Transparenz in der Datenverarbeitung geht...

Wie Sie die Transparenzpflichten bei der Datenverarbeitung umsetzen

Zeitpunkt und Form der Information

Bei der Direkterhebung müssen die Informationen zum Zeitpunkt der Erhebung der Daten mitgeteilt bzw. zur Verfügung gestellt werden. Diese Information hat „schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“ zu erfolgen. Online können die Daten in einer Datenschutzerklärung bereitgestellt werden, auf die bei der Datenerhebung, z.B. in einem Online-Formular, eindeutig verwiesen wird. Die Veröffentlichung auf Ihrer Internetseite bietet sich auch immer dann an, wenn es sich um eine unbestimmte Zahl von Betroffenen handelt (z.B. die Nutzer von Online-Angeboten).

Sie müssen die Informationen lediglich bereitstellen, es ist also nicht erforderlich, dass der Betroffene zustimmt oder aktiv einwilligt. Aufgrund der Rechenschaftsflicht (Accountability) müssen Sie jedoch nachweisen können, dass Sie dem Betroffenen die Informationen zur Verfügung gestellt haben.

Bereitzustellende Informationen:

• Namen und Kontaktdaten des Verantwortlichen

• ggf. Kontaktdaten des Datenschutzbeauftragten

• Zwecke der Datenverarbeitung (ACHTUNG: Bei einer Zweckänderung müssen der betroffenen Person vorab Informationen über den anderen Zweck zur Verfügung gestellt und alle anderen Informationspflichten erneut erfüllt werden)

• Rechtsgrundlage für die Verarbeitung personenbezogener Daten

• Berechtigtes Interesse, falls Verarbeitung auf Art. 6 Absatz 1 lit. f beruht

• Ggf. Empfänger von personenbezogenen Daten oder Kategorien von Empfängern

• Absicht der internationalen Datenübermittlung und Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses oder Verweis auf geeignete Garantien

• Dauer der Datenspeicherung oder Kriterien für Festlegung der Dauer; Bestehen der Betroffenenrechte: Auskunftsrecht, Berichtigung, Löschung, Widerspruch, Recht auf Datenübertragbarkeit

• Falls Datenverarbeitung auf einer Einwilligung beruht: Widerrufsrecht bzgl. der Einwilligung

• Beschwerderecht bei Aufsichtsbehörde;

• Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben ist

• Ob es eine Verpflichtung zur Bereitstellung der Daten gibt und welche möglichen Folgen die Nichtbereitstellung hätte

• Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling und aussagekräftige Informationen über involvierte Logik und Tragweite

• Falls Sie die Daten nicht direkt bei der betroffenen Person erhoben haben (z.B. über Adresshändler oder aus öffentlichem Verzeichnis), müssen Sie zusätzlich angeben

• aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen

• und, da der Betroffene im Gegensatz zur Direkterhebung nicht an der Datenerhebung mitgewirkt und somit auch keine Kenntnis darüber hat, welche personenbezogene Daten erhoben wurden,

• die Kategorien der verarbeiteten personenbezogenen Daten.

Im Falle der Dritterhebung müssen Sie die Informationen nachträglich innerhalb einer angemessenen Frist nach Erlangung der Daten mitteilen. Diese Frist bestimmt sich nach den spezifischen Umständen, darf aber einen Monat nicht überschreiten. Die Monatsfrist ist eine Maximaldauer und sollte nicht pauschal angesetzt werden. Werden die personenbezogenen Daten beispielsweise zur Kommunikation verwendet, sind die Informationen spätestens zum Zeitpunkt der ersten Kontaktaufnahme mitzuteilen.

Erlaubter Medienbruch?

Manche Verarbeitungssituationen lassen es nicht zu, der betroffenen Person die umfangreichen Informationen unmittelbar zur Verfügung zu stellen (z.B. telefonische Auftragsannahme, Postkarte für Gewinnspiele). In der Praxis stellt sich daher die Frage, wie man die Transparenzpflichten in solchen Fällen erfüllen kann, beispielsweise ob es zulässig ist, bei einer telefonischen Datenerhebung nur Basisinformationen mitzuteilen und auf eine ausführliche Online-Datenschutzerklärung mit den weiteren Informationen zu verweisen („Medienbruch“).

Die Frage nach dem zulässigen Medienbruch innerhalb derselben Unterrichtung wird von der DSGVO allerdings nicht beantwortet. Lediglich der leichte Zugang wird betont.

Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) führen dazu folgendes aus: „Die leicht zugängliche Form bedeutet auch, dass die Informationen in der konkreten Situation verfügbar sein müssen. Sollen die Daten also von einer anwesenden Person erhoben werden, darf die Person in der Regel nicht auf Informationen im Internet verwiesen werden. Dies gilt gleichermaßen für eine schriftliche Korrespondenz auf dem Papierweg.“

Dies spricht eher dafür, dass ein Medienbruch in der Regel nicht erlaubt ist. Solange es hierzu keine weiteren Auslegungshilfen gibt oder eine Konkretisierung z.B. durch die Aufsichtsbehörden erfolgt, kann nur empfohlen werden, den Betroffenen möglichst alle Informationen in der konkreten Situation bereitzustellen.