Datenschutz-Grundverordnung: Informationspflichten nach Art. 14 DS-GVO

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat.

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit.

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Der Betroffene ist in die Lage zu versetzen, bei jeder Datenerhebung, -verarbeitung bzw. -nutzung prüfen zu können, wer was wann und bei welcher Gelegenheit über ihn weiß. Er soll außerdem eine Grundlage für die Ausübung der Betroffenenrechte haben. Bei den Informationspflichten nach Art. 14 ist zu berücksichtigen, dass der Betroffene den Umstand der Datenerhebung selbst zunächst nicht kennt.

Geldbuße bis zu 20 Mio. EUR oder bis 4% des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit

Wenn personenbezogene Daten nicht beim Betroffenen erhoben werden, muss der Verantwortliche der betroffenen Person folgende Informationen mitteilen: ((Rechtsgrundlage: Art. 14 (1) ))

• Identität des Verantwortlichen
  Es ist über den Namen und die Kontaktdaten des Verantwortlichen (mindestens Name der natürlichen oder juristischen Person, Anschrift sowie E-Mail-Adresse oder Telefonnummer) zu informieren. Gleiches gilt ggf. für Namen und Kontaktdaten des Vertreters des Verantwortlichen, wenn der Verantwortliche selbst nicht in der EU niedergelassen ist. ((Rechtsgrundlage: Art. 14 (1 a), Art. 27))
  

• Kontaktdaten des Datenschutzbeauftragten

  Es besteht die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutzbeauftragten des Verantwortlichen. Eine namentliche Nennung ist nicht erforderlich, als Kontaktdaten sollten mindestens die Anschrift und eine E-Mail-Adresse angegeben werden.((Rechtsgrundlage: Art. 14 (1 b), Art. 14 (1 c) ))

• Verarbeitungszwecke und Rechtsgrundlage

  Der Verantwortliche muss über die Zwecke der Datenverarbeitung sowie über die Rechtsgrundlage der Verarbeitung informieren. Diese neue Anforderung führt dazu, dass der Betroffene darüber aufgeklärt werden muss, auf welchen Erlaubnistatbestand (siehe Art. 6 DS-GVO, z.B. Einwilligung oder Erfüllung eines Vertrages) der Verantwortliche die Datenverarbeitung stützen möchte.((Rechtsgrundlage: Art. 14 (1 d) ))

• Datenkategorien

  Die betroffene Person ist über die Kategorien von Daten, die verarbeitet werden, zu informieren.((Rechtsgrundlage: Art. 14 (1e), Art. 6 (1 f) ))

• Empfänger

  Bei Übermittlung personenbezogener Daten ist der Betroffene grundsätzlich über die konkreten Empfänger zu informieren. Alternativ reicht auch eine Information über Kategorien von Empfängern, wenn konkrete Unternehmen noch nicht bezeichnet werden können. In der Praxis wird oft nur eine Information über die Kategorien von Empfängern möglich sein, z. B., wenn der konkrete Empfänger noch nicht feststeht oder häufiger unterschiedliche Unternehmen bei der Leistungserbringung einbezogen werden.((Rechtsgrundlage: Art. 14 (1 f), Art. 44 ff.))

• Übermittlung in Drittstaaten

  Bei einer Übermittlung personenbezogener Daten in Drittstaaten ist darüber ebenfalls zu informieren. Um diese Pflicht zu erfüllen, ist mitzuteilen, auf welcher besonderen Bedingung die Übermittlung beruht und welche Maßnahmen ergriffen wurden, um beim Empfänger ein angemessenes Datenschutzniveau herzustellen.

Der Verantwortliche hat dem Betroffenen darüber hinaus weitere Informationen mitzuteilen, die insbesondere notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

• Dauer der Speicherung

  Es ist konkret anzugeben, für wie lange personenbezogene Daten gespeichert werden. Falls dies nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung aus. ((Rechtsgrundlage: Art. 14 (2 a) ))

• Berechtigtes Interesse

  Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich sein, beziehen sich die Informationspflichten auch auf eine Aufklärung über diese Interessen.((Rechtsgrundlage: Art. 14 (2 b), Art. 6 (1 f) ))

• Rechte der Betroffenen

  Der Betroffene ist über seine Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit hinzuweisen.((Rechtsgrundlage: Art. 14 (2 b), Art. 6 (1 f) ))

• Widerrufbarkeit von Einwilligungen

  Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist darauf gesondert hinzuweisen. Die entsprechende Informationspflicht ist nur erfüllt, wenn gleichzeitig darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. ((Rechtsgrundlage: Art. 14 (2 d) ))

• Beschwerderecht bei der Aufsichtsbehörde

  Der Betroffene ist darüber aufzuklären, dass er sich bei einer Aufsichtsbehörde beschweren kann, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten rechtswidrig erfolgt. ((Rechtsgrundlage: Art. 14 (2 e), Art. 77))

• Datenquelle

  Der Verantwortliche muss den Betroffenen darüber informieren, aus welcher Quelle die Daten stammen und ggfs., ob sie aus öffentlich zugänglichen Quellen (z. B. Telefonbuch) stammen. Wenn verschiedene Quellen genutzt wurden und der betroffenen Person daher nicht mitgeteilt werden kann, woher die Daten stammen, soll die Information allgemein gehalten werden. ((Rechtsgrundlage: Art. 14 (2 f), ErwGr 61))

• Automatisierte Entscheidungsfindung und Profiling

  Sobald der Verantwortliche Verfahren der automatisierten Entscheidungsfindung einschließlich Profiling-Maßnahmen durchführt, muss der Betroffene über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren informiert werden. Diese Informationspflicht erstreckt sich auf Angaben zu der dazu verwendeten Logik oder des Algorithmus.  ((Rechtsgrundlage: Art. 14 (2 g), Art. 22 (1 + 4) ))

Im Fall der beabsichtigten Weiterverarbeitung der personenbezogenen Daten zu einem anderen Zweck als dem, für den sie erhoben worden sind, sind dem Betroffenen Informationen über diesen Zweck sowie die Informationen nach Art. 14 Abs. 2 a) bis g) zur Verfügung zu stellen.((Rechtsgrundlage: Art. 14 (4) ))

Die Informationen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden. ((Rechtsgrundlage: ErwGr 60, Art. 12 (1) ))

Dafür können auch sog. standardisierte Bildsymbole verwendet werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Wenn sie in elektronischer Form dargestellt werden, sollen sie maschinenlesbar sein. ((Rechtsgrundlage: Art. 12 (7), ErwGr 60))

Unter Bezug auf die Art. 29-Datenschutzgruppe vertritt die GDD die Ansicht, dass in einigen Verarbeitungssituationen, in denen eine vollumfängliche Information nicht möglich oder zweckmäßig ist, ein Medienbruch hinzunehmen ist. Dies kann z. B. beim Automatenverkauf, bei Telefongeschäften und bei Gewinnspiel-Postkarten der Fall sein. Die Informationen, die der Betroffene für die Entscheidung über die Offenlegung seiner Daten benötigt, müssen danach unmittelbar gegeben werden. Weitere Informationen, z. B. die Kontaktdaten des Datenschutzbeauftragten, die Speicherdauer oder die Betroffenenrechte, können danach auf einer gesonderten Internetseite (mit einfacher URL) oder per Fax-Abruf erfolgen.

• Der Betroffene muss innerhalb einer angemessenen Frist, spätestens innerhalb eines Monats nach Erlangung der Daten, informiert werden. ((Rechtsgrundlage: Art. 14 (3 a) ))
• Wenn die Daten zur Kommunikation mit dem Betroffenen verwendet werden, z. B. bei Direktwerbung, ist die Information mit der ersten Mitteilung an den Betroffen zu erteilen. ((Rechtsgrundlage: Art. 14 (3 b) ))
  
• Wenn die Offenlegung der Daten an einen anderen Empfänger beabsichtigt ist, muss die Information des Betroffenen spätestens zum Zeitpunkt der ersten Offenlegung erfolgen.((Rechtsgrundlage: Art. 14 (3 c) ))
  
• Im Fall der Weiterverarbeitung der Daten zu einem anderen Zweck als dem, für den sie erhoben worden sind, sind die Informationen vor der Weiterverarbeitung zu erteilen.((Rechtsgrundlage: Art. 14 (4) ))
  

Erfolgt die Erhebung der Daten nicht beim Betroffenen, kann auf die Information des Betroffenen verzichtet werden, wenn und soweit ((Rechtsgrundlage: Art. 14 (5) ErwGr 62))

• dieser bereits über die Informationen verfügt ((Rechtsgrundlage: Art. 14 (5 a) ))
• die Erteilung der Information unmöglich oder mit unverhältnismäßigem Aufwand verbunden ist. Als Beispiele für diese Ausnahme werden im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke und statistische Zwecke genannt. Für diese Verarbeitungen müssen außerdem besondere Maßnahmen zum Schutz der Betroffenen getroffen werden. ((Rechtsgrundlage: Art. 14 (5 b), Art. 89 (1) ))
• die Information die Verarbeitungszwecke unmöglich machen oder ernsthaft beeinträchtigen würde. In diesen Fällen sind geeignete Maßnahmen zum Schutz der Rechte und Freiheiten der Betroffenen zu treffen und die Informationen zu veröffentlichen.((Rechtsgrundlage: Art. 14 (5 b) ))
• die Erlangung oder Offenlegung durch Rechtsvorschriften der EU oder des jeweiligen Mitgliedsstaates vorgeschrieben ist((Rechtsgrundlage: Art. 14 (5 c) ))
• die Daten dem Berufsgeheimnis oder einer satzungsmäßigen Geheimhaltungspflicht unterliegen.((Rechtsgrundlage: Art. 14 (5 d) ))

Weitere Einschränkungen der Informationspflichten über die beabsichtigte Weiterverarbeitung bestehen in folgenden Fällen:

• Es würden Informationen offenbart, die ihrem Wesen nach, insbesondere wegen überwiegender berechtigter Interessen eines Dritten, geheim gehalten werden müssen ((Rechtsgrundlage: Art. 29 (1) BDSGneu))
• Die Information des Betroffenen würde die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigen (Interessenabwägung)((Rechtsgrundlage: § 33 (1, Nr. 2 a) BDSG n. F.))
• Die Verarbeitung enthält Daten aus zivilrechtlichen Verträgen und dient der Verhütung von Schäden durch Straftaten (Interessenabwägung)((Rechtsgrundlage: § 33 (1, Nr. 2 a) BDSG n. F.))
• Die zuständige öffentliche Stelle hat gegenüber dem Verantwortlichen festgestellt, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohle des Bundes oder eines Landes Nachteile bereiten würde. Im Falle der Strafverfolgung bedarf es keiner solchen Feststellung. ((Rechtsgrundlage: § 33 (1, Nr. 2 b) BDSG n. F.))

In den Fällen unterbliebener Information sind die weiteren Rechtsfolgen (Dokumentation und Transparenz bzw. Nachholung der Information) zu beachten.

Die Möglichkeiten zum Verzicht auf eine Information des Betroffenen werden im Vergleich zum bisherigen BDSG stark eingeschränkt. Angesichts der in der Datenschutzgrundverordnung genannten Regelbeispiele wird davon ausgegangen, dass die Aufsichtsbehörden hohe Anforderungen an einen Verzicht auf die Informationen stellen. Eine Information unter Hinnahme eines Medienbruchs (s. o.) ist einem Verzicht im Zweifel vorzuziehen.((Rechtsgrundlage: § 33 (2) BDSG n. F.))

• Erhebungstatbestände nicht beim Betroffenen online und offline identifizieren (z. B. Bonitätsabfragen)
• Prüfen, ob bisher bestehende Ausnahmen (noch) greifen. Im Vergleich zum BDSG sind viele Ausnahmetatbestände weggefallen. 
• Prozess für Information bei Bonitätsauskünften überprüfen 
• Prozesse für Informationspflichten im Hinblick auf die Fristen (max. ein Monat nach Erhalt der Daten bzw. in der ersten Kommunikation bzw. mit Offenlegung) prüfen/schaffen 
• Prozess für Informationspflicht bei Weiterverarbeitung zu einem anderen Zweck schaffen