Neue Informationspflichten mit der Datenschutz-Grundverordnung

Fachbeitrag

Informationspflichten bei Datenerhebung und -verarbeitung sind fester Bestandteil des Datenschutzrechts. Mit der EU-Datenschutz-Grundverordnung (DSGVO) vervielfachen sich jedoch die von Unternehmen und Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Dieser Artikel stellt die Neuerungen als Teil unserer Beitragsreihe zur EU-Datenschutz-Grundverordnung dar.

Was sind Informationspflichten?

Ein elementarer Grundsatz des Datenschutzrechtes ist die Transparenz. Betroffene sollen in die Lage versetzt werden, die Datenerhebung, -verarbeitung bzw. -nutzung zu prüfen oder, wie es das Bundesverfassungsgericht ausgedrückt hat, wissen

„wer was wann und bei welcher Gelegenheit über sie weiß.“

Dieser Grundsatz kann nur dann gewährleistet werden, wenn Unternehmen und Verantwortliche ausreichend über Datenverarbeitungsvorgänge informieren.

Wie ist die bisherige Rechtslage?

Informationspflichten sind bislang im BDSG und z.T. auch in anderen Gesetzen geregelt. Werden personenbezogene Daten direkt beim Betroffenen erhoben, richten sich die zu erteilenden Informationen nach § 4 Abs. 3 BDSG, bei der Erhebung ohne Kenntnis des Betroffenen ist § 33 BDSG anzuwenden.

Außerdem existieren in einigen Bereichen spezielle Informationspflichten, wie etwa in § 13 Abs. 1 TMG für Anbieter von Telemedien, die in der Regel in Form von Datenschutzerklärungen auf Websites oder Apps umgesetzt werden.

Was ändert sich durch die Datenschutz-Grundverordnung?

Die Grundverordnung regelt die Informationspflichten in den Art. 13 und 14 in zwei sehr umfangreichen und über das bisher Erforderliche hinausgehenden Katalogen. Ergänzend dazu finden sich, in einer Vielzahl der Erwägungsgründe der Datenschutz-Grundverordnung, Anmerkungen und Hinweise, welche den Grundsatz der fairen und transparenten Verarbeitung stets hervorheben.

Es wird unterschieden zwischen Informationspflichten bei der Erhebung personenbezogener Daten bei dem Betroffenen (Art. 13 DSGVO) Informationspflichten, wenn die Erhebung nicht direkt bei dem Betroffenen erfolgt (Art. 14 DSGVO).

Welche Informationspflichten bestehen nach Art. 13 DSGVO?

Werden personenbezogene Daten beim Betroffenen erhoben, muss der Verantwortliche nach Art. 13 Abs. 1 DSGVO folgende Informationen mitteilen:

a) Identität des Verantwortlichen
Es ist über den Namen und die Kontaktdaten des Verantwortlichen zu informieren. Gleiches gilt ggf. für Namen und Kontaktdaten des Vertreters des Verantwortlichen nach Art. 27 DSGVO, wenn der Verantwortliche selbst nicht in der EU niedergelassen ist.

b) Kontaktdaten des Datenschutzbeauftragten
Neu ist auch die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutzbeauftragten des Verantwortlichen.

c) Verarbeitungszwecke und Rechtsgrundlage
Der Verantwortliche muss auch über die Zwecke der Datenverarbeitung sowie über die Rechtsgrundlage der Verarbeitung informieren. Diese neue Anforderung führt dazu, dass der Betroffene darüber aufgeklärt wird, auf welchen Erlaubnistatbestand (siehe Art. 6 DSGVO, z.B. Einwilligung oder Erfüllung eines Vertrages) der Verantwortliche die Datenverarbeitung stützen möchte.

d) Berechtigtes Interesse
Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen nach Art. 6 Abs. 1 f) DSGVO erforderlich sein, beziehen sich die Informationspflichten auch auf eine Aufklärung über diese Interessen.

e) Empfänger
In allen Fällen, in denen personenbezogene Daten übermittelt werden sollen, sind die Betroffenen grundsätzlich über die konkreten Empfänger zu informieren. Ausnahmsweise reicht auch eine Information über Kategorien von Empfängern, wenn konkrete Unternehmen noch nicht bezeichnet werden können.

f) Übermittlung in Drittstaaten
Sollte der Verantwortliche eine Übermittlung personenbezogener Daten in Drittstaaten beabsichtigen, ist darüber ebenfalls zu informieren. Um diese Pflicht zu erfüllen, ist mitzuteilen, auf welcher besonderen Bedingung nach Art. 44 ff. DSGVO die Übermittlung beruht und welche Maßnahmen ergriffen wurden, um beim Empfänger ein angemessenes Datenschutzniveau herzustellen. Werden z.B. EU-Standardvertragsklauseln verwendet, ist dem Betroffenen eine Einsichtnahme in das entsprechende Dokument zu ermöglichen.

Nach Art. 13 Abs. 2 DSGVO muss der Verantwortliche dem Betroffenen darüber hinaus weitere Informationen mitteilen, die insbesondere notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) Dauer der Speicherung
Es ist konkret anzugeben, für wie lange personenbezogene Daten gespeichert werden. Nur ausnahmsweise, wenn die Angabe einer Konkreten Zeitspanne dem Verantwortlichen nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung aus.

b) Rechte der Betroffenen
Die Betroffenen sind über ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit hinzuweisen, die sich aus den Art. 15 – 21 DSGVO ergeben und hier behandelt werden.

c) Widerrufbarkeit von Einwilligungen
Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist auch darauf gesondert hinzuweisen. Die entsprechende Informationspflicht ist nur erfüllt, wenn gleichzeitig darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.

d) Beschwerderecht bei der Aufsichtsbehörde
Der Betroffene ist darüber aufzuklären, dass er sich gemäß Art. 77 DSGVO bei einer Aufsichtsbehörde beschweren kann, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten rechtswidrig erfolgt.

e) Verpflichtung zur Bereitstellung personenbezogener Daten
Der Verantwortliche muss den Betroffenen darüber informieren, ob die Bereitstellung seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche Folgen eine Nichtbereitstellung hätte.

f) Automatisierte Entscheidungsfindung und Profiling
Sobald der Verantwortliche Verfahren der automatisierten Entscheidung nach Art. 22 DSGVO oder andere Profiling-Maßnahmen nach Art. 4 Nr. DSGVO durchführt, muss der Betroffene über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren informiert werden. Diese Informationspflicht erstreckt sich auf Angaben zu der dazu verwendeten Logik oder des Algorithmus.

Welche Informationspflichten bestehen nach Art. 14 DSGVO?

Werden personenbezogene Daten nicht beim Betroffenen erhoben, bestehen nach Art. 14 DSGVO für den Verantwortlichen nahezu dieselben Informationspflichten, wie bei der Erhebung direkt beim Betroffenen.

Logischerweise muss allerdings hier der Betroffene nicht über eine etwaige Verpflichtung zur Bereitstellung informiert werden, da er selbst nicht über die Bereitstellung entscheiden kann.

Nach Art. 14 Abs. 2 f) DSGVO muss der Verantwortliche den Betroffenen jedoch darüber aufklären, aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.

In welcher Form müssen die Informationen bereitgestellt werden?

Nach Art. 12 DSGVO sind die oben dargestellten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden.

Es wird explizit erwähnt, dass dafür auch sog. standardisierte Bildsymbolen verwendet werden können, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln

Anders als im BDSG wird es in der Datenschutz-Grundverordnung besondere Anforderungen an die Verarbeitung personenbezogener Daten von Kindern geben. In diesem Falle sollten nach Erwägungsgrund 58 der DSGVO aufgrund der besonderen Schutzwürdigkeit von Kindern Informationen und Hinweise in einer dergestalt klaren und einfachen Sprache erfolgen, dass ein Kind sie verstehen kann.

Wann muss der Betroffene informiert werden?

Bei der Direkterhebung muss der Betroffene nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung informiert werden.

Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche die Informationen nach Art. 14 Abs. 3 DSGVO grundsätzlich innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen. Werden die Daten allerdings zur Kommunikation mit dem Betroffenen verwendet oder sollen an einen Empfänger übermittelt werden, ist die Information zwingend zum Zeitpunkt der Kontaktaufnahme oder ersten Übermittlung vorzunehmen.

Kann die Informationspflicht eingeschränkt sein?

Bei der Direkterhebung kann nach Art. 13 Abs. 4 DSGVO auf die Information des Betroffenen nur dann verzichtet werden, wenn dieser bereits informiert wurde.

Soweit die Daten nicht beim Betroffenen erhoben werden, sind die Informationspflichten gemäß Art. 14 Abs. 5 DSGVO in drei weiteren Fällen entbehrlich:

  • Die Information ist unmöglich oder unverhältnismäßig aufwendig.
  • Die Erhebung oder Übermittlung ist gesetzlich vorgeschrieben.
  • Es besteht ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht.

Insgesamt lässt sich festhalten, dass die Fälle, in denen auf eine Information des Betroffenen verzichtet werden kann, im Gegensatz zum BDSG eingeschränkt werden.

Was passiert bei Verstößen gegen die Informationspflicht?

Wenn Verantwortliche ihren Informationspflichten nicht nachkommen, droht gemäß Art. 83 Abs. 5 b DSGVO ein Bußgeld. Der europäische Gesetzgeber sieht die Gewährleistung einer fairen und transparenten Datenverarbeitung mit Hilfe umfassender Information als elementar an und bedroht Verstöße in diesen Fällen mit dem hohen Bußgeldrahmen, der Bußgelder bis zu 20.000.000 EUR oder 4% des Jahresumsatzes vorsieht.

Welche Vorgehensweise ist zu empfehlen?

Verantwortliche sollten nun frühzeitig beginnen, die neuen Informationspflichten umzusetzen und die weiteren Anforderungen an Form und Zeitpunkt der Mitteilung zu beachten.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

51 Kommentare zu diesem Beitrag

    • Da sich die Informationspflicht aus der DSGVO ergibt, besteht sie immer dann, wenn personenbezogene Daten verarbeitet werden. Dabei handelt es sich nach Art. 4 Nr. 1 DSGVO um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Sie kann daher durchaus auch im B2C Bereich Anwendung finden.

  1. Wäre dies dann z.B. auch im Rahmen einer Überarbeitung/Berücksichtigung der genannten Punkte im Öffentlichen Verfahrenverzeichnisses ausreichend?

    • Das Verzeichnis von Verarbeitungstätigkeiten (Art. 20 DSGVO) dient hauptsächlich anderen Zwecken, wie dem Nachweis der Einhaltung der DSGVO gegenüber Aufsichtsbehörden (siehe Erwägungsgrund 82). Die inhaltlichen Anforderungen an das Verzeichnis entsprechen auch nicht den Informationspflichten. Diese können z.B. durch die Datenschutzerklärung auf der Webseite erfüllt werden oder an anderer Stelle, wenn z.B. die Bestellung eines Newsletters oder die Teilnahme an einem Gewinnspiel möglich ist.

  2. Wie verhält es sich mit der Informationspflicht bei Vereinbarung eines Termin beim Arzt. Es müssen Direktdaten erhoben werden. Müssen allen Informationsflichten am Telefon mitgeteilt werden?

  3. Was ist mit Versicherungen und deren Rückversicherern? Der Betroffene meldet seinen Schaden dem Geschädigten, der zumeist eine Haftpflicht hat, an die er die Daten weitergibt und die Haftpflicht meldet es ihrem Rückversicherer? Wie wird/muss der Betroffene informiert werden?

    • Derzeit sind diese Abläufe in den „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ geregelt. Diese hat sich also einen eigenen Verhaltenskodex gegeben, dem sich die einzelnen Versicherer unterworfen haben. U.a. sind dort die Bedingungen für Datenübermittlungen an Rückversicherer geregelt. Nach Art. 40 DSGVO können Branchenverbände sich ebenfalls solche Regelungen geben. Ob die Versicherungswirtschaft wieder von der Möglichkeit Gebrauch macht, muss abgewartet werden. Ansonsten würden die oben beschriebenen allgemeinen Grundsätze gelten.

  4. Wie ist der Übergang vom BDSG zur DSGVO diesbezüglich zu beurteilen? Müssen dann die Betroffenen über die Datenerhebung aller in der Vergangenheit liegender Prozesse im Unternehmen, bei denen personenbezogene Daten erhoben wurden, informiert werden?

    • Über welche Verarbeitungen Auskunft gegeben werden muss, wird deutlich, wenn man sich klar macht, dass über sämtliche Verarbeitungen, für die ein Verzeichnis erstellt werden muss, eine Auskunftspflicht besteht, soweit In dem Verfahren Daten des Auskunftsberechtigten verarbeitet werden.

  5. Hallo zusammen, wie muss ich mir das konkret vorstellen – wenn ich bei Facebook meine dort gespeicherten Daten anfordere muss Facebook diese zur Verfügung stellen – korrekt? In welcher Form passiert das dann? Bekomme ich einen Schuhkarton mit Endlospapier oder gibt es eine Schnittstelle, ein Programm, eine Oberfläche in der ich meine Daten einsehen kann?

    • Das Auskunftsrecht der Betroffenen ist in Art. 15 DSGVO geregelt. Wenn eine betroffene Person nach Art. 15 DSGVO von ihrem Auskunftsrecht Gebrauch macht, sind ihr die nach Art. 15 Abs. 1 DSGVO zu erteilenden Informationen nach Art. 15 Abs. 3 Satz 3 DSGVO in einem gängigen elektronischen Format zur Verfügung zu stellen, wenn die betroffene Person auch den Antrag auf Auskunft elektronisch stellt (z.B. per E-Mail). Die Daten könnten beispielsweise mittels eines sicheren Fernzugangs oder in einem PDF Dokument (je nach Umfang) zur Verfügung gestellt werden. Wird das Auskunftsersuchen nicht in elektronischer Form gestellt, gibt es auch für die Informationserteilung keine bestimmten Formvorschriften.

      Siehe: https://de-de.facebook.com/help/212802592074644?in_context

  6. Soweit ich die neue Rechtslage verstanden habe, habe ich ein kostenfreies Auskunftsrecht für alle von mir gespeicherten Daten. Gilt das ebenso für Eintragungen im Grundbuch und anderen Ämtern?

    • Ein Recht auf Auskunft besteht grundsätzlich auch gegenüber Behörden. Dies ist übrigens nicht neu, sondern auch jetzt schon für öffentliche Stellen des Bundes in § 19 BDSG und für öffentliche Stellen der Länder in den Landesdatenschutzgesetzen, wie z.B. in § 18 HmbDSG für Hamburg geregelt.

  7. Unserer Firma schreiben regelmäßig Kunden Briefe mit Fragen oder Beschwerden. Diese Briefe werden bei uns registriert von der Poststelle und im Haus verteilt. Muss die Poststelle jetzt immer dem Einsender schreiben, dass wir seine Daten speichern? Obwohl er uns um eine Antwort bittet?

    • Unter Zugrundelegung Ihrer Schilderungen schreibt Ihnen der Kunde, damit Sie seine Fragen beantworten. Die Kommunikation erfolgt also im Sinne und auf Initiative des Kunden. Dazu bedarf es keiner weiteren Information. Eine Einwilligung bräuchten Sie natürlich, wenn Sie das Kundenschreiben auswerten, um enthaltene Kundendaten zu einem anderen Zweck zu nutzen. Und um diese Einwilligung zu erhalten, müssen Sie selbstverständlich den Kunden vorher umfassend informieren, in was er einwilligen soll.

  8. Hallo, ich habe eine Frage zu Artikel 15 Auskunftsrecht der betroffenen Person:
    Die „Verabeitungszwecke“ beziehen sich auf die Applikation im Gesamten (d.h. es genügt die Info, welche im Verzeichnis angegeben wird) oder auf die jeweilige Aktion (z.b. Der Sachbearbeiter sieht sich die Daten eines Bürgers an, muß er dazu einen Verabeitungszweck (Begründung) in die Protokollierung mit hinzufügen)? Danke.

    • Sowohl als auch, und zwar je nachdem, wie weit der Begriff Zweck definiert wird. Es dürfte sich anbieten, die möglichen Zwecke, zu denen sich der Sachbearbeiter Daten ansehen darf vorab festzulegen.

  9. Die Informationspflichten nach Art. 13 und 14 DSGVO sind ja ab 25.05.2018 bei erstmaligen Datenerhebungen zu erfüllen. Wie ist es aber, wenn die Daten bereits vorher erhoben wurden, sich jedoch nach dem 25.05.2018 Änderungen ergeben, sich z. B. die Anschrift einer betroffenen Person ändert. Muss ich dann auch die Informationspflichten beachten?

    • Wenn sich die Anschrift einer Person ändert und damit die neue Adresse als personenbezogenes Datum erstmals erhoben wird, sind nach dem Wortlaut der DSGVO auch sämtliche Informationspflichten zu erfüllen (Zeitpunkt der Erhebung). Ob es für Einzelfälle Ausnahmen gibt, kann hier leider nicht beurteilt werden.

  10. In den Informationen zur DSGVO wird hauptsächlich auf personenbezogene Daten hingewiesen. Bei uns ist die Frage aufgekommen, ob Kommunikationspartner auch darüber informiert werden müssen, wenn bei Fragestellungen dritte über BCC in die Kommunikation mit eingebunden werden. Das BCC wird in diesem Fall (auch aus Datenschutzgründen) verwendet, da die hinzugezogenen Person vorerst nicht möchte, dass der Hauptempfänger Kenntnis von der E-Mail-Adresse dieser hinzugezogenen Person hat. Ein Teil ist der Meinung da muss man nichts mitteilen, der andere Teil ist der Meinung, dass man zumindest darauf hinweist, dass die Information noch an eine dritte Person gegangen ist – gibt es hier eine rechtliche Grundlage?

    • Ob eine solche Informationspflicht besteht ist leider keine datenschutzrechtliche Fragestellung, auf die wir hier nicht eingehen können.

  11. Die Person, die ihre Daten anfordert, kann das Unternehmen über Telefon, Postweg oder einen elektronischen Weg auffordern Informationen bgzl. der gespeicherten Daten herauszugeben. Muss ich auch über alle diese Wege der Person Auskunft über ihre Daten erteilen oder kann ich auch kategorisch manche Wege ausschließen ? Und wie stelle ich gerade bei dem Postweg und dem elektronischen Kontaktweg sicher, dass es sich tatsächlich um diese Person handelt ?

  12. Reicht es grundsätzlich aus eine gute und ausführliche Datenschutzerklärung auf der Website anzubieten? Oder muss bei jeder Datenerhebung einzeln ein Information über die konkrete Datenerhebung und die Verarbeitung der Daten erfolgen?
    Falls dies der Fall ist, muss dies auch erfolgen, wenn dienstliche Informationen erhoben werden? Beispiel: bei Zustandekommen eines Vertrages mit einem neuen Kunden (Dienstleistung im Sinne des Kunden) erheben wir folgende Informationen: Ansprechpartner (Name) und dienstliche Kontaktdaten (Email und Telefon). Müssen wir in diesem Fall bei der Erhebung der Daten ein Infoblatt mitschicken, und darüber informieren wie wir die erhobenen Daten verarbeiten werden?

    • Die Datenschutzerklärung fällt mit der DSGVO umfassender aus (s. etwa Art. 12, 13 DSGVO). Die Nutzer sind nun besonders transparent zu informieren. Dementsprechend muss etwa auch bei einem Vertragsschluss informiert werden, was jedoch auch auf der Webseite der Datenschutzerklärung erfolgen kann. Sie sollten jedoch gewährleisten, dass die Informationen bei Erhebung der personenbezogenen Daten zur Verfügung gestellt werden.

  13. Muss ein Handwerksunternehmen, welches von einer Wohnungsgesellschaft beauftragt wird (mit Informationen zu Mieter und Adresse, ggf. Telefonnummer), jeden einzelnen Mieter (schriftlich) darüber informieren, dass Daten zur Auftragserfüllung verarbeitet werden?

    • Nein. Bezogen auf den von Ihnen beschriebenen Fall (reine Auftragsverarbeitung durch das Handwerksunternehmen) ist das Handwerksunternehmen nicht Verantwortlicher im Sinne des Art. 14 DSGVO, sondern die Wohnungsgesellschaft. Der Handwerker als Dienstleister nimmt dabei datenschutzrechtlich wie bisher die Stellung eines „externen Mitarbeiters“ des Verantwortlichen ein.

      • In diesem Zusammenhang: Benötigt ein Wohnungsunternehmen für die Weitergabe von Kontaktdaten der Mieter an Handwerker für die Durchführung von Reparaturen oder Instandsetzungen eine schriftliche, ggfs. mündliche Einwilligung vom Mieter? Ist das eine Auftragsverarbeitung oder Weitergabe an Dritte?

        • Ich gehe mal davon aus, dass die Rechtsgrundlage hier die Wahrung des Berechtigten Interesse der Wohnungsgesellschaft darstellt. Damit benötigt sie keine Einwilligung.

        • Da es sich bei Ihrer Frage um einen spezifischen Fall handelt, sollten Sie sich ggf. von einem Rechtsanwalt oder dem Datenschutzbeauftragten ihres Unternehmens beraten lassen. Soweit eine Auftragsdatenverarbeitung vorliegt und ein entsprechender Vertrag mit den Auftragnehmern geschlossen wird, ist grds. eine Einwilligung der Betroffenen nicht erforderlich.

  14. Darf die gegnerische KFZ Versicherung ohne meine Zustimmung, meine personenbezogene Daten als Geschädigter in einem Autounfall an das Hinweis- und Informationssystem (HIS) der informa HIS GmbH weitergeben?

    • Jede Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Das gilt nicht erst mit der DSGVO, sondern ist bereits das Grundprinzip des noch aktuellen BDSG. Die HIS GmbH und die Versicherungen begründen die Datenverarbeitung mit dem sog. berechtigten Interesse (§ 28 Abs. 1 Nr. 2 BDSG; Art. 6 Abs. 1 lit f DSGVO). Nutzen Sie Ihre Auskunftsrechte als Betroffener um mehr zu erfahren. Haben Sie auch nach Auskunft noch Zweifel an der Rechtmäßigkeit, sollten Sie sich an Verbraucherverbände oder ggf. auch an einen Rechtsanwalt wenden. Um den Bezug zu diesem Artikel zu ziehen – nach der DSGVO werden auch sog. Auskunfteien die Betroffenen umfangreich über die Datenverarbeitung informieren müssen.

  15. Muss ein Handwerksunternehmen, welches von seinem Kunden beauftragt wurde (telefonisch oder persönlich) einen Kostenvoranschlag zu erstellen oder einen Auftrag zu erledigen die Informationspflichten des Art 13 erfüllen? Der Kunde gibt doch seine Daten, damit sein Auftrag erfüllt werden kann. Liegt hier ein Ausnahmefall vor?

    • Die Informationspflichten bestehen auch bei Auftragsannahme. Angenommen, jemand beauftragt einen Kostenvoranschlag: Was passiert mit seinen Daten, wenn er sich gegen eine Zusammenarbeit mit Ihnen entscheidet? Hieran hat der Kunde ein Interesse, dass mit Hilfe der nunmehrigen Pflicht zur Information durch Unternehmen erfüllt wird.

      Sie haben natürlich Recht, der Kunde gibt seine Daten zum Zwecke der Auftragserfüllung. Dies ist gleichzeitig Ihre Rechtsgrundlage zur Verarbeitung der Kundendaten. Nun können Sie aber in diesem Rahmen auch Daten abfragen, die Sie für die eigentliche Vertragserfüllung nicht benötigen oder Sie möchten die Daten weiter nutzen, zum Beispiel für Werbezwecke. Hieran können Sie ein berechtigtes Interesse haben, aber der Kunde muss darüber informiert werden.
      Insgesamt soll eine faire und transparente Verarbeitung der personenbezogenen Daten gewährleistet werden.

      Bei telefonischer oder persönlicher Bestellung ist es natürlich nicht sinnvoll, dass Sie dem Kunden sämtliche Informationen vorlesen. Ins solchen Fällen ist es ausreichend, auf eine leicht erreichbare URL zu verweisen oder die Informationen z.B. als Link per SMS zu versenden.

  16. Wie sieht es denn z.B. bei Gewinnspielen aus? Muss man diese ganzen Informationen rausgeben, wenn man Gewinnspiel-Postkarten macht?

    • Grundsätzlich müssen Sie die Informationen nach Art. 13 DSGVO auch in Ihrem Fall erteilen. Die Information muss auch zum Zeitpunkt der Erhebung erfolgen. Wahrscheinlich betrifft Ihre Frage nicht das „Ob“, sondern das „Wie“. Hier hat sich noch keine einheitliche Handhabung durchgesetzt. Auch wird es von den konkreten Umständen des Einzelfalls abhängen, wie viel auf der Postkarte aufgedruckt sein muss und ob, bzw. inwieweit ein Verweis auf einen Link oder ein Aushang im Geschäft o.ä. ausreichen kann.

  17. Auf Vermarktung spezialisierte Unternehmen treten als Partner ihrer Kunden auf und versenden auf E-Mails mit dem Account ihres Kunden, so daß nicht erkennbar ist, dass der E-Mail-Versender ein eigenständiges Unternehmen ist. Die erhobenen Daten gehen also zunächst zum Akquisiteur und dann zu dessen Auftraggeber, der oft genug im Ausland (Drittland) sitzt. Wie steht es hier um die Informationspflicht?

  18. Wie sieht es mit bereits erfassten Daten (in diesem Fall einer Kunden-/Handwerkerliste in einem Architekturbüro) aus? Die Daten wurden teilweise von Visitenkarten, teilweise per Telefonat, teilweise aus den E-Mail-Signaturen und teilweise durch Internet-Recherche erfasst. Bei der Verarbeitung wurde aber bis jetzt nicht darauf hingewiesen, dass diese Daten erfasst wurden. Wir würden diese Daten gerne weiter verwenden, z.B. um im Auftrag des Bauherrn Angebote einzuholen. Müssen diese Firmen jetzt alle darüber informiert werden, dass in der Vergangenheit Daten über sie erfasst wurden? Müssen diese Daten, da nicht nach DSGVO erhoben, ab dem 25.05. gelöscht werden?

    • Nach Auskunft des BayLDA ist eine Information an Altkunden, bei welchen eine Erhebung personenbezogener Daten vor dem 25.05. stattgefunden hat, nach DSGVO nicht erforderlich

  19. Wenn mir bei einem geschäftlichen Termin eine Visitenkarte übergeben wird und ich die Daten dann digital in die Firmenkontake einpflege, muss ich der betreffende Person dann eine Mail senden, in der ich über die Datenerhebung informieren ? Wenn ja, worüber genau muss ich informieren ? Gibt es ggf. andere Wege, wie ich meiner Informationspflicht nachkommen kann?

  20. Ein „Betroffener“ verlangt Auskunft über seine Daten per E-Mail. Diese E-Mail beinhaltet alle Angaben zur Identifizierung der Person.
    Bis zu dieser Anfrage lagen keine personenbezogene Daten über diese Person vor (nach meinem Verständnis ist er damit auch kein Betroffener), mit dieser Anfrage liegen jedoch jede Menge personenbezogenen Daten über diese Person vor.
    Was ist dem „Betroffenen“ mitzuteilen und wie geht man mit der E-Mail inkl. aller Daten, die zur Identifizierung mitgeschickt wurden auch in Hinblick darauf, dass ggf. belegt werden muss, dass sich Anfragen dieser Person unberechtigter Weise wiederholen?

    • Bei der Beantwortung des Auskunftsverlangens sollten auch die personenbezogenen Daten genannt werden, die erst durch das Auskunftsverlangen selbst übermittelt wurden. In dem genannten Beispiel kann dann darauf verwiesen werden, dass über die Angaben zur Identifizierung/Kontaktaufnahme keine weiteren personenbezogenen Daten des Betroffenen vorliegen.

      Zu Nachweiszwecken im Streitfall ist die Speicherung des beantworteten Auskunftsverlangens erforderlich und zulässig. Allerdings sollten die darin enthaltenen personenbezogenen Daten gesperrt werden, da der Verantwortliche sie nicht anderweitig verarbeiten darf. So lässt sich auch ein Missbrauch des Auskunftsrechts verhindern.

      Das Nachweisproblem stellt sich auch beim Recht auf Löschung. Dort ist der Widerspruch noch gravierender: einerseits sollen die Daten gelöscht werden, andererseits muss auch die Erfüllung des Löschungsrechts nachgewiesen werden.

  21. Hallo,

    wenn wir nach Telefongesprächen/Kundenterminen Firmenvorstellungen an Kunden schicken ( Zustimmung ja nur telefonisch/mündlich vorhanden) muss dann in die E-Mail ein Hinweis, das wir die Daten speichern bzw. ein Hinweis auf den Widerruf bzw. auf das löschen der Daten mit aufgenommen werden?

    • In welche Art der Verwendung hat der potentielle Kunde hat eingewilligt? Allein dazu, dass Sie ihn einmalig per E-Mail kontaktieren? Oder hat er eingewilligt, dass Sie die Daten speichern und ihm regelmäßig Infos/Werbung schicken? Wenn der Kunde vorher gar nicht weiß, dass Sie die Daten speichern wollen und für was, ist die Einwilligung schon nicht wirksam.

      Angenommen, der Kunde war einverstanden, in Ihren E-Mail-Verteiler aufgenommen zu werden, dann müssen Sie in der E-Mail den Hinweis darauf aufnehmen, dass er seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann (Opt-Out) und Sie sollten auf seine sonstigen Rechte hinweisen. Sie können Ihren Umgang mit personenbezogenen Daten in Ihrer Datenschutzerklärung beschreiben und aus der E-Mail auf diese verlinken.

  22. Beim Verschicken von postalischer Werbung an Vermieter von Ferienobjekten, zum Zweck der Vermarktung seiner Unterkünfte (Adressen gesammelt aus dem Internet / Homepage/ Impressum), kommt es vor, dass mir Empfänger mitteilen, künftig keine Werbung mehr erhalten zu möchten.
    D.h., die Anschrift des Vermieters müsste aus der Datenbank gelöscht werden. Wie kann ich denn aber – ohne einen Abgleich mit meiner Datenbank durchführen zu können (weil sein Datensatz ja gelöscht ist) – sicherstellen, dass dieser Empfänger nicht doch irgendwann wieder mit einem Werbebrief angeschrieben wird?

    • Da sie die Adressaten ihrer Werbung per Internet / Homepage /Impressum ermitteln, handelt es sich wahrscheinlich um konkret adressierte Werbung.

      Ein werbendes Unternehmen hat ab Kenntniserlangung des entgegenstehenden Willens des Adressaten dafür Sorge zu tragen, dass dem Widersprechenden keine Werbung zugesendet wird. Die Organisationsverantwortung, wie dies umzusetzen ist, liegt natürlich beim Werbenden.

      Hier ließe sich etwa überlegen, den Widerspruch des konkreten Adressaten in einer Liste zu vermerken. Da ein solcher Vermerk auf Initiative und im Interesse des Kunden erfolgt, dürfte hierfür Art. 6 Abs.1 lit.f DSGVO als Rechtsgrundlage in Betracht kommen. Hier ließe sich dann anhand der Liste abgleichen, ob hinsichtlich des beabsichtigten Versands an die Anschrift ein Widerspruch besteht.

  23. Mit diesem letzten Kommentar zum hiesigen Beitrag schließen wir hier den Kommentarbereich, um eine wachsende Unübersichtlichkeit und Überschneidung von Themen zu vermeiden.

    Bitte beachten Sie unsere bisherigen Antworten auf die eingegangenen Kommentare.

    Wir bedanken uns für die zahlreichen Beiträge.

Kommentare sind geschlossen.