Das neue Datenschutzrecht – wichtige Änderungen für die Unternehmenspraxis – Die Informationspflichten:

Betroffene sind bei Erhebung der Daten zu informieren!

Ab 25. Mai 2018 ändern die europaweit geltende Datenschutzgrundverordnung (DSGVO) sowie das neue deutsche Bundesdatenschutzgesetz (BDSG-neu) viele altbekannte Vorgaben im Datenschutzrecht. Eine wesentliche Änderung in der Unternehmenspraxis ergibt sich durch die erweiterten Informationspflichten gegenüber den von der Datenverarbeitung betroffenen Personen.

Im Vergleich zum bis dato noch geltenden Bundesdatenschutzgesetz werden die in den Artikeln 12-14 DSGVO geregelten Informationspflichten gegenüber den von der Datenverarbeitung Betroffenen deutlich steigen.

Welche Informationen der betroffenen Person mitzuteilen sind, regelt der Pflichtenkatalog des Artikels 13 DSGVO. Dieser beinhaltet unter anderem die Pflicht zur Mitteilung der Kontaktdaten des Verantwortlichen der verarbeitenden Stelle. Auch müssen der Zweck, die Dauer und die Rechtsgrundlage der Datenverarbeitung mitgeteilt werden. Betroffene sind zudem über ihre Rechte, z.B. das Auskunfts- und Widerspruchsrecht, zu informieren.

Die Informationen sind dem Betroffenen bei Erhebung der Daten mitzuteilen.

In der Praxis bedeutet dies, dass etwa bei der Bestellung eines Newsletters, beim Abschluss eines Kaufvertrages im Rahmen des E-Commerce oder aber bei der Datenerhebung im Rahmen von Bewerbungsverfahrens, Informationspflichten bestehen. Auch Datenschutzerklärungen sind betroffen, da die Nutzung von Webseiten größtenteils mit der Erhebung personenbezogener Daten verbunden ist. Jedes Unternehmen muss sich überlegen, wie es diesen Informationspflichten im jeweiligen Fall nachkommt.

Erhebung personenbezogener Daten bei Dritten

Den Unternehmer treffen gemäß Artikel 14 DSGVO auch dann Informationspflichten, wenn Daten nicht direkt bei der betroffenen Person erhoben werden, sondern bei Dritten. Praktisches Beispiel ist hier die Konsultation einer Auskunftei hinsichtlich der Kreditwürdigkeit eines potentiellen Geschäftspartners. Dabei sind die Informationspflichten des Unternehmers im Wesentlichen die gleichen wie die nach Artikel 13 DSGVO. Hinzu kommt die Pflicht, dass der betroffenen Person die Quellen mitgeteilt werden müssen, aus welcher die personenbezogenen Daten stammen. Anders als im Rahmen von Artikel 13 müssen die Informationen nicht bei Erhebung der Daten, aber spätestens ein Monat nach Erlangung der Daten, mitgeteilt werden.

Form der Informationsmitteilung

Alle Informationen sind gemäß Artikel 12 DSGVO der betroffenen Person in transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Dies kann schriftlich oder in anderer Form erfolgen, gegebenenfalls auch elektronisch.

Dies räumt Unternehmen bei der Ausübung ihrer Informationspflichten zwar eine weitgehende Formfreiheit ein. Von einem leichtfertigen Umgang sei jedoch abgeraten! Denn letztlich muss der Datenverarbeiter nachweisen können, dass er die Pflichten der DSGVO einhält. Im Falle der Inanspruchnahme durch einen Betroffenen trifft den Datenverarbeiter überdies die Darlegungs- und Beweislast. Gelingt der Nachweis nicht, drohen behördliche Bußgelder bzw. die Pflicht zur Zahlung von Schadensersatz an den Betroffenen.

 

Karoline Nutz 
Rechtsanwältin

           

Tel. Stuttgart: 07 11 / 365 917 0
Tel. Heilbronn: 07 131 / 594 390 0
k.nutz@goertz-kanzlei.de