DS-GVO: Informationspflichten nach Art. 13 DS-GVO (Erhebung beim Betroffenen)

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DS-GVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind.

Der Betroffene((Gendernotice)) ist in die Lage zu versetzen, bei jeder Datenerhebung, -verarbeitung bzw. -nutzung prüfen zu können, wer was wann und bei welcher Gelegenheit über ihn weiß

Geldbuße bis zu 20 Millionen Euro oder bis 4 Prozent des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit

Sofern personenbezogene Daten beim Betroffenen erhoben werden, muss der Verantwortliche folgende Informationen mitteilen: ((Rechtsgrundlage: Art. 13 (1) ))

a) Identität des Verantwortlichen 

Es ist über den Namen und die Kontaktdaten (mindestens Name der natürlichen oder juristischen Person, Anschrift sowie E-Mail-Adresse oder Telefonnummer) des Verantwortlichen zu informieren. Gleiches gilt ggf. für Namen und Kontaktdaten des Vertreters des Verantwortlichen, wenn der Verantwortliche selbst nicht in der EU niedergelassen ist.((Rechtsgrundlage: Art. 13 (1 a), Art. 27))

b) Kontaktdaten des Datenschutzbeauftragten

Es besteht die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutzbeauftragten des Verantwortlichen. Eine namentliche Nennung ist nicht erforderlich, als Kontaktdaten sollten mindestens die Anschrift und eine E-Mail-Adresse angegeben werden.((Rechtsgrundlage: Art. 13 (1 b) ))

c) Verarbeitungszwecke und Rechtsgrundlage

Der Verantwortliche muss über die Zwecke der Datenverarbeitung sowie über die Rechtsgrundlage der Verarbeitung informieren. Diese neue Anforderung führt dazu, dass der Betroffene darüber aufgeklärt werden muss, auf welchen Erlaubnistatbestand (siehe Art. 6 DS-GVO, z. B. Einwilligung oder Erfüllung eines Vertrages) der Verantwortliche die Datenverarbeitung stützen möchte.((Rechtsgrundlage: Art. 13 (1 c) ))

d) Berechtigtes Interesse 

Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich sein, beziehen sich die Informationspflichten auch auf eine Aufklärung über diese Interessen. ((Rechtsgrundlage:  Art. 13 (1 d),  Art. 6 (1 f) ))

e) Empfänger

Bei Übermittlung personenbezogener Daten ist der Betroffene grundsätzlich über die konkreten Empfänger zu informieren. Alternativ reicht auch eine Information über Kategorien von Empfängern, wenn konkrete Unternehmen noch nicht bezeichnet werden können. In der Praxis wird oft nur eine Information über die Kategorien von Empfängern möglich sein, z. B., wenn der konkrete Empfänger noch nicht feststeht oder häufiger unterschiedliche Unternehmen bei der Leistungserbringung einbezogen werden.((Rechtsgrundlage: Art. 13 (1 e) ))

f) Übermittlung in Drittstaaten 

Bei einer Übermittlung personenbezogener Daten in Drittstaaten, ist darüber ebenfalls zu informieren. Um diese Pflicht zu erfüllen, ist mitzuteilen, auf welcher besonderen Bedingung die Übermittlung beruht und welche Maßnahmen ergriffen wurden, um beim Empfänger ein angemessenes Datenschutzniveau herzustellen. ((Rechtsgrundlage: Art 13 (1f), Art. 44 ff. ))

Der Verantwortliche hat dem Betroffenen darüber hinaus weitere Informationen mitzuteilen, die insbesondere notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten: ((Rechtsgrundlage: Art. 13 (2) ))

a) Dauer der Speicherung

Es ist konkret anzugeben, für wie lange personenbezogene Daten gespeichert werden. Falls dies nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung aus. ((Rechtsgrundlage: Art. 13 (2a) ))

b) Rechte der Betroffenen 

Der Betroffene ist über seine Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit hinzuweisen. ((Rechtsgrundlage: Art. Art. 13 (2 b), Art. 15 – 21))

c) Widerrufbarkeit von Einwilligungen 

Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist darauf gesondert hinzuweisen. Die entsprechende Informationspflicht ist nur erfüllt, wenn gleichzeitig darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. ((Rechtsgrundlage:  Art. 13 (2 c) ))

d) Beschwerderecht bei der Aufsichtsbehörde

Der Betroffene ist darüber aufzuklären, dass er sich bei einer Aufsichtsbehörde beschweren kann, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten rechtswidrig erfolgt. ((Rechtsgrundlage:  Art. 13 (2 d),  Art. 77))

e) Verpflichtung zur Bereitstellung personenbezogener Daten 

Der Verantwortliche muss den Betroffenen darüber informieren, ob die Bereitstellung seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche Folgen eine Nichtbereitstellung hätte.  ((Rechtsgrundlage: Art. 13 (2 e) ))

f) Automatisierte Entscheidungsfindung und Profiling 

Sobald der Verantwortliche Verfahren der automatisierten Entscheidungsfindung einschließlich Profiling-Maßnahmen durchführt, muss der Betroffene über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren informiert werden. Diese Informationspflicht erstreckt sich auf Angaben zu der dazu verwendeten Logik oder des Algorithmus. ((Rechtsgrundlage:  Art. 13 (2 f),  Art. 22 (1 + 4) ))

Ausweislich Art. 12 DS-GVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. 

Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden. Dafür können auch sog. standardisierte Bildsymbole verwendet werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. 

Unter Bezug auf die Art.-29-Datenschutzgruppe vertritt die GDD die Ansicht, dass in einigen Verarbeitungssituationen, in denen eine vollumfängliche Information nicht möglich oder zweckmäßig ist, ein Medienbruch hinzunehmen ist. Dies kann z. B. beim Automatenverkauf, bei Telefongeschäften und bei Gewinnspiel-Postkarten der Fall sein. Die Informationen, die der Betroffene für die Entscheidung über die Offenlegung seiner Daten benötigt, müssen danach unmittelbar gegeben werden. Weitere Informationen, z. B. die Kontaktdaten des Datenschutzbeauftragten, die Speicherdauer oder die Betroffenenrechte, können danach auf einer gesonderten Internetseite (mit einfacher URL) oder per Fax-Abruf erfolgen. ((Rechtsgrundlage  ErwGr 60,  Art. 12))

Der Betroffene muss nach Art. 13 Abs. 1 DS-GVO zum Zeitpunkt der Erhebung informiert werden. 

Bei der Direkterhebung kann nach Art. 13 Abs. 4 DS-GVO auf die Information des Betroffenen nur dann verzichtet werden, wenn dieser bereits informiert wurde.

Insgesamt lässt sich festhalten, dass die Fälle, in denen auf eine Information des Betroffenen verzichtet werden kann, im Gegensatz zum BDSG eingeschränkt werden.

Weitere Einschränkungen der Informationspflichten über die beabsichtigte Weiterverarbeitung bei: ((Rechtsgrundlage:  § 32 (1) BDSG neu))

• unverhältnismäßigem Aufwand und geringes Interesse des Betroffenen ((Rechtsgrundlage:  (Nr. 1) ))
• Gefährdung der öffentlichen Sicherheit (Interessenabwägung)  ((Rechtsgrundlage: (Nr. 3) ))
• Beeinträchtigung der Geltendmachung, Ausübung und Verteidigung rechtlicher Ansprüche (Interessenabwägung)  ((Rechtsgrundlage: (Nr. 4) ))
• Gefährdung von vertraulicher Übermittlung von Daten an öffentliche Stellen  ((Rechtsgrundlage: (Nr. 5) ))

 In den Fällen unterbliebener Information sind die weiteren Rechtsfolgen (Dokumentation und Transparenz bzw. Nachholung der Information zu beachten. ((Rechtsgrundlage:  § 32 (2, 3) BDSG neu))