- Team Ernst
Transparenz in der Datenverarbeitung geht...
Wie Sie die Transparenzpflichten bei der Datenverarbeitung umsetzen

Zeitpunkt und Form der Information
Bei der Direkterhebung müssen die Informationen zum Zeitpunkt der Erhebung der Daten mitgeteilt bzw. zur Verfügung gestellt werden. Diese Information hat „schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“ zu erfolgen. Online können die Daten in einer Datenschutzerklärung bereitgestellt werden, auf die bei der Datenerhebung, z.B. in einem Online-Formular, eindeutig verwiesen wird. Die Veröffentlichung auf Ihrer Internetseite bietet sich auch immer dann an, wenn es sich um eine unbestimmte Zahl von Betroffenen handelt (z.B. die Nutzer von Online-Angeboten).
Sie müssen die Informationen lediglich bereitstellen, es ist also nicht erforderlich, dass der Betroffene zustimmt oder aktiv einwilligt. Aufgrund der Rechenschaftsflicht (Accountability) müssen Sie jedoch nachweisen können, dass Sie dem Betroffenen die Informationen zur Verfügung gestellt haben.
Bereitzustellende Informationen:
Namen und Kontaktdaten des Verantwortlichen
ggf. Kontaktdaten des Datenschutzbeauftragten
Zwecke der Datenverarbeitung (ACHTUNG: Bei einer Zweckänderung müssen der betroffenen Person vorab Informationen über den anderen Zweck zur Verfügung gestellt und alle anderen Informationspflichten erneut erfüllt werden)
Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Berechtigtes Interesse, falls Verarbeitung auf Art. 6 Absatz 1 lit. f beruht
Ggf. Empfänger von personenbezogenen Daten oder Kategorien von Empfängern
Absicht der internationalen Datenübermittlung und Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses oder Verweis auf geeignete Garantien
Dauer der Datenspeicherung oder Kriterien für Festlegung der Dauer; Bestehen der Betroffenenrechte: Auskunftsrecht, Berichtigung, Löschung, Widerspruch, Recht auf Datenübertragbarkeit
Falls Datenverarbeitung auf einer Einwilligung beruht: Widerrufsrecht bzgl. der Einwilligung
Beschwerderecht bei Aufsichtsbehörde;
Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben ist
Ob es eine Verpflichtung zur Bereitstellung der Daten gibt und welche möglichen Folgen die Nichtbereitstellung hätte
Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling und aussagekräftige Informationen über involvierte Logik und Tragweite
Falls Sie die Daten nicht direkt bei der betroffenen Person erhoben haben (z.B. über Adresshändler oder aus öffentlichem Verzeichnis), müssen Sie zusätzlich angeben
aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen
und, da der Betroffene im Gegensatz zur Direkterhebung nicht an der Datenerhebung mitgewirkt und somit auch keine Kenntnis darüber hat, welche personenbezogene Daten erhoben wurden,
die Kategorien der verarbeiteten personenbezogenen Daten.
Im Falle der Dritterhebung müssen Sie die Informationen nachträglich innerhalb einer angemessenen Frist nach Erlangung der Daten mitteilen. Diese Frist bestimmt sich nach den spezifischen Umständen, darf aber einen Monat nicht überschreiten. Die Monatsfrist ist eine Maximaldauer und sollte nicht pauschal angesetzt werden. Werden die personenbezogenen Daten beispielsweise zur Kommunikation verwendet, sind die Informationen spätestens zum Zeitpunkt der ersten Kontaktaufnahme mitzuteilen.
Erlaubter Medienbruch?
Manche Verarbeitungssituationen lassen es nicht zu, der betroffenen Person die umfangreichen Informationen unmittelbar zur Verfügung zu stellen (z.B. telefonische Auftragsannahme, Postkarte für Gewinnspiele). In der Praxis stellt sich daher die Frage, wie man die Transparenzpflichten in solchen Fällen erfüllen kann, beispielsweise ob es zulässig ist, bei einer telefonischen Datenerhebung nur Basisinformationen mitzuteilen und auf eine ausführliche Online-Datenschutzerklärung mit den weiteren Informationen zu verweisen („Medienbruch“).
Die Frage nach dem zulässigen Medienbruch innerhalb derselben Unterrichtung wird von der DSGVO allerdings nicht beantwortet. Lediglich der leichte Zugang wird betont.
Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) führen dazu folgendes aus: „Die leicht zugängliche Form bedeutet auch, dass die Informationen in der konkreten Situation verfügbar sein müssen. Sollen die Daten also von einer anwesenden Person erhoben werden, darf die Person in der Regel nicht auf Informationen im Internet verwiesen werden. Dies gilt gleichermaßen für eine schriftliche Korrespondenz auf dem Papierweg.“
Dies spricht eher dafür, dass ein Medienbruch in der Regel nicht erlaubt ist. Solange es hierzu keine weiteren Auslegungshilfen gibt oder eine Konkretisierung z.B. durch die Aufsichtsbehörden erfolgt, kann nur empfohlen werden, den Betroffenen möglichst alle Informationen in der konkreten Situation bereitzustellen.