Basis: Informationspflichten

Grundlagen für Kleinstunternehmen und Vereine

Der Gesetzgeber will, dass wir allen Personen, die mit uns in irgendeiner Weise geschäftlich Kontakt aufnehmen, erläutern, was wir mit den Daten, die sie uns anvertrauen, so alles anstellen. Das hört sich sehr nach "Nervkram" an, aber genau genommen verlangen wir das ja von anderen auch, oder? Wir sind ja hier nicht nur als Betreiber einer Organisation aktiv.

Wir sind alle irgendwo Kunden, Suchende, Antragsteller, Mitglieder, Beschäftigte, Neugierige, Fragende, Beobachtende, Postende, Streamende und und und. Wir alle geben binnen eines Tages eine richtig große Menge personenbezogener Daten ab, insbesondere dann, wenn wir online aktiv sind. Und natürlich wollen wir alle, dass niemand mit unseren Daten Missbrauch treibt. Also setzen wir uns jetzt gefälligst hin und bereiten die Informationspflichten auf.

Art. 13 DSGVO verlangt die Informationspflicht bei der Erhebung der personenbezogenen Daten direkt bei der betroffenen Person. Das gilt für die Kontaktaufnahme über eine Website genauso wie bei einem Brief oder einen Telefonanruf. Unterschiedliche Situationen rufen unterschiedliche Pflichten hervor: Fragende wollen nur eine knappe Auskunft, Bewerber wollen sich evtl. erst telefonisch vorstellen und  später vollständige Unterlagen einreichen. Folgendes ist mitzuteilen:

  • Name und Kontaktdaten des Verantwortlichen, ggf. des Vertreters
  • soweit vorhanden, die Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Rechtsgrundlage der Verarbeitung (Keine Verarbeitung ohne Rechtsgrundlage!)
  • das evtl. berechtigte Interesse, auf der die Verarbeitung beruht (Achtung: Es gibt Datenschutzaufsichten, die sich ansehen wollen, wie Sie Ihr berechtigtes Interesse ermittelt haben!)
  • ggf. die Empfänger oder Kategorien der Empfänger
  • ggf. Übermittlungen in ein Drittland und deren Alternativen

Zusätzlich sollen folgende Informationen bereit gestellt werden, um eine faire und transparente Verarbeitung sicher zu stellen:

  • Dauer der Speicherung oder die Kriterien der Speicherdauer
  • Hinweise auf das Auskunftsrecht des Betroffenen
  • Hinweise auf die Betroffenenrechte gemäß Art. 16-18 und 20 DSGVO (Recht auf Löschung, Recht auf Berichtigung, Recht auf Einschränkung, Recht auf Datenübertragbarkeit)
  • Hinweis auf das Widerspruchsrecht (Art. 21 DSGVO)
  • Hinweis auf das Widerrufsrecht nach einer Einwilligung
  • Hinweis auf das Beschwerderecht bei einer Datenschutzbehörde (Art. 77 DSGVO)
  • Hinweis auf Erforderlichkeit für die Datenbereitstellung mit Konsequenzen bei Nicht-Bereitstellung
  • Hinweis auf ein evtl. Profiling mit automatisierter Entscheidungsfindung einschließlich Tragweite und angestrebten Auswirkungen

Demzufolge müssen die oben stehenden Informationen allen Personen zur Verfügung gestellt werden, die Ihre Websites besuchen, die in Ihr Wartezimmer kommen oder die bei Ihnen arbeiten. So entstehen Datenschutzerklärungen für Bewerber, Mitarbeiter, Kunden, Lieferanten, Websitebesucher und so weiter. Denken Sie bei den Erklärungen für Ihre Website unbedingt an die ggf. erforderlichen Consent-Banner für Hinweise auf Tracking Tools (z. B. Google Analytics).

Wenn die Daten nicht direkt beim Betroffenen erhoben wurden, müssen gemäß Art. 14 DSGVO folgende Informationen zur Verfügung gestellt werden:

  • Name und Kontaktdaten des Verantwortlichen, ggf. des Vertreters
  • soweit vorhanden, die Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Rechtsgrundlage der Verarbeitung (Keine Verarbeitung ohne Rechtsgrundlage!)
  • Kategorien der personenbezogenen Daten, die verarbeitet werden
  • ggf. die Empfänger oder Kategorien der Empfänger
  • ggf. Übermittlungen in ein Drittland und deren Alternativen

Zusätzlich sollen weitere Informationen zur Verfügung gestellt werden:

  • Dauer der Speicherung oder die Kriterien der Speicherdauer
  • das evtl. berechtigte Interesse, auf das die Verarbeitung beruht (Achtung: Es gibt Datenschutzaufsichten, die sich ansehen wollen, wie Sie Ihr berechtigtes Interesse ermittelt haben!)
  • Hinweise auf Auskunftsrecht sowie Recht auf Berichtigung oder Löschung oder Einschränkung, Widerspruchsrecht und Datenübertragbarkeit
  • Hinweis auf das Widerrufsrecht nach einer Einwilligung
  • Hinweis auf das Beschwerderecht bei einer Datenschutzbehörde (Art. 77 DSGVO)
  • Angabe der Quelle(n), woher die personenbezogenen Daten stammen oder ob sie aus öffentlich zugänglichen Quellen stammen
  • Hinweis auf ein evtl. Profiling mit automatisierter Entscheidungsfindung einschließlich Tragweite und angestrebte Auswirkungen

Art. 12 DSGVO weist auf weitere wichtige Punkte hin. Die Informationen sollen den Betroffenen, je nach Umstand der Verarbeitung, spätestens einen Monat nach Erhalt der Daten bekannt gemacht werden. Wenn der Betroffene diese Informationen bereits hat, ist dies natürlich nicht erforderlich.

Grundsätzlich muss jeder Verantwortliche (Geschäftsführung, Vorstand) die Kommunikation über die Rechte der Betroffenen, also die Informationen nach Art. 13 und 14 sowie die Auskünfte nach Art. 15 bis 22 in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. Also bitte keine englischen Infos und Auskünfte für deutsche Zielgruppen und umgekehrt. Wenn Betroffene eine mündliche Auskunft wünschen, muss zuvor die Identität der anfragenden Person sichergestellt sein.

Anders als die Umsetzung von Auskunftsrechten, die von Betroffenen angefordert werden können, müssen die Informationen nach Art. 13 und 14 grundsätzlich immer verfügbar sein.

Da gibt es noch etwas: Wenn ein Datenschutzschaden aufgetreten ist, müssen Sie ggf. nach Art. 33 DSGVO die Datenschutzbehörde darüber informieren und in Fällen, in denen Betroffene ein hohes Risiko eingehen, nach Art. 34 DSGVO eben auch diese Betroffenen (Diebstahl von Kreditkartennummern etc.). Abwägungen zu derartigen Risiken sollten Sie Datenschutzexperten überlassen.