Die Datenschutzgrundverordnung (DSGVO) - Teil 2: Informationspflichten

Vier Jahre das Ringen um ein einheitliches europäisches Datenschutzrecht gedauert. Am 25. Mai 2016 ist es endlich in Kraft getreten. Doch besonders kleine und mittelständische Unternehmen haben mit den neuen Regelungen noch nichts am Hut, ist des mächtige Regelkonstrukt kaum zu durchschauen. Unsere neue Themenreihe zur Datenschutzgrundverordnung (DSGVO) soll Licht ins Dunkel bringen und Händler bei der Umsetzung bis 2018 unterstützen.

(Bildquelle Internet-Security: Lichtmeister via Shutterstock)

Was passiert mit meinen Daten, wie kann ich mich vom Newsletter abmelden, welche Cookies verwendet die Webseite und welche Daten werden hierfür von mir gespeichert? Dass hierüber belehrt werden muss, überrascht keinen Online-Händler. Bereits das jetzt geltende Datenschutzrecht in Deutschland schreibt die Grundsätze hierfür fest. Selbst auf der kleinsten Webpräsenz befindet sich daher eine Schaltfläche, die mit „Privatsphäre und Datenschutz“ o. ä. Formulierungen betitelt ist und die Webseitenbesucher mehr oder weniger ausführlich über die Datenerhebung und -nutzung informiert.

Information, Überinformation und Verschweigen von kleinen, aber brisanten Details! Ein schmaler Grat, der besonders im Datenschutz schwimmend ist. Dass Datenschutzerklärungen ihren Zweck überhaupt nicht erfüllen, sie sogar völlig verfehlen, hat bereits die Stiftung Warentest bemängelt. Eins steht fest: Weniger Informationspflichten werden es durch die neue Datenschutzgrundverordnung nicht…

Die (neuen) Informationspflichten nach der DSGVO

Die DSGVO widmet den erweiterten und erheblich modernisierten Rechten der Betroffenen sogar ein eigenes Kapitel (Kapitel III der DSGVO). Dort werden auch die neuen Informationspflichten festgeschrieben, derer sich der zweite Teil unserer Themenreihe annimmt.

Zunächst zur Begriffsbestimmung: „betroffene Person“ im Sinne der DSGVO ist dabei eine identifizierte oder identifizierbare natürliche Person. Als identifizierbar wird eine natürliche Person angesehen, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen […] identifiziert werden kann“.

Die Artikel 13 bis 14 der DSGVO sehen einen umfangreichen Katalog von Informationspflichten vor. Zu den diesen Informationspflichten gehören:

• Artikel 13 - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
• Artikel 14 - Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person, Artikel 13

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

• Den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
• die Zwecke der Datenverarbeitung;
• die Rechtsgrundlage für die Verarbeitung;
• die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie ggf. der Hinweis, dass es sich um ein unsicheres Drittland handelt.

Zusätzlich stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

• Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

• das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten;
• das Bestehen eines Rechts auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung;
• das Bestehen eines Widerspruchsrechts gegen die Verarbeitung;
• das Bestehen eines Rechts auf Datenübertragbarkeit;
• das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, Artikel 14

Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person außerdem Folgendes mit:

• Den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
• zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen sowie
• die Rechtsgrundlage für die Verarbeitung;
• die Kategorien personenbezogener Daten, die verarbeitet werden;
• gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
• gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie ggf. der Hinweis, dass es sich um ein unsicheres Drittland handelt.

Zusätzlich zu den vorgenannten Informationen stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:

• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
• die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
• das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten;
• das Bestehen eines Rechts auf Berichtigung oder Löschung;
• das Bestehen eines Rechts auf Einschränkung der Verarbeitung;
• das Bestehen eines Widerspruchsrechts gegen die Verarbeitung;
• das Bestehen eines Rechts auf Datenübertragbarkeit;
• das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
• aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Der Verantwortliche erteilt die Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist spätestens zum Zeitpunkt der ersten Mitteilung zu belehren.

Form der Informationserteilung

Die grundsätzlichen Anforderungen an die erteilten Informationen werden durch das Transparenzgebot bestimmt, d. h. die betroffenen Personen müssen klar darüber informiert werden, welche Rechte ihnen zustehen und wie diese ausgeübt werden können. Der Verantwortliche hat der betroffenen Person alle Informationen und alle Mitteilungen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Diese genaue Regelung ist eine Neuerung im Vergleich zum bisher geltenden deutschen Datenschutzrecht.

Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Sogar eine Datenschutzerklärung in Piktogrammen ist nach dem ausdrücklichen Wortlaut der DSGVO denkbar. Die Informationen, die den betroffenen Personen bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Wie das wohl in der Praxis aussehen soll…?

Sanktionen

Die vorgenannten Informationspflichten sind einzuhalten. Verstoßen Online-Händler gegen die Informationspflichten, kann gegen sie ein Bußgeld in Höhe von bis zu 20.000 Euro bzw. maximal 4 Prozent des Jahresumsatzes verhängt werden.

Praxistipp

Die Erteilung der neuen Informationspflichten ist für Online-Händler ohne Hilfe schlicht und ergreifend nicht möglich. Die vorgenannte Reihe der Informationspflichten ist schier unüberschaubar. Bis 2018 sollten sich Händler daher einen fachkundigen Beistand suchen, der ihnen bei der Umsetzung hilft.

Händlerbund-Mitglieder werden vorher entsprechend über ihre geänderten Rechtstexte informiert.

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.