Tanja Altmaier
Datenschutzbeauftragte
Ziel der Datenschutzgrundverordnung ist der Schutz personenbezogener Daten natürlicher Personen. Das hat zur Folge, dass seit Einführung der DSGVO die Rechte der Betroffenen deutlich mehr Gewicht haben. Die bisherigen Pflichten zur Auskunft aus dem Bundesdatenschutzgesetz in seiner alten Fassung wurden erheblich erweitert.
Gemäß Art. 13 und 14 der DSGVO steht jeder Person, deren Daten in einem Unternehmen verarbeitet werden, ein Recht auf Information zu.
Sämtliche Rechte, die einem Betroffenem gemäß den Art. 15 bis 21 DSGVO zustehen, bauen auf der Pflicht zur Information auf. Denn nur wenn die Person überhaupt weiß, dass Daten verarbeitet werden, können diese Rechte wahrgenommen werden. Deswegen müssen Unternehmen unabhängig von Größe und Branche über die Verarbeitung personenbezogener Daten informieren.
Das hat zur Folge, dass es nicht mehr ausreicht, lediglich den Verantwortlichen für die Verarbeitung zu benennen. Über die inhaltliche Gestaltung sollte sich jedes Unternehmen deshalb Gedanken machen. Denn eine fehlende oder nicht korrekt erstellte Informations- oder Hinweispflicht wird von einer Aufsichtsbehörde als Datenschutzverstoß gewertet und kann schlussendlich zu einem Bußgeld führen.
Elementarer Baustein für datenschutzkonformes Arbeiten seit Einführung der DSGVO ist der Grundsatz der Transparenz, mit dem Ziel die Rechte Betroffener bewusst zu stärken. Erwägungsgrund 11 zur DSGVO nimmt darauf Bezug, wenn es dort heißt, dass ein unionsweiter wirksamer Schutz personenbezogener Daten die Stärkung und präzise Festlegung der Rechte der betroffenen Personen erfordert.
Sämtliche Rechte, die einem Betroffenem gemäß den Art. 15 bis 21 DSGVO zustehen, bauen auf der Pflicht zur Information auf.
Denn nur wenn die Person überhaupt weiß, dass Daten verarbeitet werden, können diese Rechte wahrgenommen werden. Deswegen müssen Unternehmen unabhängig von Größe und Branche über die Verarbeitung personenbezogener Daten informieren.
Das hat zur Folge, dass es nicht mehr ausreicht, lediglich den Verantwortlichen für die Verarbeitung zu benennen. Über die inhaltliche Gestaltung sollte sich jedes Unternehmen deshalb Gedanken machen. Denn eine fehlende oder nicht korrekt erstellte Informations- oder Hinweispflicht wird von einer Aufsichtsbehörde als Datenschutzverstoß gewertet und kann schlussendlich zu einem Bußgeld führen.
Zentrale Artikel der Datenschutzgrundverordnung, die sich mit der Pflicht zur Information befassen, sind die Artikel 13 und 14 der DSGVO. Wobei man festhalten muss, dass sich zum formalen Aussehen einer Hinweispflicht keine expliziten Angaben innerhalb der DSGVO finden. Wohl aber zur inhaltlichen Gestaltung.
Das Einzige, was die Datenschutzgrundverordnung in puncto Formalität als Vorgabe mitgibt, wenn es um die Information von Betroffenen geht, ist in Art. 12 Abs. 1 DSGVO zu finden.
Hier liest man, dass die Hinweise in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind.
Dadurch soll erreicht werden, dass jede Person sich ein Bild über die Verarbeitung ihrer Daten machen kann.
Die Angaben, die ein Verantwortlicher gegenüber einem Betroffenen macht, sollen klare Rückschlüsse über die tatsächlich vorliegende Verarbeitung seiner personenbezogenen Daten zulassen, ihm also fair und transparent mitteilen wofür seine Daten verwendet werden. Dafür gibt es bestimmte Mindestangaben, die in einer solchen Hinweispflicht dargestellt werden sollten.
Dazu nun ein Blick in Art. 13 der DSGVO. Insbesondere Abs. 1 benennt die wichtigsten Inhalte, die einer betroffenen Person offengelegt werden sollen:
Soweit zu den Basisangaben, die jedem Betroffenen zur Verfügung gestellt werden müssen. Art. 13 Abs. 2 nennt weitere Kriterien, die von Bedeutung sind:
Diese Auflistung der Inhalte zeigt, dass die Informationspflicht nach DSGVO deutlich mehr ist als nur die Benennung des Verantwortlichen. Und es ist klar, dass es nicht eine „General-Information“ gibt, die einmal erstellt für alle Verarbeitungsprozesse im Unternehmen greift.
Je nach Ablauf einer konkreten Datenverarbeitung, variieren die einzelnen Bestandteile der Informationspflicht. Die Hinweise, die ein Kunde erhalten wird, unterscheiden sich von denen, die im Gegenzug ein Lieferant bekommen würde, oder die einem potenziellen Bewerber zur Verfügung gestellt werden.
Darum empfiehlt es sich, für den jeweiligen Geschäftsprozess eine separate Informationspflicht zu erstellen, abgestimmt auf Kunden, Mitarbeiter, Bewerber, etc.
Jeder Verantwortliche sollte im Sinn behalten, dass er gegenüber einer Aufsichtsbehörde die Pflicht hat, nachweisen zu können, dass er Betroffene über die entsprechende Verarbeitung transparent informiert hat.
Aufgrund dieser Nachweis- und Rechenschaftspflicht des Verantwortlichen, sollten Informationen, dem Betroffenen vorrangig in schriftlicher oder elektronischer Form zur Verfügung gestellt werden (Art. 5 Abs. 1 a und 2 DSGVO).
Grundsätzlich empfiehlt es sich, dem Betroffenen die Information auf dem Weg und über das Medium zukommen zu lassen, wie er mit dem Verantwortlichen kommuniziert hat.
Bei einer Korrespondenz, die rein online stattfindet, würde es sogar ausreichen, in eine E-Mail einen Link zu integrieren, der auf die Homepage verweist, wo dann sowohl die Datenschutzerklärung als auch die einzelnen Informationspflichten zu finden sind.
Ansonsten kann ein entsprechendes Info-Blatt erstellt werden, das jederzeit übergeben, ausgehändigt oder zugeschickt werden kann. Und selbstverständlich empfiehlt es sich, dieses Dokument als Anlage zu einem Angebot, Vertrag oder sonstigem beizufügen.
Nun war zu Beginn davon, die Rede, dass zwei Artikel der DSGVO auf die Informationspflicht eingehen. Bisher wurde aber nur Art. 13 erläutert. Worum geht es in Art. 14 DSGVO und was sind die Unterschiede?
Häufig erhält ein Verantwortlicher personenbezogene Daten eines Betroffenen auf zwei Wegen. Entweder direkt beim Betroffenen oder über einen Dritten.
Geht Art. 13 DSGVO darauf ein, welche Informationen bei der Direkterhebung beim Betroffenen zu übermitteln sind, greift Art. 14 dann, wenn der Verantwortliche die Daten mittels eines Dritten erhalten hat.
Weitestgehend sind die Informationen, die ein Betroffener vom Verantwortlichen im Fall der Dritterhebung erhält, gleich denen der Direkterhebung. Auch hier unterscheidet die DSGVO zwischen den Basisinformationen (Art. 14 Abs. 1 DSGVO) und den zusätzlichen Hinweisen (Art. 14 Abs. 2 DSGVO).
Doch selbstverständlich gibt es einen gravierenden Unterschied. Bei der Direkterhebung hat es die betroffene Person in der Hand, welche Daten verarbeitet werden und wirkt sogar direkt an der Datenerhebung mit. Bekommt der Verantwortliche die Informationen mittels eines Dritten, dann hat der Betroffene meist keine Kenntnis welche Daten von ihm erhoben werden
Was sind solche indirekten Erhebungen personenbezogener Daten? Davon spricht man z. B. wenn im Rahmen des Bewerbungsprozesses Informationen bei früheren Arbeitgebern abgefragt werden
oder in Verbindung damit Daten per Xing, LinkedIn oder Facebook erhoben und abgeglichen werden. Selbstverständlich zählt auch die Übermittlung von Daten durch eine Behörde zu einer indirekten Erhebung.
Unabhängig davon, woher die Daten schlussendlich sind, gilt bei einer Dritterhebung, dass die Datenquelle benannt werden muss (Art. 14 Abs. 2 f DSGVO).
Eine weitere Besonderheit ist das berechtigte Interesse des Verantwortlichen bzw. eines Dritten als Rechtsgrundlage der Verarbeitung. Fällt es bei der Direkterhebung unter die Basisangaben nach Art. 13 Abs. 1 DSGVO, so zählt es bei der Dritterhebung zu den zusätzlichen Informationen, die nach Art. 14 Abs. 2 DSGVO dem Betroffenen übermittelt werden müssen.
Die Datenschutzgrundverordnung regelt nicht nur, welche Informationen einem Betroffenen preisgegeben werden müssen, sondern auch den Zeitpunkt, zu dem dieser Pflicht nachzukommen ist.
Im Fall der Direkterhebung heißt es in Art. 13 Abs. 1 DSGVO klipp und klar, dass der Verantwortliche zum Zeitpunkt der Erhebung, über die Verarbeitung informieren muss. Was heißt „erheben“? Damit ist Aktivität verbunden. Also nur, weil ein Interessent eine Anfrage schickt, ist das noch keine Erhebung von seitens des Unternehmens. Wird die Anfrage ungelesen vernichtet, hat keine Erhebung stattgefunden.
Doch sobald die Anfrage auch nur gelesen, weitergeleitet, gespeichert oder beantwortet wurde, hat eine Erhebung/Verarbeitung stattgefunden und ist der Betroffenen entsprechend zu informieren.
Bei Daten, die im Rahmen der indirekten Erhebung zum Verantwortlichen gelangt sind, gelten andere Bedingungen. Hier ist der Verantwortliche verpflichtet, die betroffene Person nachträglich und innerhalb einer angemessenen Frist nach Erlangung der Daten entsprechend zu informieren.
Dazu ein Blick in Art. 14 Abs. 3 DSGVO. Als Rahmen wird vorgegeben, dass der Verantwortliche unter Berücksichtigung der Umstände der Verarbeitung innerhalb einer angemessenen Frist, längstens innerhalb eines Monats nach Bekanntwerden der Daten ausreichend zu Informieren hat.
Und dienen die Daten, die er von einem anderen Verantwortlichen erhalten hat, der Kommunikation, dann ist spätestens zum Zeitpunkt der ersten Mitteilung, der ersten Korrespondenz, offenzulegen, woher die Daten stammen.
Die Pflicht zur Information bedeutet nicht, dass der Betroffene bei jeder Korrespondenz die Hinweise bezüglich der Verarbeitung seiner personenbezogenen Daten ausnahmslos erhalten muss.
Die DSGVO benennt konkrete Fälle, in denen auf die Übermittlung der Informationen seitens des Verantwortlichen verzichtet werden kann.
Im Fall der Direkterhebung trifft das dann zu, wenn davon auszugehen ist, dass der Betroffene bereits über diese Information verfügt, z. B. weil vor Kurzem schon einmal ein Vertrag mit demjenigen abgeschlossen wurde.
Natürlich gilt zu beachten, dass sobald sich der Zweck einer Verarbeitung ändert, trotz allem eine entsprechende Information an die betreffende Person zu gehen hat.
Wie sieht es bei der indirekten Erhebung aus, wenn es um die Pflicht zur Information geht? Hier nennt die DSGVO verschiedene Gründe, wann auf eine Information verzichtet werden kann (Art. 14 Abs. 5):
Ergänzend zur DSGVO greift auch das Bundesdatenschutzgesetz in seiner neuen Fassung die Informationspflichten auf, und benennt in den §§ 32 und 33 BDSG n. F. Ausnahmen von der Pflicht zur Information.
Ob diese schlussendlich aufgrund des Vorrangs der DSGVO zur Anwendung kommen, wird vermutlich eine Einzelfallentscheidung im konkreten Fall werden.
Fazit bis hierher: Es gilt, dem Betroffenen so transparent wie möglich aufzuzeigen, was mit seinen Daten passiert, wo im Unternehmen sie verwendet werden, welcher Zweck und welche Rechtsgrundlage greifen und welche Rechte ihm im Verlauf der Verarbeitung gegenüber dem Verantwortlichen zustehen.
Fehlende Informationspflichten, oder auch unvollständige, verspätete, unrichtige Informationen sind keine Bagatelle. Schließlich kann ein Verstoß durch die Aufsichtsbehörde mit einer Geldbuße geahndet werden (Art. 83 Abs. 5 b DSGVO).
Nach so viel Theorie zu den Informationspflichten ein kurzer Abstecher in die Praxis. Einige Beispiele sollen das Wesentliche der Thematik noch einmal verdeutlichen. Und vielleicht an der Stelle auch die ein oder andere kritische Überlegung, um Abläufe innerhalb des eigenen Unternehmens aufmerksam zu beurteilen.
Einerseits besteht die Pflicht zur Information – andererseits gilt es Verhältnismäßigkeit und Praxistauglichkeit im Sinn zu behalten.
Geht es um die Information zum Verantwortlichen, so wird diese einem Anrufer bekannt sein. Denn ruft der Betroffene bei einer Firma, einem Arzt, etc. an, so meldet sich der Gegenüber meist mit dem „Namen der Verantwortlichen“, sprich dem Firmennamen. Aus dem Telefonat an sich, ergibt sich in der Folge der Zweck des Anrufs, womit die Rechtsgrundlage der Verarbeitung gegeben ist, z. B. die Anfrage nach einem Angebot als vorvertragliche Maßnahme.
An der Stelle die kompletten Hinweise nach Art. 13 DSGVO weiterzugeben, ist sicherlich nicht zielführend. Aber ein kurzer Verweis auf die Webseite, oder eine E-Mail mit dem Link zur entsprechenden Hinweispflicht wäre durchaus denkbar.
Oder anderes Beispiel – Anruf in einem Kosmetikstudio zur Terminvereinbarung: Wer hier anruft, verfügt bereits über die ersten Informationen, nämlich den Namen des Verantwortlichen (des Kosmetikstudios), sowie der Kontaktdaten (Telefonnummer). Auch der Zweck, nämlich die Terminvereinbarung, ist klar. Die Verarbeitung seiner Daten, sprich Namen und Telefonnummer zur Terminbuchung, ist nötig, um später die Beautybehandlung durchführen zu lassen. Da aber bis zum eigentlichen Termin sonst keine weiteren personenbezogenen Daten erhoben werden, braucht ein Anrufer an der Stelle noch nicht über all seine Betroffenenrechte belehrt werden.
Wird der Termin per E-Mail bestätigt, bietet es sich aber wiederum an, eine Verlinkung auf die Internetseite zu integrieren, wo entsprechende Informationen rund um die Verarbeitung nachzulesen sind.
Werden in einem Ladengeschäft nicht einfach „nur“ Waren verkauft, sondern findet in Verbindung mit dem Verkauf eine Verarbeitung personenbezogener Daten statt, so ist der Verantwortliche verpflichtet, betroffene Personen über die Erhebung aussagekräftig zu informieren.
Der Bäcker um die Ecke, bei dem man seine Brötchen und den Sonntagskuchen kauft, wird in den seltensten Fällen personenbezogene Daten erheben.
Anders sieht es sicherlich aus, wenn es einen Online-Shop gibt, in dem man seine Backwaren bestellen kann. Oder wie in manchen Gegenden üblich, der Lieferservice nach Hause, wo ebenfalls ein Mehr an personenbezogenen Daten durch den Bäcker verarbeitet wird.
Was dann? Nun es kann auf verschiedene Art und Weise über die Verarbeitung informiert werden. Beispielsweise durch einen entsprechenden Aushang im Ladengeschäft, der für jeden Kunden einsehbar ist. Von Vorteil sicher auch, einige Abschriften bereit zu halten, falls ein Kunde diese mitnehmen möchte.
Gibt es einen Online-Bestellservice, dann macht es sicherlich Sinn, in die Bestellbestätigung wiederum eine Verlinkung auf die Homepage zu integrieren, oder zumindest als festen Anhang in der Bestellung die dazu passende Hinweispflicht einzufügen.
Nutzt ein Unternehmen Gewinnspiele, dann sind selbstverständlich Teilnehmer darüber zu informieren, was nach der Datenerhebung aus dem Gewinnspiel passiert. Bei der „guten alten Postkarte“, die inzwischen schon beinahe von den Online-Angeboten verdrängt wurde, ist es natürlich nicht ratsam, die Informationspflichten aufzudrucken. Stattdessen auch hier der Tipp, entweder als separaten Beileger oder mittels QR-Codes oder einem Link für die Internetseite, auf die erforderlichen Informationen aufmerksam zu machen, so dass jeder Teilnehmer dort die relevanten Hinweise nachzulesen kann.
Bei Online-Gewinnspielen kann man ohnehin per Verlinkung auf die notwendigen Informationen zur Verarbeitung hinweisen.
Auf eine ausgeschriebene Stelle gehen im Verlauf Bewerbungsunterlagen ein. Die einen per E-Mail, die anderen per Post, manche werden persönlich abgegeben.
Es handelt sich hier um eine Direkterhebung von Daten, die er Betroffene gegenüber dem Verantwortlichen selbst offenlegt.
Wie sieht es mit der Informationspflicht seitens des Verantwortlichen aus?
Geht die Bewerbung per E-Mail ein, so kann in der Bestätigung für den Eingang der Unterlagen die Datenschutzinformation als Anhang oder zumindest als Link an den Bewerber gesandt werden.
Gibt jemand die Bewerbung persönlich ab, empfiehlt es sich, einen Ausdruck der Informationspflicht auszuhändigen.
Wie verhält es sich bei der postalischen Zustellung? Hier sollte zeitnah eine Benachrichtigung an den Betroffenen gehen, in der er über die Verarbeitung seiner Daten informiert wird. Beispielsweise in Verbindung mit dem Antwortschreiben, dass die Bewerbung eingegangen ist.
Eine ganze Reihe von Prozessen, werden nicht mehr nur intern abgewickelt, sondern unter Einbindung externer Dienstleister. Deswegen sind in vielen Unternehmen diverse Verträge zur Auftragsverarbeitung vorhanden. Wer ist aber in Verbindung mit einer Auftragsverarbeitung dafür verantwortlich, Betroffene über die Verarbeitung zu informieren? Der Auftraggeber wird in seine Informationspflicht gegenüber dem Betroffenen aufnehmen, dass ein Auftragsverarbeiter zu den externen Datenempfängern gehört. Also nicht der Auftragnehmer, sondern der Auftraggeber informiert den Betroffenen entsprechend den Vorgaben der DSGVO
Schlussendlich stehen einem Unternehmen immer mehrere Wege zur Verfügung, einen Betroffenen entsprechend Art. 13 und 14 DSGVO über die Verarbeitung seiner Daten zu informieren. Ob dies nun in Papierform oder auf elektronischem Weg geschieht ist nicht entscheidend. Viel wichtiger ist, dass der Betroffene entsprechend Art. 12 DSGVO in leicht zugänglicher Form, transparent, explizit aufmerksam gemacht wird, was mit seinen Daten geschieht.
Eine solche Information in den Fließtext von AGBs oder Verträgen zu integrieren ist nicht zulässig. Denn die Erklärungen sollen präzise, nachvollziehbar, verständlich und in einfacher Sprache formuliert sein.
Das hat aber auch zur Folge, dass unter Umständen nicht nur für verschiedene Verarbeitungstätigkeiten unterschiedliche Informationspflichten vorhanden sein müssen, sondern darüber hinaus sogar mehrere Sprachen.
Prinzipiell gilt, dass die Information in der gängigen Landessprache zur Verfügung stehen muss. Doch falls es z. B. von ein und derselben Internetseite Auftritte in verschiedenen Sprachen gibt, weil z. B. ein Online-Shop Waren in unterschiedlichen Landessprachen anbietet, dann müssen auch die Informationspflichten in diesen Sprachen zur Verfügung stehen.
Ebenso empfiehlt es sich, bei fremdsprachigen Mitarbeitern die Sprache zu wählen, in der auch die jeweiligen Arbeitsanweisungen, Verträge, Dokumente erstellt werden.
Informationspflichten – ein elementarer Baustein im Datenschutz eines jeden Unternehmens – bringen konkreten Handlungsbedarf mit sich. Es ist durch den Verantwortlichen zu prüfen, welcher personenbezogenen Daten – von wem – in welchem Prozess – für wie lange verarbeitet werden – und warum. Als Ergebnis sollte für unterschiedliche Personengruppen und auf die jeweilige Tätigkeit angepasst, ein entsprechendes Dokument erstellt werden, das alle relevanten Eckpunkte enthält, um der Informationspflicht nachzukommen.
Ändert sich im Lauf der Zeit etwas am Zweck, wechselt der Verantwortliche, werden unter Umständen nun doch Teile einer Verarbeitung nach extern verlagert, so muss die jeweilige Informationspflicht zwingend an die neuen Gegebenheiten angepasst werden.
Deshalb empfiehlt es sich, regelmäßig einen Blick auf die vorhandenen Informationspflichten zu werfen. Unabhängig davon durch welches Medium, und für welche Personengruppe diese bestimmt sind, gilt es auf Aktualität, Vollständigkeit und Korrektheit zu achten.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!