Meilicke Hoffmann und Partner - Anwaltskanzlei Bonn

    Newsletter

    Deutlich erweiterte Informationspflichten für Datenverarbeiter ab Mai 2018

    Am 25. Mai 2018 tritt die Europäische Datenschutz-Grundverordnung – VO (EU) 2016/679 – („DS-GVO“) in Kraft. Dann gelten für Datenverarbeiter erweiterte Informationspflichten.

    Die DS-GVO ist in Deutschland unmittelbar geltendes Recht. Datenverarbeitung im Sinne der Verordnung ist gem. Art. 1 Abs. 1 DS-GVO die automatisierte und die nichtautomatisierte Verarbeitung (z. B. das Erheben, Speichern, Ordnen, Verändern, Abfragen oder Löschen, vgl. Artikel 4 Nr. 2 DS-GVO) personenbezogener Daten. Die erweiterten Informationspflichten sind Teil der in der Verordnung neu geregelten Betroffenenrechte zur Transparenz der Datenverarbeitung in Artikel 12 bis 14 DS-GVO. Die Informationspflichten richten sich ab Inkrafttreten der DS-GVO ausschließlich nach deren Regelungen und nicht mehr nach dem nationalen Recht (bislang § 4 Abs. 3, § 33 Bundesdatenschutzgesetz „BDSG“ und § 13 Abs. 1 Telemediengesetz „TMG“). Nach der Verordnung sollen die Betroffenen über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert werden; zudem sind sie darüber aufzuklären, wie sie ihre Rechte geltend machen können (Erwägungsgrund 39 der DS-GVO). Der Verantwortliche muss bei beabsichtigter Datenerhebung dem Betroffenen zum Zeitpunkt der Datenerhebung folgende Angaben zur Verfügung stellen:

    – Name und Kontaktdaten des Verantwortlichen

    – Name und Kontaktdaten des betrieblichen Datenschutzbeauftragten, falls ein solcher bestellt ist

    – Zwecke der Datenverarbeitung

    – Rechtsgrundlage der Datenverarbeitung.

    – Wenn die Verarbeitung auf Artikel 6 Abs. 1 lit. f DS-GVO beruht: Darlegung der berechtigten Interesse im Sinne dieser Regelung, die der Datenverarbeiter für die Datenverarbeitungsvorgänge in Anspruch nimmt

    – Empfänger oder Kategorien von Empfängern der personenbezogenen Daten

    – Gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation weiterzugeben, einschließlich des Hinweises auf welcher der Rechtsgrundlagen der Art. 44 ff. DSGVO die Datenübermittlung beruht.

    – Bekanntgabe von Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften ( sog. “Binding Corporate Rules“ oder „BCR“)

    – Dauer, für die die personenbezogenen Daten gespeichert werden, und, wenn eine solche Angabe nicht möglich ist, die Kriterien für die Festlegung der Dauer

    – Angabe der Rechte des Betroffenen auf Auskunft, Berichtigung, Sperrung, Löschung, Widerspruch und Datenübertragbarkeit (Artikel 15 bis 21 DS-GVO)

    – Beschwerderechts bei einer Aufsichtsbehörde (Artikel 77 DS-GVO)

    – Verwendung automatisierter Einzelfallentscheidung einschließlich Profiling nach Artikel 22 DS-GVO mit aussagekräftigen Informationen über die involvierte Logik sowie über die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung

    – Hinweis auf Recht, eine Einwilligung jederzeit zu widerrufen (die Rechtmäßigkeit einer zuvor aufgrund der Einwilligung vorgenommenen Datenverarbeitung wird durch den Widerruf nicht berührt)

    – soweit die Daten nicht beim Betroffenen erhoben werden sollen, ist auch über die Herkunft der Daten zu informieren (Artikel 14 DS-GVO). Das heißt, es ist die Datenquelle zu nennen. Dies gilt auch dann, wenn es sich um öffentlich zugängliche Daten handelt.

    Die vorstehend genannten Informationen sind nach Artikel 12 Abs. 7 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren Sprache zu übermitteln. Gemäß dem Erwägungsgrund 58 der DS-GVO können diese Informationen im Online-Bereich in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt sind.

    Ähnlich wie bereits bislang nach § 13 TMG sind die Informationen schon bei der Erhebung der Daten mitzuteilen (Artikel 13 Abs. 1 DS-GVO). Dafür genügt ein Link.

    Die Fülle der Informationspflichten und ihr konkreter Inhalt werden vielen Datenverarbeitern noch erhebliches Kopfzerbrechen bereiten – ganz abgesehen von dem Kunststück, die zahlreichen Einzel-Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren Sprache zu übermitteln. Hierbei ist zu beachten, dass Verstöße gegen die Informationspflichten gem. Artikel 83 Abs. 5 lib. b DS-GVO mit einer Geldbuße von bis zu 20 Mio. € oder im Falle eines Unternehmens von bis zu 4 % des Jahresumsatzes, je nachdem welcher der Beträge höher ist, sanktioniert sind.

    Dr. Wolfgang Walchner

    In folgendem Newsletter erschienen : Newsletter 6/17

    Drucken | Teilen