Möchten Sie die personenbezogene Daten Ihrer Mitarbeitenden oder Kunden verarbeiten, liegt die Pflicht darin, diese betroffenen Personen darüber zu informieren. In diesem Artikel erfahren Sie, worauf Sie besonders achten müssen.
Wie würden Sie die Informationspflichten beschreiben?
Dass Sie Ihre Kunden beispielsweise anrufen und ihnen mitteilen, dass Sie gewisse Daten für jene Zwecke benutzt haben? Naja, ganz so einfach geht das dann doch nicht. Die DSGVO bestimmt, dass Sie den Betroffenen immer VOR der Verarbeitung der Daten informieren müssen.
Verarbeiten Sie beispielsweise personenbezogene Daten als Arbeitgeber, müssen Sie ein sogenanntes Informationsschreiben für Ihre Mitarbeitenden aufsetzen. Diese müssen nämlich darüber informiert werden, welche Daten Sie für welche Zwecke von den Betroffenen, in dem Fall den Mitarbeitenden, verarbeiten. Außerdem müssen Sie die Art der Erhebung unterscheiden. Die DSGVO gibt daher vor, dass man zwischen personenbezogenen Daten bei der betroffenen Person selbst (Artikel 13), sowie einer Erhebung von Daten, die nicht direkt bei der betroffenen Person anzusetzen ist, sondern bei Dritten (Artikel 14), unterscheidet. Sie müssen jedoch in beiden Fällen eine Informationspflicht leisten.
Beispielhafte Inhalte der Informationspflichten
Name und Kontaktdaten: Die Kontaktdaten, inklusive der vollständige Name der verantwortlichen Person müssen der Person zur Verfügung gestellt werden, deren Daten verarbeitet werden. Wenn nötig, sollten Sie auch die Daten Ihrer Datenschutzbeauftragten angeben. Warum ist das so? Damit die betroffene Person die Möglichkeit hat, mit der verantwortlichen Person oder deren Beauftragte für Datenschutz in Kontakt treten können – es geht ja schließlich um deren Daten.
Zweck: Kurz gesagt: Sie sollten aufzeigen wieso, weshalb und warum Sie die personenbezogenen Daten erhoben und verarbeitet haben. Und das möglichst detailliert, dass bestenfalls keine Fragen mehr aufkommen.
Empfänger: Wer hat die erhobenen Daten empfangen? Hier müssten Sie angeben, welche Person oder Personengruppe die personenbezogenen Daten von beispielsweise Ihren Mitarbeitenden empfangen hat.
Dauer: Sie sollten dokumentieren und die Betroffenen darüber informieren, wie lange die Daten üblicherweise gespeichert werden.
Rechte: Wichtig ist auch, dass Sie die betroffene Person über ihre individuellen Rechte informieren. Diese sollten u.a. die Themen Auskunft, Löschung der Daten, Datenübertragbarkeit, Sperrung und Widerspruch als auch die Beschwerdemöglichkeit bei einer Aufsichtsbehörde umfassen.
Wichtig ist, dass Sie sich hier merken, dass wir nur einen Einblick in die Inhalte der Informationspflichten gegeben haben. Weitere Informationen, welche Bestandteile in der Informationspflicht enthalten sein sollten, finden Sie unter Art. 13 DSGVO. Für einen Gesetzestext ist das sehr verständlich formuliert und sogar in bullet points dargestellt. Außerdem sollten Sie sich unbedingt nochmal von Ihrem Datenschutzbeauftragten beraten und prüfen lassen. Haben Sie noch keinen, aber Fragen dazu, können Sie sich gerne bei uns unter www.perfekter-datenschutz.de oder www.dsgvo-onlinetraining.de melden.
Zuletzt nochmal ein Rat von uns an Sie
Sie sollten allerspätestens zum Zeitpunkt, an dem Sie die Daten erheben, Ihre Informationspflicht an die betroffene Person leisten. In Artikel 12 der DSGVO erfahren Sie genau, in welcher Form Sie diese Informationen darstellen sollten. Hier liegt der Blick besonders auf der Präzision und Transparenz der dargestellten Informationen. Ihnen ist freigestellt, in welcher Form Sie diese Informationspflicht verschriftlichen. Das kann auch ganz einfach in Form eines Informationsblattes erfolgen, welches Sie entweder selbst überreichen oder der betroffenen Person über einen digitalen oder postalischen Weg zusenden.
