Vorgaben der DS-GVO für Unternehmen
Wer sich mit der 2018 in Kraft getretenen Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) beschäftigt, der stößt auch immer wieder auf die sogenannten Informationspflichten. Auch in unserem Blog haben wir diese schon mehrfach thematisiert:
Grund genug, dass wir von Datenschutzberater.NRW als Experten für den Datenschutz dieses Thema nun noch einmal für Sie aufgreifen und darüber hinaus Tipps für eine praktische Umsetzung der Informationspflichten geben möchten.
Was sind Informationspflichten im Datenschutz?
Ein Verantwortlicher, der personenbezogene Daten eines Betroffenen verarbeitet, muss diesen über die Verarbeitung Informieren. Die daraus resultierenden Informationspflichten stellen also sicher, dass die Datenverarbeitung transparent und für den Betroffenen ersichtlich ist. Dies ist unter anderem in der DS-GVO festgelegt.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Wer muss durch die Informationspflichten im Datenschutz informiert werden?
Jeder, dessen personenbezogene Daten in irgendeiner Art verarbeitet werden, ist ein sogenannter Betroffener im Datenschutz. Diesen Betroffenen muss der Verantwortliche, welcher die Daten verarbeitet, über die Verarbeitung seiner Daten informieren.
Um mögliche Betroffene zu identifizieren, muss festgestellt werden, wo personenbezogene Daten verarbeitet werden. Dabei gilt es jeden Arbeitsbereich, in dem möglicherweise personenbezogene Daten verarbeitet werden könnten, genau zu betrachten.
Mögliche Betroffene, welche über die Verarbeitung von personenbezogenen Daten informiert werden müssen, können dabei sein:
- Kunden
- Interessenten
- Lieferanten
- Mitarbeiter
- Bewerber
- Website-Besucher
- Newsletterempfänger
Wann muss der Betroffene über die Datenverarbeitung informiert werden?
Wann immer personenbezogene Daten erhoben werden, muss der Betroffene vom Verantwortlichem darüber informiert werden. Das sogenannte Recht auf Information gehört im Datenschutz zu den wichtigsten Rechten für Betroffene – daraus resultiert dann die entsprechende Pflicht für den Verantwortlichen.
Die Information über die Datenerhebung muss spätestens bei der Datenerhebung erfolgen.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Was muss die Informationspflicht enthalten?
Die Informationspflicht soll die Transparenz bei der Datenverarbeitung sicherstellen. Um dies zu gewährleisten, muss sie mindestens folgende Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen, ev. seines Vertreters
- Name und die Kontaktdaten des (externen) Datenschutzbeauftragten (falls vorhanden)
- Zweck der Verarbeitung
- Rechtsgrundlage der Verarbeitung – bei Rechtsgrundlage „berechtigtes Interesse“, müssen diese aufgezählt und ausreichend sein
- Empfänger/Kategorie der Empfänger der verarbeiteten personenbezogenen Daten
- Angaben zur Übermittlung an ein Drittland
- Speicherdauer
- Angaben über Betroffenenrechte
Sollten die Daten von anderen Quellen zur Verarbeitung übersendet worden sein, muss diese Quelle und der Zusammenhang der rechtmäßigen Verarbeitung dargelegt werden. Der Betroffene muss darüber informiert werden, dass er grundsätzlich über ein Widerrufsrecht seiner Einwilligung verfügt.
BLOG-TIPP: DER VERANTWORTLICHE NACH DS-GVO – PFLICHTEN IM DATENSCHUTZ
Wie muss die Information über die Datenerhebung erfolgen?
Alle Informationen, einschließlich des Widerrufs der Einwilligung, müssen leicht verständlich, vollständig und eindeutig formuliert sein. Ggf. muss geprüft werden, ob zu Sicherstellung der Verständlichkeit auch eine Übersetzung in eine andere Sprache notwendig ist – soweit zumutbar und umsetzbar.
Die Informationen müssen leicht zugänglich für den Betroffenen einsehbar sein („Gebot leichter Zugänglichkeit“). Die DS-GVO unterscheidet zwischen Informationspflichten für personenbezogene Daten, die direkt beim Betroffenen erhoben werden (Art. 13) und jenen, die bei Dritten erhoben werden (Art. 14). Nur wenn die betroffene Person bereits über die notwendigen Informationen verfügt, kann ggf. eine Informationspflicht entfallen.
Informationspflichten können auf unterschiedliche Weise erfüllt werden, müssen aber die o.g. Grundsätze erfüllen. Bei Websitebesuchern kann die Information zum Beispiel über die Datenschutzerklärung der Homepage erfolgen, bei Kunden, Interessenten oder Bewerbern durch ein entsprechend verlinktes Dokument beim Erstkontakt per Mail usw.
Datenschutzbeauftragter und Informationspflichten
Da der Datenschutz und die Informationspflichten unterschiedlich komplex und in Einzelfällen zu beurteilen sind, sollte jeder Vorgang genau geprüft werden. Eine nicht Einhaltung der Informationspflichten kann zu empfindlichen Bußgeldern führen, da es sich um eine unumgängliche Vorgabe im Datenschutz handelt.
Wie bei jeder Erhebung und Verarbeitung von personenbezogenen Daten, sollte auch hier (falls gesetzlich nicht bereits vorgeschrieben) der (externe) Datenschutzbeauftragte involviert werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.