Kurzbeschreibung
Ab dem 25.5.2018 entfaltet die Europäische Datenschutz-Grundverordnung (kurz DSGVO) unmittelbare Wirkung in allen Mitgliedsstaaten der Europäischen Union. Um die Transparenzpflichten zu erfüllen muss der Verantwortliche die betroffenen Personen über die vorgenommene Datenverarbeitung informieren. Die Informationspflichten sind abhängig davon, ob die Daten direkt beim Betroffenen oder bei einem Dritten erhoben werden.
Vorbemerkung
Diese Arbeitshilfe soll einen Überblick darüber geben, welche Informationspflichten erfüllt werden müssen, wenn die Daten nicht direkt beim Betroffenen, sondern von einem Dritten erhoben werden (Art. 14 DSGVO). Werden die Daten beim Betroffenen erhoben, so müssen die Pflichten aus Art. 13 DSGVO beachtet werden.
Ausnahmen von der Informationspflicht
Die Informationspflichten bei der Erhebung von personenbezogenen Daten bei Dritten greifen grundsätzlich, allerdings kann von einer Information im Ausnahmefall abgesehen werden. Verfügt der Betroffene bereits über alle relevanten Informationen, so muss die Information nicht erneut erfolgen. Ebenfalls bedarf es keiner Erteilung, wenn die Ausschlussgründe des Art. 14 Abs. 5 DSGVO vorliegen. Jede Verarbeitung, bei der Daten von Dritten erhoben werden, sollte im Hinblick auf das Vorliegen der Ausschlussgründe analysiert werden. In der Praxis wird vor allem Art. 14 Abs. 5 Buchstabe d DSGVO eine Rolle spielen. Unterliegen die Daten einem Berufsgeheimnis, so muss eine Information nicht erfolgen. Erheben beispielsweise Rechtsanwälte Daten über die Gegenpartei, oder Steuerberater Daten aus dem Umfeld des Mandanten, so besteht keine Verpflichtung, die Gegenseite bzw. das Umfeld über die Erhebung der Daten zu informieren.
Zeitpunkt der Information
Die Informationspflichten nach Art. 14 DSGVO müssen innerhalb einer angemessenen Frist, spätestens aber innerhalb eines Monats nach Erhebung der Daten, erfüllt werden. Sollen die Daten zur Kommunikation mit dem Betroffenen genutzt werden, muss die Information zusammen mit der Kontaktaufnahme erfolgen. Ist eine Offenlegung geplant, so muss die Informationspflicht zum Zeitpunkt der ersten Offenlegung erfüllt werden.
Form der Information
Art. 14 DSGVO sieht keine Formerfordernisse vor. Dennoch müssen die allgemeinen Vorgaben aus Art. 12 DSGVO berücksichtigt werden, wonach die Informationen "in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln" sind. Eine mündliche Erteilung ist nur dann möglich, wenn dies vom Betroffenen verlangt wird.
Inhalt der Information über die Erhebung von personenbezogenen Daten, die nicht bei der betroffenen Person erhoben werden
Folgende Informationen muss der Verantwortliche dem Betroffenen bereitstellen:
Name und Kontaktdaten des Verantwortlichen
....................[Verantwortlicher: Beispiel GmbH & Co. KG, Musterstraße 11, 55512 Beispielstadt, Telefon: 01234, E-Mail: office@beispiel.de]
Falls vorhanden Kontaktdaten des Datenschutzbeauftragten (wichtig: eine namentliche Nennung ist nicht erforderlich!)
....................[Kontaktdaten des Datenschutzbeauftragten Tel: 01234-5, E-Mail: dataprivacy@beispiel.de]
Zwecke und Rechtsgrundlage der Verarbeitung
....................[z. B. "Durchführung des Bewerbungsverfahrens; § 26 Abs. 1 BDSG"]
Kategorien der verarbeiteten personenbezogenen Daten
....................[z. B. "Sämtliche Angaben aus Ihrem Profil auf Ihrem beruflichen Profil aus dem Sozialen Netzwerk XY."]
Kategorien von Empfängern von Daten
....................[z. B. "Ihre Daten übermitteln wir nicht an Dritte."]
- Falls zutreffend: Absicht der Übermittlung der Daten in ein Drittland
Zusätzlich sind folgende Angaben zu machen, um eine faire und transparente Verarbeitung zu gewährleisten
Dauer der Datenspeicherung
....................[z. B. "Ihre Daten speichern wir bis zu 6 Monate nach Abschluss des Bewerbungsverfahrens."]
- Ggf. berechtigte Interessen, wenn die Verarbeitung auf Art. 6 Abs. 1 Buchstabe f DSGVO beruht.
Aufklärung über das Bestehen des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch sowie des Beschwerderechts bei einer Aufsichtsbehörde
....................[z. B. "Ihnen steht ein Informations-, Auskunfts-, Berichtigungs- und Löschrecht, sowie Recht auf Einschränkung der Verarbeitung und Datenübertragbarkeit zu. Zudem können Sie sich bei der für uns zuständigen Datenschutzaufsichtsbehörde [Name, Anschrift] beschweren."]
Quelle der personenbezogenen Daten
....................[z. B. "Die Daten wurden durch uns aus dem Sozialen Netzwerk XY erhoben."]
Gegebenenfalls das Bestehen einer automatisierten Entscheidungsfindung samt Aufklärung über die involvierte Logik und Tragweite der Verarbeitung und die Auswirkungen auf die betroffene Person
....................[Falls eine automatisierte Entscheidung erfolgt, müssen Angaben zum Ablauf der Entscheidung und der Tragweite gemacht werden.]