Welche Informationen müssen erteilt werden?
Bei dieser Frage muss nach der Art der Erhebung unterschieden werden, so wird bei der Direkterhebung aus Art. 13 verwiesen, bei Dritterhebung auf Art. 14. Direkterhebung ist bspw. das neue Vereinsmitglied, das den Antrag ausgefüllt und um Dritterhebung handelt es sich, wenn z.B. von einem Adresshändler Datensätze zu Werbezwecken eingekauft werden.
Direkterhebung Artikel 13 DSGVO
- Name und Kontaktdaten des Verantwortlichen (Beispiel: Name und Adresse der Behördenleitung oder des Geschäftsführers eines Unternehmens)
- Kontaktdaten eines/einer vom Verantwortlichen bestellten Datenschutzbeauftragten (Der Name muss nicht angegeben werden, aber die Erreichbarkeit, z.B. über eine Telefonnummer oder Funktions-E-Mail-Adresse.)
- Verarbeitungszwecke und Rechtsgrundlage (Beispiel: Abwicklung einer Bestellung, Nutzung der Daten für Werbezwecke; ggf. Beschreibung des berechtigten Interesses, falls die Datenverarbeitung auf einem berechtigten Interesse des Verantwortlichen oder von Dritten beruht.)
- Hinweis auf die Widerrufbarkeit der Einwilligung, falls diese zuvor erteilt wurde
- Empfänger der Daten bzw. Empfängerkategorien, falls die Daten weitergegeben werden (zum Beispiel an Paketversender)
- Ggf. Absicht zur Übermittlung der Daten in ein Nicht-EU-Land (Beispiel: Verarbeitung der Daten durch einen Cloud-Anbieter mit Sitz in den USA)
- Geplante Speicherdauer bzw. Kriterien für deren Festlegung (Beispiel: Aufbewahrungsfrist für Steuerzwecke, siehe auch Hilfestellung für den öffentlichen Bereich)
- Betroffenenrechte (Recht auf Auskunft, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit)
- Beschwerderecht bei Aufsichtsbehörde (Nennung der konkret zuständigen Aufsichtsbehörde)
- Ggf. Information über die Verpflichtung zur Weitergabe der Daten an Dritte (Beispiel: Verpflichtung ergibt sich aus gesetzlicher Vorschrift wie etwa bei der Gewerbeanmeldung)
- Ggf. Informationen über automatisierte Einzelfallentscheidung bzw. Profiling (Beispiel: Information über Scoring-Verfahren bei Wirtschaftsauskunfteien)
Dritterhebung Artikel 14 DSGVO
- Kategorien der verarbeiteten Daten (Beispiel: Adressdaten, Kontodaten)
- Datenquelle (Beispiel: konkret benannter Adresshändler)
Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Informationen verfügt. Das trifft zum Beispiel auf Patienten einer Arztpraxis zu, wenn sie dort mehrmals Termine wahrnehmen. Zudem entfällt die Informationspflicht bei gesetzlichen Meldepflichten an Behörden wie z.B. zur ordnungsgemäßen Berechnung von Steuern oder Sozialversicherungsbeiträgen.
Zu welchem Zeitpunkt müssen die Informationen erteilt werden?
Werden die Daten direkt bei der betroffenen Person erhoben, müssen die Informationen zum Zeitpunkt dieser Erhebung erteilt werden. Erhebung bedeutet hier ein zielgerichtetes Beschaffen von Daten als Vorstufe einer weiteren Datenverarbeitung. Das umfasst grundsätzlich auch die Kenntnisnahme von Daten mit dem Ziel, sie weiterzuverarbeiten. Wer zum Beispiel eine Preisanfrage eines/einer Interessenten/in per E-Mail erhält und beantwortet, hat die Kontaktdaten erhoben und weiterverarbeitet.
Werden die Daten nicht bei der betroffenen Person erhoben, müssen die Informationen innerhalb einer angemessenen Frist nach Erlangung, spätestens aber binnen eines Monats erteilt werden.
Werden die Daten zur Kommunikation verwendet, müssen die Informationen spätestens zum Zeitpunkt dieser Kommunikation erfolgen. Kauft zum Beispiel ein Unternehmen für Werbezwecke Adressdaten ein, muss es die jeweils Betroffenen entweder spätestens nach vier Wochen informieren oder bereits früher, sobald es die Adressen für Werbesendungen verwendet.
Auf welchem Weg müssen die Informationen erteilt werden?
Hier ist fast alles möglich: Schriftlich in gedruckter Form (Flyer, Aushang, Schild, Bildsymbole), schriftlich in digitaler Form oder auch – wenn von der betroffenen Person verlangt – mündlich.
Ist die betroffene Person persönlich anwesend, reicht zum Beispiel der aktive Hinweis auf einen entsprechenden Aushang oder einen ausliegenden Flyer.
Bei der telefonischen Kontaktaufnahme sollten nur die nötigsten Informationen direkt übermittelt werden, damit der Angerufene nicht überfrachtet wird.
In beiden Fällen kann für weitere Informationen auf eine Webseite verwiesen werden.
Wird der Kontakt per E-Mail aufgenommen, kann nach einer kurzen Darstellung der Basisinformationen ein Link auf eine Webseite mit den vollständigen Informationen verweisen.
Bei der Kommunikation via Brief kann im ersten Anschreiben ein Blatt mit den entsprechenden Informationen beigelegt werden.
Achtung Sonderfall: Handelt es sich am Telefon nur um eine Terminvereinbarung, zum Beispiel zu einem Bewerbungsgespräch, müssen die Informationen zur Datenverarbeitung noch nicht übermittelt werden.
Bitte beachte, dass die Hinweise immer in leicht verständlicher Sprache und präzise sowie transparent dargestellt werden müssen.
Es ist keine Unterschrift nötig, da auch ein Aushang oder Flyer je nach Situation ausreichend sind. Dem Betroffenen muss die Gelegenheit der Kenntnisnahme gegeben werden.
Reicht ein Hinweis auf der Webseite?
Nein, tatsächlich müssen die Basisinformationen proaktiv übermittelt werden. Für detaillierte Angaben kann auf eine Internetseite verwiesen werden.
Das Unternehmen präsentiert sich auf einer Messe und sammelt Visitenkarten zur späteren Kontaktaufnahme. Was ist zu beachten?
Werden die Visitenkarten, bzw. Kontaktinformationen in dem Wissen gesammelt, diese im Nachgang in eine Datenbank o.ä. einzutragen, so müssen die Besucher darüber in Kenntnis gesetzt werden. Hier kann der Informationspflicht durch das Aufstellen einer Informationstafel oder eines Aushanges nachgekommen werden.
Erhaltet ihr außerhalb einer Messe Visitenkarten und wollt die Daten in ein computergestützes System übertragen, müsst ihr der Informationspflicht nachkommen.
Was ist mit Daten von Geschäftspartnern, die bereits vor Inkrafttreten der DSGVO erfasst wurden?
Es gibt zum Glück keine rückwirkenden Informationspflichten. Es ist trotzdem anzuraten, auch die Bestandskunden / Angestellten, deren Datenerhebung vor Inkrafttreten der DSGVO am 18. Mai 2018 abgeschlossen war, im Rahmen des Artikels 13 und 14 zu informieren.
Grundsätzlich müssen die Informationen in deutscher Sprache erteilt werden. Bei einem erkennbar fremdsprachigen Adressatenkreis empfiehlt es sich aber, die Informationen auch in anderen Sprachen vorzuhalten. Eine Verpflichtung dazu besteht jedoch nicht.
Ausnahme: Bei einem Online-Shop, welcher sich auch an Personen in anderen europäischen Ländern richtet und dabei in verschiedenen Sprachen kommuniziert, hat eine Übersetzung in die entsprechenden Sprachen zu erfolgen.
Mitarbeiterfotos, Schnappschüsse auf Firmenevents – wie greift die Informationspflicht hier?
Die betroffenen Personen müssen nach Artikel 13 vorab informiert werden – zu den relevanten Informationen zählen neben den Kontaktdaten des Fotografen, bzw. des Verantwortlichen vor allem der Verwendungszweck für das Foto und die Rechtsgrundlage der Verarbeitung. Die Basisinformationen können anhand eines Aufstellers oder Aushanges erteilt werden, ein Verweis, wo weiterführende Informationen zu finden sind ist einzuarbeiten.
Weitere Informationen zum Umgang mit Fotos findet ihr in diesem Beitrag.
Welche Informationspflicht gilt bei Videoüberwachung?
Betreten Beschäftigte, Gäste oder Kunden videoüberwachte Bereiche, so müssen eindeutige Hinweisschilder angebracht werden. Hier findet ihr eine Checkliste, was bei der Videoüberwachung hinsichtlich des Datenschutzes beachtet werden muss.
Was bedeutet die Informationspflicht für die Datenschutzerklärung auf der Webseite?
In der Datenschutzerklärung müssen nicht nur alle Informationen aus der ersten Frage angegeben werden, ergänhzt werden müssen Angaben zu durch die Seite erhobenen Daten, wie z.B. IP-Adresse, ggf. gesetzte Cookies oder Tools zur Webseitenanalyse.
Du weißt nicht, ob Deine Datenschutzerklärung korrekt ist und alle wichtigen Informationen enthält? Dann erklären wir dir gern, wie unser Datenschutzgenerator funktioniert.
Quelle: LfD Niedersachsen