⯈ Dieses Projekt steht zum Verkauf!

www.datenschutzbetreuer.de steht zum Verkauf! Mit diesem Projekt können Sie SOFORT als Datenschutzbeauftragter starten. Details:

  • Das Portal besteht aus 26 redaktionellen Texten (geschrieben von einem Datenschutzexperten/Juristen – Gesamt Wortanzahl ~ 22000 Wörter
    Ausführlicher theoretischer Bereich: https://www.datenschutzbetreuer.de/wie-funktioniert-datenschutz/
    Ausführlicher praktischer Bereich: https://www.datenschutzbetreuer.de/wie-datenschutz-umsetzen/
    Branchenspezifisch: https://www.datenschutzbetreuer.de/branchenspezifisch/
    Ratgeber ePrivacy- Webseiten Check: https://www.datenschutzbetreuer.de/dsgvo-eprivacy-webseiten-check/ (inkl. Infografik: https://www.datenschutzbetreuer.de/wp-content/uploads/dsgvo-webseite-infografik.png)
  • Das Portal besteht aus ca. 1800 Unterseiten (Städtebezogene Landingpages). Wurden erstellt um via Adwords zu werben. Beispiel: https://www.datenschutzbetreuer.de/nordrhein-westfalen/krefeld/. Die Inhalte der StädteLandingpages können einfach (Massen)bearbeitet werden. So ist es beispielsweise möglich branchenspezifisch & regional (zb. Datenschutzbeauftragter für Physiotherapeuten in Krefeld) zu werben.
  • Mitgliederbereich (digimember derzeit kostenlos)  https://www.datenschutzbetreuer.de/registrierung/ (derzeit 50 registrierte Nutzer).
    Im Mitgliederbereich befinden sich:
    Vorlage/Muster Auftragsdatenverarbeitungsvertrag
    Vorlage/Muster DSGVO Einwilligungserklärung
    Vorlage/Muster Information über die Erhebung von Kundendaten
    Vorlage/Muster Einverständniserklärung Verwendung Fotos & Videos
    Vorlage/Muster DSGVO Checkliste
    Vorlage/Muster Datenschutzvorfall melden 16 Punkte DSGVO-Checkliste Tool um die Webseite auf ePrivacy Cookies zu checken: https://cookiecheck.datenschutzbetreuer.de/de/
  • Projektinhalte:
    Webprojekt
    Domain
    Logo
    Texte

Pro Monat besuchen das Projekt rund 400 Besucher. Ein Projekt um als Datenschutzbeauftragter SOFORT zu starten. Bei Interesse und weiteren Infos kontaktieren Sie uns bitte per Kontaktformular.

Folgen der Datenschutz-Grundverordnung auf die Erhebung von Kundendaten

Das Datenschutzrecht ist eng mit der Informationspflicht bei Datenerhebungen und Datenverarbeitungen verbunden. Allerdings müssen Unternehmen seit der Einführung der DS-GVO, der Datenschutz-Grundverordnung der EU, deutlich mehr Pflichten bezüglich Informationen von Betroffenen einhalten.

Was ist eine Informationspflicht?

Eine der wichtigsten Richtlinien des Datenschutzrechtes ist Transparenz. Betroffene sollen das Gefühl haben, die Erhebung, Verarbeitung und Nutzung ihrer Daten jederzeit prüfen zu können. Oder in den Worten des des Bundesverfassungsgerichts ausgedrückt: Betroffene sollen wissen, “wer was wann und bei welcher Gelegenheit über sie weiß”. Dieser Anspruch an Transparenz kann nur dann erfüllt werden, wenn sich Verantwortliche und Unternehmen mit genügend Datenverarbeitungsvorgängen vertraut machen.

Informationen zur bisherigen Rechtslage

Gesetzliche Regelungen über die Informationspflichten wurden bislang im BDSG und einigen anderen Gesetzen festgelegt. Erfolgt die Erhebung der personenbezogenen Daten unmittelbar über Betroffene, orientieren sich die preiszugebenden Informationen an § 4 Abs. 3 BDSG. Bei einer Erhebung von Daten ohne Kenntnis betroffener Personen ist § 33 BDSG gültig. Ergänzend existieren in spezifischen Branchen spezielle Informationspflichten, wie diese beispielsweise in § 13 Abs. 1 TMG geregelt sind. Das Telemediengesetz ist eine spezielle Richtlinie für Anbieter von Telemedien, die im Regelfall als Datenschutzerklärungen auf Apps oder Webseiten Anwendung finden.

Welche Änderungen bewirkt die Datenschutz-Grundverordnung?

Die Artikel 13 und 14 der Datenschutz-Grundverordnung regulieren die Informationspflichten sehr umfangreich. Die Artikel umfassen Kataloge, über die ein hohes Maß der Informationspflichten betreffenden Fragen abgehandelt werden. Darüber hinaus inkludieren die Artikel vielfältige Hinweise und Anmerkungen, in deren Fokus stets der Grundsatz der transparenten, fairen Verarbeitung steht. Die DS-GVO differenziert zwischen Informationspflichten für eine Erhebung personenbezogener Informationen bei Betroffenen – Artikel 13 DS-GVO. In Artikel 14 DS-GVO werden die Fragen der Informationspflichten geregelt, falls die Erhebung nicht direkt über die Betroffenen durchgeführt wird.

Informationspflichten gemäß Artikel 13 DS-GVO

Findet die Erhebung personenbezogener Daten über den Betroffenen statt, ist der Verantwortliche laut Artikel 13 Abs. 1 DS-GVO zur Mitteilung der nachfolgenden Inhalte verpflichtet.

1. Identität verantwortlicher Personen

Diese Information bezieht sich auf den Namen sowie die Kontaktdaten verantwortlicher Personen. Die gleichen Vorschriften gelten möglicherweise für Namen sowie Kontaktdaten von Vertretern der verantwortlichen Personen. Diese Regelung trifft laut Artikel 27 DS-GVO zu, falls sich die Niederlassung des Verantwortlichen selbst nicht in der EU befindet.

2. Kontaktinformationen des Datenschutzbeauftragten

Durch die DS-GVO ist die Pflichtung zur Mitteilung der Kontaktdaten von Datenschutzbeauftragten der verantwortlichen Person(en) neu geregelt.

3. Grund der Verarbeitung und rechtliche Grundlage

Der Verantwortliche ist verpflichtet, über den Grund der Verarbeitung sowie die juristische Grundlage der Verarbeitung zu informieren. Diese Bedingung ist durch die DS-GVO ebenfalls neu und soll Betroffenen bei der Aufklärung darüber helfen, welchen Tatbestand gemäß Artikel 6 DS-GVO die für die Datenverarbeitung verantwortlichen Personen als rechtliche Grundlage anführen.

4. Besteht ein berechtigtes Interesse?

Spezielle Interessen müssen individuell geschildert werden, wenn eine Verarbeitung der personenbezogenen Informationen einer Wahrung berechtigter Interessen des Verantwortlichen dient. Diese Regelung basiert auf Artikel 6 Abs. 1 f DS-GVO.

5. Angaben zum Empfänger

Betroffene Personen dürfen generell nähere Angaben zum Empfänger erhalten, wenn die personenbezogenen Informationen übermittelt werden müssen. Ausnahmen beschränken sich auf vereinzelte Kategorien von Empfängern, falls ein Betrieb oder das Unternehmen noch nicht detailliert bezeichnet werden können.

6. Übermittlung der personenbezogenen Daten an Personen in Drittstaaten

Ein Sonderfall liegt vor, wenn verantwortliche Personen oder Unternehmen an einer Übermittlung personenbezogener Daten in Drittstaaten informiert sind. In diesem Fall müssen Betroffene zwingend über die Vermittlung personenbezogener Daten informiert werden. Für eine Pflichterfüllung ist nach Artikel 44 ff. DS-GVO mitzuteilen, weshalb die Übermittlung der Angaben notwendig erscheint. Außerdem müssen Verantwortliche aufschlüsseln, welche Maßnahmen bereits durchgeführt wurden, damit beim Empfänger ein angemessener Standard an Datenschutz erreicht werden kann. Ein Beispiel bezieht sich auf eine Nutzung sogenannter EU-Standardvertragsklauseln, damit betroffene Parteien Einsichtnahme in die jeweiligen Formulare erhalten.

Zusätzlich sind Verantwortliche laut Artikel 13 Abs. 2 DS-GVO verpflichtet, Betroffenen nachfolgende weitere Informationen mitzuteilen. Diese Angaben sind insbesondere zur Aufrechterhaltung einer transparenten Datenverarbeitung notwendig.

Eine dieser Informationen bezieht sich auf den Zeitraum der Speicherung. Verantwortliche Parteien müssen konkret über die Dauer der Abspeicherung personenbezogener Daten informieren. Ein Sonderfall liegt vor, wenn keine direkte Zeitspanne angegeben werden kann. In dieser Situation genügen die Kriterien für eine Festlegung der endgültigen Speicherungs-Dauer. Außerdem haben Betroffene nach Artikel 13 Abs. 2 DS-GVO das Recht auf Auskünfte, Löschungen oder Berichtigungen ihrer Daten. Weiterhin sind die Personen, deren Daten abgespeichert wurden, zum Anspruch auf eine eingeschränkte Verarbeitung, einen Widerspruch gegen die Verarbeitung der Daten oder eine Datenübertragbarkeit berechtigt. Diese Rechte sind in den Artikeln 15 bis 21 DS-GVO verankert.

Basiert die Datenverarbeitung auf einer Einwilligung der betroffenen Partei, muss auf diesen Aspekt auch gesondert hingewiesen werden. Von einer Erfüllung der diesbezüglichen Informationspflicht ist nur die Rede, wenn zugleich eine Aufklärung darüber erfolgt, dass eine Einwilligung jederzeit widerrufbar ist. Außerdem müssen Betroffene darüber informiert werden, dass die Verarbeitung der Daten bis zum Widerrufszeitpunkt bestehen bleibt.

Betroffene Parteien sollten darüber aufgeklärt werden, dass sie sich unter Umständen gemäß Artikel 77 DS-GVO auch bei zuständigen Aufsichtsbehörden beschweren können. Dieser Fall liegt beispielsweise vor, wenn sie die Meinung vertreten, dass die Verarbeitung der personenbezogenen Angaben rechtswidrig ist. Darüber hinaus haben Betroffene einen Auskunftsanspruch durch Verantwortliche, wieso die personenbezogenen Daten überhaupt verfügbar sein müssen. Mögliche Gründe sind vertraglich oder gesetzlich bedingte Vorschriften oder die Notwendigkeit der Angaben für einen bestimmten Vertragsabschluss. In diesem Zusammenhang steht ebenfalls die Frage, welche Konsequenzen eine Nichtbereitstellung der Daten hätte.

Die Betroffenen haben Anspruch auf Informationen über die Konsequenzen sowie geplante Auswirkungen der Verfahren, insofern diese Prozesse als automatisierte Entscheidung laut Artikel 22 DS-GVO oder als anderweitige Profiling-Maßnahme gemäß Artikel 2 DS-GVO durchgeführt werden. Diese Informationspflicht bezieht sich auf Angaben, die sich auf den hierfür verwendeten Algorithmus oder Logiken beziehen.

Diese Informationspflichten basieren auf Artikel 14 DS-GVO

Laut Artikel 14 DS-GVO spielt es nur eine untergeordnete Rolle, ob die personenbezogenen Angaben direkt beim Betroffenen erhoben werden oder nicht. Geben Betroffene jedoch nicht persönlich über die Informationen Auskunft, müssen sie auch nicht über eine etwaig bestehende Verpflichtung zur Bereitstellung informiert werden. Schließlich kann die Partei in diesem Fall auch nicht über die Bereitstellung der Daten entscheiden. Gemäß Artikel 14 Abs. 2 f DS-GVO müssen Verantwortliche die betroffene Partei allerdings darüber informieren, aus welcher Informationsquelle sie die Daten erhalten haben. Zudem haben die Personen das Recht zu erfahren, inwiefern diese Quelle für die Öffentlichkeit zugänglich ist.

Bedarf die Bereitstellung der Informationen einer bestimmten Form?

Artikel 12 DS-GVO sieht vor, dass die bereits erwähnten personenbezogenen Angaben präzise, verständlich, transparent sowie in einer leicht zugänglichen Form dargestellt werden müssen. Eine Übermittlung der Daten erfolgt entweder in elektronischer Form oder schriftlich. Diesbezüglich wird explizit darauf hingewiesen, dass ebenfalls Bildsymbole in Standardform verwendet werden dürfen. Auf diese Weise erhalten Betroffene in einer einfach nachvollziehbaren Form eine informative und aussagekräftige Übersicht über die geplante Datenvermittlung.

Im Unterschied zum BDSG werden in der DS-GVO jedoch spezielle Bedingungen an eine Verarbeitung personenbezogener Informationen über Kinder gestellt. Gemäß Artikel 58 DS-GVO ist es aufgrund der speziellen Schutzwürdigkeit der Jungen und Mädchen notwendig, dass Hinweise und diesbezügliche Informationen so klar und verständlich aufgeführt werden, dass Kinder die Aussage verstehen können.

Wann besteht eine Auskunftspflicht gegenüber dem Betroffenen?

Laut Artikel 13 Abs. 1 DS-GVO müssen betroffene Parteien bei der Direkterhebung zum Zeitpunkt der Datenerhebung darüber in Kenntnis gesetzt werden. Werden die Daten nicht direkt über die betroffene Partei erfragt, müssen die Verantwortlichen diesbezügliche Angaben laut Artikel 14 Abs. 3 DS-GVO innerhalb angemessener Fristen erteilen, die sich auf maximal einen Monat belaufen. Dienen die Daten der Kommunikation mit dem Betroffenen oder sollen die Informationen automatisch einen bestimmten Empfänger mitgeteilt werden, muss die Information zwangsläufig während der ersten Übermittlung oder der Kontaktaufnahme weitergeleitet werden.

Inwiefern besteht die Option einer eingeschränkten Informationspflicht?

Artikel 13 Abs. 4 DS-GVO besagt, dass ein Verzicht auf eine Direkterhebung der Angaben Betroffener nur dann gestattet ist, wenn diese Person bereits über den Umstand informiert wurde. Falls die personenbezogenen Daten nicht direkt bei der betroffenen Partei erhoben werden, ist eine Informationspflicht nach Artikel 14 Abs. 5 DS-GVO in drei Situationen auszuschließen:

  1. Übermittlung bzw. Erhebung der Daten unterliegt einer gesetzlichen Vorschrift
  2. Aufwand für eine Einholung der Information ist unverhältnismäßig hoch oder gar unmöglich
  3. es liegt ein Berufsgeheimnis oder eine anderweitige satzungsmäßige Geheimhaltungspflicht vor

Generell kann festgehalten werden, dass nur eine beschränkte Anzahl an Fällen besteht, bei denen auf Informationen Betroffener verzichtet werden kann.

Welche Konsequenzen hat ein Verstoß gegen die Informationspflicht?

Wird ein Verantwortlicher seiner Informationspflicht nicht gerecht, drohen gemäß Artikel 83 Abs. 5 b DS-GVO Bußgelder. Dieser Anspruch auf Bußgelder basiert auf der Ansicht der europäischen Gesetzgebung, dass transparente Verarbeitungen der Daten mithilfe umfassender Informationen als elementar betrachtet werden. Aus dem Grund ist für einen Verstoß gegen diese Vorschriften ein hoher Bußgeldrahmen festgelegt, der Bußgelder bis maximal 20.000.000 Euro oder 2 bis 4 Prozent des global erzielten Jahresumsatzes vergangener Jahre vorsieht.

Strategien: worauf sollten Verantwortliche achten?

Verantwortliche Unternehmen sind gut beraten, sich so schnell wie möglich mit den neuen Informationspflichten auseinanderzusetzen. Besonders wichtig ist es, weitere Bedingungen an den Zeitpunkt sowie formelle Gegebenheiten der Mitteilung nicht außen vor zu lassen.