Informationspflicht in der DSGVO – welche Änderungen bringen die neuen Regelungen mit sich?

Service

Am 25. Mai 2018, Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung Richtlinie 95/46/EG (Datenschutzgrundverordnung) (im Folgenden: „DSGVO“). Die Informationspflicht in der DSGVO verändert den Umgang mit personenbezogenen Daten revolutionär. Durch das Auferlegen unter anderem über die Verwalter personenbezogener Daten (im Folgenden: "ADO") eine Reihe neuer Verpflichtungen, die nicht im bisher geltenden Gesetz zum Schutz personenbezogener Daten vom 29. August 1997 (d. h. Gesetzblatt von 2016, Pos. 922 in der jeweils gültigen Fassung) : "UODO"), einschließlich der Informationspflicht.

Die Information der betroffenen Personen über deren Verarbeitung ist eine der Grundpflichten von PDC. Aber was ist diese Verpflichtung und warum führen die neuen Regelungen einen bisher unbekannten Ansatz zum Thema personenbezogene Daten ein? Die Antworten auf solche Fragen werden im Folgenden gegeben.

Was sind personenbezogene Daten?

Bevor wir uns die Informationspflicht nach der DSGVO genauer ansehen, sollten wir zunächst die Frage beantworten, was sind personenbezogene Daten und welche personenbezogenen Daten sind nach der DSGVO personenbezogene Daten?

In der Präambel der DSGVO lesen wir, dass der wirtschaftliche Fortschritt sowie die Entwicklung neuer Technologien – insbesondere der IT – die Bedrohungen der Privatsphäre einer Person, d. h. ihrer personenbezogenen Daten, erhöht haben, was zu einer Erweiterung der den Geltungsbereich des Begriffs der personenbezogenen Daten.

Die DSGVO gibt an, dass personenbezogene Daten umfassen: Vor- und Nachname, Identifikationsnummer (z. B. NIP, PESEL oder ID-Kartennummer), Standortdaten, Internet-Identifikator (z. B. IP-Nummer, E-Mail-Adresse) oder einen oder mehrere spezifische Faktoren, die die physische, physiologische , genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität einer natürlichen Person, einschließlich DNA und RNA, dh Daten über die ererbten oder erworbenen genetischen Merkmale einer natürlichen Person.

Für wen gilt die Informationspflicht nach der DSGVO?

Der Unternehmer im Bereich der Geschäftstätigkeit im Sinne der DSGVO fungiert als Administrator der personenbezogenen Daten. Die bloße Erhebung personenbezogener Daten seiner Kunden, Mitarbeiter oder Mitarbeiter durch einen Unternehmer verpflichtet ihn, die Sicherheit der Verwaltung dieser Daten zu gewährleisten und folglich die Bestimmungen der DSGVO anzuwenden.

Das Inkrafttreten der DSGVO hat unter anderem Auswirkungen auf für Unternehmer, die Online-Shops betreiben, einschließlich solcher, die Waren über Einkaufsplattformen verkaufen, elektronische Dienstleistungen anbieten, Newsletter bereitstellen oder Tickets für verschiedene Arten von Veranstaltungen verkaufen. Daher ist auf den ersten Blick zu erkennen, dass der subjektive Anwendungsbereich der neuen Regelungen sehr weit ist.

Gemäß Art. 4 Nr. 7 DSGVO bedeutet PDC sowohl eine natürliche Person, eine juristische Person als auch eine andere Stelle, die unabhängig oder gemeinsam mit anderen die Zwecke und Methoden der Verarbeitung personenbezogener Daten festlegt. Die Informationspflicht in der DSGVO liegt daher sowohl bei Einzelunternehmern als auch bei handelsrechtlichen Gesellschaften – sowohl mit eigener Rechtspersönlichkeit als auch bei Gesellschaften mit beschränkter Haftung. oder S.A., sowie persönliche, d.h. offene Handelsgesellschaft, Kommanditgesellschaft, Kommanditgesellschaft und Kommanditgesellschaft auf Aktien. Es ist zu beachten, dass Personen mit Führungsaufgaben, d. h. Mitglieder der Geschäftsleitung oder sonstiges Führungspersonal, den ADO-Status nicht erhalten. Nur das Unternehmen als solches erhält den ADO-Status.

Informationspflicht - Informationsumfang

Die Informationspflicht nach der DSGVO ist die Verpflichtung, die betroffene Person umfassend über die Verarbeitung personenbezogener Daten zu informieren.

Diese Verpflichtung wird bereits bei der Erhebung personenbezogener Daten sowie bei der Entscheidung über deren Weiterverarbeitung aktualisiert. Darüber hinaus ist das PDC verpflichtet, auch in jedem Stadium der Verarbeitung Auskunft über die Verarbeitung personenbezogener Daten zu erteilen, wenn die betroffene Person Auskunft verlangt (Art. 15 DSGVO).

Die grundsätzliche Informationspflicht der PDC ist in Art. 13 und 14 DSGVO. Diese Bestimmungen können verwendet werden, um die folgende Liste von Informationen zu erstellen, die PDC der Person zur Verfügung stellen muss, deren personenbezogene Daten verarbeitet werden:

Artikel 13, 14 der DSGVO

Art. 24-25 und Art.-Nr. 32 UODO

1. seine Identität und Kontaktdaten und gegebenenfalls die Identität und Kontaktdaten seines Vertreters;

Wiederholung mit der Datenschutzbehörde

 

2.gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

neu (nicht im Amt für Datenschutz)

3. Zwecke der Verarbeitung personenbezogener Daten und Rechtsgrundlage für die Verarbeitung;

in Bezug auf die Bereitstellung der Rechtsgrundlage - neu (nicht im Amt für den Schutz personenbezogener Daten enthalten)

4.wenn die Verarbeitung zum Zwecke der berechtigten Interessen des Administrators oder eines Dritten erforderlich ist - berechtigte Interessen des Administrators oder eines Dritten;

neu (nicht im Amt für Datenschutz)

5.Informationen über die Empfänger personenbezogener Daten oder gegebenenfalls Kategorien von Empfängern;

Wiederholung mit der Datenschutzbehörde

6.gegebenenfalls Informationen über die Absicht, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln und über die Feststellung oder Nichtfeststellung eines angemessenen Schutzniveaus durch die Kommission oder im Falle einer Übermittlung;

neu (nicht im Amt für Datenschutz)

7.die Dauer der Speicherung der personenbezogenen Daten und, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

neu (nicht im Amt für Datenschutz)

8.Informationen über das Recht, den Administrator aufzufordern, auf personenbezogene Daten der betroffenen Person zuzugreifen, diese zu berichtigen, die Verarbeitung zu löschen oder einzuschränken oder der Verarbeitung zu widersprechen, sowie das Recht auf Datenübermittlung;

Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit - neu (nicht im Amt für den Schutz personenbezogener Daten enthalten)

9.wenn die Verarbeitung auf Art. 6 Sek. 1 lit. a) oder Art. 9 Sek. 2 beleuchtet. a) - Information über das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

neu (nicht im Amt für Datenschutz)

10. Informationen zum Beschwerderecht bei der Aufsichtsbehörde;

neu (nicht im Amt für Datenschutz)

11.Informationen darüber, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder Voraussetzung für einen Vertragsabschluss ist und ob die betroffene Person zur Bereitstellung verpflichtet ist und welche Folgen eine Nichtbereitstellung der Daten hat;

neu (nicht im Amt für Datenschutz)

12.Informationen über automatisierte Entscheidungsfindung, einschließlich Profiling gemäß Art. 22 Sek. 1 und 4 sowie – zumindest in diesen Fällen – relevante Informationen über die Regelungen zu ihrer Erhebung sowie die Bedeutung und die angestrebten Folgen einer derartigen Verarbeitung für die betroffene Person.

neu (nicht im Amt für Datenschutz)

Um die oben beschriebene Informationspflicht nach der DSGVO zu erfüllen, sollte der Unternehmer die Unterlagen und Vorschriften im Bereich der personenbezogenen Datenverarbeitung sorgfältig prüfen.

Der Grundsatz der Transparenz – in welcher Form soll die Informationspflicht erfüllt werden und bis zu welcher Frist?

Art. 12 Sek. 1 DSGVO legt fest, dass die im Zusammenhang mit der Verarbeitung personenbezogener Daten erteilten Informationen dem Grundsatz der Transparenz entsprechen müssen, wonach jede an die betroffene Person gerichtete Mitteilung leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst sein muss. Darüber hinaus geht der EU-Gesetzgeber davon aus, dass die unter Verwendung von grafischen Symbolen bereitgestellten Informationen für den Empfänger verständlicher und transparenter ausfallen können. Aus diesem Grund ist Art. 12 Sek. 7 DSGVO wird darauf hingewiesen, dass: Informationen, die betroffenen Personen gemäß Art. 13 und 14 können mit üblichen grafischen Zeichen versehen werden, die den Sinn der beabsichtigten Verarbeitung klar, umfassend und leserlich wiedergeben.

Die in der DSGVO genannten Informationen werden schriftlich und ggf. in elektronischer Form erteilt. Auf Verlangen der betroffenen Person kann die Auskunft auch mündlich erfolgen, sofern die Identität der betroffenen Person auf andere Weise bestätigt wird.

Zweifellos kann der Informationspflicht bereits bei Einholung einer Einwilligung in die Verarbeitung personenbezogener Daten nachgekommen werden. Am einfachsten ist es, alle notwendigen Informationen zur DSGVO in den Regelungen zur Leistungserbringung oder dem Online-Shop anzugeben. Dennoch sieht die DSGVO eine Frist von einem Monat für die Erfüllung der Informationspflicht ab dem Zeitpunkt der Erhebung personenbezogener Daten oder dem Zeitpunkt des Erhalts eines entsprechenden Auskunftsersuchens der betroffenen Person vor.

Haftung bei Verletzung der Informationspflicht

Obwohl das PDC die Erfüllung von Pflichten im Bereich der Verwaltung personenbezogener Daten beauftragen kann, ist er für den angemessenen Schutz personenbezogener Daten aufgrund der gesetzlichen Bestimmungen verantwortlich. In der Zwischenzeit wurden strenge Sanktionen für die Nichteinhaltung der Informationspflicht verhängt.

Besonders hervorzuheben ist in diesem Zusammenhang Art. 83 DSGVO, wonach Verstöße gegen die Vorschriften über die Offenlegungspflichten mit einer Geldbuße von bis zu 20.000.000 EUR und im Falle eines Unternehmens bis zu 4 % des weltweiten Gesamtjahresumsatzes aus dem vorangegangenen Geschäftsjahr geahndet werden . Es sollte anerkannt werden, dass dies eine grob hohe Strafe ist. Darüber hinaus wird GIODO unabhängig davon nationale Vorschriften über Sanktionen bei missbräuchlicher Erfüllung von Offenlegungspflichten anwenden.

In Anbetracht der Tatsache, dass die Sanktion für die Verletzung von Informationspflichten das Risiko einer sehr hohen Geldstrafe darstellt, ist es erforderlich, die neu definierten Pflichten sorgfältig anzugehen und die Dokumentation zum Schutz personenbezogener Daten mit größter Sorgfalt zu erstellen.