Spätestens seit Anwendbarkeit der DSGVO sind sie aus dem Datenschutzalltag nicht mehr wegzudenken: Die Informationspflichten für Unternehmen nach Art. 13 DSGVO und Art. 14 DSGVO. Mit diesen Verpflichtungen will die Datenschutz-Grundverordnung dafür sorgen, dass Betroffene möglichst präzise über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Auf diese Weise soll einer der elementaren Grundsätze im Datenschutzrecht erfüllt werden, hier nämlich die Transparenz als Grundlage der rechtmäßigen Datenverarbeitung.
Der Inhalt im Überblick
Verantwortliche müssen informieren
Art. 5 Abs. 1 lit. a DSGVO sieht u. a. vor, dass personenbezogene Daten so verarbeitet werden, dass betroffene Personen dies nachvollziehen können. Dies wird in Art. 13 DSGVO und Art. 14 DSGVO weiter konkretisiert. Die Vorschriften sind auf den ersten Blick inhaltlich sehr ähnlich und haben teilweise auch den gleichen Wortlaut, unterscheiden sich aber in einem Punkt wesentlich: In Art. 13 DSGVO geht es um die Daten, die beim Betroffenen direkt erhoben werden. Dies ist in der Praxis meist auch der Regelfall. Schließlich geben wir alle tagtäglich unsere Daten an eine Vielzahl von ganz unterschiedlichen Verantwortlichen weiter, ob wir wollen oder nicht: an unsere Arbeitgeber, an unsere Vermieter oder an Verkäufer im Einzelhandel oder in Online-Shops. Ganz zu schweigen von Social-Media-Plattformen oder aller Arten von Website-Betreibern in der großen weiten Welt des Internets.
Art. 14 DSGVO beschreibt hingegen die Pflichten für Unternehmen, wenn sie die Daten nicht bei der betroffenen Person selbst erheben, sondern die Daten von anderen Unternehmen oder generell von Dritten erhalten. Diese Datenempfänger können natürlich auch Behörden oder andere öffentliche Körperschaften sein. So erhalten z. B. Finanzämter eine Vielzahl von Informationen über uns, meist direkt durch die jeweiligen Arbeitgeber, ohne dass wir diesen Prozess „aktiv“ mitgestalten.
Wie sehen die Informationen aus?
Die Verantwortlichen müssen sämtliche Informationen bereitstellen, damit betroffene Personen genau erkennen können, welches Unternehmen zu welchem Zweck welche personenbezogenen Daten verarbeitet. Auch Angaben zu den Speicherfristen müssen enthalten sein. Im Wesentlichen sind dies übrigens die gleichen Punkte, die der Verantwortliche auch im Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO benennen muss, auch wenn dort eher die internen Prozesse im Vordergrund stehen. Im Rahmen der Informationspflichten muss zusätzlich zwingend die Rechtsgrundlage genannt werden, auf welche die Datenverarbeitung gestützt wird. Auf Grund dieser engen Verzahnung mit anderen Pflichten aus der DSGVO wird zudem deutlich, dass die DSGVO – zumindest in der Theorie – schon gut durchdacht ist.
Datenschutzinformationen laufen uns tatsächlich nahezu täglich über den Weg. Man nimmt sie vielleicht nicht immer bewusst wahr, aber dennoch tauchen sie in den unterschiedlichsten Bereichen auf, so beispielsweise hier:
- Datenschutzhinweise durch den Arbeitgeber (meist im Onboarding-Prozess)
- Datenschutzerklärung auf einer Website, einschließlich Informationen zu Cookies und Tracking- oder Analyse-Tools
- Datenschutz-Hinweise für Kunden im Verkaufsprozess, z. B. in Papierform oder als Link in einer E-Mail
- Telefonische Datenschutz-Hinweise durch Call-Center
- Datenschutz-Hinweise von Behörden und Ämtern, z. B. als Anhang zu Antragsformularen
Was ist bei der Verarbeitung durch Dritte zu beachten?
Während eigentlich jeder die Informationspflichten für den Verantwortlichen, der die Daten direkt bei der betroffenen Person erhebt, kennt und nach bestem Wissen und Gewissen umzusetzen versucht, findet Art. 14 DSGVO in der Datenschutzpraxis deutlich weniger Beachtung. Dies liegt sicherlich darin begründet, dass diese Datenverarbeitung – zumindest aus Sicht der Betroffenen – eher im Hintergrund abläuft und betroffene Personen nicht unmittelbar auf die Datenverarbeitung einwirken können. Daher sieht Art. 14 Abs. 1 lit. d DSGVO auch explizit vor, dass der Verantwortliche die Kategorien der betroffenen Daten angeben muss. Dies soll neben der Erfüllung des Transparenzgebotes sicherstellen, dass Betroffene ggf. weitere Betroffenenrechte, vor allem das Recht auf Auskunft nach Art. 15 DSGVO, geltend machen können.
Fälle, in denen eine Dritterhebung vorliegt, sind beispielsweise:
- Weitergabe von Kontaktdaten an einen Handwerksbetrieb durch den Vermieter
- Weitergabe von steuerrelevanten Informationen an Finanzämter
- Einholen von Bonitätsauskünften im Rahmen der Vertragsanbahnung
Vor allem das erste Beispiel ist sicherlich ein Klassiker. Im Regelfall gibt der Vermieter personenbezogene Daten der Mieter an einen Handwerksbetrieb weiter, damit dieser die notwendigen Reparaturen durchführen kann. Dies geschieht dann zur Erfüllung des Mietvertrages. Neben der richtigen Rechtsgrundlage ist hier aber vor allem wichtig, dass dieser Vorgang die Informationspflichten nach Art. 14 DSGVO auslöst.
Kein Grundsatz ohne Ausnahme!
Lässt sich das möglicherweise umgehen, indem der Vermieter mit dem Handwerksbetrieb eine Auftragsverarbeitungsvereinbarung abschließt? Eine Auftragsverarbeitung nach Art. 28 DSGVO liegt aber nur dann vor, wenn der Datenempfänger auch tatsächlich als Auftragsverarbeiter handelt. Die Datenverarbeitung durch den Handwerksbetrieb steht hier aber sicherlich nicht im Vordergrund der Dienstleistung, sondern den Parteien des Mietvertrags kommt es darauf an, dass z. B. die Heizung wieder funktioniert. Die Datenweitergabe ist nur ein notwendiges Nebenprodukt. Daher besteht nach ganz überwiegender Auffassung auch keine Auftragsverarbeitungssituation. Eine Ausnahme zu Art. 14 DSGVO ist so nicht möglich. Die Datenempfänger sind selbst eigene Verantwortliche nach Art. 4 Nr. 7 DSGVO.
Ausnahmen vom Grundsatz der Informationserteilung gibt es gemäß Art. 14 Abs. 5 DSGVO aber in den folgenden Fällen, wenn und soweit:
- die betroffene Person bereits über die Informationen verfügt
- die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde
- die Erlangung oder Weitergabe der personenbezogenen Daten auf Grund einer rechtlichen Verpflichtung erfolgt
Häufig kommt es vor, dass Behörden, insbesondere Polizei oder Staatsanwaltschaft, Daten und Informationen anfordern. Da dies oft zur Verfolgung von Straftaten geschieht, wäre es dann natürlich unsinnig, wenn die Polizei den betroffenen Verdächtigen informieren müsste und damit den eigenen Ermittlungserfolg gefährden würde. In diesen Fällen greift dann also tatsächlich ein Ausnahmetatbestand ein. Hier sollten sich Verantwortliche dementsprechend eng mit Ermittlungsbehörden abstimmen, bevor eine Datenweitergabe erfolgt. In Einzelfällen kann natürlich auch die Weitergabe von Daten an Finanzämter oder Krankenkassen problematisch werden. Das kann z. B. passieren, wenn mehr Daten angefordert werden, als es die rechtlichen Verpflichtungen vorgeben. Dann kommt neben der Frage, wer wie wen informieren muss, auch noch das Problem der richtigen Rechtsgrundlage hinzu.
Schadensersatz und Bußgelder drohen
Die Erfüllung der Informationspflichten ist mitentscheidend, um die Rechte betroffener Personen auch umzusetzen. Vor allem bei Art. 14 DSGVO ist die Sachlage im Hinblick auf mögliche Ausnahmen oft nicht eindeutig. Verstöße gegen diese Vorschrift können im schlimmsten Fall Schadensersatzforderungen und Bußgelder zur Folge haben. Beziehen Sie daher stets Ihren Datenschutzbeauftragten ein!
Webinar zum Thema
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Informationspflichten nach DSGVO“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.