Wirtschaftskanzlei Heuking Kühn Lüer Wojtek | Rechtsanwälte, Steuerberater und Notare
04.09.2017  | Update Datenschutz Nr. 27

Informationspflichten nach der DSGVO




zurück zur Übersicht

Ab dem 25. Mai 2018 findet die neue Datenschutzgrundverordnung („DSGVO“) nach einer zweijährigen Umsetzungsphase unmittelbar Anwendung in den europäischen Mitgliedstaaten. Ein wesentlicher Bestandteil der DSGVO sind die umfassenden Informationspflichten gemäß Artt. 12, 13 und 14 DSGVO. Nachfolgend soll ein Überblick über die wesentlichen Anforderungen sowie mögliche Problemstellungen im Hinblick auf die Einhaltung und Umsetzung dieser Informationspflichten gegeben werden.

Allgemeines

Ein Grundpfeiler der DSGVO ist der Grundsatz der Transparenz. Nach diesem Grundsatz soll jede betroffene Person Kenntnis davon haben, welches Unternehmen, welche personenbezogenen Daten, auf welche Art und Weise verarbeitet. Gerade in Zeiten, in denen personenbezogene Daten einer zunehmenden Kommerzialisierung unterliegen, steigt auch das Bedürfnis der betroffenen Personen an einer transparenten Unterrichtung über die Verarbeitung ihrer Daten. Hinzu kommt, dass die betroffenen Personen ohne eine entsprechende Kenntnis nicht in der Lage wären, die ihnen zustehenden Rechte, etwa das Recht auf Auskunft, effektiv auszuüben. Aus diesem Grund regelt die DSGVO, welche Informationen konkret mitzuteilen sind (Artt. 13 und 14 DSGVO) und in welcher Form diese bereitgestellt werden müssen (Art. 12 DSGVO).

Hinweis: Die Informationspflichten betreffen sämtliche Verarbeitungen personenbezogener Daten, d.h. sowohl Verarbeitungen im Online- als auch im „Offline-Bereich“, also auch in Papierakten.

Inhalt der Informationen

Die Artt. 13, 14 DSGVO regeln katalogartig, welche Informationen konkret mitzuteilen sind, wobei der Umfang der bereitzustellenden Informationen in den beiden Vorschriften variiert. Werden personenbezogene Daten „beim Betroffenen erhoben“ (sog. Direkterhebung), greift Art. 13 DSGVO. Verarbeitet ein Unternehmen hingegen personenbezogene Daten, die nicht „beim Betroffenen erhoben“ wurden, richten sich die Informationspflichten nach Art. 14 DSGVO. Hier kann es sich etwa um Fälle handeln, in denen ein Unternehmen personenbezogene Daten von einem Dritten erhält und zu eigenen Zwecken weiterverarbeitet. Da die betroffene Person in einem solchen Fall oftmals keine Kenntnis von einer solchen Verarbeitung hat, muss das Unternehmen den Betroffenen entsprechend unterrichten. Insbesondere muss es zusätzlich über die Herkunft der empfangenen Daten aufklären (vgl. Art. 14 Abs. 2 lit. f) DSGVO).

Hinweis: Es ist zu erwarten, dass in der Praxis oftmals „kombinierte“ Datenschutzinformationen bereitgestellt werden, da Unternehmen regelmäßig sowohl personenbezogene Daten verarbeiten, die sie direkt beim Betroffenen erhoben haben, als auch solche Daten, die sie von Dritten erhalten haben. Konkret ist hier etwa die Verarbeitung von personenbezogenen Daten zum Zwecke des Abschlusses von Finanzierungsverträgen im Bankenbereich zu nennen. In diesem Bereich werden regelmäßig personenbezogenen Daten im Rahmen der Antragstellung direkt beim (potentiellen) Kunden erhoben, gleichzeitig aber auch von Auskunfteien übermittelte Bonitätsdaten zur Prüfung der Kreditwürdigkeit verarbeitet. In solchen Fällen ist es praxisgerecht, dass die Informationspflichten gemäß Artt. 13, 14 DSGVO in einer „kombinierten“ Datenschutzinformation zusammengeführt werden.

Kontaktdaten des Datenschutzbeauftragten und Informationen über Rechte

Bereits nach den aktuellen Regelungen des Bundesdatenschutzgesetzes („BDSG-alt“) und Telemediengesetz („TMG“) muss der Verantwortliche seine Kontaktdaten bereitstellen sowie über den Zweck der Verarbeitung und die Empfänger der personenbezogenen Daten informieren. Gemäß den neuen Vorgaben der DSGVO müssen nun auch zwingend die Kontaktdaten des Datenschutzbeauftragten zur Verfügung gestellt werden. Weiterhin ist neben dem Verarbeitungszweck die Rechtsgrundlage für die Verarbeitung anzugeben. Auch muss der Verantwortliche über die Dauer der Speicherung informieren. Ist eine Benennung der konkreten Speicherdauer nicht möglich, sind zumindest die Kriterien zur Bestimmung der Speicherfristen darzulegen. Zudem muss die betroffene Person über ihre Rechte unterrichtet werden. Dazu gehören vor allem die in den Artt. 15 ff. DSGVO geregelten Befugnisse, etwa das Recht auf Auskunft (Art. 15 DSGVO), sowie das neue Beschwerderecht gegenüber einer Aufsichtsbehörde (Art. 77 DSGVO). Sind die personenbezogenen Daten Gegenstand einer vollständig automatisierten Entscheidungsfindung (einschließlich Profiling) gemäß Art. 22 DSGVO, muss der Verantwortliche über die involvierte Logik sowie die Tragweite und Auswirkungen für den Betroffenen aufklären.

Ausnahmen von der Informationspflicht sehen sowohl die DSGVO als auch das neue, zur Umsetzung der Vorgaben der DSGVO erlassene Bundesdatenschutzgesetz („BDSG-neu“) vor, beispielsweise dann, wenn die betroffene Person bereits über alle Informationen verfügt. Gerade das wird allerdings häufig nicht nachweisbar der Fall sein, so dass sehr genau zu prüfen sein wird, ob eine Ausnahme zugunsten des Verantwortlichen greift.

Hinweis: Die Informationspflichten der DSGVO gehen weit über die bestehenden datenschutzrechtlichen Anforderungen des BDSG und des TMG hinaus. Bestehende Datenschutzinformationen sollten daher zeitig angepasst werden, da je nach Umfang der Verarbeitung durch ein Unternehmen erhebliche Änderungen an bestehenden Datenschutzerklärungen vorgenommen werden müssen.

Art und Weise der Bereitstellung

Hinsichtlich der Art und Weise der Ausgestaltung sowie der Bereitstellung der Datenschutzinformationen sind die Vorgaben in Art. 12 DSGVO zu beachten. Danach sind die Informationen der betroffenen Person „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“, vgl. Art. 12 Abs. 1 S. 1 DSGVO. Der Verantwortliche unterliegt hier einem Spannungsfeld, denn dieser muss die Informationen zum einen präzise, zum anderen aber auch transparent, verständlich und in einer klaren und einfachen Sprache verfassen. Je umfangreicher die Informationen ausfallen, desto schwieriger aber wird es für den Betroffenen sich leicht ein Bild über die Verarbeitung zu verschaffen. Um dieses Spannungsfeld zu lösen, kann es mitunter empfehlenswert sein, die einzelnen Informationen nach Wichtigkeit abzustufen und dem Betroffenen in einzelnen Schritten bereitzustellen.

Zeitpunkt der Bereitstellung der Informationen

Ebenfalls relevant ist die Frage, zu welchem Zeitpunkt die Datenschutzinformationen der betroffenen Person bereitgestellt werden müssen.

Werden personenbezogene Daten direkt beim Betroffenen erhoben, sind die Informationen der betroffenen Person zum Zeitpunkt der Erhebung mitzuteilen, vgl. Art. 13 Abs. 1 DSGVO. Im Online-Bereich kann dies - wie aktuell bereits regelmäßig der Fall - dadurch erfüllt werden, dass auf der Webseite ein Link zur Datenschutzerklärung mit den spezifischen Informationen aufgenommen wird. Umstritten ist allerdings, ob ein solches Vorgehen auch hinsichtlich Verarbeitungen im „Offline-Bereich“ zulässig ist, indem eine Person bei der Erhebung ihrer Daten in einem schriftlichen Antragsformular einfach auf eine im Internet verfügbare Datenschutzerklärung verwiesen wird und dadurch ein Medienbruch erfolgt.

Zwar statuiert Art. 12 Abs. 1 S. 2 DSGVO insoweit, dass die Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch, erfolgen können. Zumindest bei einer Direkterhebung müssen die Datenschutzinformationen der betroffenen Person aber gemäß Art. 13 Abs. 1 DSGVO bereits zum Zeitpunkt der Erhebung mitgeteilt werden.

Hinweis: Daran anknüpfend ist aktuell davon auszugehen, dass ein bloßer Verweis auf im Internet bereitgestellte Datenschutzinformationen zumindest bei einer Direkterhebung von personenbezogenen Daten im „Offline-Bereich“ nicht zulässig ist und der jeweilige Betroffene daher vor Ort entsprechend informiert werden sollte. Gleichzeitig sollten Unternehmen geeignete Maßnahmen und Prozesse vornehmen, um die Kenntnisnahme der Datenschutzinformationen zu dokumentieren.

Rückwirkende Informationspflicht für bereits begonnene Verarbeitungen?

Die DSGVO trifft keine explizite Regelung, ob und inwieweit Unternehmen bis zur unmittelbaren Anwendung der DSGVO am 25. Mai 2018 auch über solche Verarbeitungen noch rückwirkend informieren müssen, die bereits aktuell durchgeführt werden und zum vorgenannten Zeitpunkt weiter anhalten. Ein Indiz dafür könnte der Erwägungsgrund 171 DSGVO sein, wonach bereits laufende Verarbeitungen an die neue Rechtslage angepasst werden sollen.

Für Datenverarbeitungen im Online-Bereich dürfte sich grundsätzlich kein großer Aufwand stellen, da bereits bestehende Datenschutzerklärungen einfach zum Stichtag angepasst werden und die Kunden per E-Mail über die jeweiligen Änderungen informiert werden können. Von besonderer Relevanz ist die Frage allerdings für Datenverarbeitungen im „Offline-Bereich“. Bejaht man eine rückwirkende Informationspflicht, stellt sich nämlich die Frage, ob es auch hier ausreicht, wenn die angepassten Datenschutzinformationen einfach im Internet bereitgestellt werden und der Nutzer per Mailing darauf hingewiesen wird oder ob eine postalische Versendung der gesamten aktualisierten Datenschutzinformationen erforderlich ist. Je nach Umfang der Datenschutzinformationen sowie je nach Umfang des betroffenen Personenkreises kann gerade der postalische Versand mit einem erheblichen Aufwand verbunden sein. Soweit ersichtlich wird dieses Problem bislang nicht oder zumindest nur sehr allgemein behandelt. Solange hier eine Klarstellung der Datenschutzaufsichtsbehörden oder der Rechtsprechung fehlt, kann es sinnvoll sein, die Frage mit der zuständigen Datenschutzaufsichtsbehörde zu klären.

Fazit

Im Ergebnis bleibt festzuhalten, dass die Informationspflichten der DSGVO weit über die aktuellen Vorgaben des BDSG und des TMG hinausgehen. Unternehmen müssen demnach bis zur Anwendung der DSGVO am 25. Mai 2018 ihre Datenschutzinformationen anpassen. Eine große Herausforderung wird es sein, die Datenschutzinformationen so zu gestalten, dass sie den Betroffenen zwar vollumfänglich aufklären, dabei aber verständlich und übersichtlich bleiben. Vor dem Hintergrund der ausgeweiteten Bußgeldtatbestände, die auch bei fehlenden oder fehlerhaften Datenschutzinformationen Anwendung finden, müssen sich Unternehmen zeitnah auf die neue Rechtslage vorbereiten.

Ansprechpartner

Weitere Fachbeiträge, die Sie interessieren könnten

Diese Seite verwendet Cookies. Erfahren Sie in unserer Datenschutzerklärung mehr darüber, wie wir Cookies einsetzen und wie Sie Ihre Einstellungen ändern können. OK