Kompetenzserie DS-GVO – Information Betroffenenrechte

Die Ablaufprozesse im Zusammenhang zwischen dem Datenschutz, insbesondere vor dem Hintergrund der am 25.05.2018 in Kraft tretenden DS-GVO, und der Informationspflicht gegenüber den Betroffenen über ihre Rechte werden in vielen Unternehmen neu strukturiert werden müssen.

Folgen bei Verstößen

In den Vordergrund der Betrachtung müssen die verschärften Bedingungen für die Verhängung von Geldbußen gestellt werden. Nach § 83 Abs. 5 DS-GVO gilt künftig folgendes:

„(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

  1. b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;“

Die Rechte der Person sind in Art. 12 – 22 DS-GVO geregelt.

Die erweiterten Informationspflichten

Die Datenschutz Grundverordnung ist weiterhin ein Gesetz mit Erlaubnisvorbehalt. Die Verarbeitung der Daten ist unter bestimmten Voraussetzungen, insbesondere der Einwilligung oder der gesetzlichen Regelung zulässig. Der Verantwortliche muss den Betroffenen  „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichten, Art. 12 Abs. 1 DS-GVO. Diese Unterrichtungspflicht nach Art. 13 und Art. 14 DS-GVO geht über die bisherigen Regelungen des BDSG hinaus.

In Art 14 Abs. 2 DS-GVO werden die zu informierenden Belehrungen konkretisiert (beachte die Informationspflicht erstreckst sich auch über die Angaben nach Abs. 1!):

“ … (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:

Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;

das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.“

In Abs. 5 werden Ausnahmeregelungen normiert.

Praxishinweis: Es sollte eine auf den jeweiligen Ablaufprozess genormte Hinweis und Belehrungsblatt erstellt und ständig auf die Vollständigkeit und Richtigkeit überprüft werden. Aufgrund der Dokumentation- und Nachweispflicht sollte die Information an die Betroffenen dokumentiert werden.

Höhe der Verhängung einer Geldbuße

Die „Doppel Bedeutung“ der Informationspflicht wird bei der Lektüre des Art. 83 Abs. 2 DS-GVO deutlich. Die Geldbußen werden nach den Umständen des Einzelfalles verhängt. Dabei sind bestimmte Kriterien durch die Behörde zu berücksichtigen. Der Grad von Vorsatz oder Fahrlässigkeit und die Art Schwere und Dauer des Verstoßes sind hierbei in besonderem Maße zu berücksichtigen

Praxishinweis: Die hinreichend dokumentierte erweiterte Nachweispflicht dürfte hier künftig grade bei Berücksichtigung des Ziels des Datenschutzes ein maßgebliches Kriterium sein.

Gerne berate ich Sie sofort, wenn Sie Ihre Ablaufprozesse anpassen oder Fragen zu Ihren Rechten haben.

Rechtsanwalt Dr. Stephan Schmelzer, Fachanwalt IT-Recht, Fachanwalt Arbeitsrecht, zertifizierter Datenschutzbeauftragter, http://www.dr-schmelzer.com, Ostberg 3, 59229 Ahlen, Tel.: 02382.6646

Alle Beiträge sind nach bestem Wissen zusammengestellt. Eine Haftung für deren Inhalt kann jedoch nicht übernommen werden.

Proudly powered by WordPress | Theme: Beast Blog by Crimson Themes.
Cookie Consent mit Real Cookie Banner