Informationspflichten und Auskunftsrechte zu personenbezogenen Daten nach der DSGVO korrekt erfüllen

Zusammenfassung

 
Überblick

Die DSGVO unterscheidet zwischen der Informationspflicht über Daten, die von dem Betroffenen selber zur Verfügung gestellt werden und Daten, die von Dritten gesammelt werden. Das neue BDSG enthält ergänzende Regelungen. In diesem Beitrag werden die verschiedenen Regelungen differenziert und mit Bezug auf Anwendungsfälle in der Praxis erläutert.

 

1 Informationspflichten nach Datenschutz-Grundverordnung

Ohne Daten lässt sich kaum ein Geschäft abschließen, schon gar nicht im Internet. Anbieter und Geschäftspartner sind deswegen verpflichtet, mit Daten ihrer Kunden sorgfältig umzugehen und soweit möglich die Kontrolle zu behalten, wie und von wem diese bearbeitet werden. Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) empfiehlt zur Erfüllung von Auskunftspflichten eine entsprechende Organisation im Unternehmen. Dabei sollte das Datenschutzmanagementsystem stark mit anderen Management- und Kontrollsystemen verknüpft werden. Die DSGVO setze zum Beispiel das Vorhandensein eines IT-Sicherheits- bzw. Risikomanagements voraus.

Spezifisch für die Gewährleistung der Betroffenenrechte empfiehlt die GDD, interne Prozesse für die Rechte auf

  • Auskunft,
  • Löschung,
  • Berichtigung,
  • Vergessenwerden,
  • Datenportabilität und
  • Widerspruch

zu entwickeln. Die Mitarbeitenden müssen entsprechend informiert und auf die Anforderungen des neuen Rechts vorbereitet werden.

Normalerweise werden personenbezogene Daten bei Verkaufsvorgängen, Umfragen und in sozialen Medien gesammelt. Dann teilen die Verantwortlichen der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit (Art. 13 Abs. 1 DSGVO):

  • Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters,
  • ggf. Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, muss man diese nennen.

Folgende Informationen gelten nach Art. 13 Abs. 2 als notwendig, um eine faire und transparente Verarbeitung zu gewährleisten:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • Information über das Bestehen des Rechts auf Auskunft sowie auf Berichtigung oder Löschung, auf Einschränkung der Verarbeitung der personenbezogenen Daten oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • die Möglichkeit, eine Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • Information über das Beschwerderecht bei einer Aufsichtsbehörde;
  • Information darüber, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
  • Information im Falle einer automatisierten Entscheidungsfindung einschließlich Profiling nach Art. 22 Abs. 1 DSGVO und Art. 22 Abs. 4 DSGVO sowie aussagekräftige Informationen über die Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

     
    Wichtig

    Klare und übersichtliche Geschäfts- und Datenbedingungen sind in jedem Fall zu empfehlen

    Zu beachten ist aber, dass heutzutage oft auch Smart-Geräte Daten sammeln. Das Landgericht Frankfurt am Main hat am 10.06.2016 (2-03 O 364/15) einen Fall beurteilt, in dem Smart-Fernseher verkauft wurden, die Daten sammeln. Der Kunde wurde aber offensichtlich nicht darüber informiert. Der Anbieter musste es laut Gericht unterlassen, den Verbraucher in die Irre zu führen, indem er Smart-TV Geräte in Verkehr bringt, ohne den Verbraucher darauf hinzuweisen, dass bei Anschluss des Geräts an das Internet die Gefahr besteht, dass personenbezogene Daten des Verbrauchers erhoben und verwendet werden. Es dürften keine komplizierten und unübersichtlichen Geschäftsbedingungen verwendet werden, die "vom Verbraucher nicht in zumutbarer Weise zur Kenntnis genommen werden können".

1.1 Datenerhebung bei Dritten

Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit (Art. 14 Abs. 1 DSGVO, Art. 14 Abs. 2 DSGVO):

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters sowie die Kontaktdaten des Datenschutzbeauftragten,
  • die Zwecke, für die personenbezogene Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,
  • die Kategorien personenbezogener Daten, die verarbeitet werden,
  • die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
  • die Dauer, für die die personenbezogen...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge