Kurzbeschreibung
Ab dem 25.5.2018 entfaltet die Europäische Datenschutz-Grundverordnung (kurz DSGVO) unmittelbare Wirkung in allen Mitgliedsstaaten der Europäischen Union. Um die Transparenzpflichten zu erfüllen muss der Verantwortliche die betroffenen Personen über die vorgenommene Datenverarbeitung informieren. Die Informationspflichten sind abhängig davon, ob die Daten direkt beim Betroffenen oder bei einem Dritten erhoben werden.
Vorbemerkung
Diese Arbeitshilfe soll einen Überblick darüber geben, welche Informationspflichten erfüllt werden müssen, wenn die Daten direkt beim Betroffenen erhoben werden (Art. 13 DSGVO). Werden die Daten bei einem Dritten erhoben, so müssen die Pflichten aus Art. 14 DSGVO beachtet werden.
Ausnahmen von der Informationspflicht
Die Informationspflichten greifen grundsätzlich immer und ohne Ausnahme. Verfügt der Betroffene jedoch bereits über alle relevanten Informationen, so muss die Information nicht erneut erfolgen.
Zeitpunkt der Information
Die Informationspflichten sind nach dem Wortlaut "bei Erhebung" personenbezogener Daten vorzunehmen. Dies kann in der Praxis zu Schwierigkeiten führen. Werden beispielsweise Daten durch den Betroffenen telefonisch durchgegeben (z. B. bei erstmaliger Vereinbarung eines Arzttermins), müsste der Verantwortliche die Informationspflichten unmittelbar nach Erhalt – also ebenfalls telefonisch – erfüllen. Da dies in der Praxis jedoch kaum durchsetzbar sein wird, erscheint es vertretbar, dem Betroffenen die Informationen nachgelagert zukommen zu lassen. Dies muss jedoch in engem zeitlichen Zusammenhang mit der Datenerhebung stehen.
Form der Information
Art. 13 DSGVO sieht keine Formerfordernisse vor. Dennoch müssen die allgemeinen Vorgaben aus Art. 12 DSGVO berücksichtigt werden, wonach die Informationen "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln" sind. Eine mündliche Erteilung ist nur dann möglich, wenn dies vom Betroffenen verlangt wird.
Inhalt der Information über die Erhebung von personenbezogenen Daten, die bei der betroffenen Person erhoben werden
Folgende Informationen muss der Verantwortliche dem Betroffenen bereitstellen:
Name und Kontaktdaten des Verantwortlichen
....................[Verantwortlicher: Beispiel GmbH & Co. KG, Musterstraße 11, 55512 Beispielstadt, Telefon: 01234, E-Mail office@beispiel.de]
Falls vorhanden Kontaktdaten des Datenschutzbeauftragten (wichtig: eine namentliche Nennung ist nicht erforderlich!)
....................[Kontaktdaten des Datenschutzbeauftragten Tel: 01234-5, E-Mail: dataprivacy@beispiel.de]
Zwecke und Rechtsgrundlage der Verarbeitung
....................[z. B. "Versendung eines E-Mail-Newsletters auf Grundlage des Art. 6 Abs. 1 Buchstabe f DSGVO"]
Hinweis auf das Widerspruchsrecht, wenn die Verarbeitung auf Art. 6 Abs. 1 Buchstabe f DSGVO ("Berechtigtes Interesse") beruht
....................[z. B. "Sie haben das Recht, der Verarbeitung zu widersprechen, Art. 21 DSGVO."
Kategorien von Empfängern von Daten
....................[z. B. "Ihre Daten übermitteln wir an Dienstleister, die für uns die Versendung des Newsletters vornehmen."]
Falls zutreffend: Absicht der Übermittlung der Daten in ein Drittland
[z. B. "Der eingesetzte Dienstleister hat seinen Unternehmenssitz in den Vereinigten Staaten. Mittels EU-Standardvertragsklauseln stellen wir sicher, dass der Dienstleister sich an die hier geltenden Vorgaben hält."
Zusätzlich sind folgende Angaben zu machen, um eine faire und transparente Verarbeitung zu gewährleisten:
Dauer der Datenspeicherung
....................[z. B. "Ihre Daten speichern wir, bis Sie uns mitteilen, dass Sie unseren Newsletter nicht mehr erhalten möchten."
Aufklärung über das Bestehen des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch sowie des Beschwerderechts bei einer Aufsichtsbehörde
....................[z. B. "Ihnen steht ein Informations-, Auskunfts-, Berichtigungs- und Löschrecht, sowie Rechte auf Einschränkung der Verarbeitung und Datenübertragbarkeit zu. Zudem können Sie sich bei der für uns zu-ständigen Datenschutzaufsichtsbehörde [Name, Anschrift] beschweren."]
Bestehen eines Widerrufs, falls die Verarbeitung auf Grundlage einer Einwilligung erfolgt
[Der Hinweis kann z. B. lauten: "Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen."]
Gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung samt Aufklärung über die involvierte Logik und Tragweite der Verarbeitung und die Auswirkungen auf die betroffene Person
[Falls eine automatisierte Entscheidung erfolgt, müssen Angaben zum Ablauf der Entscheidung und der Tragweite gemacht werden.]