Informationspflichten nach der Datenschutzgrundverordnung bei der Direkterhebung beim Betroffenen (Art. 14 DSGVO)

Im Bundesdatenschutzgesetz (BDSG) sind die Informationspflichten der verantwortlichen Stelle in § 4 Abs. 3 BDSG, sowie in § 33 Abs. 1 BDSG geregelt. § 33 Abs. 1 BDSG betrifft Informationspflichten, die gelten wenn die Daten anderweitig (also keine Direkterhebung beim Betroffenen) erhoben wurden. Der folgende Beitrag beschäftigt sich ausschließlich mit der Direkterhebung beim Betroffenen, also § 4 Abs. 3 BDSG. Sofern die verantwortliche Stelle ebenfalls ein Telemedienanbieter im Sinne des TMG ist, so ergeben sich weitere Pflichten aus § 13 TMG.

Diese Informationspflichten gegenüber dem Betroffenen werden mit der Datenschutzgrundverordnung (DSGVO) deutlich verschärft. Insoweit muss jeder Verantwortliche seiner Datenschutzerklärung bzw. seine Hinweise bis zum Inkrafttreten der DSGVO überarbeiten und erweitern

Im Folgenden werden wir Ihnen wesentliche Änderungen vorstellen.

Datenschutzerklärung (Privacy Policy)?

Bei Telemedienanbietern (wie beispielsweise Online-Shops oder Online-Portalen) ist es üblich, dass Informationen zum Datenschutz in einer gesonderten Datenschutzerklärung zusammengefasst und zum Abruf bereitgehalten werden. Eine derartige Verpflichtung, Datenschutzinformation in einer gesonderten Erklärung bereitzuhalten, gibt es nicht.

Neue Informationspflichten nach der Datenschutzgrundverordnung (DSGVO):

Einwilligung

Stützt der Verantwortliche seinen Verarbeitungsprozess auf eine Einwilligung des Betroffenen, so muss er den Betroffenen auf die Widerruflichkeit der Einwilligung hinweisen. Darüber hinaus ist eine Belehrung dergestalt erforderlich, dass der Widerruf nichts an der Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung ändert.

Speicherdauer

Der Verantwortliche hat innerhalb der Datenschutzerklärung anzugeben, wie lange die personenbezogenen Daten des Betroffenen gespeichert werden oder falls dies nicht möglich ist Kriterien anzugeben, nach denen sich die Speicherdauer bestimmen lässt.

HINWEIS: An dieser Stelle wird deutlich, wie wichtig eine ausreichende Vorbereitung auf die Datenschutzgrundverordnung ist. Ohne ein unternehmensweites Löschkonzept in Bezug auf personenbezogenen Daten, welches im Rahmen des Verfahrensverzeichnisses (Art. 30 DSGVO) zu erstellen und dokumentieren ist, wird der Verantwortliche schwerlich Informationen über die Speicherdauer im Rahmen seiner Informationspflicht gegenüber dem Betroffenen tätigen können.

Berechtigtes Interesse

Stützt der Verantwortliche den Verarbeitungsprozess auf ein berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO, so muss er angeben um welches Interesse es sich handelt.

Beschwerderecht

In der Datenschutzerklärung hat der Verantwortliche anzugeben, dass dem Betroffenen ein Beschwerderecht bei der Aufsichtsbehörde gemäß Art. 77 Abs. 1 DSGVO zusteht.

Profiling

Wird ein Profiling oder eine andere Art von automatisierter Einzelfallentscheidung (Art. 92 DSGVO) beabsichtigt, so ist hierauf gesondert hinzuweisen. Des Weiteren hat der Verantwortliche aussagekräftige Informationen über die angewendete Logik, sowie die Tragweite und die angestrebten Auswirkung der angestrebten Verarbeitung für die betroffene Person darzulegen.

Teilweise Änderungen nach Art. 13 DSGVO im Vergleich zu § 4 Abs. 3 und § 33 Abs. 1 BGSG und § 13 Abs. 1 TMG

Identität des Verantwortlichen und des Datenschutzbeauftragten

Die verantwortliche Stelle muss Angaben zur Identität und entsprechenden Kontaktdaten eines Vertreters und des Datenschutzbeauftragten machen (Art. 27 DSGVO)

Zweckbestimmung

Der Verantwortliche ist verpflichtet anzugeben, auf welchen Erlaubnistatbestand gemäß Art. 6 DSGVO er seine Datenverarbeitung stützen wird. Beruht die Verarbeitung auf einer Abwägung der Interessen im Sinne des Art. 6 Abs. 1 litt. f, so sind die berechtigten Interessen die durch den Verantwortlichen verfolgt werden, offen zu legen.

Datenempfänger

Beabsichtigt die verantwortliche Stelle eine Übermittlung der personenbezogenen Daten an Dritte, so sind die konkreten Empfänger anzugeben. Steht noch nicht fest wäre Empfänger sein wird, genügen Angaben zur Kategorie der Empfänger (beispielsweise die Weitergabe an ein anderes Unternehmen selben Konzern)

Freiwilligkeit

Der Betroffene ist darauf hinzuweisen ob er gesetzlich oder vertraglich verpflichtet ist seine personenbezogenen Daten preiszugeben oder die Bereitstellung für einen Vertragsschluss erforderlich ist. Darüber hinaus ist er darüber in Kenntnis zu setzen, was die möglichen Folgen einer verweigerten Bereitstellung sind.

Standardisierte Bildsymbole

Auch sieht der Verordnungsgeber in Art. 12 Abs. 7 DSGVO vor, dass die Informationspflichten in einer Kombination mit standardisierten Bildsymbolen bereitgestellt werden können, um in leicht wahrnehmbarer, verständlicher und gut nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtige Verarbeitung zu erhalten. Insoweit bleibt abzuwarten, welche Bildsymbole sich hier durchsetzen werden.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*