Welche Informationspflichten bestehen durch die Datenschutz-Grundverordnung (DSGVO)? DSGVO Art 13-14, 82-83
Informationen die dem Betroffenen mitgeteilt werden müssen - leichte Zugänglichkeit entscheidet - Profiling und automatisierte Entscheidungsfindung - Geldstrafe und Schadenersatz drohen
Eine transparente Datenverarbeitung ist ein wesentliches Anliegen der DSGVO. Um dies zu verwirklichen, sind Verantwortliche verpflichtet die Betroffenen aktiv von sich aus über ihre Datenverarbeitungen zu informieren.
Die DSGVO unterscheidet bei den Informationspflichten zwischen der Datenerhebung bei der betroffenen Person (Bsp: Befragung mittels Formular) und der Datenerhebung aus anderen Quellen (Bsp: Ermittlung von Daten durch Kreditschutzverband).
Datenerhebung direkt bei der betroffenen Person
Werden die Daten beim Betroffenen erhoben, müssen Basisdaten zur Organisation und Detailinformationen zu den Verarbeitungen bekannt gegeben werden.
Basisdaten:
- Name und Kontaktdaten des Verantwortlichen bzw. des Vertreters
- Verarbeitungszwecke und Rechtsgrundlage der Verarbeitung
- Kontaktdaten des Datenschutzbeauftragten (wenn eine Organisation einen Datenschutzbeauftragten hat)
- im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw. eines Dritten
- bei Datenübermittlung: Empfänger oder Kategorien von Empfängern
- Angabe ob die Daten an ein Drittland oder eine internationale Organisation übermittelt werden
Verarbeitungsdaten:
- Dauer oder Kriterien der Dauer, für die die personenbezogenen Daten gespeichert werden
- Informationen zu den Betroffenenrechten: Auskunftsrecht, Recht auf Berichtigung oder Löschung, Recht auf Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung, das Recht auf Datenübertragbarkeit
- Informationen zum Widerrufsrecht (bei Verarbeitung auf Grund freiwilliger Zustimmung)
- Informationen zum Beschwerderecht bei einer Aufsichtsbehörde
- Information, ob die ermittelten Daten gesetzlich vorgeschrieben, vertraglich verpflichtend oder für einen Vertragsabschluss erforderlich sind
- Information, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte
- Information, ob automatisierte Entscheidungsfindung, Scoring, Profiling oder Vergleichbares stattfinden
Ausnahmen von der Informationspflicht
Die Informationspflicht des Verantwortlichen entfällt, wenn die betroffene Person bereits die Informationen kennt.
Erfolgte die Ermittlung vor in Kraft treten der DSGVO, dann ist keine nachträgliche Information erforderlich. Werden jedoch Daten nacherhoben, korrigiert oder ergänzt, dann ist der volle Informationsumfang zu beachten.
Spätestens jedoch bei einem Auskunftsbegehren müssen die angegebenen Informationen auch jenen Betroffenen bekannt gegeben werden, bei denen die Erhebung vor Inkraft treten erfolgte.
Form und Kosten der Information
Die Ankündigung der Informationen soll in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache (auch in elektronischer Form) erfolgen. Die Bereitstellung der Informationen erfolgt grundsätzlich kostenlos. Ein Anspruch auf Kostenersatz besteht nur bei offenkundig unbegründeten oder exzessiven Anträgen.
Die ARGE DATEN empfiehlt die Informationen gemäß DSGVO auf der Webseite des Verarbeiters zu veröffentlichen. Im Falle eines persönlichen Kunden- oder Klienten-Verkehrs (etwa bei einem Arzt) solltem diese Informationen in geeigneter Form ausgehängt oder eine Broschüre (ein Infoblatt) bereit gestellt werden. Bei Videoüberwachungen sollte ein Schild am Eingang deutlich darauf hinweisen und die Identität des Verantwortlichen offenlegen.
Information über die Weiterverwendung für andere Zwecke
Wenn der Verantwortliche beabsichtigt die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, außer den dafür vorgesehenen, so muss die betroffene Person auch darüber informiert werden.
Datenerhebung ohne direkten Kontakt zum Betroffenen
Bei diesen Datenerhebungen stammen die Daten aus einer anderen Quelle als dem Betroffenen stammen. Hier ist die allgemeine Informationspflicht einzuhalten und zu beauskunften, aus welcher Quelle die Daten stammen.
Zeitpunkt der Information
Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche den Betroffenen grundsätzlich innerhalb einer angemessenen Frist informieren, spätestens jedoch nach einen Monat. Sollten die Daten zur Kommunikation mit dem Betroffenen verwendet werden, dann sind die erforderlichen Informationen spätestens zum Zeitpunkt der ersten Mitteilung an den Betroffenen zu geben. Wenn die Offenlegung an einen anderen Empfänger beabsichtigt ist, hat die Information zum Zeitpunkt der ersten Offenlegung zu erfolgen.
Zusätzliche Einschränkungen der Informationspflicht
wenn Erhebung NICHT beim Betroffenen
Die Informationspflicht des Verantwortlichen entfällt, wenn Rechtsvorschriften die Datenerhebung ausdrücklich erlauben oder die Informationen rechtlicher Geheimhaltungspflichten unterliegen. Letztlich besteht auch dann keine Informationspflicht, wenn die Erteilung der Information für den Verantwortlichen unmöglich ist oder zumindest mit einem unverhältnismäßigen Aufwand verbunden ist.
Profiling und automatisierte Entscheidungsfindung
Profiling und automatisierte Entscheidungsfindung sind beispielsweise im Bank- und Finanzwesen, im Steuerbereich und in der Gesundheitsversorgung gängige Praxis.
Profiling ist die Bezeichnung für das Erstellen, Akualisieren und Verwenden von Profilen aus gesammelten Daten (Alter, Geschlecht, Einkommen, …). Diese Profile werden zu Marktforschungszwecken verwendet.
Beispielsweise nutzt ein Betroffener für ein Darlehen eine Online-Bank. Er wird aufgefordert seine personenbezogenen Daten einzugeben. Folglich teilt der Algorithmus der Bank mit, ob die Bank das Darlehen gewährt und wie hoch der vorgeschlagene Zinssatz ist.
Eine automatisierte Entscheidungsfindung liegt vor, wenn Entscheidungen über einen Betroffenen auf technischem Wege und ohne menschliches Eingreifen getroffen werden.
Gemäß DSGVO sind Verantwortliche auch verpflichtet über das Bestehen eines Profiling und einer automatischen Entscheidungsfindung zu informieren. Angaben über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen der automatischen Entscheidungsfindung bzw. des Profiling sollten im Informationsblatt enthalten sein.
Geldstrafe und Schadenersatz drohen
Bei Verstößen gegen den Schutz personenbezogener Daten oder Nichtgewährleistung einer fairen und transparenten Datenverarbeitung drohen hohe Geldstrafen von bis zu 20 Mio. Euro und bei Unternehmen von bis zu 4% des letzten weltweiten Jahresumsatzes (Art 83 Abs 5 DSGVO). Die Datenschutzbehörde entscheidet über die Verhängung von Geldstrafen. Des Weiteren können Betroffene Schadenersatz geltend machen (Art 82 DSGVO). Die Zivilgerichte sind zuständig für Schadenersatzklagen.
|