4 wichtige Punkte zu der Informationspflicht

Informationspflichten

Teile diesen Blogbeitrag

Die Informationspflicht bei der Erhebung von personenbezogenen Daten: Was Unternehmen wissen müssen

Im Rahmen der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen zu einer Informationspflicht verpflichtet. Das heißt, sie müssen ihre Kunden transparent darüber informieren, welche personenbezogenen Daten sie erheben und wie diese Daten verarbeitet werden. Diese Informationspflicht gilt sowohl für Daten, die direkt beim Kunden erhoben werden, als auch für Daten, die von Dritten bezogen werden.

Die DSGVO stellt sicher, dass betroffene Personen die Kontrolle über ihre personenbezogenen Daten behalten. Eine unzureichende oder fehlerhafte Information kann nicht nur zu einem Vertrauensverlust bei den Kunden führen, sondern auch zu rechtlichen Konsequenzen für das Unternehmen. In diesem Artikel erklären wir, wann die Informationspflicht eintritt, welche Informationen Unternehmen bereitstellen müssen und welche praktischen Maßnahmen zur Einhaltung der DSGVO getroffen werden können.

1. Wann tritt die Informationspflicht ein?

Die Informationspflicht tritt bei jeder Verarbeitung von personenbezogenen Daten in Kraft. Das bedeutet, dass immer dann, wenn ein Unternehmen personenbezogene Daten erhebt, sei es bei Abschluss eines Vertrages oder bei der Bereitstellung von Online-Diensten, der betroffenen Person klar und verständlich mitgeteilt werden muss, wie ihre Daten verwendet werden.

Die DSGVO unterscheidet zwei wesentliche Fälle:

  1. Direkte Datenerhebung: Hierbei werden die Daten unmittelbar beim Kunden erhoben, beispielsweise durch Formulare, Bestellungen oder Anfragen.
  2. Indirekte Datenerhebung: In diesem Fall stammen die Daten aus einer anderen Quelle, beispielsweise von Dritten oder öffentlich zugänglichen Datenbanken.

In beiden Fällen ist das Unternehmen verpflichtet, die betroffene Person innerhalb einer angemessenen Frist zu informieren. Erfolgt die Datenerhebung direkt beim Kunden, muss die Information bereits zum Zeitpunkt der Erhebung erfolgen. Bei der indirekten Erhebung müssen die Betroffenen spätestens innerhalb eines Monats über die Verarbeitung informiert werden.

2. Welche Informationen müssen bereitgestellt werden?

Der Kunde, als betroffene Person, muss umfassend über die Verarbeitung seiner Daten informiert werden. Diese Information sollte am besten in Textform, z.B. per E-Mail oder in Papierform, zum Zeitpunkt der Datenerhebung erfolgen. Ein solcher Datenschutzhinweis sollte folgende Informationen enthalten:

2.1 Kontaktdaten und Namen des Verantwortlichen

Wer ist für die Datenverarbeitung verantwortlich? Hier müssen sowohl der Name als auch die Kontaktdaten des Unternehmens und ggf. des Datenschutzbeauftragten angegeben werden. Dies ermöglicht es der betroffenen Person, bei Bedarf weitere Informationen anzufordern oder ihre Rechte geltend zu machen.

2.2 Zweck der Verarbeitung

Warum werden die Daten erhoben? Es muss genau angegeben werden, zu welchem Zweck die Daten verarbeitet werden. Typische Zwecke können sein:

  • Vertragserfüllung
  • Kundenbetreuung
  • Marketing- oder Werbemaßnahmen
  • Erbringung von Dienstleistungen

2.3 Rechtsgrundlage und Speicherdauer

Die Verarbeitung personenbezogener Daten muss immer auf einer rechtlichen Grundlage beruhen. Die DSGVO nennt verschiedene Rechtsgrundlagen, darunter:

  • Einwilligung der betroffenen Person
  • Erforderlichkeit zur Vertragserfüllung
  • Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung
  • Berechtigte Interessen des Unternehmens

Zusätzlich muss angegeben werden, wie lange die Daten gespeichert werden oder nach welchen Kriterien sich die Speicherdauer bestimmt.

2.4 Berechtigte Interessen

Wenn die Verarbeitung auf berechtigte Interessen gestützt wird, müssen diese Interessen klar benannt werden. Ein Beispiel für ein berechtigtes Interesse ist die Verarbeitung von Kundendaten zur Verbesserung des Kundenservice.

2.5 Empfänger der Daten

An wen werden die Daten weitergegeben? Hierbei sind die Empfänger oder die Kategorie von Empfängern anzugeben. Dies können beispielsweise:

  • Zahlungsdienstleister
  • Marketingagenturen
  • Logistikunternehmen

2.6 Übermittlung in Drittländer

Falls Daten in Drittländer übermittelt werden, muss darüber informiert werden, einschließlich des Vorhandenseins oder Fehlens eines Angemessenheitsbeschlusses der Europäischen Kommission. In Fällen, in denen kein solcher Beschluss existiert, müssen geeignete Schutzmaßnahmen dargelegt werden.

2.7 Betroffenenrechte

Der Kunde muss über seine Rechte nach Art. 13 Abs. 2 lit. B) bis lit. D) DSGVO aufgeklärt werden. Dazu gehören:

  • Das Recht auf Auskunft
  • Das Recht auf Berichtigung
  • Das Recht auf Löschung („Recht auf Vergessenwerden“)
  • Das Recht auf Einschränkung der Verarbeitung
  • Das Recht auf Datenübertragbarkeit

2.8 Automatisierte Entscheidungsfindung

Sollte es zu einer automatisierten Entscheidungsfindung, einschließlich Profiling, gemäß Art. 22 DSGVO kommen, ist dies ebenfalls mitzuteilen.

2.9 Weiterverarbeitung

Falls die Daten für einen anderen als den ursprünglich genannten Zweck weiterverarbeitet werden sollen, muss der Kunde darüber informiert werden.

3. Unterschiede zwischen direkter und indirekter Datenerhebung

Es wird unterschieden zwischen personenbezogenen Daten, die direkt beim Kunden erhoben werden (Art. 13 DSGVO), und Daten, die von einem Dritten stammen (Art. 14 DSGVO). Beide Artikel definieren ähnliche, aber nicht identische Informationspflichten. Grundsätzlich können die Anforderungen aus Art. 13 und 14 DSGVO als Checkliste verwendet werden, um sicherzustellen, dass alle notwendigen Informationen bereitgestellt werden.

4. Erstellung einer Datenschutzerklärung

Aufgrund der Komplexität der Anforderungen empfehlen wir, eine Datenschutzerklärung von einem fachkundigen Datenschützer, wie einem Datenschutzbeauftragten oder Rechtsanwalt, erstellen zu lassen. Eine fehlerhafte oder unzureichende Datenschutzerklärung kann nicht nur Bußgelder nach sich ziehen, sondern auch Schadensersatzansprüche zur Folge haben. Wenn Sie dafür keine Kapazität oder Ressourcen haben, haben wir in diesem Artikel alle wichtigen Informationen zu der Datenschutzerklärung für Sie aufgelistet. Auch im Gesetz findet sich dazu ein gute Auflistung. Ausnahmsweise mal eine, die man als Nicht-Jurist auch versteht.

Fazit

Die Informationspflicht nach der DSGVO ist ein wesentlicher Bestandteil des Datenschutzes und dient dem Schutz der Rechte der betroffenen Personen. Unternehmen müssen sicherstellen, dass sie ihre Kunden umfassend und transparent über die Verarbeitung ihrer personenbezogenen Daten informieren. Eine sorgfältig erstellte Datenschutzerklärung ist dabei unerlässlich, um rechtliche Risiken zu minimieren und das Vertrauen der Kunden zu gewinnen. Indem Unternehmen die DSGVO-Vorgaben konsequent umsetzen, können sie nicht nur Strafen vermeiden, sondern auch ihre Reputation stärken und eine vertrauensvolle Kundenbeziehung aufbauen.

Datenschutz-beauftragung

Brauchst du Hilfe in der Bearbeitung der oben genannten Themen? Oder sucht ihr schon länger nach einem externen Datenschutzbeauftragten, der euch monatlich unterstützt?
Melde dich hier!
Dein eigenes Onlinetraining!

Möchtest du dir die Dinge lieber in deiner eigenen Zeit und auf effiziente sowie strukturierte Art beibringen? Dann buche unser DSGVO-Onlinetraining ab 249 Euro.

Buche deinen Kurs hier!

Mehr Blogbeiträge

Player der DSGVO
DSGVO

6 Player der DSGVO

In diesem Artikel geht es um die „Player“ in der DSGVO-Welt. Als Beispiel wird zum einen Dennis genannt, welcher den Kunden eines Unternehmens darstellen soll. Zum anderen wird die Doris

weiter lesen »
Dezember 2, 2022

Datenschutz muss nicht Langweilig sein!

Wir helfen Ihnen gerne, aber...

Bitte beachten Sie: wir haben aktuell Kapazität für 10 zusätzliche, neue Mandanten pro Monat.

Unsere Dienstleistung ist stark nachgefragt und gerne besprechen wir Ihren Bedarf in einem kostenfreien Erstgespräch.

Angebot anfordern

© All Rights Reserved 2024

Wie können wir Ihnen helfen?