(29.9.2016) In unserer 3. Folge über die EU-Datenschutzgrundverordnung (DSGVO) geht es um das Thema:
Die neuen Informationspflichten gegenüber den Betroffenen
Deutlich aufwändiger wird es zukünftig, wenn personenbezogene Daten erhoben werden. Denn die betroffenen Personen müssen umfangreich darüber aufgeklärt werden.
Sie kennen die langen Beipackzettel bei Medikamenten?
Im Bereich Datenschutz wird es wohl ähnlich werden…
Informieren über was?
Immer, wenn Sie Daten erheben (z.B. auf Papier- oder Web-Formularen) müssen Sie über folgende Punkte aufklären (Art. 13 DSGVO):
- Name und Kontaktdaten der verantwortlichen Stelle
- Kontaktdaten des Datenschutzbeauftragten
- Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage
- wenn die Rechtsgrundlage auf einer Abwägung beruht: Nennung der eigenen berechtigten Interessen
- wenn die Daten weitergegeben werden: die Empfänger oder Kategorien von Empfängern
- wenn die Empfänger außerhalb der EU sitzen: Nennung dieses Sachverhalts und der Rechtsgrundlage, nach der dies zulässig ist
Je nach Umständen können weitere Angaben hinzukommen, beispielsweise über die Speicherdauer und Hinweise auf das Recht auf Auskunft, Widerspruch und Beschwerde.
Trotzdem muss der Text der Erklärung klar und einfach gefasst sein – das kann unter Umständen herausfordernd werden.
Wie informieren?
Die Informationen sollen „schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“ erfolgen. Papierformularen könnte somit eine Datenschutzerklärung auf Papier beigefügt werden. Es ist aber auch zulässig, diese Angaben gesammelt auf der Internetseite des Unternehmens zu veröffentlichen. Damit wird die Datenschutzerklärung im Internet eine völlig neue Bedeutung erhalten und zukünftig deutlich umfangreicher ausfallen als bisher.
Umfassende Verpflichtung auch bei anderen Quellen
Dasselbe gilt übrigens, wenn Daten nicht direkt beim Betroffenen erhoben werden, sondern aus anderen Quellen stammen (Art. 14 DSGVO; Beispiel: Eintragen einer Telefonnummer im Adressverzeichnis des Unternehmens, nachdem sie im Telefonbuch nachgeschlagen wurde).
Was passiert bei Verstößen?
Wenn die Informationspflichten nicht eingehalten werden, droht das erhöhte Bußgeld von bis zu 20 Mio. Euro (oder 4% des weltweiten Jahresumsatzes, falls dieser Betrag höher ist).
Im Ergebnis bedeutet dies:
Immer dann, wenn personenbezogene Daten erhoben (beschafft) werden, muss der Betroffene darüber aufgeklärt werden.
Überlegen Sie deshalb schon einmal:
- Wo im Unternehmen und in welchen Prozessen werden überall personenbezogene Daten erhoben? (z.B. über Beschäftigte, Kunden, Geschäftspartner)
- Auf welche Weise wollen wir die Betroffenen informieren (Papier, Internet)?
- Haben wir alle Informationen, die wir veröffentlichen müssen?
Wir klären diese Fragen praxisbezogen mit unseren Kunden und unterstützen bei der Umsetzung.
Übrigens: Alle Änderungen, die die DSGVO mit sich bringt, erfahren Sie in unserem Online-Training zur DSGVO. Mit Teilnahmezertifikat und PDF-Zusammenfassung. → mehr zum DSGVO-Online-Training
Wir beraten Sie aber auch gerne im Einzelfall bei der Umsetzung der neuen Vorgaben: → mehr zur Datenschutzberatung