Informationspflichten nach der DSGVO
Mit Anwendung der DSGVO ab 25.05.2018 werden sich die Informationspflichten gegenüber der betroffenen Person deutlich erweitern. Wenn viele Datenschützer derzeit kritisieren, dass die neue DSGVO das Datenschutzniveau in Deutschland künftig absenken wird, dann sind deren Argumente häufig nachvollziehbar. Zahlreiche spezielle Regelungen wie beispielsweise zur Videoüberwachung (§ 6b BDSG), zu automatisierten Abrufverfahren (§ 10 BDSG), zur geschäftsmäßigen Übermittlung von Daten (§§ 29, 30 BDSG) oder zu Zwecken der Werbung (§ 28 BDSG) wird es künftig nicht mehr geben. Für alle diese Verfahren werden dann die allgemeinen Datenschutzbestimmungen der DSGVO heranzuziehen sein. In der Regel wird dies Artikel 6 DSGVO sein und in vielen Fällen wird nach Art. 6 Abs. 1 lit. f DSGVO zwischen den berechtigten Interessen des Verantwortlichen und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person abzuwägen sein. Im Endeffekt wird also eine recht unspezifische allgemein gehaltene Regelung mit viel Raum für Interpretationen die Rechtmäßigkeit von Verarbeitungen definieren. Erst gerichtliche Entscheidungen werden hier in vielen Fällen tatsächlich Klarheit bringen können. Insgesamt besteht zumindest die Gefahr, dass das Datenschutzniveau diesbezüglich nach der DSGVO insgesamt eher geringer sein wird als nach dem BDSG.
Unterscheidung nach Art der Datenerhebung
Demgegenüber wurden die Informationspflichten gegenüber der betroffenen Person deutlich ausgeweitet. Hierbei handelt es sich um diejenigen Angaben, die einer betroffenen Person hinsichtlich Verarbeitung und Nutzung ihrer Daten unaufgefordert mitgeteilt werden müssen. Kurz zusammengefasst entsteht derzeit fast der Eindruck, dass nach der DSGVO künftig folgender Grundsatz gilt: (Fast) alles ist möglich und erlaubt – aber die betroffene Person muss darüber umfassend informiert werden. Dabei definiert die DSGVO je nachdem ob die Daten direkt bei der betroffenen Person oder bei einem Dritten erhoben werden unterschiedliche Informationspflichten.
Informationspflichten bei Erhebung direkt bei der betroffenen Person
Festgelegt sind die Informationspflichten bei Erhebung direkt bei der betroffenen Person in Art. 13 DSGVO.
Demnach sind der betroffenen Person bereits zum Zeitpunkt der Erhebung im Wesentlichen folgende Angaben zu übermitteln:
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
- die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt,
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.
In Sonderfällen sind weitere Angaben erforderlich, beispielsweise bei Datenübermittlungen in Drittländer oder bei einer Datenverarbeitung zum Zwecke des Profilings.
Und wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden…
…dann hilft Artikel 14 DSGVO weiter. In diesem Falle ist zusätzlich zu den oben bereits genannten Informationen mitzuteilen, welche Daten oder Datenkategorien verarbeitet werden, sowie aus welcher Quelle die personenbezogenen Daten stammen.
Achtung: Hierfür definiert der Verordnungsgeber eine Frist von max. einem Monat. Werden die Daten vorher zur Kommunikation mit der betroffenen Person genutzt, sind die Informationen im Rahmen dieser ersten Kommunikation zu geben. Gleiches gilt bei Offenlegung gegenüber Dritten.
Konsequenzen
Als Konsequenz aus dem umfangreichen Informationspflichten wird sich ergeben, dass vertragliche Vereinbarungen oder Einwilligungserklärungen künftig deutlich umfangreicher werden als bisher. Hinzu kommt, dass spätere Zweckänderungen nur in sehr engen Grenzen zulässig sein werden. Das heißt in der erstmaligen Vereinbarung mit der betroffenen Person (Einwilligung oder Vertrag) wird ein für die Verarbeitung Verantwortlicher zusätzlich zu den Zwecken, die beabsichtigt sind, gegebenenfalls auch weitere aufführen, die zukünftig vielleicht einmal beabsichtigt sein könnten.
Ein weiterer Punkt ist, dass “Empfänger” in der DSGVO anders definiert sind als bisher. Während nach dem BDSG nur Dritte auch Empfänger sein konnten, ist nach der Artikel 4 DSGVO ein Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt. Das heißt, auch interne Stellen innerhalb der verantwortlichen Stelle wie die Personalabteilung, Rechtsabteilung etc. könnten zumindest nach strenger Lesart dieses Artikels im Rahmen der Informationspflichten zu nennen sein.
Ausnahmen?
Keine – zumindest nach derzeitigem Stand. Allerdings bietet die DSGVO dem nationalen Gesetzgeber in engen Grenzen die Möglichkeit, Ausnahmen von den Informationspflichten einzuführen. Der derzeitige Entwurf des BDSG (neu) sieht dies beispielsweise dann vor, wenn die Erteilung der Auskünfte einen unverhältnismäßig hohen Aufwand bedeute würde. Über die weitere Entwicklung des BDSG (neu) werden wir selbstverständlich zukünftig in unserem Newsletter berichten.
Gerade im Bereich der Informationspflichten ist bei der Umstellung auf die DSGVO Handlungsbedarf gegeben. Sprechen Sie uns an, gerne unterstützen wir Sie – jetzt ist genau der richtige Zeitpunkt!
Wie soll man das denn am Telefon Bestellhotline / Kundenservice umsetzen? Ich habe gelesen, dass Warteschleifenansagen im Gespräch sind, ist das die Lösung? Oder könnte alternativ der Endkunde überalldort, wo die Telefonnummer kommuniziert wird “informiert” werden?
Liebe Frau Schwarz,
das ist in der Tat eine echte Herausforderung. Insbesondere beim Inbound wären natürlich entsprechende Ansagen eine Möglichkeit. Solche Ansagen dürften aber 30 Sekunden und mehr dauern. Einmal “erträgt” das der Anrufer vielleicht noch. Bereits beim zweiten Anruf halte ich das nicht mehr wirklich für kundenfreundlich. Es müsste vermutlich auch die Möglichkeit geschaffen werden, diese Ansagen kundenseitig abzubrechen.
Die Lösung, diese Information in die Datenschutzerklärung aufzunehmen halte ich für kundenfreundlicher. Allerdings muss sichergestellt sein, dass die Information auch tatsächlich überall, wo die Telefonnummer kommuniziert wird, abrufbar ist. Ggf. könnte das ganze zweigeteilt passieren: Eine grobe Information direkt bei der Telefonnummer, mit dem Hinweis, dass die Details per Klick auf einen Link abrufbar sind.
Die Informationspflichten, welche in der DS-GVO definiert werden, sind sicher gut gemeint, in unseren Augen aber nicht immer praxistauglich. Umgesetzt werden müssen Sie dennoch…
Haben Sie Erfahrung ob und welche Unternehmen ggf. schon so eine Wartescheife geschalten haben, die man anhören könnte? Theoretisch könnte man ja auch diese kurz halten, auf einen Link verweisen? Vielen Dank für Ihre schnell erfolgte Antwort gerade.
Leider nein, die von uns betreuten Unternehmen sind noch in der Entscheidungsfindung bezüglich der Informationspflichten. Mir ist auch sonst noch kein Unternehmen bekannt, welches im Bereich der Telefonkommunikation etwas derartiges bereits realisiert hätte.
Der Verweis auf einen Link im Rahmen einer Ansage ist m. E. nicht zulässig. Den Informationspflichten muss bei der Erhebung von Daten direkt bei der betroffenen Person gem. Art. 13 Abs. 1 DS-GVO “zum Zeitpunkt der Erhebung der Daten” nachgekommen werden. Das wäre bei dieser Lösung nicht sichergestellt.
Angenommen ein Handwerksunternehmen wird von einer Wohnungsgesellschaft beauftragt, mit Informationen zu Name, Adresse und ggf. Telefonnummer des Mieters. Muss das Handwerksunternehmen nun aktiv(!) den Mieter darüber informieren in welcher Form diese Daten gespeichert werden und das am besten auch noch schriftlich? Oder gibt es hier Ausnahmeregelungen, da die Daten zur Auftragserfüllung benötigt werden und der Mieter ja im Vorhinein die Wohnungsgesellschaft bspw. über einen zu regulierenden Schaden informiert hat und somit davon ausgehen kann, dass Anschrift und Name an Dritte weitergegeben werden?
Lieber Herr Schuhmann,
vielen Dank für Ihre Frage. Wenn das Handwerksunternehmen beauftragt wird und auch gegenüber der Wohnungsgesellschaft abrechnet, werden die Daten der Mieter ausschließlich für die Durchführung der beauftragten Arbeiten benötigt. Das Handwerksunternehmen darf die Mieter nicht in die eigene Kundenkartei aufnehmen und die personenbezogenen Daten ausschließlich für die Bearbeitung des Auftrags nutzen. Länger gespeichert werden dürfen durch das Handwerksunternehmen ausschließlich die Daten, für die es ggf. eine gesetzliche Aufbewahrungsfrist gibt. Das dürften typischerweise alle Daten des Mieters sein, die sich in den Auftrags- und Abrechnungsunterlagen befinden.
Es handelt sich bei diesem Konstrukt um eine Auftragsverarbeitung (Art. 28 DS-GVO, bzw. bis 24.05.18 um eine Datenverarbeitung im Auftrag nach § 11 BDSG). Hierfür müssen Auftraggeber und -nehmer einen im Gesetz definierten Vertrag schließen. Allein dieser Vertrag schafft die Rechtsgrundlage, dass der Auftragnehmer die Daten der Mieter erhalten darf.
Dabei ist zu beachten, dass (zumindest mit Geltung der DS-GVO) der Mieter bereits bei der Datenerhebung darüber zu informieren ist, dass seine Daten auch für die Durchführung von Reparaturen genutzt und hier für an die beauftragten Handwerksunternehmen weitergegeben werden.
Ist diese Information nicht bereits bei der Erhebung an den Mieter geflossen, so muss spätestens mit der Entscheidung, einen externen Dienstleister zu nutzen, nach-informiert werden. Dieses muss erfolgen bevor die Daten weitergegeben werden (Art. 13 Abs. 3 DS-GVO). Eine Formvorschrift (bspw. schriftlich) gibt es hierfür nicht. Es kann so informiert werden, wie es praktikabel ist. Da die Wohnungsgesellschaft wie jedes andere Unternehmen der Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) unterliegt, wäre eine Nachweisbarkeit der Information allerdings nützlich.
Nur der Vollständigkeit halber: Der Handwerksbetrieb könnte auch “einfach” beauftragt werden, ohne dass ein Vertrag zur Auftragsverarbeitung geschlossen wird. In diesem Fall wird der Handwerksbetrieb selbst zum Verantwortlichen. Allerdings müsste nun der Mieter nicht nur informiert werden, sondern es müsste darüber hinaus auch abgewägt werden, ob eine Datenweitergabe ohne Einwilligung überhaupt zulässig ist. Im Zuge der Einwilligung muss dann ohnehin ausführlich informiert werden.
Vielen Dank für Ihre ausführliche Antwort. Sie haben uns damit sehr geholfen!