Bisher gilt, dass die Informationspflicht nach Art 13 DSGVO entfällt, wenn und soweit die betroffene Person bereits über die Informationen verfügt. (Art 13 Abs 4 DSGVO)
Der Verantwortliche hat bei der Datenerhebung die betroffenen Personen über die Verarbeitung der personenbezogenen Daten umfassend und transparent in Kenntnis zu setzen.
Bisher ist es so, dass die Informationspflicht nur entfällt, wenn die betroffene Person bereits über die Informationen verfügt (Art 13 (4) DSGVO); aufgrund der Rechenschaftspflicht der DSGVO hat der Verantwortliche die Pflicht, auch nachzuweisen, dass die betroffene Person bereits in Kenntnis aller Informationen des Art 13 Abs 1 und 2 DSGVO ist. Ist ihm das nicht bekannt und/oder kann der Verantwortliche die positive Kenntnis nicht nachweisen, wird die Information zu erteilen sein.
Die Ausnahme wird im Regel-Ausnahme-Prinzip erweitert:
In Article 13, paragraph 4 is replaced by the following: ‘4. Paragraphs 1, 2 and 3 shall not apply where the personal data have been collected in the context of a clear and circumscribed relationship between data subjects and a controller exercising an activity that is not data-intensive and there are reasonable grounds to assume that the data subject already has the information referred to in points (a) and (c) of paragraph 1, unless the controller transmits the data to other recipients or categories of recipients, transfers the data to a third country, carries out automated decision-making, including profiling, referred to in Article 22(1), or the processing is likely to result in a high risk to the rights and freedoms of data subjects within the meaning of Article 35.
Die ergänzte „Ausnahme von der Informationspflicht“ normiert eine Vereinfachung für Verantwortliche nach dem üblichen „Regel-Ausnahme-Prinzip“ vieler Normen.
1. Datenerhebung in einer klaren und beschriebenen Beziehung:
Das heißt konkret: Der Verantwortliche (Controller) muss eindeutig mit der betroffenen Person verbunden sein, z.B. als Kunde, Vertragspartner oder Mitglied, und die Daten dürfen nur für die klar festgelegten und legitimen Zwecke erhoben werden, die sich aus dieser spezifischen Beziehung ergeben. Diese Voraussetzung dient der rechtlichen Sicherheit und dem Schutz der Betroffenen, damit keine unbestimmte oder zweckentfremdete Datenerhebung erfolgt. Insbesondere muss der Verarbeitungszweck bereits bei der Datenerhebung klar festgelegt sein, da die Datenschutz-Grundverordnung DSGVO den Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) vorschreibt.
2. Die Verarbeitung darf nicht „datenintensiv“ sein, wobei dieser Begriff neu in die DSGVO eingefügt wird.
Nicht datenintensive Verarbeitungen zeichnen sich dadurch aus, dass die Menge der personenbezogenen Daten gering ist, die Verarbeitungsvorgänge nicht komplex sind und die Aktivität meist in klar umrissenen Kontexten stattfindet.
Ein typisches Beispiel ist die Datenverarbeitung im Rahmen einfacher Verträge, etwa die Verarbeitung von Kundendaten (Name, Adresse, Geburtsdatum) zur Erfüllung eines Kundenauftrags oder einer Mitgliedschaft in einem Verein. Beispiele hierfür sind auch einfache Datenverarbeitungen durch kleine Handwerksbetriebe oder Sportvereine, bei denen nur die minimal nötigen Daten für die Mitgliederverwaltung und Kommunikation verarbeitet werden.
Hier ist der Datenumfang überschaubar und die Verarbeitung fokussiert auf einen klar definierten Zweck, ohne umfangreiches automatisiertes Profiling oder komplexe Datenverarbeitungsschritte. Auch einfache elektronische Akten, die nicht nach komplexen Kriterien geordnet sind, fallen häufig in diese Kategorie.
3. Die Voraussetzung „there are reasonable grounds to assume that the data subject already has the information“ bedeutet
im Kontext der DSGVO dass der Verantwortliche (Controller) in bestimmten Fällen davon ausgehen kann, dass die betroffene Person bereits die notwendigen Informationen über die Datenverarbeitung
erhalten hat und daher nicht erneut informiert werden muss.
4. Diese Ausnahme greift jedoch nicht, und
die betroffene Person ist jedenfalls zu informieren, wenn eine der folgenden Bedingungen vorliegt:
-
Der Verantwortliche übermittelt die personenbezogenen Daten an einen anderen Empfänger oder eine andere
Empfängerkategorie,
-
die Daten an ein Drittland oder eine internationale Organisation übermittelt werden,
-
eine automatisierte Entscheidung gemäß Art. 22 Abs. 1 und 4 DSGVO getroffen wird,
- oder die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person mit sich bringt.
Diese Neuregelung soll sicherstellen, dass die Informationspflichten reduziert werden, wenn sie redundant wären, jedoch weiterhin ein hoher Datenschutzniveau gewahrt bleibt, insbesondere bei sensiblen Transfers, automatisierten Entscheidungen oder risikoreichen Prozessen.
Der Vorschlag dient der Erleichterung und Vereinfachung der Informationspflichten ohne Einschränkung des Schutzes der Rechte betroffener Personen in kritischen Fällen.
Kommentar schreiben