Wie kann die Informationspflicht gem. Art 13 DSGVO erfüllt werden?

 

Informationspflicht
gem. Art 13 DSGVO

 

 Art 13 DSGVO schreibt vor, dass der Verantwortliche die betroffenen Personen zum Zeitpunkt der Datenerhebung umfassend über die Verarbeitungsvorgänge zu informieren hat.

 

 

Jede Organisation sollte sich daher im Zuge der Erhebung von Daten folgende Fragen stellen:

 

 

 

  1. Wo trifft die Organisation die betroffene Person das erste Mal?
  2. Werden dann schon Daten "erhoben", oder wann beginnt die "Datenerhebung"?
  3. Je nachdem, mit welchem Medium der betroffenen Person begegnet wird, und die Daten erhoben werden, muss entschieden werden, wie die "Datenschutzinformation" für diese betroffene Person zur Verfügung gestellt wird.

 


 

Die Art 29 Gruppe der EU hat in WP 260 Guidelines on Transparency (Seite 18) folgendes Statement zum „Medienbruch“ abgegeben hat, und eine layered privacy notice / mehrstufige Datenschutzinformation als zulässig erachtet:

 


“Given the very high level of internet access in the EU and the fact that data subjects can go online at any time, from multiple locations and different devices, as stated above, WP29’s position is that an “appropriate measure” for providing transparency information in the case of data controllers who maintain a digital/ online presence, is to do so through an electronic privacy statement/ notice. However, based on the circumstances of the data collection and processing, a data controller may need to additionally (or alternatively where the data controller does not have any digital/online presence) use other modalities and formats to provide the information. Other possible ways to convey the information to the data subject arising from the following different personal data environments may include:”

 

 

 

Es bieten sich daher folgende (nicht abschließend dargestellte) Möglichkeiten an:

 

 

 

1.       Auf der Website sollte wie das Impressum auch die Datenschutzinformation von jeder Seite und Unterseite leicht erreichbar sein, und zB im oberen Bereich auch angezeigt werden, damit jeder Websitenbesucher sich informieren kann.

(Bei Cookies-Ablage ist in Zukunft mit großer Wahrscheinlichkeit eine Einwilligung notwendig: siehe auch: https://www.dataprotect.at/2018/04/30/tracking-nur-mehr-mit-einwilligung/ sowie https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62017CN0673 (Cookies-Einwilligung nicht mehr mit Browsereinstellung?)

 

2.       Kontakt mit der betroffenen Person über die Website (Kontaktformular, das die betroffene Person nutzt, Newsletter, Erhebung von personenbezogenen Daten über die Website zB Tracking):

Hinweis bei der "Dateneingabemaske": XXX verarbeitet personenbezogene Daten zu geschäftlichen Zwecken. Mehr Informationen erhalten Sie unter www..../Datenschutzinformation    

Es ist nicht notwendig, die „Zustimmung zur Verarbeitung der personenbezogenen Daten“ einzuholen! Die Daten werden aufgrund einer anderen Grundlage des Art 6 (1) lit a bis f DSGVO verarbeitet. Beim Newsletter willigt die betroffene Person ein, dass die bekanntgegebenen Daten für diesen konkreten Zweck (Zusendung von Informationen per Newsletter) verwendet werden, und wird über die weiteren notwendigen Punkte des Art 13 DSGVO informiert.

Bei einem Kontaktformular ist ohne Durchsicht des Textes, der gesendet wird, nicht möglich, die rechtliche Qualifikation der Grundlage der Verarbeitung der Daten vorzunehmen, denn es kann sich um einen Kunden (Vertrag) oder eine Person handeln, die einen Vertrag abschließen möchte (Vertragsanbahnung) oder um jemanden, der nur einen Katalog zugesendet haben möchte (berechtigtes Interesse). Dennoch ist diese Person über den Verarbeitungsvorgang iSd Art 13 DSGVO zu informieren.

 

3.       Kontakt über einen Automaten oder einen Terminal (zB Newsletter-Anmeldung oder Vertragsabschluss):
Hier wird es notwendig sein, dass ein Hinweis in den Anzeigefeldern des Automaten gesetzt wird, wenn personenbezogene Daten erhoben und verarbeitet werden: XXX verarbeitet personenbezogene Daten zu geschäftlichen Zwecken. Mehr Informationen erhalten Sie unter hier oder www..../Datenschutzinformation.  

 

4.       Kontakt über App:
Hier wird es notwendig sein, dass ein angepasst an die App (Informationsgröße) ein Hinweis gesetzt wird, wenn personenbezogene Daten erhoben und verarbeitet werden: XXX verarbeitet personenbezogene Daten zu geschäftlichen Zwecken. Mehr Informationen erhalten Sie unter hier oder www..../Datenschutzinformation.         

 

5.       Kontakt über Email:
Es bietet sich an, dass im Email-Footer (in dem bisher die DVR-Nummer aufscheint) einen Hinweis zu setzen, und einen Zugang zur allgemeinen Datenschutzinformation zu geben, und dort kann die jeweilige betroffene Person dann die jeweilige Datenschutzinformation abfragen: XXX verarbeitet personenbezogene Daten zu geschäftlichen Zwecken. Mehr Informationen erhalten Sie unter www..../Datenschutzinformation.     

 

6.       Kontakt per Brief:
Es bietet sich an, im Briefpapier jedenfalls einen Hinweis (siehe oben) zu setzen und auf die Homepage zu verweisen. Wenn jedoch der Erstkontakt per Brief erfolgt, und davon auszugehen ist, dass die betroffene Person eher nicht die Möglichkeit hat, über das Internet die Information abzurufen, dann sollte die notwendige Datenschutzinformation auch dem Brief beigelegt werden.            

 

7.       Kontakt über Telefon:
Besteht nur telefonsicher Kontakt, und werden dabei personenbezogene Daten erhoben, dann bietet es sich an, dass danach ein Email an die betroffene Person gesendet wird, sobald die Daten in das Verwaltungssystem eingegeben werden, oder im Ansagetext der betroffenen Person der Hinweis gegeben wird. Sollten in diesem Zusammenhang keine personenbezogenen Daten erhoben werden, dann ist das auch nicht notwendig.

Zur Aufheiterung in der Frage der Informationspflicht bei Telefonaten: https://www.datenschutz-notizen.de/telefonieren-unerwuenscht-informationspflichten-nach-der-dsgvo-3720111/

Die Art 29 Datenschutz-Gruppe der EU (in Zukunft Europäischer Datenschutzausschuss) geht im WP 260 Guidelines Transparency (Seite 18 von 35) davon aus, dass bei telefonischen Datenerhebung ein Hinweis gegeben werden muss: Telephonic environment: oral explanations by a real person to allow interaction and questions to be answered, automated or pre-recorded information with options to hear further more detailed information;

 

 

 

8.       Persönlicher Kontakt:
Wenn Sie mit einer betroffenen Person in persönlichen Kontakt treten, und zB anlässlich dieses Kontaktes die Daten erhoben werden bzw. ein Vertrag unterfertigt wird, dann bietet es sich an, die konkrete Datenschutzinformation für diese betroffene Person als Beilage/Beiblatt zum Vertrag zu verwenden oder zu übergeben, wenn es zu keinem Vertragsabschluss kommt, aber dennoch Daten erhoben werden. Dies bietet sich zB auch an, wenn es zu einer Besucherregistrierung beim Betreten eines Betriebsgeländes kommt.          
 

 

9.       Verkauf / Dienstleistungen in einem Ladenlokal / Erhebung von Daten zB auf dem Betriebsgelände mit Vidoeüberwachung:
Besteht direkter Kontakt mit einer Vielzahl von betroffenen Personen, bei denen tatsächlich auch personenbezogene Daten erhoben werden in einem Ladenlokal, dann besteht auch die Möglichkeit, bei der Kassa einen kleinen Aufsteller zu platzieren, und zB auf einen Aushang der Datenschutzinformation im Lokal zu verweisen oder die Datenschutzinformation auch bei der Kassa aufzulegen. Denken Sie zB an eine Videoüberwachung in einem Restaurant oder einem Betriebsgelände, bei der durch eine Kennzeichnung „Dieses … wird videoüberwacht. XXX (Verantwortlicher)“ auf die Videoüberwachung (Datenerhebung in direktem Kontakt) hingewiesen wird, und auf dem Schild wird in Zukunft auch ein Verweis auf die allgemeinen Datenschutzbestimmungen auf der Website bzw. aufliegend im Lokal / ausgehängt beim Betriebsgelände etc… angebracht sein müssen.  Im Entwurf der Datenschutz-Folgenabschätzung Ausnahmeverordnung findet sich dazu folgende Aussage: c) Kennzeichnung:  Voraussetzung für die Ausnahme ist die geeignete Kennzeichnung der Bildverarbeitung durch den Verantwortlichen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen.

 

10.   Wenn Sie selbst noch „andere Kanäle“ in der Organisation identifizieren können, bei denen personenbezogene Daten erhoben werden, dann müssen Sie überlegen, ob das „Publikum“ zB über das Internet zugreifen kann, oder Sie davon ausgehen müssen, dass die betroffenen Personen dazu eher nicht in der Lage sind. Wenn Sie der Meinung sind, dass es zweifelhaft ist, ob die Personen über das Internet auf die Information leicht zugreifen können, dann sollten Sie einen anderen Weg wählen, die betroffenen Personen iSd Art 13 DSGVO zu informieren.

 

Die Art 29 Gruppe geht im WP 260 Guidelines Transparency zB auch davon aus, dass die Information „verständlich“ sein muss, und dies auch auf die Zielgruppe abzustimmen ist. Hier eine Kopie des Statement:

 


“The requirement that information is “intelligible” means that it should be understood by an average member of the intended audience. This means that the controller needs to first identify the intended audience and ascertain the average member’s level of understanding. As the intended audience may, however, differ from the actual audience, the controller should also regularly check whether the information/ communication is still tailored to the actual audience (in particular where it comprises children), and make adjustments if necessary. Controllers can demonstrate their compliance with the transparency principle by testing the intelligibility of the information and effectiveness of user interfaces/ notices/ policies etc. through user panels.

 

 

 

 


 

Es ist derzeit noch nicht absehbar, wie die Aufsichtsbehörden die Informationserteilung gegenüber betroffenen Personen beurteilen wird, und ob die geschilderten Wege zur Informationserteilung als ausreichend beurteilt werden.

Diese Anleitung kann mE als „best practise“ verstanden werden, und ich werde zB über meinen Newsletter über aktuelle Entwicklungen bei der Informationspflicht laufend informieren.