Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Informationspflichten nach der DS-GVO

Die Informationspflichten gegenüber dem Betroffenen werden künftig deutlich ausgeweitet.

Mit Anwendung der DS-GVO ab 25.05.2018 werden sich die Informationspflichten gegenüber der betroffenen Person deutlich erweitern. Wenn viele Datenschützer derzeit kritisieren, dass die neue DS-GVO das Datenschutzniveau in Deutschland künftig absenken wird, dann sind deren Argumente häufig nachvollziehbar. Zahlreiche spezielle Regelungen wie beispielsweise zur Videoüberwachung (§ 6b BDSG), zu automatisierten Abrufverfahren (§ 10 BDSG), zur geschäftsmäßigen Übermittlung von Daten (§§ 29, 30 BDSG) oder zu Zwecken der Werbung (§ 28 BDSG) wird es künftig nicht mehr geben. Für alle diese Verfahren werden dann die allgemeinen Datenschutzbestimmungen der DS-GVO heranzuziehen sein. In der Regel wird dies Artikel 6 DS-GVO sein und in vielen Fällen wird nach Art. 6 Abs. 1 lit. f DS-GVO zwischen den berechtigten Interessen des Verantwortlichen und den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person abzuwägen sein. Im Endeffekt wird also eine recht unspezifische allgemein gehaltene Regelung mit viel Raum für Interpretationen die Rechtmäßigkeit von Verarbeitungen definieren. Erst gerichtliche Entscheidungen werden hier in vielen Fällen tatsächlich Klarheit bringen können. Insgesamt besteht zumindest die Gefahr, dass das Datenschutzniveau diesbezüglich nach der DS-GVO insgesamt eher geringer sein wird als nach dem BDSG.

Unterscheidung nach Art der Datenerhebung

Demgegenüber wurden die Informationspflichten gegenüber der betroffenen Person deutlich ausgeweitet. Hierbei handelt es sich um diejenigen Angaben, die einer betroffenen Person hinsichtlich Verarbeitung und Nutzung ihrer Daten unaufgefordert mitgeteilt werden müssen. Kurz zusammengefasst entsteht derzeit fast der Eindruck, dass nach der DS-GVO künftig folgender Grundsatz gilt: (Fast) alles ist möglich und erlaubt – aber die betroffene Person muss darüber umfassend informiert werden. Dabei definiert die DS-GVO je nachdem ob die Daten direkt bei der betroffenen Person erhoben werden oder bei einem Dritten erhoben werden unterschiedliche Informationspflichten

Informationspflichten bei Erhebung direkt bei der betroffenen Person

Festgelegt sind die Informationspflichten bei Erhebung direkt bei der betroffenen Person Art. 13 DS-GVO.

Demnach sind der betroffenen Person bereits zum Zeitpunkt der Erhebung im Wesentlichen folgende Angaben zu übermitteln:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt,
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

In Sonderfällen sind weitere Angaben erforderlich, beispielsweise bei Datenübermittlungen in Drittländer oder bei einer Datenverarbeitung zum Zwecke des Profilings.

Und wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden…

…dann hilft Artikel 14 DS-GVO weiter. In diesem Falle ist zusätzlich zu den oben bereits genannten Informationen mitzuteilen, welche Daten oder Datenkategorien verarbeitet werden, sowie aus welcher Quelle die personenbezogenen Daten stammen.

Konsequenzen

Als Konsequenz aus dem umfangreichen Informationspflichten wird sich ergeben, dass vertragliche Vereinbarungen oder Einwilligungserklärungen künftig deutlich umfangreicher werden als bisher. Hinzu kommt, dass spätere Zweckänderungen nur in sehr engen Grenzen zulässig sein werden. Das heißt, in der erstmaligen Vereinbarung mit der betroffenen Person (Einwilligung oder Vertrag) wird ein für die Verarbeitung Verantwortlicher, zusätzlich zu den Zwecken, die unmittelbar beabsichtigt sind, gegebenenfalls auch weitere Zwecke aufführen, die zukünftig vielleicht einmal beabsichtigt sein könnten.

Ein weiterer Punkt ist, dass der Begriff „Empfänger“ in der DS-GVO anders definiert sind als bisher. Während nach dem BDSG nur Dritte auch Empfänger sein konnten, ist nach der Artikel 4 DS-GVO ein Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt. Das heißt, auch interne Stellen innerhalb der verantwortlichen Stelle wie die Personalabteilung, Rechtsabteilung etc. könnten zumindest nach strenger Lesart dieses Artikels im Rahmen der Informationspflichten zu nennen sein.

Ausnahmen?

Keine – zumindest nach derzeitigem Stand. Allerdings bietet die DS-GVO dem nationalen Gesetzgeber in engen Grenzen die Möglichkeit, Ausnahmen von den Informationspflichten einzuführen. Der derzeitige Entwurf des BDSG (neu) sieht dies beispielsweise dann vor, wenn die Erteilung der Auskünfte einen unverhältnismäßig hohen Aufwand bedeute würde. Über die weitere Entwicklung des BDSG (neu) werden wir selbstverständlich zukünftig in unserem Newsletter berichten.

Gerade im Bereich der Informationspflichten ist bei der Umstellung auf die DS-GVO Handlungsbedarf gegeben. Sprechen Sie uns an, gerne unterstützen wir Sie – jetzt ist genau der richtige Zeitpunkt!