Mitautor: Christian Frerix*
Die Informationspflichten und Auskunftspflichten der Unternehmen
Das letzte Mal, dass die Datenschutzgrundverordnung, kurz DSGVO, hier Thema war, war Ende August. Mehr als ein Monat ist seit dem vergangen. Ein Monat weniger, der Ihnen als Unternehmen zur Verfügung steht, um sich auf die DSGVO mit allen Neuerungen vorzubereiten.
Im August hatten wir die Dokumentations-, Datensicherungs- und Meldepflichten der Unternehmen im Blick. Heute soll es vor allem um die Informationspflichten und Auskunftspflichten der Unternehmen gehen. Ergo, wann und wie sind die Betroffenen (also diejenigen, deren Daten erhoben werden) zu informieren und wie sieht es mit den Auskunftsrechten bzw. -pflichten aus. Auch hier gibt es einige Änderungen, die Sie als Unternehmen unbedingt kennen und bis 2018 umsetzen müssen.
_______________________________________________________
And again: Warum sollte man sich schon jetzt mit dem Thema befassen, wenn die Regelungen doch erst ab 2018 gelten?
Wenn Sie unsere kleine Serie verfolgen, dann kennen Sie die Gründe schon und Sie dürfen gleich zum nächsten Absatz springen. Sollten Ihnen die Gründe jedoch unbekannt sein, dann sollten Sie hier besser nicht die Augen verschließen. Letztendlich geht es – wie so oft – ums Geld. Je nach Art des Verstoßes gegen die Regelungen der DSGVO können Unternehmen künftig nämlich mit Bußgeldern in Höhe von bis zu 10 000 000 Euro bzw. bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres oder in Höhe von bis zu 20 000 000 Euro bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres belegt werden (je nach dem welcher Verstoß Ihnen zur Last gelegt werden kann, variieren die Höhen der möglichen Geldbußen). Der zweite Grund geht mit dem anderen einher. Denn diese Geldbußen können mit dem Geltungsbeginn der DSGVO verhängt werden. Also in weniger als zwei Jahren. Das klingt zunächst nach noch sehr viel Zeit. Doch wenn man bedenkt, dass die internen Abläufe auf ihre künftige Vereinbarkeit mit der DSGVO hin überprüft und ggf. erforderliche Änderungen realisiert werden müssen, dann können knappe 20 Monate sehr eng sein. Und deshalb lohnt sich – ganz ohne Hektik – also schon jetzt eine Auseinandersetzung mit den praktischen Änderungen, die die DSGVO für datenverarbeitende Unternehmen bereithält.
_________________________________________________________
Informationspflichten
Informationspflichten gegenüber den Betroffenen sind an sich nichts Neues. Solche regelt das BDSG schon jetzt. Und für Telemedien gelten die Informationspflichten des § 13 TMG.
Ab 2018 gehen die Verpflichtung zur transparenten Information und Kommunikation dem Grunde nach aus Art. 12 DSGVO hervor. Ob, wann, wie und wie umfangreich informiert werden muss, bestimmt sich dann danach, ob die Daten direkt von der betroffenen Person erhoben werden (Art. 13 DSGVO) oder nicht (Art. 14 DSGVO).
Informationspflichten – im Fall der Erhebung bei dem Betroffenen
Ein Blick in Art. 13 DSGVO verrät, dass der Verantwortliche dem Betroffenen im Falle einer Datenerhebung den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. die des Datenschutzbeauftragten mitzuteilen hat. Darüber hinaus müssen künftig auch der Zweck und die Rechtsgrundlage mitgeteilt werden, auf die die Verarbeitung gestützt wird. Erfolgt die Verarbeitung auf Grund eines „berechtigten Interesses“ (siehe dazu Teil 3 der DSGVO-Serie), so muss auch dieses konkret benannt werden. Ebenso wie die Empfänger(gruppen) der Daten.
Desweiteren müssen nach der DSGVO Betroffene nun darüber informiert werden, wenn die Daten an ein Drittland (also Nicht-EU-Land) oder eine internationale Organisation übermittelt werden (bspw. bei der Speicherung der Daten in der Cloud eines US-Anbieters). Zudem muss auch in diesem Fall die Rechtsgrundlage mitgeteilt werden, auf die sich das Unternehmen stützt (z.B. Standardvertragsklauseln, Binding Corporate Rules etc.).
Und nach der DSGVO muss dann auch über die Dauer der jeweiligen Speicherung, die Ansprüche des Betroffenen (Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchs-, Datenübertragbarkeits- sowie Widerrufsrecht der Einwilligung) und über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde informiert werden.
[Sollten Sie gerade die Stirn in Falten legen und denken „Was ist denn daran neu?! Darüber muss doch jetzt auch schon informiert werden!“ dann haben Sie Recht und ich auch. Denn nach dem TMG muss über all das, was Sie vorstehend finden, schon jetzt informiert bzw. aufgeklärt werden. Das BDSG kennt jedoch keine Verpflichtung zur Information etwa über Auskunfts- und Löschungsansprüche. Und insoweit ist das „neu“, wenn Sie die Daten bspw. in Papierform erheben, bzw. Sie schlicht kein Telemedium sind, auf das das TMG Anwendung findet.]
Wenn die Daten künftig für andere Zwecke verarbeitet werden sollen, als für die, für die sie ursprünglich mal erhoben wurden, dann hat das Unternehmen die Betroffenen über diese Zweckänderung zu informieren und auch im Hinblick auf den neuen Zweck erneut alle o.g. Informationen bereitzustellen. (Wenn Sie mehr zur Zweckbindung und Zweckvereinbarung als Erlaubnistatbestand zur Datenerhebung wissen möchten, dann werfen Sie doch noch einmal einen Blick in Teil 3).
Last but not least: Der Betroffene muss auch erfahren, ob er gesetzlich zur Bereitstellung seiner Daten verpflichtet ist (inkl. Folgen der Nichtbereitstellung) und welche Auswirkungen eine mögliche automatisierte Entscheidungsfindung (Profiling) mit sich bringt. Mit letzterem Fall werden wir uns im Rahmen eines gesonderten Teils noch einmal etwas ausführlicher befassen. (Yeah! Big Data is coming soon!).
Erhebung nicht bei der betroffenen Person
Werden die Daten nicht beim Betroffenen erhoben (Art. 14), so ist diese/r dennoch davon zu unterrichten. Grundsätzlich gilt das oben Geschriebene auch hier. Darüber hinaus enthält Art. 14 aber noch weitere Mitteilungspflichten. So sind bspw. auch „die Kategorien personenbezogener Daten, die verarbeitet werden“, mitzuteilen. Damit soll dem Betroffenen bewusst gemacht werden, welche Art von Daten – sensible oder nicht sensible Daten – betroffen sind. Erstere stehen nämlich unter einem besonderen Schutz und dürfen nur unter engen Voraussetzungen verarbeitet werden (Art. 9 DSGVO).
Außerdem ist mitzuteilen, woher die Daten stammen und gegebenenfalls, ob sie aus allgemein zugänglichen Quellen stammen. Interessant ist das vor allem deshalb, weil der Verordnungsgeber den Begriff der „allgemein zugänglichen Quellen“ nirgends definiert (siehe dazu bereits Teil 2). Um Abgrenzungsstreitigkeiten praktisch irrelevant zu machen, hat der Verordnungsgeber daher im Erwägungsgrund 61 festgehalten, dass auch eine allgemein gehaltene Unterrichtung ausreichen soll, wenn keine Quelle mitgeteilt werden kann, weil unterschiedliche Quellen genutzt wurden. Das schafft zwar einen „Ausweg“ für die datenverarbeitenden Stellen, löst das Problem so ganz allerdings nicht. Ob Betroffene auch dann informiert werden müssen, wenn die Daten aus „allgemein zugänglichen Quellen“ stammen, bleibt abzuwarten. Entscheidend wäre wohl vielmehr, wie diese Daten möglicherweise in die Quelle gekommen ist. Denn auf „öffentlich gemachte Daten“ werden wir im nächsten Teil noch näher eingehen.
Wann ist der Betroffene zu informieren?
Im Fall der Datenerhebung beim Betroffenen müssen die Informationen diesem zum Zeitpunkt der Datenerhebung mitgeteilt werden. Tja, auch das kommt uns irgendwie bekannt vor.
Werden die Daten nicht beim Betroffenen erhoben, soll eine Benachrichtigung „innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats“ erfolgen. Werden die Daten zur Kommunikation mit der betroffenen Person verwendet, dann muss die Benachrichtigung spätestens zum Zeitpunkt der ersten Mitteilung, im Falle einer Offenlegung an einen anderen Empfänger spätestens zum Zeitpunkt der ersten Offenlegung erfolgen.
Wenn Sie für etwa für das Active Sourcing in Ihrer Firma zuständig sind und gerade ganz stark mit der Stirn runzeln, weil Sie sich schon in einem Informations- und Dokumentationswust hinsichtlich aller nur mal identifizierten potenziellen Kandidaten sehen, dann lesen Sie bitte einfach ganz schnell weiter.
Wann muss nicht benachrichtigt werden?
Grundsätzlich bleibt es dabei, dass eine Information entbehrlich ist, wenn der Betroffene anderweitige Kenntnis von der Datenverarbeitung erlangt hat. Soweit so gut.
In den Fällen, in denen die Datenerhebung nicht beim Betroffenen vorgenommen wird (also z.B. Erhebung von Kandidateninformationen im Rahmen des Active Sourcing) sind die Ausnahmegründe für die Nichtbenachrichtigung Im Vergleich zu § 33 BDSG durch Art. 14 Abs. 5 beschränkt worden. Im Falle der Datenerhebung nicht beim Betroffenen kann eine Benachrichtigung nur noch unterbleiben, wenn sich die Informationserteilung als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde, der jeweilige Mitgliedstaat die Erlangung oder Offenlegung ausdrücklich geregelt hat oder wenn die Daten der Geheimhaltungspflicht (z. B. Berufsgeheimnis) unterliegen. Liegt keiner dieser Fälle vor, so ist eine Benachrichtigung erforderlich.
Aber uff! Für die Active Sourcer und andere bedeutet das wohl, dass letztendlich auf die Benachrichtigung aus den gleichen Gründen wie bisher – nämlich die Unverhältnismäßigkeit – verzichtet werden kann. (Disclaimer: Das ist mein Blick in die Glaskugel. Wir werden hier sehen müssen, wie die Norm ausgelegt wird und vor allem, wie das die Aufsichtsbehörden und Gerichte tun werden. Das bedeutet also im Umkehrschluss, dass in Zukunft auf eine Unterrichtung auch dann nicht verzichtet werden kann, wenn die Daten allgemein zugänglichen Quellen entnommen wurden (so aber die momentan geltende Rechtslage im BDSG).
Wenn benachrichtigt werden muss, wie ist das zu tun?
Die Informationspflicht unterliegt nach dem BDSG bisher keinen Formvorschriften. Es wird der verantwortlichen Stelle überlassen, wie sie die Auskunft erteilt. Das wird sich künftig ändern, da Art. 12 DSGVO vorschreibt, die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“ Das gilt umso mehr, wenn es um Informationen geht, die sich an Kinder richten. Auch das „Wie“ der Übermittlung bleibt nicht dem Zufall überlassen. Je nach Umstand hat die Auskunft „schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“ und unentgeltlich zu erfolgen. Eine Bebilderung mit standardisierten Bildsymbolen kann in Zukunft unterstützend herangezogen werden, reicht alleine für die Auskunftserteilung aber nicht aus („in Kombination“).
Für diejenigen, die sich schon die ganze Zeit mit diesem Internet abmühen und der Regelung des TMG unterstehen, ist auch das Vorstehende nichts Neues. Wir kennen zwar keine unterstützende Bebilderung – aber den Versuch des One-Pagers, den gibt es ja schon. (Hilft de facto nicht, es braucht immer noch eine richtige Datenschutzerklärung, aber in soweit ist es ja das gleiche wie mit den unterstützenden Bildern.)
Alle anderen sollen und müssen sich jetzt aber den Transparenzgedanken, den die DSGVO hier vorgibt deutlich hinter die Ohren schreiben.
Ach, das ist doch alles Tinnef! (Hochdeutsch: unnützer Kram)
Finden Sie? Das können Sie gerne tun. Aber ich mache Sie auch gerne darauf aufmerksam, dass ein Verstoß gegen die Art. 12-22 gegen die Rechte der betroffenen Person gemäß Art 83 Abs. 5 Ziffer b) eben Geldbußen von bis zu 20 000 000 EUR vorsieht. Tja. Mhm. Also vielleicht doch noch mal einen Blick in die Datenschutzerklärung bzw. Datenaufklärungsblätter werfen, die man derzeit so austeilt – wenn man denn welche austeilt.
Weitere Pflichten der Unternehmen
Darüber hinaus unterliegen Unternehmen noch einigen anderen Pflichten, die sich aus den Rechten der Betroffenen ergeben. Aus dem Auskunftsrecht der betroffenen Person (Art. 15) ergibt sich bspw. die Pflicht, auf Wunsch Auskunft darüber zu erteilen, ob die Person betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, so ist die Person auch über den Zweck der Verarbeitung, die Art der Daten, die Empfänger der Daten, die Speicherungsdauer, die Herkunft der Daten, bestehende Rechte etc. zu informieren. Also, letztlich über all das, worüber eben sowieso schon aufzuklären ist.
Spannend wird es mit Art. 15 Abs. 3. Denn demnach besteht auch die Pflicht , der betroffenen Person eine – ggf. elektronische – Kopie aller personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Ich bezweifle an dieser Stelle, dass das die meisten Unternehmen mal eben könnten.
Darüber hinaus wird für Unternehmen weiterhin die Pflicht bestehen, auf Verlangen unrichtige Daten zu berichtigen (Art. 16).
Auch die Löschungspflichten gelten fort, wenngleich diese noch etwas ausgeweitet werden. Denn datenverarbeitende Unternehmen wurden bisher nur zur Löschung der Daten verpflichtet, wenn eine weitere Verarbeitung der Daten rechtswidrig wäre. Daran ändert sich in Zukunft zwar nichts, es tritt jedoch in den Fällen der Öffentlichmachung von Daten noch die Pflicht hinzu, andere Datenverarbeiter darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Wie das in der Praxis aussehen soll? Tja. Öhm. Man darf gespannt sein.
Schließlich besteht im Fall einer Verletzung des Schutzes personenbezogener Daten eine Benachrichtigungspflicht der Unternehmen gegenüber den Betroffenen. Diese Benachrichtung ist dann vorzunehmen, wenn ein hohes Risiko einer Verletzung persönlicher Rechte und/oder Freiheiten besteht. Art. 34 Abs. 3 statuiert allerdings sogleich wieder die Ausnahmen der Benachrichtigungspflicht: Eine Benachrichtigung kann in solchen Fällen aber auch dann unterbleiben, wenn ausschließlich verschlüsselte Daten betroffen sind, der Verantwortliche das Risiko einer Rechts-/Freiheitsverletzung nachträglich entschärft hat oder die (Einzel-) Benachrichtigung angesichts des Ausmaßes unverhältnismäßig wäre. Im letzteren Fall hat dann aber eine öffentliche Bekanntmachung zu erfolgen.
Das im Vergleich zum BDSG neu eingeführte „Recht auf Datenübertragbarkeit“ (Art. 20) hält für Unternehmen eine weitere Überraschung bereit. Danach soll den Betroffenen nämlich die Möglichkeit gegeben werden, all die den datenverarbeitenden Stellen zur Verfügung gestellten Daten zurückzufordern. Für Unternehmen ergibt sich daraus die Pflicht zur Schaffung technischer und organisatorischer Voraussetzungen, um den Betroffenen diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Soweit es technisch machbar ist und der Betroffene es wünscht, müssen die Daten unter Umständen auch direkt an einen anderen Datenverarbeiter übermittelt werden. Auch hier bleibt abzuwarten, ob und wie Unternehmen diese Regelungen technisch und praktikabel umsetzen werden.
Und… wie steht es um Altfälle!?!
Bekanntermaßen ist ja die hinreichende Information des Betroffenen im hier vorgestellten Sinne eine der Voraussetzungen für eine wirksame Einwilligung des Betroffenen in die Datenverarbeitung nach Art. 6 DSGVO. Da stellt sich natürlich die Frage, wie Einwilligungen zu behandeln sind, die vor 2018 und damit unter anderen Voraussetzungen und anderen Erfordernissen bei der Information zustande gekommen sind. Anders ausgedrückt: Bleiben diese Einwilligungen, die vor 2018 nach der bis dahin geltenden Rechtslage gegeben wurden, wirksam?
Tja. Dazu sag ich mal nix. Denn zu dieser Frage hat der Düsseldorfer Kreis (Gremium der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich) bereits mit seinem Beschluss vom 13./14. September Fortgeltung bisher erteilter Einwilligungen unter der Datenschutzgrundverordnung Stellung genommen. Und der geschätzte Kollege Stephan Hansen-Oest hat dazu auf seinem Blog in und mit dem Artikel Schlechte Empfehlung der Aufsichtsbehörden? Der Beschluss des Düsseldorfer Kreis zur Fortgeltung von Einwilligungen unter der DSGVO als Haftungsrisiko? alles gesagt, was es dazu zu sagen gibt. Da muss ich mich nicht in Wiederholungen ergehen.
In jedem Fall ist und bleibt es empfehlenswert, wenn Sie Ihre Datenschutzerklärungen und sonstigen diesbezüglichen Informationsblätter einmal dahingehend prüfen und abklopfen, ob diese den Anforderungen der DSGVO standhalten, denn sonst kann es es schlicht unangenehm teuer werden.
In diesem Sinne, bis zum nächsten Mal!
*Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.
Bisher in der Reihe zur DSGVO außerdem erschienen:
Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung
Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.
Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)
Teil 8 – Der Datenschutzbeauftragte unter der DSGVO
Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I