(openPR) Transparenz ist eines der wesentlichen Grundsätze des Datenschutzrechts. Diese kann nur gewährleistet werden, wenn die betroffenen Personen ausreichend informiert sind und werden. Die Rechte der Betroffenen einer Verarbeitung personenbezogener Daten haben nunmehr durch die DSGVO grundsätzlich stärkere Rechte, die gemäß Artikel 12 bis 22 DSGVO gegenüber der verarbeitenden Stelle geltend gemacht werden können. In diesem Zuge wurden die Informationspflichten nach Art. 13 und 14 verstärkt.
Informationspflichten des Verantwortlichen
Informationspflicht nach Art.13, 14 DSGVO: Nach Art. 13 muss sofort bei Erhebung der Daten beim Betroffenen über die Datenverarbeitung informiert werden. Folgendes muss offengelegt werden:
- die Identität des Verantwortlichen: den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- die Kontaktdaten des Datenschutzbeauftragten;
- Verarbeitungszweck und Rechtsgrundlage: die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- Berechtigtes Interesse: wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- Empfänger: gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
- Datenübermittlung an ein Drittland: gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
Faire und transparente Verarbeitung
Art. 13 Abs. 2 DSGVO sieht zusätzlich zu Absatz 1 weitere Regelungen bezüglich der Mitteilung von Informationen vor weitere Informationen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
- Speicherdauer: die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- Auskunftsrecht: das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- Widerruf der Einwilligung: wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- Beschwerderecht: das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- Bereitstellung von personenbezogenen Daten: ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- Automatisierung und Profiling: das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.
Verzicht auf Informationspflichten
Art. 14 Abs. 5 DSGVO führt an, in welchen Fällen auf die Information der betroffenen Personen verzichtet werden kann.
- die betroffene Person bereits über die Informationen verfügt,
- die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Ein unverhältnismäßiger Aufwand könnte insbesondere bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken der Fall sein. Als Anhaltspunkte sollte dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden. (aus Erwägungsgrund 62 „Ausnahmen von der Informationspflicht)
- wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften der Union oder der Mitgliedstaaten geregelt ist,
- durch die personenbezogenen Daten dem Berufsgeheimnis oder einer satzungsmäßigen Geheimhaltungspflicht unterliegen und daher vertraulich behandelt werden müssen.
Sanktionen
Bei Verstößen gegen die Informationspflicht werden gemäß Art. 83 Abs. 5 b) DSGVO (….Rechte der betroffenen Person gemäß Art. 12 bis 22) mit Geldbußen von bis zu 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt. Die Geldbuße richtete sich nach dem höheren Wert.
