Wiki

Datenschutz-Akademie

Informationspflicht der DSGVO

Inwiefern unterscheiden sich die Informationspflichten bei Direkterhebung und indirekter Erhebung?

Ins neue Jahr sollte man mit guten Vorsätzen starten. Für den Bereich des Datenschutzes würde sich dazu anbieten, die Informationspflichten auf Vordermann zu bringen. Schließlich ist das Recht auf Informationen das wohl wichtigste Betroffenenrecht in der DSGVO. Sie unterscheidet zwischen der Erhebung personenbezogener Daten bei der betroffenen Person (Direkterhebung) und der Erhebung bei Dritten oder aus öffentlichen Quellen (indirekte Erhebung). Der erste Fall wird von Artikel 13 DSGVO geregelt, für den zweiten Fall gilt Artikel 14 DSGVO. Die Betroffenen müssen stets über die Umstände der Datenerhebung informiert werden.

Die Transparenz der Erhebung von personenbezogenen Daten ist in der DSGVO sehr wichtig. Daher müssen Unternehmen den Betroffenen darlegen können, warum und was für Daten sie erheben und verarbeiten. Quasi spiegelbildlich zu den Informationspflichten stellt das Auskunftsrecht der Betroffenen nach Artikel 15 DSGVO sicher, dass der Verantwortliche, der personenbezogene Daten erhebt, den Betroffenen über diesen Vorgang Auskunft gibt.


Wann ist der korrekte Zeitpunkt für die Informationspflicht?

Der Zeitpunkt der Informationspflicht unterscheidet sich bei der direkten und indirekten Erhebung. Im ersten Fall gelten die Informationspflichen für den Zeitpunkt der Datenerhebung, im zweiten Fall sieht der Erwägungsgrund 61 der DSGVO eine angemessene Frist vor, die sich nach dem konkreten Einzelfall richtet. Sie kann bis zu einem Monat dauern. Wenn man die Daten aber zur Kommunikation mit der betroffenen Person verwendet oder die Daten einem anderen Empfänger offen legt, so muss man den Betroffenen spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung informieren.

Welche Informationen müssen die Informationspflichten enthalten? 

Die Informationspflichten hängen von der Art der erhobenen Daten ab. Der Betroffene muss folgende Informationen erhalten, wobei diese Liste nicht ganz vollständig ist. Artikel 13 und 14 DSGVO regeln den Pflichtenkatalog detailliert.

  1. Name und Kontaktdaten des Verantwortlichen. Dazu gehören zumindest die Postadresse und die Mailadresse.
  2. Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  3. Verarbeitungszwecke und ihre Rechtsgrundlage. Dabei müssen die Angaben detailliert genug sein, dass die betroffene Person erkennen kann, mit welchen Datenverarbeitungen sie zu rechnen hat.
  4. Empfänger der Daten. Dazu zählen auch interne Abteilungen, Auftragsverarbeiter und Dritte.
  5. Datenkategorien
  6. Dauer der Speicherung. Die Angaben müssen so aussagekräftig sein, dass der Betroffene sich zumindest ausrechnen kann, wann seine Daten gelöscht werden.
  7. Gegebenenfalls die Absicht des Verantwortlichen, die Daten in ein Land außerhalb der EU zu übermitteln. Da der Datenschutz dort in der Regel schwächer ist, kann der Betroffene dank dieser Info vorab Einwände gegen die Übermittlung erheben. Damit er das Datenschutzniveau einschätzen kann, muss ihm mitgeteilt werden, ob ein Angemessenheitsbeschluss der EU-Kommission vorliegt oder ob andere Garantien wie zum Beispiel der Privacy Shield oder Standardvertragsklauseln existieren.
  8. Aufklärung der Betroffenen über Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Beschwerde bei einer Aufsichtsbehörde
  9. Im Falle einer indirekten Erhebung die Quelle, aus der die Daten stammen, und ob es sich um öffentlich zugängliche Quellen handelt

Gemäß Artikel 12 Absatz 1 DSGVO müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden.Der im Datenschutz zentrale Grundsatz der Zweckbindung gilt auch für die Informationspflichten. Beabsichtigt ein Verantwortlicher, die Daten für einen ursprünglich nicht festgelegten Zweck weiterzuverarbeiten, so muss er gemäß Artikel 13 Absatz 3 und Artikel 14 Absatz 4 DSGVO zuvor die Betroffenen informieren.

Welche Folgen können Verstöße gegen die Informationspflichten haben?

Ein Verstoß gegen die Informationspflichten stellt eine Pflichtverletzung dar, die eine Geldbuße zur Folge haben kann. Darüber hinaus ist es durchaus möglich, dass sich der Verstoß auch auf die Rechtmäßigkeit der Datenverarbeitung auswirkt. Wenn der Betroffene zur Duldung oder an der Mitwirkung der Datenerhebung verpflichtet war, kann die unterlassene Mitteilung nachgeholt werden. Dann bleibt die Datenerhebung rechtmäßig. Hing die Datenerhebung jedoch vom Willen des Betroffenen ab und konnte er mangels rechtzeitiger Information in die Erhebung und Verarbeitung nicht einwilligen, so liegt eine doppelte Rechtswidrigkeit vor. Sowohl die Datenerhebung als auch die Verarbeitung sind rechtswidrig. Die unrechtmäßig erhobenen und verarbeiteten Daten müssen gelöscht werden.

 

Das Unternehmen muss nachweisen können, dass es seine Informationspflichten für Betroffene erfüllt hat. Unternehmen sind daher angehalten die Informationspflichten unbedingt schriftlich zu dokumentieren.

 

 

 

Sie wollen Ihr Risiko minimieren und den Datenschutz automatisiert und angeleitet umsetzen? Informieren Sie sich über die Features der Robin Data Software oder über die Bestellung unserer qualifizierten Datenschutzbeauftragten.

 

 

 

Weiterführende Links:

Datenschutz einfach gemacht

Abonnieren Sie unseren Datenschutz-Newsletter und lassen Sie sich wöchentlich von Robin Data auf den neusten Stand bringen.
Zur Newsletter Anmeldung