rating service  security service privacy service
 
Welche Informationspflichten bestehen durch die Datenschutz-Grundverordnung (DSGVO)?
DSGVO Art 13-14, 82-83
Informationen die dem Betroffenen mitgeteilt werden müssen - leichte Zugänglichkeit entscheidet - Profiling und automatisierte Entscheidungsfindung - Geldstrafe und Schadenersatz drohen

Eine transparente Datenverarbeitung ist ein wesentliches Anliegen der DSGVO. Um dies zu verwirklichen, sind Verantwortliche verpflichtet die Betroffenen aktiv von sich aus über ihre Datenverarbeitungen zu informieren.

Die DSGVO unterscheidet bei den Informationspflichten zwischen der Datenerhebung bei der betroffenen Person (Bsp: Befragung mittels Formular) und der Datenerhebung aus anderen Quellen (Bsp: Ermittlung von Daten durch Kreditschutzverband).


Datenerhebung direkt bei der betroffenen Person

Werden die Daten beim Betroffenen erhoben, müssen Basisdaten zur Organisation und Detailinformationen zu den Verarbeitungen bekannt gegeben werden.

Basisdaten:
- Kontaktdaten des Verantwortlichen
- Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung
- Kontaktdaten des Datenschutzbeauftragten (wenn eine Organisation einen Datenschutzbeauftragten hat)
- im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw. eines Dritten
- bei Datenübermittlung: Empfänger oder Kategorien von Empfängern
- Angabe ob die Daten an ein Drittland oder eine internationale Organisation übermittelt werden

Verarbeitungsdaten:
- Dauer oder Kriterien der Dauer, für die die personenbezogenen Daten gespeichert werden
- Informationen zu den Betroffenenrechten: Auskunftsrecht, Recht auf Berichtigung oder Löschung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung, das Recht auf Datenübertragbarkeit
- Informationen zum Widerrufsrecht (bei Verarbeitung auf Grund freiwilliger Zustimmung)
- Informationen zum Beschwerderecht bei einer Aufsichtsbehörde
- Information, ob die ermittelten Daten gesetzlich vorgeschrieben, vertraglich verpflichtend oder für einen Vertragsabschluss erforderlich sind
- Information, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte
- Information, ob automatisierte Entscheidungsfindung, Scoring, Profiling oder Vergleichbares stattfinden


Ausnahmen von der Informationspflicht

Die Informationspflicht des Verantwortlichen entfällt, wenn die betroffene Person bereits die Informationen kennt.

Erfolgte die Ermittlung vor in Kraft treten der DSGVO, dann ist keine nachträgliche Information erforderlich. Werden jedoch Daten nacherhoben, korrigiert oder ergänzt, dann ist der volle Informationsumfang zu beachten.

Spätestens jedoch bei einem Auskunftsbegehren müssen die angegebenen Informationen auch jenen Betroffenen bekannt gegeben werden, bei denen die Erhebung vor Inkraft treten erfolgte.


Form und Kosten der Information

Die Ankündigung der Informationen soll in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache (auch in elektronischer Form) erfolgen. Die Bereitstellung der Informationen erfolgt grundsätzlich kostenlos. Ein Anspruch auf Kostenersatz besteht nur bei offenkundig unbegründeten oder exzessiven Anträgen.

Die ARGE DATEN empfiehlt die Informationen gemäß DSGVO auf der Webseite des Verarbeiters zu veröffentlichen. Im Falle eines persönlichen Kunden- oder Klienten-Verkehrs (etwa bei einem Arzt) solltem diese Informationen in geeigneter Form ausgehängt oder eine Broschüre (ein Infoblatt) bereit gestellt werden. Bei Videoüberwachungen sollte ein Schild am Eingang deutlich darauf hinweisen und die Identität des Verantwortlichen offenlegen.


Information über die Weiterverwendung für andere Zwecke

Wenn der Verantwortliche beabsichtigt die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, außer den dafür vorgesehenen, so muss die betroffene Person auch darüber informiert werden.


Datenerhebung ohne direkten Kontakt zum Betroffenen

Bei diesen Datenerhebungen stammen die Daten aus einer anderen Quelle als dem Betroffenen stammen. Hier ist die allgemeine Informationspflicht einzuhalten und zu beauskunften, aus welcher Quelle die Daten stammen.


Zeitpunkt der Information

Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche den Betroffenen grundsätzlich innerhalb einer angemessenen Frist informieren, spätestens jedoch nach einen Monat. Sollten die Daten zur Kommunikation mit dem Betroffenen verwendet werden, dann sind die erforderlichen Informationen spätestens zum Zeitpunkt der ersten Mitteilung an den Betroffenen zu geben. Wenn die Offenlegung an einen anderen Empfänger beabsichtigt ist, hat die Information zum Zeitpunkt der ersten Offenlegung zu erfolgen.


Zusätzliche Einschränkungen der Informationspflicht
wenn Erhebung NICHT beim Betroffenen

Die Informationspflicht des Verantwortlichen entfällt, wenn Rechtsvorschriften die Datenerhebung ausdrücklich erlauben oder die Informationen rechtlicher Geheimhaltungspflichten unterliegen. Letztlich besteht auch dann keine Informationspflicht, wenn die Erteilung der Information für den Verantwortlichen unmöglich ist oder zumindest mit einem unverhältnismäßigen Aufwand verbunden ist.


Profiling und automatisierte Entscheidungsfindung

Profiling und automatisierte Entscheidungsfindung sind beispielsweise im Bank- und Finanzwesen, im Steuerbereich und in der Gesundheitsversorgung gängige Praxis.

Profiling ist die Bezeichnung für das Erstellen, Akualisieren und Verwenden von Profilen aus gesammelten Daten (Alter, Geschlecht, Einkommen, …). Diese Profile werden zu Marktforschungszwecken verwendet.

Beispielsweise nutzt ein Betroffener für ein Darlehen eine Online-Bank. Er wird aufgefordert seine personenbezogenen Daten einzugeben. Folglich teilt der Algorithmus der Bank mit, ob die Bank das Darlehen gewährt und wie hoch der vorgeschlagene Zinssatz ist.

Eine automatisierte Entscheidungsfindung liegt vor, wenn Entscheidungen über einen Betroffenen auf technischem Wege und ohne menschliches Eingreifen getroffen werden.

Gemäß DSGVO sind Verantwortliche auch verpflichtet über das Bestehen eines Profiling und einer automatischen Entscheidungsfindung zu informieren. Angaben über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen der automatischen Entscheidungsfindung bzw. des Profiling sollten im Informationsblatt enthalten sein.


Geldstrafe und Schadenersatz drohen

Bei Verstößen gegen den Schutz personenbezogener Daten oder Nichtgewährleistung einer fairen und transparenten Datenverarbeitung drohen hohe Geldstrafen von bis zu 20 Mio. Euro und bei Unternehmen von bis zu 4% des letzten weltweiten Jahresumsatzes (Art 83 Abs 5 DSGVO). Die Datenschutzbehörde entscheidet über die Verhängung von Geldstrafen. Des Weiteren können Betroffene Schadenersatz geltend machen (Art 82 DSGVO). Landesverwaltungsgerichte sind zuständig für Schadenersatzklagen.

mehr --> Das Recht auf Datenübertragung (Datenportabilität)
mehr --> allgemeines Auskunftsrecht gemäß Datenschutz-Grundverordnung...
mehr --> ELGA - die Katze ist aus dem Sack
mehr --> Welche Meldepflichten hat ein Verantwortlicher bei Datenschutz...
mehr --> Intensivseminar: DSGVO und DSG neu - 4. September 2018
mehr --> Entwicklung der EU Datenschutz-Grundverordnung (DSGVO)
mehr --> Datenschutzgesetz 2018 (Anpassungsgesetz zur DSGVO)
mehr --> Datenschutzgrundverordnung (DSGVO)

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster