Wie sind betroffene Personen über die Verarbeitung ihrer Daten zu informieren?
Wie kann das gegenüber Kunden oder im Marketing erfolgen?
Die bisherige Rechtslage nach DSG 2000
Schon im DSG 2000 finden sich Bestimmungen zur Offenlegung und Transparenz bei Verarbeitung von personenbezogenen Daten.
Einerseits diente die Verpflichtung zur Meldung von Datenanwendungen beim Datenverarbeitungsregister, das ab 25.05.2018 seine Funktion verliert, der Transparenz. Es ist für jedermann einsehbar, und so konnte sich jedes Datensubjekt informieren, wenn es mit einem Auftraggeber in Kontakt stand, welche Daten über ihn/sie verarbeitet wurden. Ausgenommen von der Meldeverpflichtung sind/waren nur die sog. Standard- und Musteranwendungen, dh Anwendungen, die zum Teil auf gesetzlicher Basis (Melderegister …) oder für Datenanwendungen, die als übliche Anwendungen in Organisationen (zB Personalverwaltung) dienen.
Jede Organisation ist/war verpflichtet, bei Übermittlungen von Daten und im Kontakt mit den betroffenen Personen (Mitteilungen an diese)
· die eigene Identität (Auftraggeber) und
· die Datenverarbeitungsregisternnummer (DVR-Nummer) anzuführen.
Wenn die Daten aus einer Datenanwendungen für Zwecke Dritter stammten, musste auch die Identität des Dritten und dessen DVR-Nummer angegeben werden.
Generelle Regelung zur Information in Art 12 DSGVO
Die DSGVO schreibt vor, dass der Verantwortliche (dh derjenige, der über den Zweck und die Mittel der Verarbeitung entscheidet) die betroffenen Personen (dh die Personen, deren Daten er verarbeitet) im Zeitpunkt der Erhebung über die Verarbeitungsvorgänge informiert, und zwar
· einerseits die Personen, von denen er direkt Daten (über die eigene Person) erhält,
· und andererseits auch Personen, bei denen die Datenerhebung ohne direkten Kontakt mit denselben erfolgt.
Einen Auftragsverarbeiter (der im Auftrag eines Verantwortlichen personenbezogene Daten verarbeitet) trifft diese Informationsverpflichtung nicht.
Die Mitteilung ist in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Die Information kann schriftlich oder in anderer Form, z.B. elektronisch, oder wenn die betroffene Person es verlangt, auch mündlich erfolgen. Die Informationserteilung erfolgt unentgeltlich.
Es besteht die Möglichkeit, die Information in Kombination mit standardisierten Bildsymbolen zu erteilen, die bei elektronischer Darstellung maschinenlesbar sein müssen. Die Kommission wird uU eine Verordnung zu derartigen Bildsymbole und Verfahren zur Bereitstellung erlassen.
Gibt es eine Verpflichtung Bestandskunden oder Personen, deren Daten am 25.05.2018 im Bestand sind, zu informieren?
Die Information ist dem Datensubjekt (betroffene Person) vom Verantwortlichen im Zeitpunkt der Erhebung der Daten zu geben. Der Auslöser für die Verpflichtung zur Information ist daher die Erhebung der Daten.
Wurde Daten bereits vor dem 25.05.2018 erhoben (Bestandskunden, Marketingdatenbank …), dann ist es daher nicht notwendig am 25.502018 (oder danach), diese über die Verarbeitungsvorgänge gewissermaßen mit einer „Standardinformation zum Datenschutz nach DSGVO“ zu informieren. Die Gesellschaft für Datenschutz und Datensicherheit e.V. (Deutschland) spricht davon, dass die “DS-GVO keine pauschale Bestandsinformation am 25. Mai 2018, also keinen „Transparenz-Reset“ vorsieht“.
Erst wenn Daten ab 25.05.2018 (neu) erhoben werden, muss die betroffene Person im Rahmen der Informationspflichten umfassend nach Art 13 (bei direkter Erhebung der Daten) oder Art 14 (bei indirekter Erhebung) informiert werden.
Informationspflicht bei direkter Datenerhebung gem. Art 13 DSGVO
Der Verantwortliche hat der betroffenen Person Informationen bei Erhebung der Daten in direktem Kontakt mit der betroffenen Person zur Verfügung zu stellen.
Dafür gibt es unterschiedliche Fallkonstellationen:
· Kunden, die beim Verantwortlichen über einen Webshop, eine App, einen Automaten oder direkt im Geschäft oder bei einem Ticketschalter, Produkte kaufen oder Dienstleistungen beziehen.
· Lieferanten, die über ein Portal oder direkt ihre Produkte oder Dienstleistungen an den Verantwortlichen anbieten / verkaufen.
· Interessenten, die sich über ein Kontaktformular mit Fragen an die Organisation wenden.
· Interessenten, die einen Newsletter abonnieren.
· Besucher der Website, die über Website-Tracking-Tools oder mittels Cookies „verfolgt“ werden
· Besucher des Bürogebäudes oder des Werkes, die einen Besucherausweis erhalten, und deren Daten erhoben und gespeichert werden
· Bewerber, die sich über Anzeigen, Internetportale oder initiativ bewerben
· Beschäftigte Personen, die den Dienstvertrag oder Dienstzettel unterschreiben
· Personen, die sich in einem videoüberwachten Bereich aufhalten
Der Verantwortliche hat aktive Schritte zu unternehmen, um die Information den betroffenen Personen (Datensubjekte) zu geben.
Es ist daher notwendig, dass jede Organisation das Verzeichnis von Verarbeitungstätigkeiten gem. Art 30 durchsieht und zur notwendigen Erfüllung der Informationspflicht, zumindest folgende Schritte unternimmt:
Wann sind die Informationen zu erteilen und wie kann das erfolgen?
„Zum Zeitpunkt der Erhebung“: dh grundsätzlich unmittelbar in zeitlichen Zusammenhang mit der tatsächlichen Erhebung der Daten, dh der Aufnahme der Daten (Erfassung) in ein (elektronisches) Dateisystem. Es ist daher danach zu fragen, wann der erste Kontakt mit dem Kunde/Interessenten/Marketingsubjekt besteht, und ob die Daten direkt erhoben werden.
Bei einer Anmeldung zu einem Newsletter ist der Zeitpunkt der Erhebung daher der Anmeldzeitpunkt (z.B. im Internet) oder die Abgabe der Einwilligungserklärung (z.B. auf einer Gewinnspielkarte oder einem Formular bei einem Messestand); die gleiche Möglichkeit gibt es auch bei einem Kontaktformular auf der Website.
Bei der Verwendung einer App oder von Software im Download ist dies der Zeitpunkt des Downloads bzw. der Installation auf dem Gerät. Auch bei einem Automatenkauf, bei dem personenbezogene Daten verarbeitet werden, ist eine Datenschutzinformation notwendig.
Bei einem Vertragsabschluss mit Kunden (einem Lieferanten oder Partner) ist dies der Zeitpunkt des Vertragsabschlusses im Geschäftslokal oder beim Kunden in persönlichem Kontakt, per Email oder über einen Webshop.
Handelt es sich nur um telefonischen Kontakt, dann empfiehlt es sich, einen Hinweis auf die Verarbeitung der personenbezogenen Daten bereits im Ansagetext aufzunehmen.
Zu diesem Zeitpunkt muss die Person, deren Daten verarbeitet wird, auf die Verarbeitung hingewiesen werden
Im Sinne einer mehrstufigen Datenschutz-Information[1] besteht die Möglichkeit, die Person auf eine Datenschutz-Information auf der Website oder in einem ähnlichen Medium hinzuweisen, wenn davon auszugehen ist, dass die betroffene Person die Möglichkeit hat, leicht und ohne große Hindernisse auf diese Information zuzugreifen. Es ist empfehlenswert, eine „Hard-Copy“ der Datenschutzinformation zur Verfügung zu haben, und zB im Geschäftslokal aufzulegen.
Es wird sich daher empfehlen, überall dort, wo mit Kunden / Interessenten / Marketingsubjekten kommuniziert wird, über die Verarbeitung von personenbezogenen Daten und den Zweck der Datenverarbeitung zu informieren, und eine Hinweis auf die Zugangsmöglichkeit zu weiteren Informationen zu geben.
Dies kann zB im Email-Footer oder auf dem Briefpapier, auf Bestellformularen oder Kontaktformularen, durch einen Aufsteller an der Kassa oder einen Aushang im Ladenlokal wie folgt erfolgen:
Wir verarbeiten personenbezogene Daten zu Abwicklung unserer Geschäftstätigkeit sowie Marketing. Weitere Informationen finden sie unter www.xxx.xxx/Datenschutzinformation.
Die weiteren notwendigen Informationen des Art 13 DSGVO sollten dann unmittelbar im Internet[2] abrufbar sein, oder auf Anfrage zB als Brochüre
oder Hardcopy zur Verfügung stehen (zB beim Messestand, beim Verkaufspersonal etc..), wenn davon auszugehen ist, dass das Publikum die Möglichkeit hat, auf diese Informationen zuzugreifen.
Welche Informationen sind zu erteilen?
·
Namen und Kontaktdaten (Adresse, Telefonnummer, Email-Adresse) des Verantwortlichen und gegebenenfalls seines Vertreters (= Vertreter iSd Art 27 DSGVO für Organisationen,
die außerhalb der EU den Sitz haben.)
·
Kontaktdaten des Datenschutzbeauftragten (sofern bestellt; es besteht nicht die Notwendigkeit, den
Namen offenzulegen, denn es reicht, dass die betroffenen Personen die Möglichkeit zur Kontaktaufnahme haben: dsba@domain.at oder Telefonnummer oder
Adresse)
·
Zweck der Verarbeitung (Kundenverwaltung, Marketing). Der Zweck des Verarbeitungsvorgang kann aus
dem Verzeichnis gem. Art 30 DSGVO entnommen werden.
·
Rechtsgrundlage der Verarbeitung: Jede Verarbeitungstätigkeit bedarf zumindest einer Grundlage für
ihre Rechtmäßigkeit (Datenverarbeitung ist grundsätzlich verboten, außer sie ist (durch einen der Tatbestände der DSGVO) erlaubt). Bei „allgemeinen“ oder „schlichten“ Daten sind die
„Erlaubnistatbestände“ in Art 6 Abs 1 (a) bis (f) DSGVO. Bei „besonderen Datenkategorien“, dh z.B. Gesundheitsdaten oder biometrischen Daten
sind Grenzen der erlaubten Datenverarbeitung in Art 9 festgelegt (und enger als bei „allgemeinen“ oder „schlichten“ Daten).
Die Erlaubnistatbestände für die Verarbeitung von „allgemeinen“ Daten sind:
· Einwilligung (jederzeit widerrufbar, informiert und frewillig!), welche dann verwendet wird, wenn keine andere Rechtsgrundlage tauglich sein kann, zB Newsletterversand per Email
· Ein Vertrag (Kunde/Lieferant/beschäftigte Person) oder die Vertragsanbahnung (Interessent/Bewerber) (ausgehend von der betroffenen Person) – für diejenigen Daten, die für die Vertragserfüllung erforderlich sind, wobei Haupt- und Nebenpflichten des Vertrages die Notwendigkeit definieren
· Notwendigkeit der Erfüllung einer rechtlichen (gesetzlichen) Verpflichtung, der der Verantwortliche unterliegt (die sich aus einem Gesetz, einer Verordnung oder einer sonstigen generellen Norm der EU oder eines Mitgliedsstaates ergeben muss)
· Schutz von lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person
· Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Ausübung öffentlicher Gewalt
·
Berechtigtes Interesse des Verantwortlichen oder eines Dritten (zB Marketing oder IT-Sicherheit
oder Eigentumsschutz), sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen. Beim berechtigen
Interesse besteht eine erhöhte Transparenzpflicht (das Interesse ist im Rahmen der Informationserteilung anzugeben).
Es besteht bei der Rechtsgrundlage „berechtigtes Interesse“ ein Widerspruchsrecht der betroffenen Personen, dh die betroffenen Personen können der Verarbeitung widersprechen. Die betroffenen
Personen sind auf dieses Widerspruchsrecht gesondert hinzuweisen. Behörden in Erfüllung ihrer Aufgaben können sich nicht auf die Rechtsgrundlage des berechtigten Interesses stützen.
Bei Marketing gibt es ein absolutes Widerspruchsrecht (ohne Interessensabwägung), sodass nach dem Widerspruch die weitere Datenverarbeitung für Marketingzwecke zu unterbleiben hat.
Überdies ist auf die Rechte der betroffenen Person (Auskunft, Berichtigung, Einschränkung, Löschung) sowie auf das Recht auf Beschwerde hinzuweisen.
Wird das berechtigte Interesse als Rechtsgrundlage verwendet (Achtung: Widerspruchsrecht), dann ist auch das berechtigte Interesse konkret zu nennen.
Beruht die Verarbeitung auf einer Einwilligung, dann ist auf die jederzeitige Widerrufbarkeit der Einwilligung und auch auf die Folgen des Widerrufs hinzuweisen.
Nutzt die Organisation automatisierte Entscheidungsfindung inkl. Profiling, dann ist auf das Recht des menschlichen Eingriffs in die Entscheidungsfindung hinzuweisen.
Ebenso ist darauf hinzuweisen, ob ein Recht auf Datenübertragbarkeit besteht, und ob es gesetzlich oder vertraglich vorgeschrieben ist, dass die Daten verarbeitet werden, und was die Konsequenz ist, wenn die Daten nicht zu Verfügung gestellt werden.
Die Informationspflicht bei der indirekten Erhebung von Daten gem. Art 14 DSGVO
Der Verantwortliche hat Personen, deren Daten er von dritter Seite erhält, auch umfassend über die Verarbeitung der personenbezogenen Daten zu informieren.
Dies sind z.B. Situationen, in denen ein direkter Kontakt mit einer betroffenen Person besteht, aber (auch) Daten von anderen betroffenen Personen erhoben werden, z.B.
· im Rahmen einer Hotelbuchung, bei der eine Person die Buchung für eine Gruppe von Personen (z.B. eine Familie) vornimmt,
· Erstellung einer Marketingdatenbank aus öffentlich verfügbaren Quellen oder Zukauf, Datensammlungen über das Internet oder andere öffentliche Quellen zu bestimmten Zwecken.
Wann ist die Information zu erteilen?
Die Information ist zu folgenden Zeitpunkten zu erteilen, wobei derjenige Zeitpunkt zu wählen ist, der früher eintritt:
- in angemessener Frist nach Erhebung (max. 1 Monat)
- bei der ersten Kommunikation mit der betroffenen Person
- zum Zeitpunkt der ersten Offenlegung an einen anderen Empfänger
Wann sind die Informationen zu erteilen und wie kann das erfolgen?
- die betroffene Person verfügt bereits über die Informationen
- die Informationserteilung erweist sich als unmöglich oder erfordert einen unverhältnismäßigen Aufwand
- wenn die Informationserteilung die Ziele der Verwirklichung der Ziele der Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt (z.b. Überwachung durch einen Detektiv)
- die personenbezogenen Daten (nach dem Recht der EU oder eines Mitgliedsstaates) einem Berufsgeheimnis (Rechtsanwälte, Ärzte, Wirtschaftstreuhänder …) einschließlich einer satzungsgemäßen Geheimhaltungspflicht unterliegen und daher vertraulich behandelt werden müssen
Zusätzlich zu den Informationen gem. Art 13 DSGVO (siehe oben) sind folgende Informationen zur Verfügung zu stellen:
Datenkategorien: Es sind auch die Datenkategorien zur Kenntnis zu bringen, da kein Kontakt mit der betroffenen Person direkt besteht, und die betroffene Person daher keine Möglichkeit hat, direkt zu erkennen, welche Daten erhoben werden.
Herkunft der Daten: da die Daten nicht direkt bei der betroffenen Person erhoben werden, ist auch bekannt zu geben, woher die Daten stammen (z.B. aus öffentlichen Quellen, Zukauf von Marketingdaten, von einer betroffenen Person)
[1] siehe auch WP260 der Art 29 DS-Gruppe, RZ 30, Seite 17
[2] zur Zulässigkeit siehe WP260 der Art 29 DS-Gruppe, RZ 33, Seite 18
Kommentar schreiben