Informationspflichten bei der Datenerhebung sind nicht neu, die Datenschutz-Grundverordnung (DS-GVO) stößt jedoch insofern in neue Dimensionen vor. Dies führt nicht nur zu einem erheblichen Aufwand. Die Informationen werden zudem geeignet sein, datenschutzrechtliche „Schwachstellen“ sichtbar zu machen und werden sich deshalb als „Motor“ des neuen Datenschutzrechts erweisen.
Was gilt bisher?
Wie auch in der DS-GVO unterscheidet das Bundesdatenschutzgesetz (BDSG) zwischen der Erhebung bei dem Betroffenen und der Erhebung, die nicht bei dem Betroffenen erfolgt. In § 4 Abs. 2 BDSG ist der „Grundsatz der Direkterhebung“ geregelt. Danach sind personenbezogene Daten grundsätzlich bei dem Betroffenen – und nicht „hinter seinem Rücken“ – zu erheben. Ausnahmen sind möglich, wenn der Direkterhebung der Zweck der Datenerhebung oder ein unverhältnismäßig hoher Aufwand entgegensteht und zudem nicht schutzwürdigenden Interessen des Betroffenen überwiegen. Werden die Daten ausnahmsweise nicht beim Betroffenen erhoben, besteht nach § 33 BDSG eine Pflicht, den Betroffenen zu benachrichtigen, wenn die erhebende Stelle erstmalig für eigene Zwecke Daten des Betroffenen speichert. In diesen Fällen erschöpft sich die Benachrichtigungspflicht regelmäßig darin, dass über die Tatsache der Speicherung, die Art der Daten, die Zweckbestimmung und die Identität der verantwortlichen Stelle zu benachrichtigen ist.
Was bringt die Zukunft?
Die DS-GVO verzichtet auf den Grundsatz der Direkterhebung, erweitert aber für die Fälle, in denen die Daten auf andere Weise erhoben werden, die Informationspflichten in extremer Weise. Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, muss der Verantwortliche der betroffenen Person nach Art. 14 DS-GVO künftig Folgendes mitteilen:
- den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
- zusätzlich die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie die Rechtsgrundlade für die Verarbeitung,
- die Kategorien personenbezogener Daten, die verarbeitet werden,
- ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
- ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie nähere Auskünfte zu den Maßnahmen, die ergriffen wurden, um den Erhalt des europäischen Datenschutzniveaus beim Empfänger zu garantieren (z. B. Vereinbarung von EU-Standard-Klauseln) sowie einen Hinweis auf die Möglichkeit, „Kopien“ der Garantien zu erhalten,
- die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
- wenn die Verarbeitung mit berechtigten Interessen des Verantwortlichen oder eines Dritten begründet wurde (Artikel 6 Abs. 1 f): die berechtigten Interessen,
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit,
- wenn die Verarbeitung auf eine Einwilligung beruht, über das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der auf der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
- aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen,
- ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling sowie aussagekräftiger Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Die vorstehenden Informationen sind der betroffenen Person innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats zur Verfügung zu stellen. Wenn die Daten für die Kommunikation mit der betroffenen Person genutzt oder sie gegenüber einem anderen Empfänger offengelegt werden sollen, muss die betroffene Person spätestens zum Zeitpunkt dieser Kommunikation oder der Offenlegung informiert werden.
Ausnahmsweise kann die Informationspflicht eingeschränkt sein. Dies gilt z. B., wenn die betroffene Person bereits über (sämtliche) Informationen verfügt. Für die Praxis dürfte es von besonderer Bedeutung sein, dass eine Informationspflicht auch ausgeschlossen oder eingeschränkt ist, wenn bzw. soweit sie einen unverhältnismäßigen Aufwand erfordern würde.
Da in den Fällen des Art. 14 DS-GVO naturgemäß kein unmittelbarer Kontakt zu der betroffenen Person besteht, wird die Erfüllung der Informationspflichten praktische Probleme aufwerfen. Dies gilt z. B. dann, wenn – wie bei der Videoüberwachung – die Person grundsätzlich nicht namentlich bekannt ist und wegen des Umfangs der Informationspflichten ein Aushang nur eingeschränkt geeignet ist.
Beim Verstoß gegen die Informationspflicht droht ein Bußgeld bis zu EUR 20 Mio. oder – wenn es sich bei dem Verantwortlichen um ein Unternehmen handelt – in Höhe von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahr.
Da es sich vor diesem Hintergrund unbedingt empfiehlt, die Informationspflichten einzuhalten, sollte deren Erfüllung frühzeitig vorbereit werden. Für die Information über Zwecke und Rechtsgrundlagen ist es unvermeidlich, sämtliche Verarbeitungsprozesse zu analysieren, die Zwecke festzulegen und die Rechtmäßigkeit zu überprüfen.
Hervorzuheben ist außerdem noch die notwendige Information über die Übermittlung von Daten in Länder außerhalb des Europäischen Wirtschaftsraumes. Wenn die betroffenen Personen ausdrücklich darüber informiert werden, dass Ihre Daten in Ländern ohne angemessenes Datenschutzniveau verarbeitet werden und ihnen Kopien von erforderlichen Datenschutzverträgen angeboten werden müssen, ist es besonders wichtig, dass Übermittlungen von Daten ins Ausland zuvor rechtskonform gestaltet wurden.
Die Informationspflichten, die bestehen, wenn die personenbezogenen Daten bei den Betroffenen selbst erhoben werden, sind Teil eines weiteren Blog-Beitrags in dieser Serie.
Siehe auch: Blog-Beitrag vom 15.04.2016:
- Blog-Beitrag: Preview Datenschutz-Grundverordnung Teil 1
- Blog-Beitrag: „Es ist vollbracht: Datenschutz-Grundverordnung verabschiedet“