Transparenzpflichten nach Art. 12, 13 und 14 DSGVO

Lesezeit: ca. 5 Minuten


Mit der neuen Datenschutzgrundverordnung (DSGVO) ergeben sich für jeden Betroffenen auch neue Rechte. Die Verantwortlichen stellt dies jedoch vor neue Herausforderungen und Pflichten, die sie zu erfüllen haben, wenn eine faire und transparente Verarbeitung der personenbezogenen Daten gewährleistet sein soll.

So beschreibt die DSGVO in Artikel 12 Absatz 1:

„Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 […] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“

Während in der Vergangenheit im Datenschutzzusammenhang oft eher juristische Fachsprache verwendet wurde, verlangt die neue DSGVO eine Kommunikation, die für jegliche Kunden verständlich ist.

Reaktive Informationspflichten Art 15 DSGVO

Nach Artikel 15 DSGVO haben Unternehmen und Behörden die Pflicht jedem Betroffenen auf seine Nachfrage hin mitzuteilen, welche personenbezogenen Daten über ihn vorliegen.

Dies setzt einige Dinge voraus. Es muss in jedem Fall abgesichert werden, dass die Daten ausschließlich an die betroffene Person selbst übermittelt werden. Die Form der Identitätsüberprüfung ist nicht vorgegeben.

Eine Möglichkeit kann sein, die Daten nur auf dem Postweg zu versenden, an die Adresse des Betroffenen, die schon vor dem Zeitpunkt des Auskunftsersuchens vorlag.

Die Informationen, die der Verantwortliche im Fall der Nachfrage des Betroffenen herausgeben muss, sind, welche Daten zu welchem Zweck verarbeitet werden, woher sie stammen, wohin sie übermittelt werden und wie lange er diese Daten verarbeitet bzw. speichert. Letzteres kann durch die Zuordnung einer Datenkategorie, wie z.B. abgelehnte Bewerbungen, ermöglicht werden.

Ist es dem Verantwortlichen nicht möglich, einen konkreten Zeitpunkt für die Löschung der Daten festzulegen, müssen zumindest die Kriterien für die Speicherdauer mitgeteilt werden.

Proaktive Informationspflichten Art 13 und 14 DSGVO

Die Transparenzpflicht bei der Verarbeitung personenbezogener Daten beschränkt sich nicht allein auf die reaktiven Informationspflichten. Die DSGVO sieht ebenfalls eine autonome Auskunft von Seiten des Verantwortlichen vor, wie aus Artikel 13 und 14 DSGVO zu entnehmen ist.

Wurden die Daten direkt bei der betroffenen Person erhoben, muss diese sofort über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Zum Ausnahmefall kommt es nur dann, wenn dem Betroffenen bereits alle von der DSGVO geforderten Informationen übermittelt wurden.

Dieser Umstand muss zur Absicherung für das Unternehmen oder die Behörde genau dokumentiert sein. In der Praxis wird dies, gerade wenn im Internet personenbezogene Daten verlangt werden, oft durch das ausdrückliche Bestätigen der Datenschutzrichtlinien gewährleistet.

Wenn die Daten des Betroffenen bei jemand anderem erhoben werden, muss ebenso informiert werden. Ausgenommen ist die Information bei unmöglich machenden Bedingungen, wie fehlende Kontaktdaten, oder bei einem unverhältnismäßigen Aufwand.

Dienen die personenbezogenen Daten zur Kommunikation, muss der Betroffene spätestens mit der ersten Mitteilung die Informationen erhalten.

Zu berücksichtigen ist auch, dass die DSGVO nicht nur für Daten, die ab dem 25. Mai 2018 erhoben wurden, gilt, sondern auch für schon davor bestehende Daten relevant ist.

Es ist also zu prüfen, ob die Informationspflichten auch für die Daten erfüllt werden, die sich schon vorher in Verarbeitung befanden. Beispielsweise war ein Nennen der Kontaktdaten des Datenschutzbeauftragten (DSB) vorher nicht relevant.

Pflicht, Widersprüche umzusetzen

Neben dem Recht auf Auskunft und Information über die Verarbeitung seiner personenbezogenen Daten verfügt der Betroffene außerdem über ein Recht auf Widerspruch. Verantwortlich sind daraufhin verpflichtet im eigenen Betrieb, als auch bei möglichen weiteren Datenempfängern, eine Einstellung der Datenverarbeitung sicherzustellen.

Das ist vor allem im Fall von Direktwerbung entscheidend. Ausgenommen davon sind nur Spezialfälle, wie schutzwürdige Gründe für die Verarbeitung oder die Geltendmachung von Rechtsansprüchen. Es handelt sich also größtenteils um eine Abwägung dieser Faktoren gegen die Interessen des Betroffenen.

Eine nachvollziehbare Dokumentation dieser Abwägung gehört ebenfalls zu den Pflichten des Verantwortlichen.

Berichtigungspflicht Art 16 DSGVO

Artikel 16 DSGVO beschäftigt sich mit dem Recht des Betroffenen auf Berichtigung der über ihn gespeicherten Daten. Auf Anforderung müssen fehlerhafte Daten korrigiert werden.

Auch Ergänzungen können durch den Betroffenen eingefordert werden. Gibt ein Unternehmen oder eine Behörde die Daten an andere Datenempfänger weiter, ist es außerdem die Pflicht des Verantwortlichen deren Korrektur einzuleiten.

Auch hier wird deutlich, wie relevant eine gute Dokumentation der Datenverarbeitung ist, sonst wird zumindest die Weitergabe der Berichtigung an Dritte kaum möglich.

Löschpflicht Art 17 DSGVO

Ergänzend zu dem Recht auf Berechtigung, besteht laut Artikel 17 DSGVO ebenso eine Löschpflicht für den Verantwortlichen. Dieser Anspruch muss allerdings nur dann umgesetzt werden, wenn eine weitere Verarbeitung der Daten nicht erforderlich ist.

Dies wäre z.B. bei steuerrechtlichen Aufbewahrungspflichten der Fall.

Pflicht, Datenverarbeitung einzuschränken Art 18 DSGVO

Wenn die vollständige Löschung der Daten eines Betroffenen nur schwer umsetzbar ist oder wenn eine Verarbeitung weiterhin erforderlich bleibt, ist es, wie in Artikel 18 DSGVO beschrieben, möglich die Datenverarbeitung einzuschränken. Hier können entsprechende Daten mit einem Sperrvermerk gekennzeichnet werden.

Je nach Umfang der gesperrten Daten, kann es sinnvoll sein, eine zentrale Sperrdatei anzulegen.

Pflicht zur Datenübertragbarkeit Art 20 DSGVO

Stellt ein Betroffener einem Unternehmen oder einer Behörde seine personenbezogenen Daten zur Verfügung, hat er laut Artikel 20 DSGVO das Recht, sie „in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“, was sie für die Übertragung an andere Betriebe brauchbar macht.

Das gilt nicht für Informationen, die der Verantwortliche selbst hinzugefügt hat.

Die genaue Form für die Datenauflistung wird nicht festgelegt, kann aber beispielsweise in Tabellenform stattfinden. Je mehr Datenübertragungen im konkreten Betrieb zu erwarten sind, desto mehr empfiehlt sich eine frühzeitige Automatisierung dieser Dokumentation.

Recht auf nicht vollautomatisierte Entscheidungen Art 22 DSGVO

Auch das Thema automatisierte Entscheidungen unterliegt einigen Richtlinien der DSGVO (Artikel 22), die zu beachten sind. Jeder Betroffene hat das Recht, dass bei Entscheidungen, die ihn in jeglicher Weise erheblich beeinträchtigen oder ihm gegenüber rechtliche Wirkung entfalten, keine vollautomatisierten Verfahren angewendet werden.

Beispielweise untersagt die DSGVO somit eine Gewährung oder Ablehnung eines Online-Kredits auf der alleinigen Grundlage mathematischer Algorithmen.

Pflicht, die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen

Unternehmen und Behörden sind gemäß Artikel 38 dazu verpflichtet, die Kontaktdaten des Datenschutzbeauftragten, z.B. auf der Webseite, zu veröffentlichen.

Er muss jedoch nicht namentlich genannt werden. Die betroffenen Personen haben das Recht, den Datenschutzbeauftragten bei jeglichen Fragen zur Wahrnehmung ihrer Rechte gemäß DSGVO zu Rate zu ziehen.

Fazit zu Transparenzpflichten

All diese Transparenzpflichten kommen dank der neuen DSGVO auf Verantwortliche und Auftragsverarbeiter in Unternehmen und Behörden zu. Es empfiehlt sich, die genutzten Prozesse zur Verarbeitung personenbezogener Daten zu überprüfen und sie ggf. zu erneuern oder zu ergänzen.

Außerdem ist es hilfreich, so viele Prozesse wie möglich zu automatisieren, so dass Datenschutzpannen, aufgrund von Vergesslichkeit oder Unkonzentriertheit, vermieden werden können.

Der Aufwand lohnt sich nicht nur für die Betroffenen, sondern zumindest aus finanzieller Sicht auch für die Verantwortlichen.

Es kann ein Bußgeld im schlimmsten Fall von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen