Ein kleiner Leitfaden für die Umsetzung der DSGVO
Nach Artikel 13 und 14 der EU-Datenschutzgrundverordnung (DSGVO) müssen Unternehmen Betroffene darüber informieren, wenn Sie deren Daten in irgendeiner Form erheben. Unternehmen sind hier sowohl von dem Auskunftsrecht als auch von unterschiedlichen Informationspflichten betroffen.
Was bedeutet das für Unternehmen und worauf sollten Sie achten, damit Sie Betroffene im Sinne der DSGVO korrekt informieren? In diesem Blogartikel von Datenschutzberater.NRW erfahren Sie darüber mehr.
Vom Auskunftsrecht hin zu den Informationspflichten
Die Transparenz der Erhebung von personenbezogenen Daten spielt in der EU-DSGVO eine übergeordnete Rolle. Es kommt für Sie und Ihr Unternehmen dabei vor allem darauf an, dem sogenannten Betroffenen genau darlegen zu können, warum und was Sie erheben und ggf. speichern. Dabei unterscheidet man unter anderem zwischen dem Auskunftsrecht und verschiedenen Informationspflichten.
Das Auskunftsrecht stellt sicher, dass der Verantwortliche, der personenbezogene Daten erhebt, den Betroffenen – also denjenigen, dessen Daten erhoben werden – über diesen Vorgang der Erhebung Auskunft gibt. Welche Daten werden erhoben und verarbeitet – denn nur wenn dies klar ist, kann der Betroffene sein Recht auf die Information auch nutzen, welche durch die Informationspflichten abgedeckt sind. Einfach gesagt: Wenn ich nicht weiß, dass Daten von mir gespeichert und verarbeitet werden, dann kann ich auch nicht in Erfahrung bringen, welche Daten wofür und von wem genutzt werden.
Informationspflicht und Auskunftsrecht stehen also in direkter Verbindung zueinander und bilden die jeweilige Grundlage.
Direkterhebung oder Erhebung durch einen Dritten
Egal wer die Daten des Betroffenen erhebt, derjenige, der die Daten verarbeitet muss den Betroffenen darüber informieren. Aber wie kann dieser überhaupt an die Daten kommen? Entweder erhebt er die Daten selbst direkt vom Betroffenen (Direkterhebung) oder die Daten werden durch einen Dritten erhoben. Für den Betroffenen macht es nur dann einen Unterschied, wenn es um den Zeitpunkt der Informationspflicht geht:
- DIREKT bei der Erhebung bei Direkterhebung
- bis SPÄTESTENS 4 Wochen nach der Erhebung durch einen Dritten
Welche Informationen müssen weiter gegeben werden?
Je nachdem welche Daten erhoben werden, muss der Empfänger folgende Informationen für den Betroffenen bereitstellen, um die von der DSGVO verlangte Transparenz zu gewährleisten:
- Name und Kontaktdaten des Verantwortlichen
- (falls gesetzlich verpflichtend) Kontaktdaten Datenschutzbeauftragter
- Verarbeitungszweck
- Rechtsgrundlage und berechtigtes Interesse
- Empfänger
- Welche Daten bzw. Datenkategorien werden abgefragt
- Zeitraum der Speicherung
- Werden die Daten ggf. in Drittstaaten zu Erhebung weitergegeben
- Widerrufsrecht
- Beschwerderecht bei Aufsichtsbehörden
Sollten die Daten an einen neuen Empfänger weitergegeben oder offengelegt werden, müssen die Betroffenen darüber informiert werden.
Das Widerspruchsrecht und die informierte Einwilligung
Die Grundlagen zum Widerspruchsrecht sind so umfangreich, dass wir an dieser Stelle nur sehr kurz darauf eingehen werden. Dies stellt nicht den gesamten Umfang des Themas dar und soll nur ein kurzer Abriss dazu sein.
Zu erst einmal muss vereinfacht gesagt werden: Grundsätzlich kann der Betreoffene nur dann einer Erhebung seiner Daten widersprechen, wenn keine gesetzlicher Grundlage – also im Grunde keine Pflicht – zu dieser Erhebung besteht.
Besteht ein Widerspruchsrecht kannn man festhalten: Nicht nur was verarbeitet wird, warum und von wem, sondern auch die Tatsache, dass der Betroffene dieses widerrufen kann, ist ein nicht zu vernachlässigender Punkt. Spätestens dann, wenn die erste Kommunikation zwischen den beiden oben genannten Parteien stattfindet, muss der Betroffene auf das Widerspruchsrecht hingewiesen werden.
Damit personenbezogene Daten verarbeitet werden können, muss der Betroffene zudem eine sogenannte „informierte Einwilligung“ abgeben. Beides, Widerspruchrecht und informierte Einwilligung, muss verständlich sein und sich deutlich von anderen Informationen abheben.
Leichte Sprache bei den Informationspflichten
In der DSGVO wir deutlich, dass bei der Informationspflicht der Betroffenen im Vordergrund steht. Daher wird hierbei auch viel Wert darauf gelegt, dass die Sprache entsprechend einfach und verständlich gestaltet ist. Wie wir bei dem Widerrufsrecht und der informierten Einwilligung schon angesprochen haben, muss es für den Betroffenen vor allem darum gehen, genau zu verstehen, was mit seinen Daten passiert und welche Rechte er darüber hinaus hat.
Das Unternehmen muss nachweisen können, dass es der Informationspflicht für Betroffene nachgekommen ist. Sie sollten daher diese auch schriftlich dokumentieren.
Ein besonderer Schutz wird in der DSGVO Kindern zuteil – hier muss natürlich besonders darauf geachtet werden, dass diese die oben genannten Punkte verstehen können.
Mit einem Datenschutzberater die Informationspflicht für Betroffene umsetzen
Nicht immer ist es leicht, zu definieren, welche Informationen weitergegeben werden müssen. Um Strafen zu umgehen und den Ansprüchen der DSGVO nachzukommen, bietet es sich an, dieses durch einen Datenschutzberater erstellen oder überprüfen zu lassen.
Die Datenschutzberater.NRW GmbH kann Ihnen gerne dabei helfen, den Informationspflichten für Betroffene nachzukommen. Wir stellen bei Bedarf auch einen externen Datenschutzbeauftragten oder stehen dem internen Datenschutzbeauftragten beratend zur Seite.
Wir sind Datenschutzberater für Köln, Bonn, Düsseldorf und ganz NRW. Nehmen Sie Kontakt zu uns auf oder rufen Sie uns einfach direkt an (Freecall) – unser Team hilft Ihnen gerne weiter.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.