Einleitung

Der Grundsatz der Transparenz ist ein wesentlicher Grundpfeiler der Datenschutz-Grundverordnung (DSGVO). Betroffene Personen sollen wissen, welches Unternehmen welche personenbezogenen Daten auf welche Art und Weise verarbeitet. Nur so können die Betroffenen die ihnen zustehenden Rechte effektiv ausüben. Mit Inkrafttreten der DSGVO gelten seit dem 25. Mai daher die neuen und verschärften Informationspflichten des Art. 13 DSGVO. Für manche Unternehmen bedeuten die neuen Vorschriften einen deutlichen Mehraufwand bei dem Umgang mit Kundendaten. Die Regelungen müssen jedoch, je nachdem ob es sich um Bestands- oder Neukunden handelt, differenziert betrachtet werden.

Verschärfte Informationspflichten bei der Direkterhebung neuer Kundendaten

Die gängigste Methode ist die direkte Erhebung beim Kunden. Welche Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen bei der Direkterhebung bestehen, regelt Art. 13 DSGVO. Anders als bisher unter dem alten Bundesdatenschutzgesetz (BDSG-alt), verpflichtet die DSGVO den Verantwortlichen bei der Direkterhebung heute zu einer weit umfangreicheren Bereitstellung von Informationen gegenüber dem Betroffenen. Während in Vergangenheit lediglich die Angabe der Identität der verantwortlichen Stellen genügte, muss der Verantwortliche nun im Zeitpunkt der Datenerhebung neben seinen Kontaktdaten auch die des Datenschutzbeauftragten angeben und mitteilen, auf welcher Rechtsgrundlage die Erhebung basiert. Auch die Kategorien von Empfängern der personenbezogenen Daten müssen ohne Einschränkung genannt werden. Neu ist weiterhin die Informationspflicht bezüglich der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. Werden Daten z.B. in einer Cloud außerhalb der EU gespeichert, muss der Verantwortliche der betroffenen Person nicht nur den Status – sicheres oder unsicheres Drittland – des Landes mitteilen, sondern auch darstellen, auf welche Maßnahme die Übermittlung gestützt wird (z.B. Europäische Standardvertragsklauseln oder Binding Corporate Rules).

Weitere Informationspflichten des Verantwortlichen ergeben sich aus dem in der DSGVO niedergelegten Grundsatz der fairen und transparenten Verarbeitung der Daten. Demnach muss der Verantwortliche neuerdings auch über die geplante Dauer der Speicherung sowie über die in der Verordnung genannten Betroffenenrechte informieren. Neben den Widerspruchsrechten des Betroffenen oder dessen Recht – unter anderem – auf Auskunft, Löschung oder Berichtigung seiner Daten, umfasst dies auch seine Beschwerderechte bei der Aufsichtsbehörde. Sofern es zum Einsatz einer automatisierten Entscheidungsfindung wie dem sog. Profiling kommt, müssen Betroffene darüber hinaus aussagekräftige Informationen über die verwendete Logik und Tragweite einer derartigen Verarbeitung mitgeteilt werden. Werden Daten weiterhin für einen anderen Zweck weiterverarbeitet, als sie ursprünglich vom Verantwortlichen erhoben wurden, muss der Betroffene über die Weiterverarbeitung über diesen anderen Zweck in Kenntnis gesetzt werden.

Informationspflichten bei der Dritterhebung

Erfolgt die Erhebung der Daten nicht beim Betroffenen selbst, gelten zu den zuvor beschrieben Informationspflichten zusätzliche besondere Informationspflichten. Neu ist in diesem Zusammenhang die Darlegungspflicht des berechtigten Interesses, sollten die Daten aufgrund berechtigter Interessen des für die Verarbeitung Verantwortlichen oder Dritter erhoben werden. Der Verantwortliche muss dem Betroffenen weiterhin mitteilen, aus welchen Quellen die personenbezogenen Daten stammen und ob sie aus öffentlich zugänglichen Quellen kommen. Die Mitteilung durch den Verantwortlichen hat dabei grundsätzlich innerhalb eines Monats zu erfolgen. Ausnahmen von den besonderen Informationspflichten bestehen zudem nur noch in Fällen, in denen sich die Erteilung dieser Information als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert, die Erlangung der Daten durch unionsrechtliche Vorschriften vorschrieben wird oder die Daten z.B. aufgrund des Berufsgeheimnisses vertraulich behandelt werden müssen.

Informationspflichten bei Bestandkunden

Während die verschärften Informationsvorschriften der DSGVO bei der Direkterhebung neuer Kundendaten dem Betroffenen in jedem Falle mitzuteilen sind, stellt sich die Frage, ob diese auch gegenüber Bestandskunden, deren personenbezogene Daten bereits vor Inkrafttreten der DSGVO erhoben wurden, mitzuteilen sind. Da sich der Wortlaut der Verordnung in Art. 13 DSGVO auf den Zeitpunkt der Erhebung bezieht, wird eine Rückwirkung der Informationspflichten auf bereits bestehende Kunden von der herrschenden Rechtsauffassung derzeit abgelehnt, da die ursprüngliche Erhebung bereits abgeschlossen ist und zum damaligen Erhebungszeitpunkt die entsprechenden rechtlichen Vorgaben noch nicht galten. Gleiches gilt auch für personenbezogene Daten, die nicht beim Betroffenen direkt erhoben wurden. Eine Pflicht zur Information von Bestandkunden besteht folglich nur dann, wenn bei Bestandsdaten eine Zweckänderung durchgeführt werden soll oder der bisherige Datensatz durch die Erhebung neuer Daten erweitert wird.

Form der Informationspflichten und Bußgelder

Die DSGVO beinhaltet erstmals Formvorgaben zu den Informationspflichten. Laut Verordnung hat die Übermittlung der Informationsvorschriften dabei grundsätzlich unentgeltlich und schriftlich oder in anderer Form (z.B. elektronisch) zu erfolgen. Die Informationen können auf Verlangen der betroffenen Person auch mündlich erteilt werden, sofern die Identität des Betroffenen in anderer Form nachgewiesen wurde. Informationen, die sich an Kinder richten, sind weiterhin in präziser, transparenter und in einer klaren und einfachen Sprache zu übermitteln.

Verstöße gegen die Informationspflichten sind nach Art. 83 Abs. 5 lit. b DSGVO bußgeldbewehrt und können empfindliche Bußgelder nach sich ziehen, die zwischen 20.000.000 Euro bzw. 4% des Jahresumsatzes des Unternehmens betragen können. Die Erhöhung des maximalen Bußgeldbetrages verdeutlicht, wie wichtig es zukünftig sein wird, den Informationspflichten aus der DSGVO nachzukommen.

Fazit

Mit der DSGVO werden dem Verantwortlichen verschärfte und umfangreiche Informationspflichten auferlegt. Dabei sind neuerdings auch zeitliche Fristen und Formvorschriften zu beachten. Während für Bestandskunden Grundsätzlich keine rückwirkende Pflicht zur Einhaltung der Informationspflichten besteht, sind diese bei der Erhebung neuer Kundendaten sowie auch bei einer Zweckänderung oder Ergänzung zwingend zu beachten. Bei Verstößen gegen die Informationspflichten drohen zudem empfindliche Bußgelder.

 

Diese Website benutzt Google Analytics. Bitte klicke hier wenn Du nicht möchtest dass Analytics Dein Surfverhalten mitverfolgt. Hier klicken um dich auszutragen.