Gratis-Download

Das aktuelle Gesetz BDSG ändert sich nicht nur, sondern es wird komplett in die DS-GVO aufgehen. Welche Konsequenzen diese Änderung auch für Sie als...

Jetzt downloaden

Achtung Bußgelder: Die DS-GVO verschärft die Informationspflicht

0 Beurteilungen
DS-GVO verschärft dieInformationspflicht | Urheber: vege - Fotolia

Von Andreas Würtz,

Transparenz für die Betroffenen über die Verwendung ihrer Daten ist der Kern des informationellen Selbstbestimmungsrechts und des europäischen Grundrechts auf Datenschutz. Unternehmen trifft bei der Verwendung personenbezogener Daten eine Informationspflicht.

Mit Geltung der Datenschutzgrundverordnung (DS-GVO) wird die Informationspflicht ausgeweitet. Bei Verstößen drohen Bußgelder von bis zu 20 Mio. € oder bis zu 4 % des weltweit erzielten Vorjahresumsatzes.

Aktuelle Regelung im BDSG

Im Bundesdatenschutzgesetz (BDSG) ist die Informationspflicht insbesondere in § 4 Abs. 3 und in § 33 geregelt. Dabei unterscheidet das Gesetz zwischen der direkten Erhebung der Daten bei dem Betroffenen und der Speicherung von personenbezogenen Daten ohne Kenntnis des Betroffenen.

Im Fall der direkten Erhebung beim Betroffenen verlangt der Gesetzgeber gemäß § 4 Abs. 3 BDSG folgende Angaben: 

  • die Identität der verantwortlichen Stelle,
  • die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
  • die Kategorien der Empfänger, wenn der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss. 

In § 33 BDSG ist die erstmalige Speicherung personenbezogener Daten für eigene Zwecke ohne Kenntnis des Betroffenen geregelt. Der Betroffene ist in diesem Fall über Folgendes zu informieren.

Regelungen in der DS-GVO

Auch in Zukunft gilt die Informationspflicht für Ihr Unternehmen weiter. Doch nicht nur das: Mit Inkrafttreten der DS-GVO wird die Informationspflicht ausgeweitet. Die Bestimmungen zu den Informationspflichten sind in Art. 13 und 14 DS-GVO verankert. Ähnlich zum BDSG differenziert auch die Verordnung bei der Erhebung zwischen der direkten Erhebung beim Betroffenen (Art. 13 DS-GVO) und der Erhebung, die nicht direkt bei der betroffenen Person erfolgt (Art. 14 DS-GVO). Von der Erhebung der Daten hängt ab, zu welchem Zeitpunkt welche Informationen der betroffenen Person zur Verfügung gestellt werden müssen.

Vorsicht beim neuen BDSG!

Die DS-GVO sieht umfassende Transparenz- und Informationspflichten vor. Der aktuelle Entwurf zum die DS-GVO ausgestaltenden BDSG (BDSG-E) wird in diesem Zusammenhang unter Juristen und Datenschützern kontrovers diskutiert. So sehen die §§ 32–37 BDSG-E (Kapitel 2 „Rechte der betroffenen Person“) Regelungen vor, die man als Abschwächung der Vorgaben der DSGVO interpretieren kann. Es ist insofern umstritten, ob die nationalen Gesetzgeber Öffnungsklauseln und Festlegungsoptionen so nutzen können, dass vom Schutzniveau der DS-GVO abgewichen wird.

Wichtig: Die betreffenden Regelungen sind so umstritten, dass bereits erste Klagen vor dem Europäischen Gerichtshof angekündigt wurden. Hierbei müssen dem Betroffenen bestimmte Informationen aktiv gegeben werden. Um auf Nummer sicher zu gehen, sollte sich Ihr Unternehmen besser an den Festlegungen der DS-GVO orientieren.

Wann die Informationspflicht nicht besteht

Nach Art.14 Abs. 5 DS-GVO besteht für den Verantwortlichen keine Informationspflicht gegenüber dem Betroffenen, wenn zumindest einer der folgenden Punkte zutrifft: 

  • Der Betroffene verfügt bereits über die Information,
  • die Darlegung der Informationen erweist sich als unmöglich,
  • die Information des Betroffenen bedeutet einen unverhältnismäßigen Aufwand,
  • die Erlangung oder Offenlegung der Informationen ist durch Rechtsvorschriften der EU oder der Mitgliedstaaten explizit geregelt, denen der Verantwortliche unterliegt,
  • die personenbezogenen Daten unterliegen einem Berufsgeheimnis inklusive einer satzungsmäßigen Geheimhaltungspflicht gemäß dem EU-Recht oder dem Recht der Mitgliedstaaten und sind vertraulich zu behandeln.

Zeitpunkt der Information

Der Zeitpunkt, wann die Information des Betroffenen zu erfolgen hat, ist ebenfalls in der DS-GVO festgelegt. Bei einer direkten Erhebung der Daten beim Betroffenen ist dieser im Rahmen der Erhebung zu informieren. Erfolgt die Erhebung aus einer anderen Quelle, so ist der Betroffene nach Beschaffung der personenbezogenen Daten innerhalb einer angemessenen Frist, spätestens jedoch innerhalb eines Monats, darüber zu informieren. Sollen die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden, dann muss der Betroffene spätestens zum Zeitpunkt der ersten Mitteilung informiert werden. Sollen seine Daten einem anderen Empfänger preisgegeben werden, so ist die betroffene Person spätestens zum Zeitpunkt der Preisgabe in Kenntnis zu setzen. Konnte der Betroffene nicht über die Herkunft der Daten informiert werden, da die Daten aus vielen verschiedenen Quellen stammen, so hat der Hinweis in allgemein gehaltener Form zu erfolgen.

Form der Information

Mit der DS-GVO kommen auch Bestimmungen zur Form der Benachrichtigung des Betroffenen auf Ihr Unternehmen zu. So hat die Information der Betroffenen schriftlich zu erfolgen. Dafür können elektronische Wege genutzt werden, z. B. kann die Information auf einer Website veröffentlicht werden. Im Erwägungsgrund 60 zur Informationspflicht sind vertiefende Erläuterungen zu finden. Dort heißt es, dass die betreffenden Informationen in „leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form“, z. B. in Kombination mit standardisierten Bildsymbolen, bereitgestellt werden können. Bedingung beim Einsatz von Bildsymbolen in elektronischer Form ist, dass sie maschinenlesbar sein sollten. Außerdem: Welche Symbole sich durchsetzen werden, muss sich noch zeigen. Insofern sollte Ihr Unternehmen Empfehlungen von Aufsichtsbehörden abwarten.

Informationspflicht nach DS-GVO - Jetzt aktiv werden

Es gibt viel zu tun! Weisen Sie deshalb schon jetzt in Ihrem Unternehmen auf die Änderungen hin und unterstützen Sie bei der Umsetzung. Nutzen Sie folgende Checkliste, um sich einen Überblick zu verschaffen und Ihr Unternehmen dabei zu unterstützen, die Informationspflicht nach den Bestimmungen der DS-GVO zu erfüllen. Übrigens: Eine solche Checkliste können Sie auch verwenden, um beispielsweise zusätzliche Ressourcen einzufordern, etwa personelle Unterstützung.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!

Jobs