Informationspflichten – Basis für Transparenz und Betroffenenrechte
„Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen sowie eine Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten“ – so steht es schon im Erwägungsgrund Nr. 11 der EU DS-GVO. Der Erwägunggrund Nr. 58 beschreibt die Voraussetzungen für „Transparenz“, nämlich „dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet. Wenn sich die Verarbeitung an Kinder richtet, sollten aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.“
Das Kapitel 3 der EU DS-GVO fasst die wesentlichen „Rechte der betroffenen Personen“ – zugleich die Pflichten des Veranwortlichen – zusammen:
- Abschnitt 1 – Transparenz und Modalitäten
- Artikel 12 – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
- Abschnitt 2 – Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten
- Artikel 13 – Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
- Artikel 14 – Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
- Artikel 15 – Auskunftsrecht der betroffenen Person
- Abschnitt 3 – Berichtigung und Löschung
- Artikel 16 – Recht auf Berichtigung
- Artikel 17 – Recht auf Löschung („Recht auf Vergessenwerden“)
- Artikel 18 – Recht auf Einschränkung der Verarbeitung
- Artikel 19 – Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
- Artikel 20 – Recht auf Datenübertragbarkeit
- Abschnitt 4 – Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall
- Artikel 21 – Widerspruchsrecht
- Artikel 22 – Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
- Abschnitt 5 – Beschränkungen
- Artikel 23 – Beschränkungen
Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten – aber wann?
Die Informationspflichten nach Art. 13 und 14 DS-GVO verpflichten den Verantwortlichen dazu, den betroffenen Personen, also beispielsweise Kunden oder Patienten, Informationen über die sie betreffende Verarbeitung ihrer personenbezogenen Daten zu geben. Nur wenn die betroffene Person weiß, dass ihre personenbezogenen Daten bei Ihnen verarbeitet werden, hat sie die Möglichkeit, ihre Rechte, insbesondere ihr Auskunftsrecht nach Art. 15 DS-GVO, geltend zu machen.
Es gibt zwei Wege, wie der Verantwortliche Daten von betroffenen Personen erhalten kann:
- Zum einen gibt es die Direkterhebung der personenbezogenen Daten bei der be-troffenen Person selbst (Art. 13 DS-GVO).
- Zum anderen können die personenbezogenen Daten der betroffenen Person bei einem Dritten erhoben werden (Art. 14 DS-GVO). Dies nennt man Dritterhebung.
In beiden Fällen müssen der betroffenen Person sämtliche in Art. 13 Abs. 1 DS-GVO bzw. 14 Abs. 1 DS-GVO aufgelisteten Informationen mitteilen. Davon sind unter anderem Name und Kontaktdaten als Verantwortlicher, gegebenenfalls die Kontaktdaten des Da-tenschutzbeauftragten und die Zwecke und Rechtsgrundlage(n) für die Verarbeitung um-fasst. Darüber hinaus müssen die in Art. 13 Abs. 2 DS-GVO bzw. 14 Abs. 2 DS-GVO genannten Informationen zur Verfügung stellen, damit eine faire und transparente Verarbei-tung der Daten gewährleistet wird. Dabei handelt es sich unter anderem um die Speicherdauer der personenbezogenen Daten und den Hinweis an die betroffene Person, dass sie ein Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs,- Widerspruchs,- und Datenübertragbarkeitsrecht gegenüber dem Verantwortlichen hat.
- Bei der Direkterhebung (Art. 13 DS-GVO) müssen der betroffenen Person die gesetzlichen Informationen zum Zeitpunkt der Erhebung der Daten mitgeteilt bzw. zur Verfügung gestellt werden. #
- Bei der Dritterhebung (Art. 14 DS-GVO) werden die Daten der betroffenen Person ohne deren Kenntnis bei einem Dritten erhoben. Es ist daher nicht möglich, die betroffene Person in diesem Moment zu informieren. Daher ist der Verantwortliche verpflichtet, der betroffenen Person spätestens innerhalb eines Monats nach Erhebung der Daten beim Dritten die in Art. 14 Abs. 1 und 2 DS-GVO geforderten Informationen mitzuteilen bzw. zur Verfügung zu stellen.
Falls die Daten zur Kommunikation mit der betroffenen Person selbst verwendet werden oder falls eine Offenlegung der Daten an einen anderen Empfänger beabsichtigt ist, müssen die Informationen spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung erteilt werden.
Ausnahmen von den Informationspflichten sind gegebenenfalls unter strengen gesetzlichen Voraussetzungen nach der DS-GVO, dem Bundesdatenschutzgesetz (BDSG) und der Fachgesetze, beispielsweise nach dem Sozialgesetzbuch (SGB), möglich.
Informieren – und wie?
Die DS-GVO schreibt keine bestimmte Form für die Informationspflichten vor. Die Informationen sind der betroffenen Person gemäß Art. 12 Abs. 1 DS-GVO in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, zu übermitteln. Falls es von der betroffenen Person verlangt wird, können die Informationen auch mündlich erteilt werden.
Unabhängig von der Form müssen die Informationen in präziser, transparenter, verständli-cher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden.
Grundsätzlich sollten die Informationen, wenn möglich, mit dem gleichen Medium übermittelt werden, mit dem die Kommunikation mit der betroffenen Person geführt wird.
In der Offline-Kommunikation, also per Brief, Fax, Telefonat oder bei persönlicher Anwesenheit des Kunden oder Patienten etc., würde das allerdings dazu führen, dass mehrseitige Informationsblätter mitgeschickt bzw. ausgehändigt werden oder die betroffene Person (beim Telefonat) auf Verlangen ausführlich mündlich informiert werden muss. In diesem Zusammenhang hat eine EU Danteschutzfachgruppe („Artikel-29-Gruppe“) eine Vereinfachung für die Praxis vorgeschlagen. Danach ist es denkbar, dass die Informationserteilung abgeschichtet und mittels verschiedener Medien erfolgen kann.
Beispiele für die Praxis
Das Vorgehen könnte bei folgende exemplarische Verarbeitungssituationen wie folgt sein:
- Bei Onlinevorgängen erfolgt die Mitteilung über die obligatorisch auf der Webseite bereitgestellte Datenschutzerklärung (s. Kapitel 6).
- Im Ladenlokal kann ein Aushang erfolgen.Dies gilt natürlich nur, soweit personenbezogene Daten verarbeitet werden. Werden nur Brötchen verkauf, bedarf es keiner Belehrung nicht.
- Bei der telefonischen Kontaktaufnahme zur Vereinbarung von Terminen, beispielsweis in Arztpraxen, bei Steuerberatern oder Rechtsanwälten, kann mit einem Flyer oder Handzettel, der an die Patienten bzw Mandanten bei der Aufnahme ausgegeben wird. Es genügt auch, wenn der Zettel nur die wichtigsten Informationen zusammenfasst und im Übrigen auf die Homepage der Praxis bzw. Kanzlei verweist, wo sich die Einzelheiten finden lassen.
- Arbeitnehmer sollten die Datenschutzhinweise als Anlage zum Arbeitsvertrag erhalten. Bei Bewerbern genügt es, auf die Verarbeitung in der Anzeige zu verweisen, denn der Verarbeitungsvorgang beginnt erst mit Sichtung der eingesandten Unterlagen. Bei Initiativbewerbungen kann die Information nur nachgereicht werden, obgleich die Erhebung direkt beim Betroffenen erfolgt.
- Bei Videoüberwachung sollte zum einen mit einem Piktogramm oder Kamerasymbol auf den Umstand der Überwachung aufmerksam gemacht werden. Zum anderen sollten auch die Kontaktdaten des (betrieblichen) Datenschutzbeauftragten, Verarbeitungszwecke und Rechtsgrundlage in Schlagworten, Angabe des berechtigten Interesses, die Dauer der Speicherung, Hinweis auf Zugang zu weiteren Pflichtinformationen (wie Auskunftsrecht, Beschwerderecht, ggf. Empfänger der Daten) genannt werden.
Informationspflichten und Nachweise
Der Verantwortliche hat im Hinblick auf das Transparenzgebot stets den Nachweis einer ordnungsgemäßen Erledigung der Informationspflichten zu erbringen (Art. 5 Abs. 1 lit. a und Abs. 2 DS-GVO).
O.g. Praxisbeispiel folgend, wäre der Nachweis ausreichend, wenn Patienten bzw. Mandanten standardmäßig bei der Aufnahme eine Information übergeben wird und dies für jeden Patienten/Mandanten im Praxis-/Mandantensystem vermerkt wird. Es ist nach allgemeiner Auffassung nicht erforderlich, den Empfang mit Unterschrift quittieren zu lassen.