search

Was bedeutet Informationspflicht im Sinne der DSGVO?

1 Jahrs vor
Kommentare: 0
Ansichten: 28

Informationspflichten nach DSGVO

Show

Worum geht es worauf kommt es an?

Ziel der Datenschutzgrundverordnung ist der Schutz personenbezogener Daten natürlicher Personen. Das hat zur Folge, dass seit Einführung der DSGVO die Rechte der Betroffenen deutlich mehr Gewicht haben. Die bisherigen Pflichten zur Auskunft aus dem Bundesdatenschutzgesetz in seiner alten Fassung wurden erheblich erweitert. 

Gemäß Art. 13 und 14 der DSGVO steht jeder Person, deren Daten in einem Unternehmen verarbeitet werden, ein Recht auf Information zu.

Für die schnelle Navigation auf dieser Seite …

Grundlage

Worauf basiert die Pflicht zur Information gegenüber Betroffenen?

Sämtliche Rechte, die einem Betroffenem gemäß den Art. 15 bis 21 DSGVO zustehen, bauen auf der Pflicht zur Information auf. Denn nur wenn die Person überhaupt weiß, dass Daten verarbeitet werden, können diese Rechte wahrgenommen werden. Deswegen müssen Unternehmen unabhängig von Größe und Branche über die Verarbeitung personenbezogener Daten informieren.

Das hat zur Folge, dass es nicht mehr ausreicht, lediglich den Verantwortlichen für die Verarbeitung zu benennen. Über die inhaltliche Gestaltung sollte sich jedes Unternehmen deshalb Gedanken machen. Denn eine fehlende oder nicht korrekt erstellte Informations- oder Hinweispflicht wird von einer Aufsichtsbehörde als Datenschutzverstoß gewertet und kann schlussendlich zu einem Bußgeld führen.

Elementarer Baustein für datenschutzkonformes Arbeiten seit Einführung der DSGVO ist der Grundsatz der Transparenz, mit dem Ziel die Rechte Betroffener bewusst zu stärken.  Erwägungsgrund 11 zur DSGVO nimmt darauf Bezug, wenn es dort heißt, dass ein unionsweiter wirksamer Schutz personenbezogener Daten die Stärkung und präzise Festlegung der Rechte der betroffenen Personen erfordert.

Sämtliche Rechte, die einem Betroffenem gemäß den Art. 15 bis 21 DSGVO zustehen, bauen auf der Pflicht zur Information auf.

Was bedeutet Informationspflicht im Sinne der DSGVO?

Denn nur wenn die Person überhaupt weiß, dass Daten verarbeitet werden, können diese Rechte wahrgenommen werden. Deswegen müssen Unternehmen unabhängig von Größe und Branche über die Verarbeitung personenbezogener Daten informieren.

Das hat zur Folge, dass es nicht mehr ausreicht, lediglich den Verantwortlichen für die Verarbeitung zu benennen. Über die inhaltliche Gestaltung sollte sich jedes Unternehmen deshalb Gedanken machen. Denn eine fehlende oder nicht korrekt erstellte Informations- oder Hinweispflicht wird von einer Aufsichtsbehörde als Datenschutzverstoß gewertet und kann schlussendlich zu einem Bußgeld führen.

Gestaltung und Inhalte der Informationspflicht

Was gibt die DSGVO zur Form der Hinweispflicht vor?

Zentrale Artikel der Datenschutzgrundverordnung, die sich mit der Pflicht zur Information befassen, sind die Artikel 13 und 14 der DSGVO. Wobei man festhalten muss, dass sich zum formalen Aussehen einer Hinweispflicht keine expliziten Angaben innerhalb der DSGVO finden. Wohl aber zur inhaltlichen Gestaltung.

Das Einzige, was die Datenschutzgrundverordnung in puncto Formalität als Vorgabe mitgibt, wenn es um die Information von Betroffenen geht, ist in Art. 12 Abs. 1 DSGVO zu finden.

Hier liest man, dass die Hinweise in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind.

Dadurch soll erreicht werden, dass jede Person sich ein Bild über die Verarbeitung ihrer Daten machen kann.

Die Angaben, die ein Verantwortlicher gegenüber einem Betroffenen macht, sollen klare Rückschlüsse über die tatsächlich vorliegende Verarbeitung seiner personenbezogenen Daten zulassen, ihm also fair und transparent mitteilen wofür seine Daten verwendet werden. Dafür gibt es bestimmte Mindestangaben, die in einer solchen Hinweispflicht dargestellt werden sollten.

Welche Informationen müssen bei der Erhebung der personenbezogener Daten offengelegt werden?

Inhalte

Dazu nun ein Blick in Art. 13 der DSGVO. Insbesondere Abs. 1 benennt die wichtigsten Inhalte, die einer betroffenen Person offengelegt werden sollen:

  • Zuallererst muss der Name des Verantwortlichen mitgeteilt werden. Nach §17 Abs. 1 HGB, der Firmenname, unter dem Geschäfte betrieben werden (im Bereich von Vereinen gilt §57 BGB). Neben dem Firmennamen werden die Kontaktdaten des Verantwortlichen veröffentlicht, sowie gegebenenfalls dessen Vertreters. Bedeutet z. B. dass bei einer GmbH sowohl der eigentliche Name der Firma als auch die Geschäftsführer namentlich benannt werden.
  • Ist ein Datenschutzbeauftragter vorhanden, wird auch dieser in der Hinweispflicht mit Namen und Kontaktdaten erwähnt.
  • Als nächstes wird dem Betroffenen der Zweck erläutert, zu dem seine personenbezogenen Daten erhoben werden, sowie die dazu passende Rechtsgrundlage (nach Art. 6 Abs. 1 DSGVO). Dazu wird außerdem benannt welche Daten, oder Kategorien von Daten verarbeitet werden (Personendaten, Bankdaten, Vertragsdaten, etc.).
  • Erfolgt die Verarbeitung auf Basis von Art. 6 Abs. 1 f DSGVO – des berechtigten Interesses des Verantwortlichen – so muss dies in der Information entsprechend kundgetan werden.
  • Natürlich sollte die betroffene Person darüber informiert werden wer die Empfänger ihrer Daten sind (Art. 4 Abs. 9 DSGVO). Hier geht es nicht um die namentliche Nennung einzelner Empfänger, sondern um einen Überblick. Sprich welche internen Abteilungen verarbeiten die Daten weiter (Buchhaltung, Personalabteilung, Marketing, u. s. w.). Außerdem sollten externe Empfänger erwähnt werden, wie verschiedene Dienstleister, Subunternehmer, Auftragsverarbeiter die an einer Verarbeitung beteiligt sind.
  • Darüber hinaus ist ein Betroffener zu informieren, ob die Absicht besteht, dass der Verantwortliche seine Daten nicht nur im Inland, sondern in Ländern innerhalb der EU, einem Drittland oder einer international tätigen Organisation verarbeitet werden. In Verbindung damit erfolgt die Auskunft, ob es für die Verarbeitung im Ausland eine angemessene Garantie oder einen Angemessenheitsbeschluss der EU-Kommission für das Empfängerland gibt, oder ob die Verarbeitung dadurch legitimiert ist, dass der EU-US-Privacy-Shield greift.

Weitere Kriterien

Soweit zu den Basisangaben, die jedem Betroffenen zur Verfügung gestellt werden müssen. Art. 13 Abs. 2 nennt weitere Kriterien, die von Bedeutung sind:

  • Dem Betroffenen wird Auskunft gegeben, für welche Zeit oder Dauer die erhobenen Daten gespeichert werden. Und sollte das nicht konkret möglich sein, werden mindestens Kriterien genannt, die für die Festsetzung der Speicherdauer gelten.
  • Fester Bestandteil jeder Informationspflicht ist, der Hinweis auf Rechte, die dem Betroffenen zustehen, wie Auskunft, Berichtigung, Löschung, Einschränkung oder Datenübertragbarkeit.
  • Das Recht auf Widerruf einer erteilten Einwilligung wird explizit erwähnt, und auch der Hinweis, dass die Rechtmäßigkeit der Verarbeitung, die bisher auf Grundlage der Einwilligung erfolgt ist, bis zum Widerruf unberührt bleibt.
  • Die betroffene Person wird auf ihr Beschwerderecht gegenüber einer Aufsichtsbehörde hingewiesen.
  • Sollte der Verantwortliche sich einer automatisierten Entscheidungsfindung (Profiling) bedienen, so muss in der Information gegenüber dem Betroffenen darauf eingegangen werden. Es geht um verwendete Logik, sowie Tragweite und Auswirkung der entsprechenden Verarbeitung.

Gültigkeit

Gilt die Informationspflicht für alle Prozesse?

Diese Auflistung der Inhalte zeigt, dass die Informationspflicht nach DSGVO deutlich mehr ist als nur die Benennung des Verantwortlichen. Und es ist klar, dass es nicht eine „General-Information“ gibt, die einmal erstellt für alle Verarbeitungsprozesse im Unternehmen greift.

Je nach Ablauf einer konkreten Datenverarbeitung, variieren die einzelnen Bestandteile der Informationspflicht. Die Hinweise, die ein Kunde erhalten wird, unterscheiden sich von denen, die im Gegenzug ein Lieferant bekommen würde, oder die einem potenziellen Bewerber zur Verfügung gestellt werden.

Darum empfiehlt es sich, für den jeweiligen Geschäftsprozess eine separate Informationspflicht zu erstellen, abgestimmt auf Kunden, Mitarbeiter, Bewerber, etc.

Jeder Verantwortliche sollte im Sinn behalten, dass er gegenüber einer Aufsichtsbehörde die Pflicht hat, nachweisen zu können, dass er Betroffene über die entsprechende Verarbeitung transparent informiert hat.

Aufgrund dieser Nachweis- und Rechenschaftspflicht des Verantwortlichen, sollten Informationen, dem Betroffenen vorrangig in schriftlicher oder elektronischer Form zur Verfügung gestellt werden (Art. 5 Abs. 1 a und 2 DSGVO).

Grundsätzlich empfiehlt es sich, dem Betroffenen die Information auf dem Weg und über das Medium zukommen zu lassen, wie er mit dem Verantwortlichen kommuniziert hat.

Bei einer Korrespondenz, die rein online stattfindet, würde es sogar ausreichen, in eine E-Mail einen Link zu integrieren, der auf die Homepage verweist, wo dann sowohl die Datenschutzerklärung als auch die einzelnen Informationspflichten zu finden sind.

Ansonsten kann ein entsprechendes Info-Blatt erstellt werden, das jederzeit übergeben, ausgehändigt oder zugeschickt werden kann. Und selbstverständlich empfiehlt es sich, dieses Dokument als Anlage zu einem Angebot, Vertrag oder sonstigem beizufügen.

Direkterhebung und Dritterhebung

Unterschiede bei der Erhebung direkt oder über Dritte – was sagt die DSGVO?

Nun war zu Beginn davon, die Rede, dass zwei Artikel der DSGVO auf die Informationspflicht eingehen. Bisher wurde aber nur Art. 13 erläutert. Worum geht es in Art. 14 DSGVO und was sind die Unterschiede?

Häufig erhält ein Verantwortlicher personenbezogene Daten eines Betroffenen auf zwei Wegen. Entweder direkt beim Betroffenen oder über einen Dritten.

Geht Art. 13 DSGVO darauf ein, welche Informationen bei der Direkterhebung beim Betroffenen zu übermitteln sind, greift Art. 14 dann, wenn der Verantwortliche die Daten mittels eines Dritten erhalten hat.

Weitestgehend sind die Informationen, die ein Betroffener vom Verantwortlichen im Fall der Dritterhebung erhält, gleich denen der Direkterhebung. Auch hier unterscheidet die DSGVO zwischen den Basisinformationen (Art. 14 Abs. 1 DSGVO) und den zusätzlichen Hinweisen (Art. 14 Abs. 2 DSGVO).

Doch selbstverständlich gibt es einen gravierenden Unterschied. Bei der Direkterhebung hat es die betroffene Person in der Hand, welche Daten verarbeitet werden und wirkt sogar direkt an der Datenerhebung mit. Bekommt der Verantwortliche die Informationen mittels eines Dritten, dann hat der Betroffene meist keine Kenntnis welche Daten von ihm erhoben werden

Was sind solche indirekten Erhebungen personenbezogener Daten? Davon spricht man z. B. wenn im Rahmen des Bewerbungsprozesses Informationen bei früheren Arbeitgebern abgefragt werden

oder in Verbindung damit Daten per Xing, LinkedIn oder Facebook erhoben und abgeglichen werden. Selbstverständlich zählt auch die Übermittlung von Daten durch eine Behörde zu einer indirekten Erhebung. 

Unabhängig davon, woher die Daten schlussendlich sind, gilt bei einer Dritterhebung, dass die Datenquelle benannt werden muss (Art. 14 Abs. 2 f DSGVO). 

Eine weitere Besonderheit ist das berechtigte Interesse des Verantwortlichen bzw. eines Dritten als Rechtsgrundlage der Verarbeitung. Fällt es bei der Direkterhebung unter die Basisangaben nach Art. 13 Abs. 1 DSGVO, so zählt es bei der Dritterhebung zu den zusätzlichen Informationen, die nach Art. 14 Abs. 2 DSGVO dem Betroffenen übermittelt werden müssen.

Was bedeutet Informationspflicht im Sinne der DSGVO?

Zeitpunkt der Informationspflicht

Wann muss eine Person über die Verarbeitung ihrer personenbezogenen Daten informiert werden?

Die Datenschutzgrundverordnung regelt nicht nur, welche Informationen einem Betroffenen preisgegeben werden müssen, sondern auch den Zeitpunkt, zu dem dieser Pflicht nachzukommen ist.

Im Fall der Direkterhebung heißt es in Art. 13 Abs. 1 DSGVO klipp und klar, dass der Verantwortliche zum Zeitpunkt der Erhebung, über die Verarbeitung informieren muss. Was heißt „erheben“? Damit ist Aktivität verbunden. Also nur, weil ein Interessent eine Anfrage schickt, ist das noch keine Erhebung von seitens des Unternehmens. Wird die Anfrage ungelesen vernichtet, hat keine Erhebung stattgefunden.

Doch sobald die Anfrage auch nur gelesen, weitergeleitet, gespeichert oder beantwortet wurde, hat eine Erhebung/Verarbeitung stattgefunden und ist der Betroffenen entsprechend zu informieren.

Bei Daten, die im Rahmen der indirekten Erhebung zum Verantwortlichen gelangt sind, gelten andere Bedingungen. Hier ist der Verantwortliche verpflichtet, die betroffene Person nachträglich und innerhalb einer angemessenen Frist nach Erlangung der Daten entsprechend zu informieren.

Dazu ein Blick in Art. 14 Abs. 3 DSGVO. Als Rahmen wird vorgegeben, dass der Verantwortliche unter Berücksichtigung der Umstände der Verarbeitung innerhalb einer angemessenen Frist, längstens innerhalb eines Monats nach Bekanntwerden der Daten ausreichend zu Informieren hat.

Und dienen die Daten, die er von einem anderen Verantwortlichen erhalten hat, der Kommunikation, dann ist spätestens zum Zeitpunkt der ersten Mitteilung, der ersten Korrespondenz, offenzulegen, woher die Daten stammen.

Ausnahmen von der Informationspflicht

Wann kann auf eine Übermittlung der Informationen seitens des Verantwortlichen verzichtet werden?

Die Pflicht zur Information bedeutet nicht, dass der Betroffene bei jeder Korrespondenz die Hinweise bezüglich der Verarbeitung seiner personenbezogenen Daten ausnahmslos erhalten muss.

Die DSGVO benennt konkrete Fälle, in denen auf die Übermittlung der Informationen seitens des Verantwortlichen verzichtet werden kann.

Im Fall der Direkterhebung trifft das dann zu, wenn davon auszugehen ist, dass der Betroffene bereits über diese Information verfügt, z. B. weil vor Kurzem schon einmal ein Vertrag mit demjenigen abgeschlossen wurde.

Natürlich gilt zu beachten, dass sobald sich der Zweck einer Verarbeitung ändert, trotz allem eine entsprechende Information an die betreffende Person zu gehen hat.

Gründe, wann auf eine Information verzichtet werden kann

Wie sieht es bei der indirekten Erhebung aus, wenn es um die Pflicht zur Information geht? Hier nennt die DSGVO verschiedene Gründe, wann auf eine Information verzichtet werden kann (Art. 14 Abs. 5):

  • Wenn der Betroffene bereits über die Informationen verfügt
  • Die Erteilung der Information mit einem unverhältnismäßig hohen Aufwand verbunden wäre, bzw. die Übermittlung unmöglich erscheint (Art. 14 Abs. 5 b DSGVO)
  • Sofern Daten, die erhoben wurden, dem Berufsgeheimnis sowie in Verbindung damit einer Geheimhaltungspflicht unterliegen und deshalb vertraulich behandelt werden
  • Oder falls die Erlangung der Daten durch Rechtsvorschriften klar geregelt ist.

Ergänzend zur DSGVO greift auch das Bundesdatenschutzgesetz in seiner neuen Fassung die Informationspflichten auf, und benennt in den §§ 32 und 33 BDSG n. F. Ausnahmen von der Pflicht zur Information.

Ob diese schlussendlich aufgrund des Vorrangs der DSGVO zur Anwendung kommen, wird vermutlich eine Einzelfallentscheidung im konkreten Fall werden.

Fazit bis hierher: Es gilt, dem Betroffenen so transparent wie möglich aufzuzeigen, was mit seinen Daten passiert, wo im Unternehmen sie verwendet werden, welcher Zweck und welche Rechtsgrundlage greifen und welche Rechte ihm im Verlauf der Verarbeitung gegenüber dem Verantwortlichen zustehen.

Fehlende Informationspflichten, oder auch unvollständige, verspätete, unrichtige Informationen sind keine Bagatelle. Schließlich kann ein Verstoß durch die Aufsichtsbehörde mit einer Geldbuße geahndet werden (Art. 83 Abs. 5 b DSGVO).

Praxistipps

Nach so viel Theorie zu den Informationspflichten ein kurzer Abstecher in die Praxis. Einige Beispiele sollen das Wesentliche der Thematik noch einmal verdeutlichen. Und vielleicht an der Stelle auch die ein oder andere kritische Überlegung, um Abläufe innerhalb des eigenen Unternehmens aufmerksam zu beurteilen.

Kontaktaufnahme per Telefon

Einerseits besteht die Pflicht zur Information – andererseits gilt es Verhältnismäßigkeit und Praxistauglichkeit im Sinn zu behalten. 

Geht es um die Information zum Verantwortlichen, so wird diese einem Anrufer bekannt sein. Denn ruft der Betroffene bei einer Firma, einem Arzt, etc. an, so meldet sich der Gegenüber meist mit dem „Namen der Verantwortlichen“, sprich dem Firmennamen. Aus dem Telefonat an sich, ergibt sich in der Folge der Zweck des Anrufs, womit die Rechtsgrundlage der Verarbeitung gegeben ist, z. B. die Anfrage nach einem Angebot als vorvertragliche Maßnahme. 

An der Stelle die kompletten Hinweise nach Art. 13 DSGVO weiterzugeben, ist sicherlich nicht zielführend. Aber ein kurzer Verweis auf die Webseite, oder eine E-Mail mit dem Link zur entsprechenden Hinweispflicht wäre durchaus denkbar. 

Oder anderes Beispiel – Anruf in einem Kosmetikstudio zur Terminvereinbarung: Wer hier anruft, verfügt bereits über die ersten Informationen, nämlich den Namen des Verantwortlichen (des Kosmetikstudios), sowie der Kontaktdaten (Telefonnummer). Auch der Zweck, nämlich die Terminvereinbarung, ist klar. Die Verarbeitung seiner Daten, sprich Namen und Telefonnummer zur Terminbuchung, ist nötig, um später die Beautybehandlung durchführen zu lassen. Da aber bis zum eigentlichen Termin sonst keine weiteren personenbezogenen Daten erhoben werden, braucht ein Anrufer an der Stelle noch nicht über all seine Betroffenenrechte belehrt werden. 

Wird der Termin per E-Mail bestätigt, bietet es sich aber wiederum an, eine Verlinkung auf die Internetseite zu integrieren, wo entsprechende Informationen rund um die Verarbeitung nachzulesen sind.

Einzelhandelsgeschäft vor Ort

Werden in einem Ladengeschäft nicht einfach „nur“ Waren verkauft, sondern findet in Verbindung mit dem Verkauf eine Verarbeitung personenbezogener Daten statt, so ist der Verantwortliche verpflichtet, betroffene Personen über die Erhebung aussagekräftig zu informieren.  

Der Bäcker um die Ecke, bei dem man seine Brötchen und den Sonntagskuchen kauft, wird in den seltensten Fällen personenbezogene Daten erheben.  

Anders sieht es sicherlich aus, wenn es einen Online-Shop gibt, in dem man seine Backwaren bestellen kann. Oder wie in manchen Gegenden üblich, der Lieferservice nach Hause, wo ebenfalls ein Mehr an personenbezogenen Daten durch den Bäcker verarbeitet wird.  

Was dann? Nun es kann auf verschiedene Art und Weise über die Verarbeitung informiert werden. Beispielsweise durch einen entsprechenden Aushang im Ladengeschäft, der für jeden Kunden einsehbar ist. Von Vorteil sicher auch, einige Abschriften bereit zu halten, falls ein Kunde diese mitnehmen möchte. 

Gibt es einen Online-Bestellservice, dann macht es sicherlich Sinn, in die Bestellbestätigung wiederum eine Verlinkung auf die Homepage zu integrieren, oder zumindest als festen Anhang in der Bestellung die dazu passende Hinweispflicht einzufügen.

Gewinnspiel

Nutzt ein Unternehmen Gewinnspiele, dann sind selbstverständlich Teilnehmer darüber zu informieren, was nach der Datenerhebung aus dem Gewinnspiel passiert. Bei der „guten alten Postkarte“, die inzwischen schon beinahe von den Online-Angeboten verdrängt wurde, ist es natürlich nicht ratsam, die Informationspflichten aufzudrucken. Stattdessen auch hier der Tipp, entweder als separaten Beileger oder mittels QR-Codes oder einem Link für die Internetseite, auf die erforderlichen Informationen aufmerksam zu machen, so dass jeder Teilnehmer dort die relevanten Hinweise nachzulesen kann. 

Bei Online-Gewinnspielen kann man ohnehin per Verlinkung auf die notwendigen Informationen zur Verarbeitung hinweisen. 

Auftragsverarbeitung

Auf eine ausgeschriebene Stelle gehen im Verlauf Bewerbungsunterlagen ein. Die einen per E-Mail, die anderen per Post, manche werden persönlich abgegeben. 

Es handelt sich hier um eine Direkterhebung von Daten, die er Betroffene gegenüber dem Verantwortlichen selbst offenlegt.  

Wie sieht es mit der Informationspflicht seitens des Verantwortlichen aus? 

Geht die Bewerbung per E-Mail ein, so kann in der Bestätigung für den Eingang der Unterlagen die Datenschutzinformation als Anhang oder zumindest als Link an den Bewerber gesandt werden. 

Gibt jemand die Bewerbung persönlich ab, empfiehlt es sich, einen Ausdruck der Informationspflicht auszuhändigen. 

Wie verhält es sich bei der postalischen Zustellung? Hier sollte zeitnah eine Benachrichtigung an den Betroffenen gehen, in der er über die Verarbeitung seiner Daten informiert wird. Beispielsweise in Verbindung mit dem Antwortschreiben, dass die Bewerbung eingegangen ist.

Bewerbungsverfahren

Eine ganze Reihe von Prozessen, werden nicht mehr nur intern abgewickelt, sondern unter Einbindung externer Dienstleister. Deswegen sind in vielen Unternehmen diverse Verträge zur Auftragsverarbeitung vorhanden. Wer ist aber in Verbindung mit einer Auftragsverarbeitung dafür verantwortlich, Betroffene über die Verarbeitung zu informieren? Der Auftraggeber wird in seine Informationspflicht gegenüber dem Betroffenen aufnehmen, dass ein Auftragsverarbeiter zu den externen Datenempfängern gehört. Also nicht der Auftragnehmer, sondern der Auftraggeber informiert den Betroffenen entsprechend den Vorgaben der DSGVO

Fazit

Schlussendlich stehen einem Unternehmen immer mehrere Wege zur Verfügung, einen Betroffenen entsprechend Art. 13 und 14 DSGVO über die Verarbeitung seiner Daten zu informieren. Ob dies nun in Papierform oder auf elektronischem Weg geschieht ist nicht entscheidend. Viel wichtiger ist, dass der Betroffene entsprechend Art. 12 DSGVO in leicht zugänglicher Form, transparent, explizit aufmerksam gemacht wird, was mit seinen Daten geschieht. 

Eine solche Information in den Fließtext von AGBs oder Verträgen zu integrieren ist nicht zulässig. Denn die Erklärungen sollen präzise, nachvollziehbar, verständlich und in einfacher Sprache formuliert sein. 

Das hat aber auch zur Folge, dass unter Umständen nicht nur für verschiedene Verarbeitungstätigkeiten unterschiedliche Informationspflichten vorhanden sein müssen, sondern darüber hinaus sogar mehrere Sprachen.  

Prinzipiell gilt, dass die Information in der gängigen Landessprache zur Verfügung stehen muss. Doch falls es z. B. von ein und derselben Internetseite Auftritte in verschiedenen Sprachen gibt, weil z. B. ein Online-Shop Waren in unterschiedlichen Landessprachen anbietet, dann müssen auch die Informationspflichten in diesen Sprachen zur Verfügung stehen.

Ebenso empfiehlt es sich, bei fremdsprachigen Mitarbeitern die Sprache zu wählen, in der auch die jeweiligen Arbeitsanweisungen, Verträge, Dokumente erstellt werden.

Informationspflichten – ein elementarer Baustein im Datenschutz eines jeden Unternehmens – bringen konkreten Handlungsbedarf mit sich. Es ist durch den Verantwortlichen zu prüfen, welcher personenbezogenen Daten – von wem – in welchem Prozess – für wie lange verarbeitet werden – und warum. Als Ergebnis sollte für unterschiedliche Personengruppen und auf die jeweilige Tätigkeit angepasst, ein entsprechendes Dokument erstellt werden, das alle relevanten Eckpunkte enthält, um der Informationspflicht nachzukommen.

Ändert sich im Lauf der Zeit etwas am Zweck, wechselt der Verantwortliche, werden unter Umständen nun doch Teile einer Verarbeitung nach extern verlagert, so muss die jeweilige Informationspflicht zwingend an die neuen Gegebenheiten angepasst werden.

Deshalb empfiehlt es sich, regelmäßig einen Blick auf die vorhandenen Informationspflichten zu werfen. Unabhängig davon durch welches Medium, und für welche Personengruppe diese bestimmt sind, gilt es auf Aktualität, Vollständigkeit und Korrektheit zu achten.

Informationspflichten nach DSGVO – ein Fahrplan

  1. Klärung, wer die Daten erhoben hat – der Verantwortliche selbst oder indirekt über Dritte?
  2. Wer ist von der Erhebung der Daten betroffen und um welche Kategorien von Daten handelt es sich?
  3. Für welchen Zweck werden die DAten benötigt? Und welche Rechtsgrundlage greift für die Verarbeitung
  4. Wer wird die Daten im Verlauf der Verarbeitung erhalten? Nur interne Abteilungen oder auch externe Empfänger?
  5. Findet eine Übermittlung von Daten ins Ausland statt und falls ja wohin?
  6. Wie lange werden die Daten gespeichert?
  7. Benennung der Rechte des Betroffenen gegenüber dem Verantwortlichen
  8. Eigener Hinweis auf das Recht auf Widerruf
  9. Hinweis auf das Beschwerderecht gegenüber der Aufsichtsbehörde
  10. Falls Profiling genutzt wird muss ausdrücklich darauf hingewiesen werden.

Nachdem alle eben genannten Informationen zusammengetragen sind, sollten diese in schriftlicher Form, je nach Verarbeitungsprozess, festgehalten und em Betroffenen unter Berücksichtigung der Vorgegebenen Frist zur Verfügung gestellt werden.

Benötigen Sie Unterstützung?

Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!

Aktuelle Artikel zu diesem Thema

Was versteht man unter Informationspflicht?

Ganz am Anfang der Datenverarbeitung steht die Informationspflicht des Verantwortlichen gegenüber dem Betroffenen. Denn: Jede Stelle, die personenbezogene Daten verarbeitet, muss Sie als betroffene Person grundsätzlich hierüber zum Zeitpunkt der Erhebung informieren.

Was sind personenbezogene Daten im Sinne der Dsgvo?

DSGVO Personenbezogene Daten Der Begriff der personenbezogenen Daten ist das Eingangstor zur Anwendung der Datenschutz-Grundverordnung und wird in Art. 4 Nr. 1 definiert. Danach sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Was sagt Art 13 Dsgvo?

Der für die Verarbeitung Verantwortliche teilt allen Empfängern, an die Daten weitergegeben wurden, jede Berichtigung oder Löschung, die aufgrund von Artikel 16 beziehungsweise 17 vorgenommen wird, mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Wann sind Daten nicht erforderlich?

Eine Verarbeitungstätigkeit, die sich nicht (mehr) im Rahmen einer legitimen Zweckbindung bewegt, ist – von zulässigen Zweckänderungen abgesehen – unrechtmäßig und deshalb nie erforderlich.

bedeutet informationspflicht im sinne der dsgvo Informationspflicht DSGVO Muster Betroffenenrechte DSGVO Informationspflicht Mitarbeiter 14 DSGVO Informationspflicht Gesetz

zusammenhängende Posts

Avatar Der Herr der Elemente Spiele SpielAffe
Avatar Der Herr der Elemente Spiele SpielAffe

Wie fühlen sich schmetterlinge im bauch an
Wie fühlen sich schmetterlinge im bauch an

Was ist der unterschied zwischen schiffs dnv und industrie dnv
Was ist der unterschied zwischen schiffs dnv und industrie dnv

Wie heißt der Minister für Justiz?
Wie heißt der Minister für Justiz?

Wie gebe ich +31 im Telefon ein?
Wie gebe ich +31 im Telefon ein?

Genshin Impact Reise im Nebel und Wind
Genshin Impact Reise im Nebel und Wind

Was bedeutet Verbindung wird vom Remotegerät nicht akzeptiert?
Was bedeutet Verbindung wird vom Remotegerät nicht akzeptiert?

Was ist der unterschied zwischen geneleg apm und awm
Was ist der unterschied zwischen geneleg apm und awm

Was ist der unterschied zwischen beziehing und lebensgemeinschaft
Was ist der unterschied zwischen beziehing und lebensgemeinschaft

Wer ist der kleine wassermann
Wer ist der kleine wassermann

Werbung

NEUESTEN NACHRICHTEN

Wissen Sie wissen Sie wer Radetzky ist
1 Jahrs vor . durch MistySloth
Wie besprochen sende ich Ihnen im Anhang die?
1 Jahrs vor . durch RuinedBarrymore
Wie heißen die adoptivkinder von christina aguilera
1 Jahrs vor . durch SurprisedEpilepsy
To evaluate quality, it is helpful when organizations develop ______ system.
1 Jahrs vor . durch SublimePharaoh
What models of decision making explain how managers really come to decisions
1 Jahrs vor . durch All-importantDiversity
Which of the following outlines the overall authority to perform an IS audit
1 Jahrs vor . durch ExcellentQuantity
Wo bekommt man am meisten für seine Rente?
1 Jahrs vor . durch RacingCemetery
Duplex zimmer bedeutung
1 Jahrs vor . durch DreadedProjection
Transformers 5 deutsch der ganze film
1 Jahrs vor . durch PossibleBy-election
What is the Internet standard for how Web pages are formatted and displayed?
1 Jahrs vor . durch VehementSufferer

Werbung

Populer

Werbung

Um

Legal

Hilfe

Sozial

homeendefrjakoptzhthit
Urheberrechte © © 2024 toptenid.com Inc.