Datenschutzinformation

Datenschutzinformation nach Art. 13 DSGVO

Eines der wichtigsten Dokumente eines Verantwortlichen ist die Datenschutzinformation nach Art. 13 DSGVO (auch bekannt als Datenschutzhinweis sowie unter dem populären Begriff „Datenschutzerklärung“, obwohl dieser aus juristischer Sicht inkorrekt ist). Sie hat eine starke Außenwirkung und kann auch ein erster Indikator dafür sein, wie viel Wert ein Verantwortlicher auf den Datenschutz legt. Worauf sollten Verantwortliche hierbei also achten?

Die Funktion der Datenschutzinformation

Es gehört zu den Datenschutzgrundsätzen, dass die Datenverarbeitung in einer für die betroffene Person nachvollziehbaren Weise erfolgt (siehe Art. 5 Abs. 1 DSGVO). Demnach soll die Datenverarbeitung transparent erfolgen. Folglich soll eine Datenschutzinformation betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten informieren. Dies umfasst Informationen dazu, welcher Verantwortliche welche personenbezogene Daten wofür, wie lange, auf welche Weise und aufgrund welcher Rechtsgrundlage erhebt. Zusätzlich informiert eine Datenschutzinformation darüber, inwiefern personenbezogene Daten an Dienstleister übermittelt werden. Des Weiteren gibt sie Auskunft darüber, an wen sich die betroffene Person bei Fragen zum Datenschutz wenden kann und welche Rechte sie hat. In der Praxis und je nach Art der Verarbeitungsvorgänge in einer Einrichtung, einem Unternehmen, einem Verein etc. gibt es also Datenschutzinformationen für beispielsweise die Beschäftigten, Geschäftspartner, Patienten, Kunden, von Videoüberwachun Betroffene, Bewerber oder Webseiten-Besucher (mehr dazu speziell hier).

Inhalt einer Datenschutzinformation

Um ins Detail zu gehen, hat eine Datenschutzinformation folgende Fragen zu beantworten (den genauen Wortlaut können Interessenten auch unter Art. 13 DSGVO finden):

1)   Wer ist der für die Datenverarbeitung Verantwortliche?

2)   Falls es bei nicht in der EU ansässigen Verantwortlichen einen Vertreter für den Verantwortlichen gibt, wer ist dieser?

3)   Gibt es einen Datenschutzbeauftragten? Wenn ja, wie kann man ihn erreichen?

4)   Für welche Zwecke verarbeitet der Verantwortliche die Daten?

5)   Auf welcher Rechtsgrundlage findet die Verarbeitung personenbezogener Daten statt?

6)   Falls diese Datenverarbeitung auf der Rechtsgrundlage des berechtigten Interesses beruht, welches sind diese Interessen?

7)   Wer sind die Empfänger der personenbezogenen Daten?

8)   Werden Daten in ein Drittland (= außerhalb der EU / dem EWR) übermittelt? Wenn ja, gibt es dafür geeignete Garantien und wenn ja, welche? Gibt es Angemessenheitsbeschlüsse der Kommission? Wo kann man diese einsehen?

9)   Für wie lange werden diese Daten verarbeitet?

10)  Welche Rechte stehen dem Betroffenen zu (Recht auf Widerruf der Einwilligung, Widerspruch, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Beschwerde bei der Datenschutzaufsichtsbehörde, nicht einer automatischen Entscheidungsfindung unterworfen zu sein)?

11)  Ist die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsabschluss erforderlich oder ist der Betroffene zur Bereitstellung dieser Daten verpflichtet? Was wären die Folgen, wenn die personenbezogenen Daten nicht angegeben werden?

12)  Beabsichtigt der Verantwortliche, die personenbezogenen Daten für andere Zwecke als die angegebenen zu verarbeiten? Wenn ja, was sind die weiteren Informationen dazu?

13)  Besteht eine automatisierte Entscheidungsfindung inklusive Profiling (z. B. „Credit-Scoring“)? Wenn ja, auf welcher Logik (Algorithmus) beruht die automatisierte Entscheidungsfindung? Welche Auswirkung hat diese Entscheidungsfindung auf die betroffene Person (z. B. Zahlung nur per Vorkasse, per Rechnung o. A.)?

Sprache der Datenschutzinformation

Wenn wir über die Datenschutzinformation sprechen, betrachten wir hauptsächlich den Inhalt. Genau so wichtig ist aber das Sprachniveau, die Form und der Zeitpunkt der Informationserteilung. Nach Art. 12 Abs. 1 und 7 DSGVO ist sicherzustellen, dass eine Datenschutzinformation in „[…] präziser, transparenter, verständlicher […] Form in einer klaren und einfachen Sprache […] informiert. Das bedeutet auch, dass ein Verantwortlicher in Betracht ziehen muss, welche Personengruppe er adressiert. Die Datenschutzinformation für Erwachsene wird sich demnach von der für Kinder unterscheiden. In den meisten Fällen ist auch zu bedenken, dass die Betroffenen nicht zwangsläufig juristische Kenntnisse haben. Demnach verfehlt selbst eine vollständige und ausführliche Datenschutzinformation den Zweck, wenn sie beispielsweise in Juristensprache geschrieben ist, sich aber auch an die Menschen richtet, die die juristischen Begriffe nicht kennen. Oder: Was nützen die Namen von Cookies, wenn diese eventuell nur den Betroffenen geläufig sind, die sich mit der technischen Seite einer Webseite befassen?

Grundsätzlich muss die Datenschutzinformation in der Sprache angeboten werden, in der auch das Leistungsangebot des Verantwortlichen erfolgt. Bietet ein Arzt beispielsweise an, dass er Patienten neben Deutsch auch in beispielsweise türkischer, arabischer, englischer Sprache behandelt, muss er die Datenschutzinformation auch in diesen Sprachen bereithalten.

Organisatorische Umsetzung beim Verantwortlichen

Wie auch die Datenschutzinformation auf einer Webseite sollte jede Datenschutzinformation für die betreffende Gruppe der betroffenen Personen leicht zugänglich sein. Auch hierzu finden wir eine Angabe in Art. 12 Abs. 1 DSGVO. Für die Besucher eine Webseite ist der Ort der Datenschutzinformation für die Verarbeitung ihrer personenbezogenen Daten in diesem Fall natürlich die Webseite. Für Geschäftspartner, Bewerber, Beschäftigte, Besucher, Kinder o. A. bietet sich womöglich ein anderer Weg am besten oder zusätzlich an, um sie über die Verarbeitung ihrer Daten zu informieren.

In einer Arztpraxis kann dies beispielsweise die Aushändigung bei der Aufnahme am Empfang sein oder ein Aushang. Bei einer Videoüberwachung genügt eine Basisinformation vor dem Betreten des überwachten Bereiches durch ein Schild mit Verweis, wo man die ausführliche bzw. vollständige Information erhalten kann.

Zeitpunkt der Bereitstellung der Datenschutzinformation

Bei der Frage, wann die Datenschutzinformation bereitzustellen ist, kommt es auch darauf an, von wen der Verantwortliche die personenbezogenen Daten einer Person erhält. Erhält er sich von der betroffenen Person selbst, sollte er sie über die Verarbeitung zu dem Zeitpunkt, in dem er die personenbezogenen Daten erhält, informieren.

Hier gibt es natürlich Situationen, in denen dies nicht möglich oder nicht Gang und Gebe ist. Vereinbart ein Patient telefonisch einen Arzttermin, muss ihm die Information nicht am Telefon vorgelesen werden. Es genügt, wenn er die Datenschutzinformation beim ersten Praxisbesuch erhält. Wird eine Person aufgrund eines Notfalles in ein Krankenhaus eingeliefert wird, ist sie möglicherweise gar nicht in der Lage, sich in dem jeweiligen Moment damit zu befassen, weshalb ihre Gesundheitsdaten (personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO) erfasst werden. Wer an Netzwerkveranstaltungen teilnimmt, wird wahrscheinlich keine Datenschutzinformation erhalten, wenn er jemandem die eigene Visitenkarte überreicht. – Mehr zum Thema von personenbezogenen Daten i. Z. m. Visitenkarten können Sie hier erfahren. – In Fällen wie den genannten Beispielen ist die Datenschutzinformation zum nächstmöglichen Zeitpunkt bereitzustellen.

Weitere datenschutzrechtliche Pflichten

Sofern beim Prozess der Informationserteilung (zusätzliche) personenbezogene Daten verarbeitet werden, ist auch dieser im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO zu dokumentieren. Der Verantwortliche muss nach Art. 5 Abs. 2 DSGVO die Erfüllung der Informationspflicht nachweisen können. Dazu wird oft eine Unterschrift eingeholt. Es genügt allerdings, sich bestätigen zu lassen, dass der Betroffene die Datenschutzinformation erhalten hat. Nicht erforderlich ist es, dass der Betroffene unterschreibt, die Datenschutzinformation gelesen oder gar verstanden zu haben. Problematisch ist es, die Datenschutzinformation vom Betroffenen akzeptieren zu lassen oder sogar das Einverständnis für die Datenschutzinformation einzuholen.

Fazit

Die Erstellung von Datenschutzinformationen kann sich umfangreich gestalten. Des Weiteren kann sie mit der Erstellung anderer Dokumente zum Datenschutz einhergehen. So ist abzuwägen, aufgrund welcher Rechtsgrundlage beispielsweise ein Warenkorb-Cookie in einem Online-Shop eingesetzt oder Bilder auf der Webseite eingebettet werden und welchen Zweck ein Verantwortlicher mit einer bestimmten Verarbeitung erreichen möchte. Anhand solcher Informationen kann ein Verantwortlicher dann auch das Verzeichnis von Verarbeitungstätigkeiten ergänzen. Eventuell ist die Erstellung von Einwilligungserklärungen nötig. Interessenabwägungen sind gegebenenfalls durchzuführen.

Dabei können wir Sie unterstützen und beraten. Kontaktieren Sie uns gern hierzu.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.