Aktuelles
Neues von der lohn-ag.de AG
Fit für die neue DS-GVO – Teil 3: Informationspflichten
Kennen Sie Ihre Informations- und Auskunftspflichten im Rahmen der neuen Datenschutzgrundverordnung schon?
Die neue Datenschutzgrundverordnung (DS-GVO) tritt mit Wirkung zum 25.05.2018 in Kraft. Umfangreiche Vorschriften und daraus resultierende Maßnahmen auch für Ihr Unternehmen sind damit verbunden. Wieweit ist bei Ihnen die Umsetzung der Vorschriften zur DS-GVO? Haben Sie bereits alle wichtigen und relevanten Maßnahmen getroffen und umgesetzt? Viele Kunden und Entscheider mit denen ich spreche, haben noch Informationslücken und wissen noch nicht genau, worauf Sie zu achten haben. Wir wollen an dieser Stelle keine Rechtsberatung durchführen, sondern Ihnen auf Basis meiner Erfahrungen einige Hilfen an die Hand geben. Im Einzelfall empfehle ich Ihnen eine individuelle Rechtsberatung.
Was haben wir bisher im Rahmen unserer Newsletter besprochen?
Zum einen haben wir Ihnen am Beispiel des Bewerberprozesses aufgezeigt, worauf künftig zu achten ist und in welcher Form die Anforderungen der DS-GVO Einfluss auf diesen Vorgang hat. Hiermit wollten wir Sie für das Thema DS-GVO sensibilisieren. Darüber hinaus haben wir Ihnen mögliche erste Schritte zur Umsetzung der DS-GVO aufgezeigt. Haben Sie den kleinen Online-Test des Bayrische Landesamtes für Datenschutzaufsicht gemacht? Wenn Sie am Ende auf die von Ihnen angegebene Lösung geklickt haben, konnten Sie schnell erkennen, ob Sie bzw. Ihr Unternehmen hinsichtlich der DS-GVO bereits gut aufgestellt sind und wo noch Lücken sind. Im Wesentlichen haben wir über die internen Abläufe und Aufgaben geschrieben.
Welche Informationspflichten gibt es und wie kann ich mich vorbereiten?
Ein wichtiges Ziel der DS-GVO ist die Stärkung der Betroffenenrechte. Um dieses Ziel zu erreichen, werden den Unternehmen mehr Informations- und Auskunftspflichten auferlegt als bisher. Die Betroffenen sollen in die Lage versetzt werden, zu wissen wer was wann und weshalb über sie weiß.
Die DS-GVO regelt diese Informationspflichten sehr ausführlich in den Art. 13 und 14. Hierbei regelt der Art. 13 die Informationspflichten bei der Erhebung personenbezogener Daten direkt bei dem Betroffenen. Der Art. 14 DS-GVO regelt die Informationspflichten, wenn die Erhebung nicht direkt bei dem Betroffenen erfolgt.
Welche Informationspflichten regelt der Art.13 DS-GVO?
Wenn Sie beim Betroffenen (z.B. Ihren Kunden, Mitarbeitern) Daten erheben, müssen Sie um eine faire und transparente Verarbeitung zu gewährleisten als Verantwortlicher im Sinne des DS-GVO folgende Informationen bekannt geben:
- Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
- Kontaktdaten des Datenschutzbeauftragten,
- Zwecke der Verarbeitung und Rechtsgrundlage,
- wenn die Verarbeitung auf Art. 6 Abs. 1 f beruht: das berechtigte Interesse des Verantwortlichen zur Datenerhebung,
- ggf. Empfänger oder Kategorien von Empfängern,
- Absicht der Übermittlung in ein Drittland (nicht-EU Land)/internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission,
- Dauer der Datenspeicherung,
- Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit,
- Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1 a o. Art. 9 Abs. 2 a),
- Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
- Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte,
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22).
Welche Informationspflichten bestehen nach Art. 14 DS-GVO?
Wenn Sie nicht direkt beim Betroffenen die Daten erheben, so bestehen nach Art. 14 DS-GVO fast dieselben Informationspflichten. Abweichend zu den vorgenannten Punkten müssen Sie zusätzlich über folgendes Informieren:
- Es müssen die Kategorien personenbezogener Daten, die verarbeitet werden, genannt werden, zum Beispiel Kundendaten, Mitarbeiterdaten.
- Es muss genannt werden, aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen.
- Außerdem muss nicht über die Pflicht zur Bereitstellung der Daten informiert werden, also ob es sich um eine freiwillige Angabe handelt oder nicht.
In welcher Form müssen die Informationen bereitgestellt werden?
Stellen Sie die Informationen so dar, das auch ein Kind sie verstehen könnte. Also leicht zugänglich, verständlich, transparent und präzise (Art. 12 DS-GVO).
Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden. Hierzu können auch sog. standardisierte Bildsymbolen verwendet werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.
Wann muss der Betroffene informiert werden?
Bei direkter Erhebung der Daten muss der Betroffene sofort informiert werden (Art. 13 Abs. 1).
Werden die Daten nicht direkt beim Betroffenen erhoben, muss Sie die Informationen nach Art. 14 Abs. 3 DS-GVO grundsätzlich innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen. Ausnahme: Die Daten werden zur Kommunikation mit dem Betroffenen verwendet oder sollen an einen Empfänger übermittelt werden. Dann ist die Information zwingend zum Zeitpunkt der Kontaktaufnahme oder ersten Übermittlung vorzunehmen.
Soweit die Daten nicht beim Betroffenen erhoben werden, sind die Informationspflichten gemäß Art. 14 Abs. 5 DS-GVO in drei weiteren Fällen entbehrlich:
- Die Information ist unmöglich oder unverhältnismäßig aufwendig.
- Die Erhebung oder Übermittlung ist gesetzlich vorgeschrieben.
- Es besteht ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht.
Was ist bei Videoüberwachung zu beachten?
Wie soll diese Menge an Informationen bei einer Videoüberwachung zur Verfügung gestellt werden? Aktuell muss davon ausgegangen werden, dass Videokameras mit entsprechenden Aushängen zu versehen sind. Im Zusammenhang mit dem Sonderfall Videoüberwachung kann künftig wohl von folgenden Pflichtangaben ausgegangen werden, die sich gegenüber dem Gesetzeswortlaut leicht reduziert darstellen:
- Kenntlichmachung des Umstands der Beobachtung (bspw. durch ein Kamera-Piktogramm)
- Identität des Überwachenden
- Kontaktdaten des Datenschutzbeauftragten der überwachenden Stelle
- Zwecke und Rechtsgrundlage der Verarbeitung/Überwachung
- Die „berechtigten Interessen“ im Sinne der DSGVO, sofern zutreffend
- Dauer der Speicherung (Löschzeitpunkt)
- Hinweis auf den Zugang zu den weiteren Pflichtinformationen
Somit können Sie wohl auf Teile der verlangten Pflichtinformationen an Ort und Stelle verzichten und auf diese z.B. mithilfe eines Links auf eine Website (oder zusätzlich auch durch einen QR-Code) verweisen. Hier sollten Sie dann die Pflichtinformationen wie oben beschrieben veröffentlichen. Die Gesellschaft für Datenschutz und Datensicherheit e.V., die üblicherweise sehr gute und sehr korrekte Informationen veröffentlichen, haben zu diesem Thema eine andere Feststellung getroffen. Meine Hinweise basieren auf der Stellungnahme der Aufsichtsbehörden aus Februar 2018. Die Landesbeauftragte für den Datenschutz Niedersachsen hat eine entsprechende Mustervorlage hier veröffentlicht. Sie sehen, nicht alle Punkte sind bereits fest definiert. Fast täglich werden neue Informationen veröffentlicht. Ich empfehle Ihnen daher im Zweifel lieber etwas mehr als zu wenig zu informieren. Die vorgenannte Gesellschaft stellt in ihrer Praxishilfe auch ein Muster für die Informationspflicht nach Art 13, 14 DS-GVO bereit und nimmt zu besonderen Verarbeitungssituationen Stellung, z.B. Ladenlokal, Telefonische Bestellung, Automatenkauf, Bewerberdaten.
Welche Informationspflichten neben den bisher genannten aus Art 13, 14 DS-GVO müssen Sie noch beachten?
Bereits unter dem Absatz Informationspflichten nach Art 13 DS-GVO weiter oben habe ich die wichtigsten Betroffenenrechte genannt. Diese ziehen wiederum Informationspflichten nach sich:
- Recht auf Auskunft nach Art. 15 DS-GVO
- Unterrichtung bei Berichtigung, Löschung oder Einschränkung der Verarbeitung von personenbezogenen Daten nach Art 19, 2 DS-GVO,
- Hinweis auf das Widerspruchsrecht nach Art. 21 Abs. 4 DSGVO
- Recht auf Datenübertragbarkeit nach Art 20 DS-GVO
- Zurverfügungstellung der getroffenen Vereinbarung zwischen Gemeinsam für die Verarbeitung Verantwortliche nach Art. 26 Abs. 2,2 DS-GVO, sofern beide den Zweck und die Mittel zur Verarbeitung festlegen
- Benachrichtigung der betroffenen Person über eine Verletzung des Schutzes der personenbezogenen Daten (Art. 34 DS-GVO)
Was bedeutet das Auskunftsrecht nach Art. 15 DS-GVO?
Beschäftigt sich Art. 13 und 14 DS-GVO mit der Information über „wer erhebt wann wozu Daten über mich“, so wird dem Betroffenen in Art. 15 das Recht gegeben, zu erfahren welche Daten gespeichert werden. Diese Auskunft ist dem Betroffenen auf Verlangen unverzüglich, bzw. spätestens innerhalb eines Monats mit folgenden Angaben zu erteilen:
- Zweck der Verarbeitung
- Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Personalstammdaten, Steuerdaten, Sozialversicherungsdaten, Bonitätsdaten usw.),
- Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
- soweit möglich über die geplante Speicherdauer, ansonsten Kriterien für die Festlegung der Dauer,
- Information über das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung,
- Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
- Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde,
- Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden,
- soweit zutreffend über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling,
- wenn Übermittlung an Drittland/internationale Organisation, dann Unterrichtung über die geeigneten Garantien gemäß Art. 46 DS-GVO
Wie sieht bei der Auskunftserteilung nach Art.15 DS-GVO die Form der Auskunftserteilung aus?
Hier können Sie je nach Sachverhalt schriftlich, elektronisch oder mündlich die Auskunft erteilen. Zum Zweck des Nachweises, dass Sie die Auskunft erteilt haben, ist es ratsam, eine Kopie der personenbezogenen Daten (Art. 15 Abs. 3) zur Verfügung zu stellen. Wichtig ist, dass Sie als Verantwortlicher sicherstellen, dass die Auskunft nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.
Wie kann ich mich hinsichtlich der Informations- und Auskunftsrechte vorbereiten?
Sie sehen also, das Thema DS-GVO ist umfangreich und hat so einiges an Aufgaben für uns alle. Ich empfehle Ihnen, bereiten Sie eine Auskunft nach Art. 13 vor und veröffentlichen diese auf Ihrer Homepage und in Ihrem Intranet oder am Schwarzen Brett, sodass Bewerber und Mitarbeiter die Auskunft zur Verfügung haben. Derzeit kann vermutet werden, dass es „Verstoßjäger“ geben wird, die gezielt nach Verstößen gegen das DS-GVO suchen werden, um hier Klage oder Abmahnungen zu erheben. Bereiten Sie auch eine Auskunft nach Art. 15 als Muster vor für jeweils Mitarbeiter, Bewerber, Kunden, Lieferanten. So können Sie bei Anfragen schnell reagieren.
Was tun wir für unsere Kunden?
Wir werden die Information nach Art. 13 in unserem Personalverwaltungssystem zeit-lohn.net hinterlegen und auch einen Report für die Auskunft nach Art. 15 bereitstellen. So können unsere Kunden zumindest über ihre Beschäftigtendaten und Bewerberdaten (sofern diese in unserem System sind) schnell, einfach und umfänglich Auskunft geben. Wir wollen, dass unsere Kunden durch zeit-lohn.net zusätzliche Rechtssicherheit erlangen, die Qualität steigern und die Arbeitgebermarke stärken.
Haben Sie Fragen? Gerne helfen wir Ihnen weiter.
Hinweis: Die vorgenannten Ausführungen stellen keine Rechtsberatung dar. Sie basieren auf meiner langjährigen Erfahrung und wurden sorgfältig recherchiert. Die von mir dargestellten Sachverhalte sind grundsätzlicher Natur.
Ich empfehle Ihnen im Einzelfall eine individuelle Rechtsberatung. Gerne ist Ihnen hierbei die lohn-ag.de Rechtsanwaltsgesellschaft mbH behilflich.