11. April 2019

Transparenz bei der Datenschutz-Information

In der DS-Info ist klar und deutlich strukturiert zu unterscheiden, welche Daten aus welchen Quellen stammen.

 

 

 

Informationspflichten gem. Art 13 und Art 14 DSGVO.

 

Der Verantwortliche hat gem. Art 13 (bei direkter Datenerhebung) und Art 14 DSGVO (indirekte Datenerhebung) die Verpflichtung, die betroffenen Personen in transparenter, leicht zugänglicher Form in einer einfachen und klaren Sprache (Art 12 DSGVO) umfangreich zu informieren.

 

 

 

Die Information zur Datenherkunft nach Art 14 DSGVO

 

Die Datenschutzinformation des Verantwortlichen enthielt folgende Passage:

 

Welche Daten werden verarbeitet und aus welchen Quellen stammen diese Daten?

 

Die Allergie-Tagesklinik D*** verarbeitet die personenbezogenen Daten, die die Allergie-Tagesklinik D*** im Rahmen der Geschäftsbeziehung von Ihnen erhält. Zudem verarbeitet die Allergie-Tagesklinik D*** Daten, die die Allergie-Tagesklinik D*** von Dritten (GKK, Auskunftgeber, Schuldnerverzeichnisse, etc.) und aus öffentlich zugänglichen Quellen (Firmenbuch, Medien, etc.) zulässigerweise erhalten hat.

 

Zu den personenbezogenen Daten zählen Ihre persönlichen Stammdaten (Name, Adresse, Kontaktdaten, Geburtstag und -ort, Staatsangehörigkeit, gesetzl. Vertreter/Vertreterin, etc.), Legitimationsdaten (Ausweisdaten, etc.), Authentifikationsdaten, Vertragsdaten (Vertrags-/Rechtsbeziehungen, etc.), Patienteninformationen/Patientinneninformationen (Vorgeschichte von Erkrankungen, Diagnosen, Krankheitsverlauf, Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen einschließlich der Anwendung von Arzneispezialitäten, Terminvereinbarungen, etc.), Vertragsabrechnungs- und Zahlungsdaten (Sozialversicherungs-, Bankverbindungsdaten, etc.), Planungs- und Kontrolldaten, offengelegte Informationen (von Dritten, z.B. von öffentlichen Verzeichnissen), Bewertungsdaten, Kommunikationsinhalt, Kommunikationsmetadaten, Lebenslaufdaten, Daten zum persönlichen Leben, Informationen zu früheren Beschäftigungsverhältnissen, Informationen über religiöse oder philosophische Ansichten, Gesundheit (Untersuchung von Proben, etc.), sexuelle Orientierung, ethnische Herkunft, etc., Mitarbeiterdaten sowie Daten, die zur Erfüllung gesetzlicher und regulatorischer Aufgaben erforderlich sind.

 

 

 

Verstoß des Verantwortlichen

 

„Die Verantwortliche hat gegen die Informationspflichten verstoßen, indem sie im „Informationsblatt zum Datenschutz“ bzw. auf ihrer Website unter http://www.allergie-tagesklinik***.at/datenschutz/

 

a)    nicht deutlich unterscheidet, ob die Informationen nach Art. 13 oder nach Art. 14 DSGVO erteilt werden

 

 

 

Die Vorgaben der DSB.

 

Die DSB ist der Ansicht, dass in der Datenschutz-Information nicht unterschieden wird, ob diese nach Art 13 oder Art 14 DSGVO erteilt wird. Eine derartige Unterscheidung ist aber wesentlich, da nach Art 14 DSGVO Informationen zu erteilen sind (Datenkategorien, Herkunft der Daten), die bei der direkten Datenerhebung (nach Art 13 DSGVO) nicht mitzuteilen sind.

 

Für die betroffenen Personen ist es auch entscheidend, dass sie der Datenschutzinformation klar und deutlich entnehmen können, „welche Daten direkt bei ihnen erhoben werden und welche Daten gegebenenfalls aus anderen Quellen herangezogen werden. […]

 

Indem in den Informationspflichten nicht klar zwischen den Informationspflichten nach Art. 13 und Art. 14 DSGVO unterschieden wird, hat die Verantwortliche gegen diese Pflichten sowie Art. 12 Abs. 1 DSGVO verstoßen.“

 

 

 

Diese Entscheidung ist mE bemerkenswert, da in Art 13 DSGVO die Datenkategorien nicht verpflichtend den betroffenen Personen mitzuteilen sind, da die Daten direkt bei der betroffenen Person erhoben werden, und dieser daher bewusst ist, welche Daten erhoben werden.  Nur dann, wenn der Verantwortliche die Daten ohne direkten Kontakt mit den betroffenen Personen erhebt, und diese Daten von dritter Seite erhält, ist normiert, dass auch die Datenkategorien und Datenquelle bekannt zu geben.

 

 

 

Rechttipp.

 

Prüfen Sie ihre Datenschutzinformation, ob klar und deutlich hervorkommt, welche Daten aus dritter Quelle stammen, und welche nicht.

 

Bei der Informationserteilung (in der Datenschutz-Information) sollte klar und deutlich unterschieden werden, ob die Information iSd Art 13 DSGVO oder Art 14 DSGVO erfolgt.

 

Mit dieser Entscheidung hat die DSB mE eine Klarstellung getroffen, die nicht direkt aus den Art 12 ff. DSGVO abzuleiten ist, aber der DSB aus den Bestimmungen abgeleitet wird, und daher von den Verantwortlichen zu befolgen ist.

 

Es könnte daher die Datenschutz-Information für die direkte Datenerhebung als „Standard“ definiert werden, und diese um die Datenkategorien und Datenquellen, die von dritter Seite zur Verfügung gestellt werden, als Sonderfall ergänzt werden.

 

Dies könnte zB im Bereich Marketing der Fall sein:

 

Marketing (Datenschutzinformation gem. Art 14 DSGVO).

 

Wir erhalten Kontaktdaten für Marketingzwecke (mit Branchenbezeichnungen) von Adressverlagen oder recherchieren diese selbständig im Internet (aus öffentlich verfügbaren Quellen) bzw. aus dem Firmenbuch oder Telefon- und Adressverzeichnissen.

 

06.04.2019, Autor: 
Michael Schweiger, zert. DSBA

Download
Transparenz bei der Datenschutzinformation - eine Entscheidung der DSB mit Auswirkungen auf die Praxis!
Transparenz bei der Datenschutz-Informat
Adobe Acrobat Dokument 936.2 KB
Download
Tags: Transparenz, Datenschutzinformation, Datenschutz-Information, Privacy Policy, Privacy Statement, DS-Info, Art 12 DSGVO, Art 13 DSGVO, Art 14 DSGVO

Kommentar schreiben

Kommentare: 0