Was ändert sich bei der Informationspflicht mit der DSGVO?

Was ändert sich bei der Informationspflicht mit der DSGVO?

Wer was wann wo und bei welcher Gelegenheit? Das klingt zunächst wie der Inhalt eines beliebigen Artikels aus einer Illustrierten im Wartezimmer. Setzt man diese Frage jedoch in Bezug zur DSGVO, steckt mehr dahinter: Mit der neuen EU Grundverordnung zum Datenschutz vervielfältigen sich die Plichten, denen Sie als Verantwortlicher gegenüber derer, deren Daten verarbeitet werden, nachkommen müssen.

 

Warum die Informationspflicht?

Ganz einfach kann man sagen, dass jeder dessen Daten erhoben, verarbeitet bzw. gespeichert werden, ein Recht darauf hat, dies zu erfahren. Oder wie es das Bundesverfassungsgericht ausdrückt, Transparenz darüber, „wer was wann und bei welcher Gelegenheit über Sie weiß.“

Darüber hinaus kann man sagen, dass es den betroffenen Personen ohne dieses Wissen nicht möglich ist, die ihnen zustehenden Rechte, wie zum Beispiel das Recht auf Vergessenwerden oder das Recht auf Berichtigung ihrer Daten, wahrzunehmen.

Was ist neu?

Die Informationspflichten derer, die Daten erheben waren bisher im Bundesdatenschutzgesetz (BSDG) und weiteren Gesetzen geregelt. Das geschieht jetzt in den Artikeln 13 und 14 der Datenschutzgrundverordnung, kurz DSGVO und dem BSDG(neu). Insgesamt sind diese Regelungen weitreichender sind als bisher.

Während Artikel 13 die Informationspflicht bei Erhebung von personenbezogenen Daten direkt bei der betroffenen Person regelt, enthält Artikel 14 die Regelungen zur Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Ergänzend zu den Artikeln gibt es Erwägungsgründe, welche als Grundlage für den Erlass der Verordnung gesehen werden können.

 

Ihre Pflichten nach Art. 13 DSGVO

Wenn Sie oder Ihr Unternehmen personenbezogene Daten direkt bei der betroffenen Person erheben, die Daten verarbeiten oder auch speichern, müssen Sie die Person bereits zum Zeitpunkt der Erhebung davon in Kenntnis setzen. Über welches Medium (schriftlich oder elektronisch) die Information im Online- bzw. Offlinebereich jeweils zur Verfügung gestellt werden muss oder sollte, ist derzeit noch Thema zahlreicher Diskussionen. Der Inhalt jedoch ist verbindlich und muss präzise, transparent leicht verständlich und in leicht zugänglicher Form zur Verfügung stehen. Grob zusammengefasst handelt es sich dabei um folgende Punkte:

Inhalt der Informationspflicht

  1. Name und Kontaktdaten des Verantwortlichen (ggf. auch des Vertreters)
  2. Kontaktdaten des Datenschutzbeauftragten
  3. Zweck und Rechtgrundlage der Verarbeitung
  4. Berechtigte Interessen des Verantwortlichen
  5. Konkrete Empfänger bzw. Kategorien von Empfängern
  6. Geplante Übermittlung in Drittländer oder an internationale Organisation und dortige Maßnahmen zum Schutz der Daten
  7. Konkrete Dauer der Speicherung
  8. Betroffene Personen sind über Ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verbreitung und Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit aufzuklären
  9. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  10. Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und mögliche Folgen der Nichtbereitstellung
  11. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  12. Information über eine mögliche Zweckänderung der Datenverarbeitung

Im Detail finden Sie alle notwendigen Informationen hier: https://dsgvo-gesetz.de/art-13-dsgvo/

 

Ihre Pflichten nach Art. 14 DSGVO

Auch wenn Sie oder Ihr Unternehmen personenbezogene Daten verarbeiten oder auch speichern, die Sie nicht direkt bei der betroffenen Person erhoben haben, unterliegen Sie der Informationspflicht. Die mitzuteilenden Informationen sind nahezu gleich, jedoch müssen Sie darüber hinaus Angaben zu den Quellen der Daten machen und darüber, ob diese öffentlich zugänglich sind.

Die Information muss in diesem Falle nicht sofort, sondern innerhalb einer angemessenen Frist, spätestens aber nach einem Monat oder zum Zeitpunkt der ersten Kontaktaufnahme oder Weitergabe erfolgen.

Im Detail finden Sie alle notwendigen Informationen hier: https://dsgvo-gesetz.de/art-14-dsgvo/

Finden bei Ihnen beide Artikel Anwendung, ist es üblich, den betroffenen eine kombinierte Information über die Verarbeitung und Verwendung ihrer Daten zur Verfügung zu stellen.

Was ändert sich bei der Informationspflicht mit der DSGVO?

Wie erstellen Sie die Dokumente zur Informationspflicht?

Das Gesetz fordert an anderer Stelle in Artikel 30 der DSGVO eine Übersicht aller Verfahren zur Verarbeitung personenbezogener Daten in Ihrem Unternehmen. Einen Artikel mit Muster Verfahrensverzeichnis finden Sie ebenfalls im Blog.

Mit einem fertigen Verfahrensverzeichnis haben Sie bereits eine Basis, die Sie zur Erstellung der Informationspflichten heranziehen können. Alle oben genannten Informationen können Sie daraus ermitteln. Nun brauchen Sie diese Daten nur noch in ein Dokument übertragen und Ihrer Zielgruppe zur Verfügung stellen. Am besten erstellen Sie ein Dokument pro Zielgruppe. Überlegen Sie sich, wie Sie die Unterlagen den Betroffenen vor Erfassung und Verarbeitung ihrer Daten am besten anbieten können.

 

Was heißt das für ein kleines oder mittelständisches Unternehmen?

Was bedeutet die Informationspflicht nun für Sie in der Praxis? Egal ob Sie ein fertigendes Unternehmen, einen Einzelhandel, einen Onlineshop oder einen Blog betreiben, die Informationspflicht trifft sie immer irgendwo.

Mitarbeiter

Sie verarbeiten personenbezogene Daten Ihrer Mitarbeiter zur Abwicklung der Personalführung, zur Lohnabrechnung bei Schulungen und sicher noch an einigen anderen Stellen. Alle diese Verfahren müssen in Ihrem Verfahrensverzeichnis beschrieben sein. Daraus leiten Sie nun das Informationsschreiben ab. Stellen Sie es neuen Mitarbeitern vor der Anstellung, vielleicht gleich mit dem Arbeitsvertrag zur Verfügung. Den bestehenden Mitarbeitern können Sie es nun einmalig z.B. mit der Lohnabrechnung oder über das Intranet zur Verfügung stellen (falls alle Mitarbeiter darauf Zugriff haben).

Kunden

Unterscheiden Sie, ob Ihre Kunden Endverbraucher oder Businesskunden sind. Bei Endverbrauchern haben Sie in der Regel weit mehr personenbezogene Daten, als bei Geschäftskunden. Sie haben wahrscheinlich Informationen über Anschrift, Kontodaten, Geburtstag und Familienstand, Einkaufshistorie und noch vieles mehr. Da Geschäftskunden ein Unternehmen repräsentieren sind es meistens Daten wie E-mail Adressen, Telefonnummern und Kommunikationsverläufe, die bei Ihnen trotzdem personenbezogen vorliegen. Haben Sie bereits AGBs, dann wäre es eine Option, die Informationspflicht in ähnlicher Form anzubieten.

Webseitenbesucher

Kein Unternehmen ohne Webseite. Hier können Sie bei vielen Verfahren die Informationspflicht gleich in der Datenschutzerklärung abdecken, so wie Sie es auch in unserer Datenschutzerklärung vorfinden. Wir haben unsere mit Hilfe des e-Recht24 Generators erstellt, der hier die Anforderungen für Standardverfahren auf Webseiten sehr gut umsetzt.

Trotzdem sollten Sie selber noch offenen Auges über Ihre Webseite gehen und prüfen, ob tatsächlich alle Verfahren in der Datenschutzerklärung dokumentiert sind.

Damit Sie die Anforderung leicht verständlich und leicht zugänglich erfüllen, verweisen Sie sicherheitshalber an jeder Stelle an der Daten eingegeben werden auf Ihre Datenschutzerklärung.

 

Sind Ausnahmen von der Informationspflicht möglich?

Eine Ausnahme für Artikel 13 ist nur dann zulässig, wenn nachweislich alle Informationen der betroffenen Person bereits vorliegen. In der Praxis dürfte das schwer zu prüfen sein.

Für Artikel 14 gilt: Ist die Information der betroffenen Person unmöglich oder unverhältnismäßig aufwendig, kann darauf verzichtet werden. Das gleiche gilt für Fälle in denen die Erhebung oder Übermittlung gesetzlich vorgeschrieben ist oder eine Geheimhaltungspflicht in Form einer Satzung oder eines Berufsgeheimnisses besteht.

Was passiert bei Verstößen gegen die Informationspflicht?

Da der europäische Gesetzgeber den Schutz personenbezogener Daten sowie die Gewährleistung einer fairen und transparenten Datenverarbeitung als absolut elementar ansieht, drohen bei Verstößen hohe Bußgelder. Der Rahmen dafür liegt bei bis zu 20.000.000 EUR oder 4% des Jahresumsatzes.

Diese Zahlen schrecken erst mal ab. Wo sich die Schwelle einpendeln wird, ist noch ungewiss. Sicher ist auf jeden Fall, dass die Bußgelder „wirksam“ sein müssen.

 

Fazit

Die neuen Gesetze sind sehr umfangreich und gehen über das bisher Erforderliche weit hinaus. Beginnen Sie als Verantwortlicher deshalb frühzeitig mit der Umsetzung. Verbindlicher Stichtag für die Gültigkeit der neuen Informationspflichten ist der 25. Mai 2018.

 

Haben Sie Fragen oder benötigen Sie Hilfe bei der Umsetzung? Dann schreiben Sie einen Kommentar oder melden sich direkt bei uns. Wir freuen uns auf Sie und stehen Ihnen mit kompetenter Hilfe zur Verfügung.

 

Bildquelle:  rawpixel@pixabay

4 Comments on “Was ändert sich bei der Informationspflicht mit der DSGVO?
  • Barbara says:

    Hallo,
    erst Mal vielen Dank für die ausführlichen Berichte und Darstellungen rund um das Thema DSGVO. Das hat mir schon sehr viel weiter geholfen.
    Jetzt habe ich aber noch einer Frage zur Informationspflicht: Soll ich jetzt bei jedem Angebot, dass ich an Gäste verschicke, einen Informationstext hinzufügen? Und dann wenn die Gäste einchecken, gehört auch zur Anmeldung der Gäste ein Informationstext?
    DANKE. Barbara

    Antworten
    • Regina Stoiber says:

      Liebe Barbara,

      ja, so wie du das beschreibst ist das vom Prinzip her genau richtig. Ich würde aber – wenn das praxistauglich ist – nicht immer den ganzen Informationstext mitschicken, sondern den Informationstext auf die Webseite stellen und dann nur auf diese Seite verlinken. Da kann man dann alles rein packen, über das man informieren muss und an den verschiedenen Stellen darauf verweisen.

      LG Regina

      Antworten
  • Heidi says:

    Hallo Regina,
    mit großem Interesse habe ich deine ausführlichen Informationen gelesen. vielen dank dafür.
    Trotzdem stellen sich für uns noch weitere Fragen.
    Informationspflicht:
    Wir sind eine soziale Organisation und werden durch Mitgliedsbeiträger von Privatpersonen unterstützt.
    Auf den Mitgliedsanträgen sind folgende persönlichen Daten erfasst: Adresse, Geb.-Datum, Telefonnummer und Bankverbindung.
    Derzeit steht auf dem Mitgliedsantrag folgende Verpflichtungserklärung:
    „Ihre personenbezogene Daten werden ausschließlich zur internen Bearbeitung benötigt und nicht an Dritte weitergegeben“.
    Für uns stellen sich, für künftig folgende Fragen:
    Reicht weiterhin diese Formulierung für die Verpflichtungserklärung aus, oder wie sollte/muss sie künftig geändert werden?
    Datenschutzbeauftragter:
    Benötigen wir überhaupt einen Datenschutzbeauftragten, wo wir unter 10 Personen sind, die ständig mit personenbezogenen Daten arbeiten.
    Wie schon erwähnt, werden unsere Daten ausschließlich zur internen Bearbeitung genutzt.
    Internet:
    Wir betreiben unterschiedliche Internetseiten, die jedoch alle unter einer (gleichen) Firmierung laufen.
    Wie müssen wir diese, einzeln oder gesamt, künftig ändern?
    Vielen Dank für eine Antwort Heidi

    Antworten
    • Regina Stoiber says:

      Hallo Heidi,
      die Information für die Privatpersonen muss nach Art. 13 aufgebaut werden. Da fehlt noch einiges an Infos. Die muss aber nicht zwingend auf dem Mitgliedsantrag stehen. Wenn es dem Umfang angemessen ist, kann man es auch im Internet ausführlich beschreiben und dort hin verweisen (wenn das praktikabel ist).
      Genau, kein DSB, wenn unter 10 Personen.

      Jede Webseite für sich allein muss DSGVO konform sein. Das hat nichts damit zu tun, welche Rechtsform dahinter steht. Dann muss im Impressum die Firmierung jeweils angegeben werden. Bei mir ist das auch so, ich habe drei Webseiten und zwei Rechtsformen, ist aber für die Webseite eigentlich nur für’s Impressum wichtig.

      LG Regina

      Antworten

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.