Das Bundesverfassungsgericht hat im "
Volkszählungsurteil" vom 15.12.1983 festgestellt, dass es mit dem
Grundrecht auf informationelle Selbstbestimmung der Bürger nicht vereinbar ist, wenn der Bürger nicht wisse, "wer was wann und bei welcher Gelegenheit über sie weiß."
Dies kann nur gewährleistet werden, wenn die datenverarbeitenden Stellen ausreichend hierüber informieren.
Mit der Datenschutz-Grundverordnung (DSGVO) kommen in den Artikeln 13 und 14 zwei umfangreiche Kataloge zur Informationspflicht. Art. 13 regelt die Informationspflichten bei der
Erhebung personenbezogener Daten bei der betroffenen Person, Art. 14 regelt die Informationspflichten, wenn die Erhebung nicht direkt bei der betroffenen Person erfolgt.
Informationspflichten gem. Art. 13 DSGVO
Datenerhebung bei der betroffenen Person
Zum Zeitpunkt der Erhebung
Der Verantwortliche (datenverarbeitende Stelle) muss folgende Informationen mitteilen:
a) Identität des Verantwortlichen
Es ist über den Namen und die Kontaktdaten des Verantwortlichen oder ggf. seines Vertreters gem. Art. 27 DSGVO zu informieren.
b) Kontaktdaten des Datenschutzbeauftragten
Neue Verpflichtung.
c) Verarbeitungszwecke und Rechtsgrundlage
Der Verantwortliche muss über die Zwecke der Datenverarbeitung sowie über die Rechtsgrundlage der Verarbeitung informieren. Somit wird die betroffene Person aktiv darüber
aufgeklärt, auf welchen Erlaubnistatbestand (Art. 6 DSGVO) die Datenverarbeitung gestützt wird.
d) Berechtigtes Interesse
Sollte der Erlaubnistatbestand gem. Art. 6 Abs. 1 lit f) DSGVO, Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten,
Rechtsgrundlage sein, so muss auch eine Aufklärung über diese Interessen erfolgen.
e) Empfänger
In allen Fällen, in denen personenbezogene Daten übermittelt werden sollen, sind die betroffenen Personen grundsätzlich über die konkreten Empfänger oder die Kategorien von
Empfängern zu informieren.
f) Übermittlung in Drittstaaten
Sollte eine Übermittlung in Drittstaaten erfolgen, ist darüber ebenfalls zu informieren. Ebenso ist mitzuteilen, auf welcher besonderen Bedingung nach Art. 44 ff. DSGVO die
Übermittlung beruht und welche Maßnahmen ergriffen wurden, um beim Empfänger ein angemessenes Datenschutzniveau herzustellen. Es ist der betroffenen Person auf Anfrage
Einsichtnahme die entsprechenden Dokumente zu ermöglichen.
Weitere Informationspflichten zur Gewährleistung einer fairen und transparenten Verarbeitung:
g) Dauer der Speicherung
Es ist anzugeben, wie lange personenbezogene Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Dauer der Speicherung.
h) Rechte der Betroffenen
Die Betroffenen sind über ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit
hinzuweisen.
i) Widerrufbarkeit von Einwilligungen
Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist darüber zu informieren, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung
bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.
j) Beschwerderecht bei der Aufsichtsbehörde
Der Betroffene ist über sein Beschwerderecht bei der Aufsichtsbehörde gem. Art. 77 DSGVO aufzuklären.
k) Verpflichtung zur Bereitstellung personenbezogener Daten
Der Verantwortliche muss den Betroffenen darüber informieren, ob die Bereitstellung seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen
Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und über die Folgen einer möglichen Nichtbereitstellung.
l) Automatisierte Entscheidungsfindung und Profiling
Sobald Verfahren der automatisierten Entscheidung gem. Art. 22 DSGVO zur Anwendung kommen, muss die betroffene Person über die Tragweite und die angestrebten
Auswirkungen informiert werden.
Informationspflichten gem. Art. 14 DSGVO
Datenerhebung nicht bei der betroffenen Person (aus anderen Quellen)
Innerhalb angemessener Frist, längstens innerhalb eines Monats. Falls zur Kommunikation mit der betroffenen Person verwendet, spätestens bei der ersten Kontaktaufnahme, bei
Übermittlung an Dritte, spätestens zum Zeitpunkt der ersten Übermittlung.
Im Unterschied zur Datenerhebung bei der betroffenen Person ist über die
a) Kategorien der personenbezogenen Daten
aufzuklären und
b) aus welcher Quelle die Daten stammen und ob diese Quellen öffentlich zugänglich sind.
Aus erkennbaren Gründen muss nicht auf die Folgen einer möglichen Nichtbereitstellung hingewiesen werden.
Einschränkungen
Im Falle der Erhebung bei der betroffenen Person kann auf die Information verzichtet werden, falls die betroffene Person zum Zeitpunkt der Erhebung bereits über die Information
verfügt.
Sofern die Daten nicht bei der betroffenen Person erhoben werden, ist die Information in folgenden Fällen nicht notwendig:
- Die Informationserteilung ist unmöglich oder erfordert einen unverhältnismäßigen Aufwand,
- die Erhebung oder Offenlegung ist gesetzlich vorgeschrieben,
- die Daten unterliegen einem Berufsgeheimnis oder satzungsgemäßen Geheimhaltungspflicht und sind daher vertraulich zu behandeln.
Verstöße gegen die Informationspflichten
Der Gesetzgeber hat die Rechte der betroffenen Personen und damit auch die Informationspflichten zur Gewährleistung einer fairen und transparenten Datenverarbeitung
personenbezogener Daten hoch bewertet (Art. 83 Abs. 5 lit. b)). Der Bußgeldrahmen für solche Verstöße liegt bei 20 Mio. Euro oder 4 % des weltweiten Konzern-Jahresumsatzes, je
nach dem welcher Wert höher liegt.
Quellen:
VERORDNUNG (EU)
2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 (Datenschutz-Grundverordnung)
openJur, die freie juristische Datenbank
Bild: © Trueffelpix - Fotolia.com
Boris Koppenhöfer
22.09.2017