einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvo

Informationspflichten – Teil 2

/von

Über die grundsätzlichen Informationspflichten der Verantwortlichen nach der DSGVO hatten wir bereits vor einiger Zeit in diesem Artikel berichtet. Damals fehlten noch detaillierte Stellungnahmen von Behörden oder Verbände oder Kommentare zur DSGVO. Auch die Inhalte des Ergänzungsgesetzes zur DSGVO, das der deutsche Gesetzgeber zwischenzeitlich mit dem BDSG n.F. verabschiedet hat, konnte zum damaligen Zeitpunkt noch nicht in den Artikel einfließen. Da die DSGVO zu den Informationspflichten sogenannte Öffnungsklauseln definiert hat, die es den Mitgliedsstaaten der EU erlauben, in gewissen Grenzen eigene Regelungen zu erlassen, wurde dieses Gesetz durchaus mit Spannung erwartet.

Keine wesentlichen Vereinfachungen durch das BDSG n.F.

Die mit dem BDSG n.F. definierten Erleichterungen hinsichtlich der Informationspflichten betreffen im Wesentlichen

  • die Weiterverarbeitung analog gespeicherter Daten (was in der heutigen Zeit wohl kaum noch vorkommen wird)
  • öffentliche Stellen
  • zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche oder bei Gefährdung für die öffentliche Sicherheit und Ordnung
  • Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken, hierzu hatten wir uns bereits in diesem Artikel geäußert.

Eine generelle Erleichterung, für den Fall, dass die Erteilung der Informationen einen unverhältnismäßigen Aufwand bedeutet, hat der Gesetzgeber nicht festgelegt. Eine Ausnahme ist die Videoüberwachung – hierzu folgt weiter unten im Artikel eine Erläuterung.

Medienbruch erlaubt

Nach derzeitigem Stand der Diskussionen, an der auch die Aufsichtsbehörden teilnehmen, scheint ein Medienbruch, bei der Erteilung der Informationen zulässig zu sein. Das bedeutet, dass ein Teil der Informationen als so wichtig erachtet wird, dass dieser zwingend über das selbe Medium, über das die Daten erhoben werden, zur Verfügung zu stellen ist (1st level Informationen). Die weiteren (2nd level) Informationen, die ebenfalls Informationspflicht unterliegen, dürfen demnach über ein anderes Medium vereinfacht zur Verfügung gestellt werden. Danach ist es beispielsweise denkbar, dass im Rahmen eines Gewinnspiels, das über eine Anzeige in einer Zeitung oder Zeitschrift beworben wird, zunächst nur die 1st level Informationen zur Verfügung gestellt werden. Zur Einsicht der weiteren Informationen kann dann beispielsweise auf einen Link im Internet verwiesen werden. Von den Aufsichtsbehörden wird an dieser Stelle auch häufig ein entsprechender QR-Code ins Spiel gebracht.

Klassifizierung der Informationen

Zur Aufteilung der Informationen in 1st und 2nd level Informationen hat die GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) hier eine Praxishilfe herausgebracht.

Demnach gehören zu den 1st level Informationen, die zwingend ohne Medienbruch zum Zeitpunkt der Erhebung zu erteilen sind:

  • Namen und Kontaktdaten des Verantwortlichen
  • Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
  • Berechtigte Interessen, die von einem Dritten verfolgt werden
  • Kategorien von Empfängern
  • Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
  • Verpflichtung, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte.

Nachgelagert zur Verfügung zu stellende 2nd level Informationen sind nach dieser Klassifizierung:

  • Namen und Kontaktdaten des Vertreters in der EU
  • Kontaktdaten des Datenschutzbeauftragten
  • Rechtsgrundlage für die Verarbeitung
  • Berechtigte Interessen, die von dem Verantwortlichen verfolgt werden
  • Empfänger
  • Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist.
  • Dauer der Speicherung oder Kriterien zur Festlegung dieser Dauer
  • Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
  • Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss

erforderlich

Wenn man jetzt, wie im zuvor genannten Beispiel eines Gewinnspiels, davon ausgeht, dass keine Übermittlung an Dritte und insbesondere keine Übermittlung in Drittländer erfolgt, dann sind die zur Verfügung zu stellenden 1st level Informationen auf nur noch wenige Angaben reduziert. Ähnliche Vereinfachungen sind auch bei telefonischer Datenerhebung, im Rahmen des Beschäftigungsverhältnisses oder beim Kauf am Automaten denkbar.

Zu beachten ist, dass hier lediglich der aktuelle Stand der Diskussion dargestellt wird. Es findet sich weder in der DSGVO noch im BDSG-nF eine Regelung dazu. Auch die Aufsichtsbehörden äußern sich zwar, legen sich aber nicht öffentlich fest. Darüber hinaus sind die Aufsichtsbehörden mit der DSGVO an das Kohärenzverfahren gebunden. Sie müssen als EU weit eine einheitliche Meinung vertreten. Es bleibt also abzuwarten, wie die endgültige, abgestimmte Position der Aufsichtsbehörden ausfallen wird.

Sonderfall Videoüberwachung öffentlich zugänglicher Räume

Für die Videoüberwachung hat der deutsche Gesetzgeber tatsächlich eine erhebliche Erleichterung bezüglich der Informationspflichten des Verantwortlichen geschaffen. Und zwar wird in § 4 BDSG n.F. definiert, dass lediglich sehr reduziert informiert werden muss. Zum frühestmöglichen Zeitpunkt sind der Umstand der Beobachtung und die Kontaktdaten des Verantwortlichen erkennbar zu machen. Nur, wenn die erhobenen Daten später einer bestimmten Person zugeordnet werden, leben die Informationspflichten gemäß den Artikeln 13, 14 DSGVO wieder auf. Riesige Hinweistafeln sind also bei Einsatz einer Videoüberwachung nicht notwendig.

Haben Sie in Ihrem Unternehmen bereits alle Prozesse, bei denen personenbezogene Daten erhoben werden oder bei denen Sie personenbezogene Daten von Dritten erhalten, ermittelt und sichergestellt, dass die betroffenen Personen rechtzeitig alle notwendigen Informationen erhalten? Sprechen Sie uns an, gerne unterstützen wir Sie bei der Umsetzung der Informationspflichten der DSGVO!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
dashcam crashcam datenpanne meldepflichtVerwendung von Dashcams – darf man das jetzt, oder doch nicht?
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukePrivacy-Verordnung verzögert sich bis auf Weiteres
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungSteuerberater und Auftragsverarbeitung – Novellierung des Steuerberatungsgesetzes schafft Klarheit
brexit datenschutzBrexit – haben wir endlich eine Lösung?
eprivacy-verordnung 2020 drittstaaten transfers standardvertragsklauseln scc AV Auftragsverarbeitung edsa bußgeld dga da ki-voDatentransfer in Drittstaaten – Entwurf neuer Standarddatenschutzklauseln
schadenersatz betroffenenrechte auskunftsrecht löschrechtErsatz immaterieller Schäden nach der DSGVO – aktuelle Entwicklungen