ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung

Informationspflichten nach der DSGVO

Mit Anwendung der DSGVO ab 25.05.2018 werden sich die Informationspflichten gegenüber der betroffenen Person deutlich erweitern. Wenn viele Datenschützer derzeit kritisieren, dass die neue DSGVO das Datenschutzniveau in Deutschland künftig absenken wird, dann sind deren Argumente häufig nachvollziehbar. Zahlreiche spezielle Regelungen wie beispielsweise zur Videoüberwachung (§ 6b BDSG), zu automatisierten Abrufverfahren (§ 10 BDSG), zur geschäftsmäßigen Übermittlung von Daten (§§ 29, 30 BDSG) oder zu Zwecken der Werbung (§ 28 BDSG) wird es künftig nicht mehr geben. Für alle diese Verfahren werden dann die allgemeinen Datenschutzbestimmungen der DSGVO heranzuziehen sein. In der Regel wird dies Artikel 6 DSGVO sein und in vielen Fällen wird nach Art. 6 Abs. 1 lit. f DSGVO zwischen den berechtigten Interessen des Verantwortlichen und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person abzuwägen sein. Im Endeffekt wird also eine recht unspezifische allgemein gehaltene Regelung mit viel Raum für Interpretationen die Rechtmäßigkeit von Verarbeitungen definieren. Erst gerichtliche Entscheidungen werden hier in vielen Fällen tatsächlich Klarheit bringen können. Insgesamt besteht zumindest die Gefahr, dass das Datenschutzniveau diesbezüglich nach der DSGVO insgesamt eher geringer sein wird als nach dem BDSG.

Unterscheidung nach Art der Datenerhebung

Demgegenüber wurden die Informationspflichten gegenüber der betroffenen Person deutlich ausgeweitet. Hierbei handelt es sich um diejenigen Angaben, die einer betroffenen Person hinsichtlich Verarbeitung und Nutzung ihrer Daten unaufgefordert mitgeteilt werden müssen. Kurz zusammengefasst entsteht derzeit fast der Eindruck, dass nach der DSGVO künftig folgender Grundsatz gilt: (Fast) alles ist möglich und erlaubt – aber die betroffene Person muss darüber umfassend informiert werden. Dabei definiert die DSGVO je nachdem ob die Daten direkt bei der betroffenen Person oder bei einem Dritten erhoben werden unterschiedliche Informationspflichten.

Informationspflichten bei Erhebung direkt bei der betroffenen Person

Festgelegt sind die Informationspflichten bei Erhebung direkt bei der betroffenen Person in Art. 13 DSGVO.

Demnach sind der betroffenen Person bereits zum Zeitpunkt der Erhebung im Wesentlichen folgende Angaben zu übermitteln:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt,
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

In Sonderfällen sind weitere Angaben erforderlich, beispielsweise bei Datenübermittlungen in Drittländer oder bei einer Datenverarbeitung zum Zwecke des Profilings.

Und wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden…

…dann hilft Artikel 14 DSGVO weiter. In diesem Falle ist zusätzlich zu den oben bereits genannten Informationen mitzuteilen, welche Daten oder Datenkategorien verarbeitet werden, sowie aus welcher Quelle die personenbezogenen Daten stammen.

Achtung: Hierfür definiert der Verordnungsgeber eine Frist von max. einem Monat. Werden die Daten vorher zur Kommunikation mit der betroffenen Person genutzt, sind die Informationen im Rahmen dieser ersten Kommunikation zu geben. Gleiches gilt bei Offenlegung gegenüber Dritten.

Konsequenzen

Als Konsequenz aus dem umfangreichen Informationspflichten wird sich ergeben, dass vertragliche Vereinbarungen oder Einwilligungserklärungen künftig deutlich umfangreicher werden als bisher. Hinzu kommt, dass spätere Zweckänderungen nur in sehr engen Grenzen zulässig sein werden. Das heißt in der erstmaligen Vereinbarung mit der betroffenen Person (Einwilligung oder Vertrag) wird ein für die Verarbeitung Verantwortlicher  zusätzlich zu den Zwecken, die beabsichtigt sind, gegebenenfalls auch weitere aufführen, die zukünftig vielleicht einmal beabsichtigt sein könnten.

Ein weiterer Punkt ist, dass „Empfänger“ in der DSGVO anders definiert sind als bisher. Während nach dem BDSG nur Dritte auch Empfänger sein konnten, ist nach der Artikel 4 DSGVO ein Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt. Das heißt, auch interne Stellen innerhalb der verantwortlichen Stelle wie die Personalabteilung, Rechtsabteilung etc. könnten zumindest nach strenger Lesart dieses Artikels im Rahmen der Informationspflichten zu nennen sein.

Ausnahmen?

Keine – zumindest nach derzeitigem Stand. Allerdings bietet die DSGVO dem nationalen Gesetzgeber in engen Grenzen die Möglichkeit, Ausnahmen von den Informationspflichten einzuführen. Der derzeitige Entwurf des BDSG (neu) sieht dies beispielsweise dann vor, wenn die Erteilung der Auskünfte einen unverhältnismäßig hohen Aufwand bedeute würde. Über die weitere Entwicklung des BDSG (neu) werden wir selbstverständlich zukünftig in unserem Newsletter berichten.

Gerade im Bereich der Informationspflichten ist bei der Umstellung auf die DSGVO Handlungsbedarf gegeben. Sprechen Sie uns an, gerne unterstützen wir Sie – jetzt ist genau der richtige Zeitpunkt!

7 Antworten
  1. Susanne Schwarz sagt:

    Wie soll man das denn am Telefon Bestellhotline / Kundenservice umsetzen? Ich habe gelesen, dass Warteschleifenansagen im Gespräch sind, ist das die Lösung? Oder könnte alternativ der Endkunde überalldort, wo die Telefonnummer kommuniziert wird „informiert“ werden?

  2. Susanne Schwarz sagt:

    Haben Sie Erfahrung ob und welche Unternehmen ggf. schon so eine Wartescheife geschalten haben, die man anhören könnte? Theoretisch könnte man ja auch diese kurz halten, auf einen Link verweisen? Vielen Dank für Ihre schnell erfolgte Antwort gerade.

  3. Peter Schuhmann sagt:

    Angenommen ein Handwerksunternehmen wird von einer Wohnungsgesellschaft beauftragt, mit Informationen zu Name, Adresse und ggf. Telefonnummer des Mieters. Muss das Handwerksunternehmen nun aktiv(!) den Mieter darüber informieren in welcher Form diese Daten gespeichert werden und das am besten auch noch schriftlich? Oder gibt es hier Ausnahmeregelungen, da die Daten zur Auftragserfüllung benötigt werden und der Mieter ja im Vorhinein die Wohnungsgesellschaft bspw. über einen zu regulierenden Schaden informiert hat und somit davon ausgehen kann, dass Anschrift und Name an Dritte weitergegeben werden?

Kommentare sind deaktiviert.