Datenverarbeitung ist eine komplexe Angelegenheit, bei der viele Bestimmungen und Vorschriften gelten. Ein wesentlicher Teil dieser Bestimmungen ist die sogenannte “Informationspflicht”, die besagt, dass jeder Verantwortliche bei der Verarbeitung personenbezogener Daten (VPD) die betroffene Person informieren muss. Dies entspricht den Anforderungen des Artikels 13 und 14 der Datenschutz-Grundverordnung (DSGVO).
- Artikel 13 DSGVO konkretisiert die Pflichten des VPD, wenn personengebundene Daten direkt bei der betroffenen Person erhoben werden. Dazu gehört unter anderem, dass die Information über den Zweck der Verarbeitung sowie den Umgang mit dieser bereitgestellt werden müssen.
- Artikel 14 DSGVO regelt hingegen den Fall, dass Informationen von Dritten erhoben werden.
Der Zweck der Informationspflicht besteht darin, denjenigen Personen, deren personenbezogene Daten verarbeitet werden, zu helfen, ihre Rechte und Freiheit zu schützen. Bürger sollten über den Umgang mit ihren persönlichen Informationen in Kenntnis gesetzt werden, damit sie ein Gefühl der Sicherheit haben und besser abschätzen können, was mit ihren Informationen passiert.
Die Informationspflicht umfasst verschiedene Aspekte. Der Verantwortliche der Datenverarbeitung muss die Betroffenen über folgende Punkte informieren:
- Den Zweck des Verarbeitens
- Die Kategorien der personenbezogenen Daten
- Welche Empfänger vom Übermittler der Daten in Kenntnis gesetzt wurden oder es sein wird
- Wann und wo die persönlichen Daten gespeichert werden;
- Das Vorhandensein von automatisiertem Entscheidungsfindungsprozessen basierend auf personengebundene Information
- Ihr Recht auf Zugang zu Informationen sowie andere Rechte (Widerruf etc.)
Unterschiede zwischen Unternehmen und öffentlichen Behörden
Die Informationspflichten variieren, je nachdem ob man ein Unternehmen oder eine öffentliche Behörde ist. Für private Unternehmen besteht gemäß dem Artikel 12 DSGVO in bestimmten Fällen eine Befreiung von der Informationspflicht oder es kann auf die Übermittlung per E-Mail oder Telefax zurückgegriffen werden; direkte Kontakte mit dem Kunden müssen nur dann stattfinden, wenn sie technisch machbar oder notwendig sind. Im Gegensatz dazu gelten spezielle Vorschriften für Behörden und Ministerien, welche immer das Recht haben, direkte Kontakte herzustellen.
Ausnahmen von der Informationspflicht
Es gibt jedoch Ausnahmen von der Informationspflicht. Gemäß Artikel 12 DSGVO können bestimmte Fälle ausgenommen werden - zum Beispiel im Falle besonders sensibler Informationen oder auch im Hinblick auf öffentlich zugängliche Quellendaten - in welchen eine unmittelbare Übermittlung nicht erforderlich ist. In solchen Fällen ist es dem VPD daher gestattet, die erforderlichen Angaben per E-Mail oder Telefax an seine Kunden weiterzugeben oder sich vertraulich an einen Dritten zu wenden; direkter Kontakt mit dem Kunden muss nur dann stattfinden, wenn dies technisch machbar oder notwendig ist.
Fazit
Die Umsetzung einer solchen Informationspflicht stellt sicher, dass die Nutzer stets über alle Details im Klaren sind und hilft, mögliche datenschutzrechtliche Ansprüche zur Durchsetzung zu bringen. Außerdem tragen Informationspflichten auch zur Transparenz in Bezug auf den Umgang mit Personendaten bei und stellen somit einen Grundbaustein für mehr vertrauensbildende Maßnahmen innerhalb des Unternehmens dar.
Bildnachweise
DATEI NR.: 194526068 | © naka / adobe.stock.com