Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.

Informationspflichten sind in Zeiten der modernen Datenverarbeitungsmöglichkeiten ein wichtiger Bestandteil zur Wahrung der informationellen Selbstbestimmung. Sie dienen dem Schutz des Einzelnen gegen eine unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe persönlicher Daten. Ziel der Informationspflichten ist daher, eine Transparenz zu schaffen, die es für den Einzelnen erkennbar macht, wer was wann und bei welcher Gelegenheit über ihn erhebt, verarbeitet oder speichert. Mit diesem Blogbeitrag werden die Änderungen bzgl. der Informationspflichten, die mit der DSGVO einhergehen, dargestellt.

Informationspflichten im BDSG

Die verantwortliche Stelle ist verpflichtet, die betroffene Person über bestimmte tatsächliche und rechtliche Umstände zu informieren. Auf Grundlage dieser Informationen soll dem Betroffenen ermöglicht werden, in Kenntnis aller Umstände eine selbstbestimmte Entscheidung über die Preisgabe seiner Daten zu treffen. Derzeit regelt der § 4 Absatz 3 BDSG die Informationspflichten bei der Direkterhebung, d.h. die Daten werden direkt beim Betroffenen eingeholt. § 33 BDSG behandelt hingegen die Informationspflichten bei der Speicherung von personenbezogenen Daten für eigene Zwecke ohne Kenntnis des Betroffenen.

Umfang der neuen Informationspflichten

Die Grundverordnung sieht in den Art. 13 DSGVO und Art. 14 DSGVO erweiterte, teilweise über die bisherigen Pflichten des BDSG erheblich hinausgehende Informationspflichten vor.

Informationspflicht bei der Direkterhebung, Art. 13 DSGVO

Aus dem Verordnungstext ergeben sich folgende Änderungen:

  • Es reicht nicht mehr lediglich die Angabe der Identität der verantwortlichen Stelle aus, sondern es müssen sowohl Kontaktdaten des für die Verarbeitung Verantwortlichen und ggf. seines Vertreters, als auch die Kontaktdaten des Datenschutzbeauftragten angegeben werden,
  • die Rechtsgrundlage, auf der die Datenerhebung basiert und das berechtigte Interesse, wenn die Datenerhebung auf einem solchen beruht (Art. 6 Abs. 1 lit. f DSGVO),
  • die Kategorien von Empfängern der personenbezogenen Daten müssen ohne Einschränkung mitgeteilt werden. Zuvor war dies nur erforderlich, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen musste.
  • Völlig neu ist die Informationspflicht bezüglich der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation: Sofern z.B. Daten in einer US-Cloud gespeichert werden, müsste die betroffene Person darüber informiert werden, dass es sich um ein unsicheres Drittland handelt. Darüber hinaus wäre darzustellen, auf welche Maßnahmen die Übermittlung gestützt wird (z.B. Europäischen Standardvertragsklauseln, Binding Corporate Rules), ggf. müssen betroffenen Personen sogar Kopien dieser Maßnahmen zur Verfügung gestellt werden.

Darüber hinaus werden in der Grundverordnung für eine Gewährleistung der fairen und transparenten Verarbeitung der Daten weitere Informationen vorgeschrieben:

  • Der für die Verarbeitung Verantwortliche hat hiernach neuerdings über die Dauer der Speicherung oder falls dies nicht möglich ist, über die Kriterien der Festlegung der Dauer zu informieren. Zu informieren ist zudem über Betroffenenrechte wie Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit.
  • Der Betroffene muss darauf hingewiesen werden, dass er bei Erteilung einer Einwilligung diese jederzeit widerrufen kann, ohne dass die Rechtmäßigkeit der bis dahin vorgenommenen Verarbeitung entfällt.
  • Er ist zudem über seine Beschwerderechte bei der Aufsichtsbehörde und wie bereits im BDSG vorgesehen über evtl. gesetzliche Pflichten, neu hinzukommend auch vertraglichen Pflichten, zur Bereitstellung der Daten und über die möglichen Folgen der Nichtbereitstellung in Kenntnis zu setzen.
  • Im Falle einer automatisierten Entscheidungsfindung einschließlich dem sog. Profiling müssen dem Betroffenen aussagekräftigte Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung mitgeteilt werden.

Möchte der für die Verarbeitung Verantwortliche Daten für einen anderen Zweck weiterverarbeiten, als er die Daten ursprünglich erhoben hat, so muss er ab Geltung der Verordnung die betroffenen Personen vor der Weiterverarbeitung über diesen anderen Zweck informieren. Darüber hinaus hat er dann erneut über die Dauer, Betroffenenrechte, Beschwerderecht, Verpflichtungen wie oben bereits dargestellt zu informieren.

Ähnlich wie im BDSG bestehen jedoch auch in der Grundverordnung Ausnahmen von den Informationspflichten. So kann von der Information des Betroffenen abgesehen werden, wenn der Betroffene bereits Kenntnis über die besagten Informationen hat.

Exkurs: Automatisierte Entscheidungsfindung

Der für die Datenverarbeitung Verantwortliche muss nach Art. 13 Abs.2 lit. f bzw. Art. 14 Abs. 2 lit. g DSGVO die von der Datenverarbeitung betroffene Person

  • über das Bestehen einer automatisierten Entscheidungsfindung informieren,
  • aussagekräftige Informationen über die verwendete Logik mitteilen und
  • die Tragweite und die angestrebten Auswirkungen der Verarbeitung für die betroffene Person darlegen.

Diese Voraussetzungen sollen anhand des folgenden Beispiels erläutert werden:

Bietet ein Mobilfunkanbieter online den Abschluss von Mobilfunkverträgen an und erfolgt der Abschluss im Rahmen einer automatisierten Einzelentscheidung des Shopsystems, müssten dem Kunden nach dem Wortlaut der DSGVO voraussichtlich folgende Informationen an die Hand gegeben werden:

„Liebe Kundin, lieber Kunde,

die Entscheidung, ob wir mit Ihnen einen Mobilfunkvertrag abschließen, basiert auf einer automatisierten Entscheidung unseres Online-Shopsystems. Eine manuelle Prüfung Ihrer Unterlagen durch einen unserer Mitarbeiter erfolgt nicht. (Information über Bestehen einer automatisierten Einzelentscheidung)

Die Entscheidung über den Abschluss des Mobilfunkvertrages fällt unser Shopsystem einzig auf Grundlage des Ergebnisses der Bonitätsprüfung, die Dienstleister XY in unserem Auftrag durchführt.

Bei einer Bonitätsprüfung wird anhand eines mathematischen Verfahrens ein sog. Score-Wert errechnet, der Aussagen über Ihre Zahlungsfähigkeit trifft.

Wir übermitteln Dienstleister XY Ihre Personalien und Ihre Adressdaten, um die Bonitätsprüfung durchführen zu lassen. Sie können der Übermittlung dieser Daten an den Dienstleister XY jederzeit widersprechen, allerdings ist dann kein Abschluss eines Mobilfunkvertrages mehr über unsere Webseite möglich.

Wenn Ihre Bonitätsprüfung positiv ausfällt, kann ein Vertrag geschlossen werden. Fällt die Bonitätsprüfung negativ aus, wird unser Shopsystem keinen Vertragsabschluss mit Ihnen akzeptieren. (aussagekräftige Information über die verwendete Logik)

Die Tragweite der automatisierten Entscheidung beschränkt sich allein darauf, ob ein Mobilfunkvertrag mit Ihnen abgeschlossen wird. Wir nutzen die automatisierte Entscheidung unseres Shopsystems allein, um uns vor möglichen Zahlungsausfällen zu schützen. (Informationen über die Tragweite und die angestrebten Auswirkungen der Verarbeitung für die betroffene Person)“

Schon bisher musste die verantwortliche Stelle im Falle einer automatisierten Einzelentscheidung gem. § 6a BDSG auf Verlangen des Betroffenen über den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten informieren, § 6a Abs. 3 BDSG. Die Pflicht, über das Bestehen einer automatisierten Entscheidungsfindung und über die Tragweite und die angestrebten Auswirkungen der Verarbeitung zu informieren, bestand in dieser Form hingegen nicht.

Der Begriff „logischer Aufbau“ nach dem BDSG meinte grundsätzlich Aufbau, Struktur und Ablauf der automatisierten Datenverarbeitung. Für den Betroffenen sollte es möglich sein, die Zweckbestimmung der Verarbeitung seiner Daten nachzuvollziehen.

Von dem Recht auf Auskunft nicht umfasst waren in diesem Zusammenhang technische Einzelheiten über die verwendete Software, die eingesetzten Analysemethoden oder gar der Quellcode der eingesetzten Software.

Wurde die automatische Einzelentscheidung im Rahmen eines Scoring-Verfahrens nach § 28 b BDSG errechnet, hat die verantwortliche Stelle, den Betroffenen über die personenbezogenen Daten und deren Gewichtung zu unterrichten, die in die Entscheidungsfindung eingeflossen sind. Konkrete Angaben über die genauen Berechnungsmethoden waren aber wegen der Schutzwürdigkeit der konkreten Scoring-Formel als Geschäftsgeheimnis nicht preiszugeben, vgl. „Schufa-Urteil“ des BGH (VI ZR 156/13).Da der Wortlaut der Verordnung an diesem Punkt keine wesentlichen Abweichungen zum bisherigen BDSG aufweist, ist davon auszugehen, dass auch nach Inkrafttreten der DSGVO keine näheren Details zu den konkreten Berechnungsmethoden der jeweiligen Scoring-Formel preisgegeben werden müssen.

Informationspflicht bei der Dritterhebung, Art. 14 DSGVO

Werden die Daten nicht bei der betroffenen Person selbst erhoben, kommen zu den bereits oben genannten Informationspflichten noch besondere, den Umständen geschuldeten Informationspflichten hinzu:

  • Anders als im BDSG müssen den betroffenen Personen die Kategorien der personenbezogenen Daten genannt werden, unabhängig davon, ob die betroffenen Personen nach den Umständen des Einzelfalls mit einer Übermittlung rechnen mussten.
  • Neu ist die Darlegungspflicht des berechtigten Interesses, sollten die Daten aufgrund berechtigter Interessen des für die Verarbeitung Verantwortlichen oder Dritter erhoben werden (Art. 6 Abs. 1 lit. f DSGVO).
  • Darüber hinaus muss den betroffenen Personen ab Geltung der Grundverordnung kenntlich gemacht werden, aus welchen Quellen die personenbezogenen Daten stammen und ob sie aus öffentlich zugänglichen Quellen kommen. Kann der betroffenen Person nicht mitgeteilt werden, woher die Daten stammen, weil verschiedene Quellen benutzt wurden, sollte die Unterrichtung jedoch allgemein gehalten werden (vgl. Erwägungsgrund 61).

Von den genannten Informationspflichten kann in festgelegten Fällen abgesehen werden. Im Vergleich zum BDSG gewährt die Grundverordnung jedoch weniger Ausnahmemöglichkeiten. So kann nur noch in folgenden Fällen von den Informationspflichten abgesehen werden:

  • Die Erteilung der Information erweist sich als unmöglich oder erfordert einen unverhältnismäßigen Aufwand,
  • die Erlangung oder Weitergabe der Daten ist durch Rechtsvorschriften der Union oder der Mitgliedstaaten ausdrücklich geregelt oder
  • die Daten unterliegen gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht und müssen vertraulich behandelt werden.

Es kann gerade nicht mehr von einer Inkenntnissetzung abgesehen werden, wenn die Daten aus allgemein zugänglichen Quellen entnommen wurden, so wie es das BDSG noch in verschiedenen Varianten vorsieht.

Zeitpunkt der Informationspflichten

Erstmals werden in der DSGVO Fristen für die Informationspflichten implementiert. Bei der Direkterhebung müssen die Informationspflichten bereits bei der Erhebung der Daten erfüllt werden. Werden die Informationen aus dritter Quelle erhoben, muss der für die Verarbeitung Verantwortliche seiner Informationenpflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung der Daten innerhalb einer angemessenen Frist nach Erlangung der Daten, längstens jedoch innerhalb eines Monats, nachkommen. Falls die Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist der Informationspflicht spätestens zum Zeitpunkt der ersten Mitteilung nachzukommen. Ist eine Weitergabe an einen anderen Empfänger beabsichtigt, ist die betroffene Person spätestens bei Weitergabe in Kenntnis zu setzen. Kritisch anzumerken ist, dass die Grundverordnung jedoch keine Widerspruchsfrist der betroffenen Person regelt. Es bleibt daher unklar, wie lange sich die betroffene Person gegen die Verarbeitung der Daten zur Wehr setzen darf. Damit bleibt abzuwarten, wie dies zukünftig gehandhabt wird.

Form der Informationspflichten

Im Gegensatz zum BDSG finden nun Formvorschriften der Informationspflichten Eingang in die Grundverordnung. Die Übermittlung der Informationsvorschriften hat unentgeltlich und schriftlich oder in anderer Form, ggf. in elektronischer Form zu erfolgen. Die Information kann beispielsweise auf einer Website bereitgestellt werden, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für bestimmte Situationen wie etwa Werbung im Internet, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden (vgl. Erwägungsgrund 60). Was unter „in anderer Form“ zu verstehen ist, bleibt ebenfalls abzuwarten. Jedenfalls schlägt die Grundverordnung vor, dass die Informationen auch in Kombination mit standardisierten Bildsymbolen bereitgestellt werden können, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigten Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie nach der Grundverordnung jedoch maschinell lesbar sein. Des Weiteren können die Informationen auch mündlich erteilt werden, sofern die betroffene Person dies verlangt und die Identität der betroffenen Person in anderer Form nachgewiesen wurde. Besondere Berücksichtigung finden explizit Kinder in der Grundverordnung. Informationen, die an diese gerichtet sind, sind in präziser, transparenter, verständlicher und in einer klaren und einfachen Sprache zu übermitteln.

Bußgelder

Verstöße gegen die Informationspflichten sind nach Art. 83 Abs. 5 lit. b, DSGVO bußgeldbewehrt. Die mögliche Bußgeldhöhe wurde durch die Verordnung immens erhöht. Nach der DSGVO beträgt das Bußgeld für derartige Verstöße nun bis zu 20.000.000, – Euro bzw. 4% des Jahresumsatzes von Konzernen. Bisher lag der Höchstbetrag eines Bußgeldes bei lediglich 300.000,- Euro. Diese enorme Erhöhung des maximalen Bußgeldbetrages macht deutlich, wie wichtig es zukünftig sein wird, den Informationspflichten aus der DSGVO nachzukommen.

Fazit

Es steht fest, dass nach der DSGVO geradezu exzessive Informationspflichten auf diejenigen zukommen, die für eine Verarbeitung personenbezogener Daten verantwortlich sind. Im Gegensatz zur bisherigen Rechtslage sind bei der Information des Betroffenen zusätzlich auch Fristen und Formvorschriften zu beachten. Die detaillierten Informationen sind den Betroffenen im Regelfall bei Erhebung der Daten zugänglich zu machen, egal, ob der Betroffene ein Interesse an diesen Informationen bekundet hat, oder nicht. Unternehmen und ggf. bloße Internetnutzer laufen Gefahr, Bußgelder in beachtlicher Höhe zu kassieren, wenn sie diesen komplexen Informationspflichten nicht nachkommen. Neben dem Risiko eines Bußgeldes droht zudem die Verfolgung durch Verbraucherzentralen und Mitbewerber.

Weitere Beiträge zur DSGVO in unserem Blog.

Update 11.4.2016: Der Artikel wurde an die konsolidierte Fassung der DSGVO vom 6.4.2016 angepasst.