Unter diesem Titel hat die Landesbeauftragte für den Datenschutz Brandenburg eine Handreichung herausgegeben. Die Datenschutz-Grundverordnung legt in den Artikeln 13 und 14 fest, dass der für eine Datenverarbeitung Verantwortliche jeder betroffenen Person verschiedene Informationen, wie z.B. den Zweck der Datenverarbeitung, den Namen und die Kontaktdaten des Verantwortlichen, ggf. die Kontaktdaten des Datenschutzbeauftragten etc. mitzuteilen hat. Wie Verantwortliche diesen Verpflichtungen in der Praxis nachkommen können, hat die Landesbeauftragte nun zusammengefasst.

Erinnerung

Werden Daten direkt bei der betroffenen Person erhoben (Direkterhebung gem. Art. 13 DSGVO), müssen die Informationen zum Zeitpunkt der Erhebung mitgeteilt werden. Werden die Daten bei einem Dritten erhoben (Art. 14 DSGVO) sind dem Betroffenen spätestens innerhalb eines Monats nach der Erhebung die gem. Artikel 14 DSGVO geforderten Informationen mitzuteilen.

In welcher Form ist zu informieren?

Die Informationen sind der betroffenen Person gemäß Art. 12 Abs. 1 DSGVO in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, zu übermitteln. Falls es von der betroffenen Person verlangt wird, können die Informationen auch mündlich erteilt werden. Unabhängig von der Form müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden.

Erfreulich ist, dass die Landesdatenschutzbeauftragte auch einen Medienbruch bei der Information der betroffenen Personen zulässt. Sie verweist auf das Working Paper 260 der Art.-29-Gruppe, welches eine schichtweise Information der betroffenen Personen vorschlägt. Nichts desto trotz ist es auch nach Auffassung der brandenburgischen Landesdatenschutzbeauftragten zwingend erforderlich, dass der betroffenen Person in einem ersten Schritt die Zwecke der Verarbeitung, die Identität des Verantwortlichen, eine Beschreibung der Rechte der betroffenen Person und die Verarbeitung, die sich am stärksten auf die betroffene Person auswirkt sowie die Verarbeitung, die überraschend sein könnte, mitgeteilt werden. Diese Informationen müssen also bei der Direkterhebung zum Zeitpunkt der Erhebung mitgeteilt werden.

Ausnahmen

Explizit ausgenommen werden telefonische oder auch persönliche Kontakte, die einer Terminvereinbarung dienen! Hier reicht es nach Meinung der Landesdatenschutzbeauftragten Brandenburg aus, wenn die Informationen beim Termin mitgeteilt werden. Das freut uns sehr! Wir hatten in einem Beitrag auf die Konsequenzen der Informationspflichten, wenn diese auch im Rahmen der Terminvereinbarung bestehen würden, hingewiesen. Den Beitrag können Sie hier lesen oder als Podcast hören.

Entscheidet sich der Verantwortliche, die Informationen in geschichteter Weise bereitzustellen, bietet die Handreichung Tipps für die Erteilung der weitergehenden Informationen.

Erfolgt die Kommunikation per Brief oder Fax können die weitergehenden Informationen per Link oder QR-Code auf der eigenen Webseite bereitgehalten werden. Bei telefonischen Kontakten, die über die reine Terminvereinbarung hinausgehen, können die Informationen der zweiten Schicht ebenfalls per Link oder QR-Code bereitgestellt werden, welche den betroffenen Personen z.B. per Brief oder E-Mail bekannt gegeben werden. Bei Vor-Ort-Situationen, wie sie sich z.B. in Arztpraxen ergeben, reicht es aus, aktiv auf einen Flyer hinzuweisen, der zumindest die Informationen der ersten Schicht enthält. Die weitergehenden Infos können dann ebenfalls in der Praxis ausliegen bzw. aushängen, auf der Internetseite abrufbar sein etc. Allerdings reicht das Auslegen des Flyers alleine nicht aus.

Nachweispflichten

Dies wird deutlich, wenn man den Abschnitt zu den Nachweispflichten liest. So wird empfohlen, dass Arztpraxen und ähnliche Verantwortliche durch einen Vermerk (Haken oder Stempel) in der Patientenakte dokumentieren, dass der Patient/Kunde aktiv auf den Flyer hingewiesen wurde. Hier hätten sich viele eine andere Best Practice Lösung gewünscht, die ein individuelles „Abhaken“ für jeden Patienten überflüssig macht.

Für alle anderen Bereiche bietet es sich an, eine Kopie des Ausgangsschreibens bzw. einen Sendebericht als Nachweis über die erfolgte Information aufzubewahren.

Von Datensparsamkeit kann bei den Nachweispflichten, wenn man den Empfehlungen der brandenburgischen Aufsichtsbehörde folgt, leider keine Rede sein.