• Neueste Einträge

  • Kategorien

  • Blog-Übersicht
    • Recht auf Information 1

    Recht auf Information (Art. 13 DS-GVO und Art. 14 DS-GVO)

    18. August 2023
    Immer auf dem Laufenden bleiben
    und hier den Newsletter abonnieren.

    Immer wieder wird davon gesprochen, dass der Datenschutz nervt. Wer kennt nicht die langen Texte zum Datenschutz oder irgendwelche Banner, die man wegklicken muss, um sich Zugang zu einer Webseite zu verschaffen. Aber vielleicht lässt sich auf den zweiten Blick und mithilfe dieses Blogbeitrags erkennen, was die Idee hinter dieser Informationsflut ist. Hier erklären wir den Hintergrund und welche Verpflichtungen Unternehmen zu erfüllen haben.

    Transparenz und Kontrolle

    Zu den Säulen des Datenschutzes gehören Transparenz und Kontrolle. Der Mensch, genauer gesagt die Personen, um deren Daten es geht, wenn wir von Datenschutz sprechen, haben ein Recht auf Transparenz und Information. Der Betroffene soll erfahren, wer welche Daten zu welchem Zweck erhebt, weiterverarbeitet oder gegebenenfalls weitergeleitet. Wenn personenbezogene Daten von Unternehmen oder öffentlichen Stellen verarbeitet werden, dann müssen diese Stellen den betroffenen Personen durch geeignete Informationen die geforderte Transparenz verschaffen.

    Welche Stelle nun für die Verarbeitung von personenbezogenen Daten verantwortlich ist und zu welchen Zwecken diese die Daten verwendet, ist Bestandteil der Informationstexte zum Datenschutz – häufig als „Datenschutzerklärung“ bezeichnet. Lange Texte zum Datenschutz können somit schon ein Indiz sein, dass viel mit den personenbezogenen Daten passiert.

    Zu den Informationspflichten gehört auch die Benennung all der Rechte, die betroffene Personen geltend machen können. Diese Rechte sollen nach der Idee des Gesetzgebers ermöglichen, dass Betroffene selbst Einfluss (Stichwort informationelle Selbstbestimmung) auf die Verwendung ihrer Daten nehmen können. Einen Überblick zu allen Betroffenenrechten haben wir in diesem Beitrag zusammengefasst.

    Zu diesen Betroffenenrechten gehört unter anderem das Recht auf Information (Art. 13 DS-GVO und Art. 14 DS-GVO).

    Woher weiß ein Betroffener von seinen Rechten?

    Der Betroffene weiß von seinen Rechten, weil die Stelle, welche für eine Datenverarbeitung verantwortlich ist, die betroffenen Personen über ihre Rechte informieren muss.

    Wichtig zu wissen:

    • Die Information über die Datenverarbeitung muss spätestens mit der Erhebung der personenbezogenen Daten erfolgen. Einzige Ausnahme: Möchte eine verantwortliche Stelle nachträglich Daten zu einem anderen Zweck verwenden, so muss die betroffene Person noch vor der Verarbeitung zu des anderen Zwecks informiert werden.   
    • Die Informationen müssen präzise, transparent und verständlich sein. Dazu müssen sie in einer klaren und einfachen Sprache bereitgestellt werden, so dass die Zielgruppe (z. B. Beschäftigte, Kunden, Kinder) die Informationen verstehen kann. Dies kann auch in Kombination mit standardisierten Bildsymbolen erfolgen.

    Die DS-GVO gibt grundsätzlich keine Form für die Informationen vor. Meist erfolgt die Information erfolgt schriftlich – d.h. auf Papier, per Aushang, per Hinweisschild etc. Teilweise wird auch auf elektronische Formate zurückgegriffen, sofern eine rechtzeitige Information gewährleistet werden kann. Auf Wunsch des Betroffenen kann sie auch mündlich erfolgen, sofern der Betroffene klar identifiziert werden kann.

    Die verantwortliche Stelle muss die Informationen bereitstellen. Es gibt aber seitens der betroffenen Personen keine Verpflichtung diese zu lesen oder sonst wie zur Kenntnis zu nehmen. Insbesondere besteht keine Verpflichtung, dass die betroffene Person die Informationen bestätigen oder sich damit einverstanden erklären muss.

    Die vorgeschriebene Information über die Datenverarbeitung ist kostenfrei zu erteilen.

    Worüber sind Betroffene zu informieren?

    Die DS-GVO schreibt genau vor, welche Informationen den Betroffenen mitgeteilt werden müssen.

    Hier ist zunächst zu klären, ob die Daten direkt beim Betroffenen oder bei Dritten erhoben werden.

    Daten wurden bei der betroffenen Person erhoben

    Sofern die Daten direkt beim Betroffenen erhoben (z. B. Kunde unterschreibt Kaufvertrag), muss über alle in Art. 13 DS-GVO genannten Punkte informiert werden. Dazu gehören unter anderem die Kontaktdaten des Verantwortlichen sowie die Zwecke, für welche die personenbezogenen Daten verarbeitet werden sollen. Es muss mitgeteilt werden, wieso die Datenverarbeitung erlaubt ist (Rechtsgrundlage), ob die Daten weitergegeben werden und wenn ja, an wen. Auch ist darüber zu informieren, wie lange die Daten voraussichtlich gespeichert werden. Die betroffene Person muss zum Zeitpunkt der Erhebung informiert werden.

    Daten wurde woanders als bei der betroffenen Person erhoben

    Werden Daten bei Dritten erhoben, dann ist die betroffene Person in der Regel nicht unmittelbar daran beteiligt (z.B. werden Daten des Betroffenen an ein weiteres Unternehmen weitergeleitet, wegen eines Auftrags). Das führt dann zu erweiterten Informationspflichten, die für diesen speziellen Fall in Art. 14 DS-GVO beschrieben sind. Wichtige Zusatzinformationen, neben den erforderlichen Informationen aus Art. 13 DS-GVO, sind: Woher stammen die Daten und welche Daten oder Arten von Daten sind das genau.

    Für die Erteilung der Information nach Art. 14 DS-GVO hat der Verantwortliche etwas länger Zeit: Spätestens innerhalb eines Monats nach Erhalt der Daten, muss er den Betroffenen informieren. Es sei denn, die Daten werden zur Kommunikation mit dem Betroffenen genutzt oder einem anderen Empfänger offengelegt, dann muss die Information spätestens zum Zeitpunkt der ersten Mitteilung oder bei Offenlegung an einen anderen Empfänger, spätestens zum Zeitpunkt der ersten Offenlegung erfolgen.

    Bringt ein Zahnarztbesuch Licht ins Dunkel?

    Wer als Patient zum Zahnarzt geht, gibt dort unter anderem seine Kontaktdaten an. Der Zahnarzt erhebt die Daten direkt beim Patienten und muss zum Zeitpunkt der Datenerhebung den Patienten informieren (Art. 13 DS-GVO).

    Benötigt der Zahnarzt zu diesem Patienten Informationen von einem anderen Arzt (z. B. dem Kieferorthopäden), so erhält der Zahnarzt – nach Einwilligung durch den Patienten – Daten, von einer dritten Stelle – eben dem Kieferorthopäden. Hier ist der Patient spätestens innerhalb eines Monats zu informieren. Meistens werden solche Informationen aber bereits beim Einholen der Einwilligungserklärung bereitgestellt.

    Wie häufig ist der Betroffene zu informieren?

    Grundsätzlich genügt eine einmalige Information über jede Datenverarbeitung.

    Besucht eine Person erstmalig einen Zahnarzt, so werden diese üblicherweise im Rahmen der Anmeldung bereitgestellt. Manchmal in Form eines Aushangs, manchmal auch als Schriftstück zum mit nach Hause nehmen. Eine einmalige Information reicht hier aus, das heißt der Patient muss nicht bei jedem weiteren Besuch erneut die identische Information erhalten.

    Ändert sich der Zweck, zu dem die personenbezogenen Daten verarbeitet werden, so ist der Betroffene vorab darüber zu informieren. Hierbei ist anzumerken, dass Verantwortliche die Daten nicht zu beliebigen Zwecken nutzen dürfen. Es muss immer eine für den jeweiligen Zweck geeignete rechtliche Grundlage bestehen oder geschaffen werden.

    Beispiel: Eine E-Mail-Adresse, die nur für die Zusendung von Bestellinformationen im Rahmen eines Onlinekaufs bestimmt war, kann nicht ohne Weiteres zur Zusendung eines Newsletters genutzt werden. Die nachträgliche Verwendung von Kontaktdaten zu anderen Zwecken bedarf einer passenden Rechtsgrundlage – bei einem Newsletter ist das üblicherweise eine Einwilligung der betroffenen Person.

    Was passiert, wenn Verantwortliche ihre Informationspflichten nicht erfüllen?

    Wird der Betroffene nicht, nicht rechtzeitig oder falsch informiert, so kann das ein Verstoß gegen die datenschutzrechtlichen Pflichten darstellen.

    Der Betroffene hat immer das Recht auf Beschwerde bei einer Aufsichtsbehörde – ungeachtet, ob eine solche Beschwerde begründet oder unbegründet ist. Solche Beschwerden müssen von Amts wegen durch die Behörde geprüft und bearbeitet werde. In der Regel wird dem Verantwortlichen ermöglicht, zu einer Beschwerde eine Stellungnahme abzugeben. Es obliegt dem Ermessen der Aufsichtsbehörde, ob und wie weit zu Beschwerden konkret ermittelt wird.

    Betroffene haben überdies die Möglichkeit Schadensersatz zu fordern. Dies erfolgt über den Gerichtsweg und erfordert eine für das Gericht nachvollziehbare Darstellung des Sachverhalts und des entstandenen Schadens.

    Aus Sicht von verantwortlichen Unternehmen oder öffentlichen Stellen sind solche Folgen in keinem Fall erfreulich. Ungeachtet, wer recht hat und Recht bekommt – diese Art von Aufmerksamkeit durch Behörden oder Gerichte wünscht man sich nicht. Demnach ist der einfachere und sichere Weg Betroffene rechtzeitig und rechtskonform zu informieren.

    Termin zu Cookie-Banner vereinbaren

    Interesse an mehr Information? Dann vereinbaren Sie hier einfach einen für Sie kostenfreien und unverbindlichen Kennenlern-Termin mit uns.

    Newsletter

    Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

    Abonnieren Sie jetzt gleich unseren Newsletter.

    Zur Anmeldung