Die Datenschutz-Grundverordnung (DS-GVO) regelt schon für den Zeitpunkt der Datenerhebung sehr umfangreiche Informationspflichten gegenüber den betroffenen Personen. Da die Informationen zum Teil etwaige datenschutzrechtliche „Schwachstellen“ erkennbar machen, muss schon im Vorfeld des Inkrafttretens der DS-GVO die Datenschutz-Compliance sichergestellt werden.

Was gilt bisher?

Bisher regelt § 4 Abs. 3 Bundesdatenschutzgesetz (BDSG), dass der Betroffene, bei dem personenbezogene Daten erhoben werden, über die Identität der verantwortlichen Stelle, die Zweckbestimmung der Datenverarbeitung und die Kategorien von Empfängern zu unterrichten ist. Dies gilt nicht, sofern der Betroffene bereits auf andere Weise Kenntnis von diesen Tatsachen erhalten hat.

Was bringt die Zukunft?

Werden personenbezogene Daten bei der betroffenen Person erhoben, so muss nach Art. 13 DS-GVO der Verantwortliche der betroffenen Person bereits zum Zeitpunkt der Erhebung Folgendes mitteilen:

  • Den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
  • ggf. die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie die Rechtsgrundlage für die Verarbeitung,
  • wenn die Verarbeitung mit berechtigten Interessen des Verantwortlichen oder eines Dritten begründet wurde (Artikel 6 Abs. 1 f): die berechtigten Interessen,
  • ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
  • ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie nähere Auskünfte zu den Maßnahmen, die ergriffen wurden, um den Erhalt des europäischen Datenschutzniveaus beim Empfänger zu garantieren (z. B. Vereinbarung von EU-Standard-Klauseln),
  • die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die bestehenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte und
  • ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling sowie aussagekräftiger Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die vorstehenden Informationen sind der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten zur Verfügung zu stellen.

Wichtig ist, dass anders als in den Fällen, in denen die Daten nicht bei dem Betroffenen erhoben wurden ,siehe „Preview Datenschutz-Grundverordnung Teil 1“ , die DS-GVO keine Ausnahme von der Informationspflicht für die Fälle vorsieht, in denen die Information einen „unverhältnismäßigen Aufwand“ erfordert. Angesichts der Erhebung bei der betroffenen Person selbst geht die DS-GVO davon aus, dass kein Aufwand unverhältnismäßig sein kann.

Ausnahmsweise kann die Informationspflicht eingeschränkt sein. Dies gilt, soweit die betroffene Person bereits über Informationen verfügt. Es ist in der Praxis aber kaum denkbar, dass die Person tatsächlich bereits über sämtliche oben genannten Informationen verfügt. Ein solcher Fall ist allenfalls bei einer sich in gleicher Weise wiederholenden Datenerhebung denkbar, wenn die betroffene Person bei der erstmaligen Erhebung bereits vollständig informiert wurde und sich keine Änderungen ergeben haben.

Ist ausnahmsweise eine Zweckänderung zulässig und wird vorgenommen, ist die betroffene Person erneut zu informieren.

Beim Verstoß gegen die Informationspflicht droht ein Bußgeld bis zu EUR 20 Mio. oder – wenn es sich bei dem Verantwortlichen um ein Unternehmen handelt – i.H.v. von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahr. Da es sich vor diesem Hintergrund unbedingt empfiehlt, die Informationspflichten einzuhalten, sollte deren Erfüllung frühzeitig vorbereitet werden. Für die Information über Zwecke und Rechtsgrundlagen ist es unvermeidlich, sämtliche Verarbeitungsprozesse zu analysieren, die Zwecke festzulegen und die Rechtmäßigkeit zu überprüfen.

Hervorzuheben ist außerdem noch die notwendige Information über die Übermittlung von Daten in Länder außerhalb des Europäischen Wirtschaftsraumes. Wenn die betroffenen Personen ausdrücklich darüber informiert werden, dass Ihre Daten in Ländern ohne angemessenes Datenschutzniveau verarbeitet werden und ihnen Kopien der erforderlichen Datenschutzverträge angeboten werden müssen, ist es besonders wichtig, dass Übermittlungen von Daten ins Ausland zuvor rechtskonform gestaltet worden sind.

Vor diesem Hintergrund wird deutlich, dass die Erfüllung der Informationspflichten nicht nur mit großem Aufwand verbunden sein werden, sie erfordern auch bereits im Vorfeld eine intensive Auseinandersetzung mit der Rechtslage. Ohne eine datenschutzrechtliche Prüfung können nicht die richtigen Angaben gemacht werden. Außerdem können die notwendigen Informationen, die fehlende Datenschutz-Compliance aufdecken. Die Informationspflichten nach Art. 13 und 14 DS-GVO werden sich deshalb voraussichtlich zum „Motor“ des Datenschutzes entwickeln.

Über die Informationspflichten, die bestehen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, können sie sich hier „Preview Datenschutz-Grundverordnung Teil 2“ informieren.

Siehe auch: Preview Datenschutz-Grundverordnung Teil 1“

Dazu passende Artikel