A. Gestärkte Transparenz- und Informationsverpflichtungen
Die EU-Datenschutzgrundverordnung (DSGVO) bringt erhöhte Transparenz für die von Datenverarbeitungen betroffenen Personen. Die DSGVO normiert Informationspflichten für diejenigen, die Daten verarbeiten (=Verantwortliche) und Auskunftsrechte für von der Verarbeitung betroffene Personen. Dabei ist zu beachten, dass datenschutzrelevante Informationen und Mitteilungen in präziser, transparenter und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache bereitzustellen sind.
Verantwortliche sind verpflichtet, betroffene Personen über die Existenz eines Datenverarbeitungsvorgangs und seine Zwecke zu informieren. Abhängig davon, ob der Verantwortliche die Daten bei der betroffenen Person selbst oder aus anderen Quellen erhebt, enthält die DSGVO konkrete Vorgaben, worüber zu informieren ist. Wie der Betroffene zu informieren ist, obliegt hingegen dem Verantwortlichen. Verlangt wird, dass dem Betroffenen ein aussagekräftiger Überblick über die beabsichtigte Verarbeitung zu vermitteln ist. Um diesen jedoch gleichzeitig vor einer Überforderung durch ausufernde Informationen zu schützen und die Lesbarkeit von Datenschutzerklärungen zu gewährleisten, können die Informationen mit standardisierten Bildsymbolen kombiniert werden. Die Informationen können dem Betroffenen etwa per E-Mail übermittelt werden oder auf einer Website veröffentlicht sein. Auf Verlangen des Betroffenen wäre sogar eine mündliche Information zulässig.
Der Betroffene soll darüber informiert sein, ob personenbezogene Daten erhoben und in welchem Umfang diese verarbeitet werden. Damit ist für ihn transparent, wer was wann über ihn weiß.
B. Informationspflichten
1. Bei der Erhebung beim Betroffenen (Art 13 DSGVO)
Werden personenbezogene Daten beim Betroffenen direkt erhoben, bspw durch Befragen oder Anfordern von Unterlagen, hat der Verantwortliche den Betroffenen zum Zeitpunkt der Erhebung dieser Daten jedenfalls über nachstehende Informationen zu unterrichten. Die Informationspflicht kommt auch dann zum Tragen, wenn der Verantwortliche die personenbezogenen Daten später zweckerweiternd weiterverarbeitet.
(i) Informationen zum Grundverhältnis: Dem Betroffenen müssen der Name und die Kontaktdaten des für die Verarbeitung Verantwortlichen genannt werden. Soweit ein Datenschutzbeauftragter bestellt ist, auch dessen Kontaktdaten.
(ii) Informationen zur Datenverarbeitung: Der Verantwortliche muss über den Zweck, für den die personenbezogenen Daten verarbeitet werden sollen, die Rechtsgrundlage (zB Einwilligung, Vertragserfüllung), konkrete Empfänger, denen gegenüber die Daten offengelegt werden und insbesondere die Absicht zur Übermittlung an ein Drittland oder eine internationale Organisation informiert werden. Weiters ist der Betroffene über die Dauer der Speicherung und über Strukturen automatisierter Entscheidungsfindung („Profiling“) zu informieren. Zudem muss sich der Verpflichtete dazu rechtfertigen, warum er diese Daten verarbeitet, ob der Betroffene zur Bereitstellung der Daten verpflichtet ist und welche Folgen eine Zurückhaltung für den Betroffenen hätte.
(iii) Der Verantwortliche muss ebenso auf dieRechte der betroffenen Person, im Fall einer einwilligungsbasierten Datenverarbeitung insbesondere auch auf das jederzeitige Widerrufsrecht hinweisen.
Der Verantwortliche ist von seiner Informationsverpflichtung nur dann befreit, wenn der Betroffene bereits über die Informationen verfügt, zB im Fall einer einwilligungsbasierten Datenverarbeitung. Die Informationspflicht entfällt zudem bei speziellen gesetzlichen Verpflichtungen zur Speicherung/Offenlegung der personenbezogenen Daten oder bei Unmöglichkeit oder unverhältnismäßigem Aufwand für den Verantwortlichen.
2. Bei der Erhebung bei nicht betroffener Person (Art 14 DSGVO)
Werden personenbezogene Daten nicht bei der betroffenen Person selbst erhoben, nämlich weil die Datenerhebung ohne deren Kenntnis erfolgte oder die personenbezogenen Daten aus Datenbeständen Dritter abgerufen wurden, trifft den Verantwortlichen die Informationspflicht regelmäßig innerhalb angemessener Frist (max 1 Monat) nach Erlangung der personenbezogenen Daten. Soweit der Verantwortliche auch über Post- oder E-Mailadressen sowie Telefonnummern verfügt, muss er seine Informationspflicht spätestens zum Zeitpunkt der ersten Mitteilung erfüllen.
In diesem Fall der Datenerhebung muss der Verantwortliche ergänzend zu den Informationen in Art 13 DSGVO auch Informationen zum Datenbestand geben. Er muss angeben, welche Kategorien personenbezogener Daten er verarbeitet und von welcher konkreten Quelle die personenbezogenen Daten stammen.
C. Strafrahmen bei Verstößen
Bei Verstößen gegen den Transparenzgrundsatz, die Transparenzvorschrift und die Informationspflichten der DSGVO drohen Geldbußen von bis zu EUR 20 Mio bzw für Unternehmen von bis zu 4% des gesamten weltweit erzielten Umsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher Betrag höher ist.
Nutzen Sie die verbleibende Zeit!
Angesichts der erheblich erweiterten Informationsverpflichtung des Verantwortlichen und der Vielzahl der in einem Unternehmen vorhandenen Datenverarbeitungsvorgängen ist es bereits dringend geboten, eine Bestandaufnahme durchzuführen und die erforderlichen Umsetzungsmaßnahmen zu planen. Vielfach sind die vorhandenen Datenschutzerklärungen anzupassen bzw Muster-Informationsschreiben zu erstellen, sodass die neuen Verpflichtungen ab 25. Mai 2018 fristgerecht erfüllt werden können.
Mag. Claudia Fleischhacker-Hofko