetseite oder anderweitige Hinweise alle Betroffenen gleichmäßig und uneingeschränkt zu informieren. Eine solche Vorgehensweise hat den Vorteil, dass im Arbeitsalltag nach einer entsprechenden Einrichtung und Umsetzung der Informationspflichten nicht mehr darüber nachgedacht werden muss, ob und in welchem Umfang die Informationspflichten zu beachten sind.

Insgesamt ist festzustellen, dass die Umsetzung der gesetzlichen Anforderungen zu den Informationspflichten mehr eine organisatorische als eine juristische Herausforderung ist. Es bedarf eines gewissen Aufwands, die Informationen zusammenzutragen. Ist dies aber gelungen, so braucht es im nächsten Schritt einen guten und Unternehmen und Betroffene wenig belastenden Weg, auf die entsprechenden Informationen zu verweisen. Wenn beispielsweise in der E-Mail-Signatur ein entsprechender Hinweis auf eine Datenschutzinformation per Link gegeben wird und ein entsprechender Link auch auf den Briefbögen angegeben ist, ist für die E-Mail- und Briefkommunikation die gesetzliche Anforderung umgesetzt.

Der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe zu den Informationspflichten des Verantwortlichen nach Art. 13 und Art. 14 DSGVO mit Stand 26.11.2018 herausgegeben. Die Orientierungshilfe enthält Formulierungsbeispiele.

https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Informationspflichten.pdf

Ergänzend finden Sie auf dem YouTube-Kanal „Mission Datenschutz“ ebenfalls weitergehende Erklärungen und Informationen:

https://www.youtube.com/watch?v=tm3eWddujqc&t=

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen