GDD-Praxishilfe DS-GVO VII - Transparenzpflichten bei der Datenverarbeitung

 
WEITER LESEN
Gesellschaft für Datenschutz
und Datensicherheit e.V.

GDD-Praxishilfe DS-GVO VII
Transparenzpflichten bei der Datenverarbeitung
INHALT

1. Allgemeines
1.1 Abgrenzung Artt. 13 & 14........................................................................................... 4
1.2 Transparenzpflichten außerhalb der Artt. 13 & 14........................................................ 4
1.3 Abgrenzung zwischen den jeweiligen Absätzen 1 und 2................................................. 5
1.4 Erlaubter Medienbruch............................................................................................... 5
1.5 Zeitpunkt.................................................................................................................. 7
1.6 Transparenz-Reset...................................................................................................... 8
1.7 Ausnahmen............................................................................................................... 8

2. Muster-Komplettinformation
2.1 Datenverarbeiter........................................................................................................ 9
2.2 Verarbeitungsrahmen................................................................................................. 9
2.3 Weitergabe und Auslandsbezug................................................................................. 10
2.4 Betroffenenrechte.................................................................................................... 10

3. Besondere Verarbeitungssituationen
3.1 Ladenlokal.............................................................................................................. 10
3.2 Telefonische Bestellung............................................................................................ 10
3.3 Automatenkauf........................................................................................................ 10
3.4 Gewinnspiel per Post............................................................................................... 11
3.5 Beschäftigtendaten.................................................................................................. 11
3.6 Bewerbermanagement.............................................................................................. 11
3.7 Videoüberwachung................................................................................................... 11
Transparenzpflichten bei der Daten-
verarbeitung

Die Einführung der Datenschutz-Grundverordnung geht mit einer bewussten Stärkung der
Betroffenenrechte einher. „Ein unionsweiter wirksamer Schutz personenbezogener Daten er-
fordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ heißt
es daher ausdrücklich in Erwägungsgrund (ErwGr) Nr. 11. Hauptpfeiler der neuen Betrof-
fenenrechte sind neben dem strengeren Haftungsregime und den neu eingeführten Einzel-
ansprüchen vor allem die ausgeweiteten Transparenzpflichten bei der Datenverarbeitung.
Art. 13 DS-GVO widmet sich den Informationspflichten bei der Direkterhebung, Art. 14 ist
das Pendant bei Erhebung von Daten bei Dritten. Die betroffene Person soll die Informati-
onen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren
und einfachen Sprache erhalten (Art. 12 Abs. 1 Satz 1 DS-GVO) und dies stets unentgeltlich
(Art. 12 Abs. 5).

Am 11. April 2018 verabschiedete die Artikel-29-Datenschutzgruppe ihr WP 260 zu den Trans-
parenzregeln der Datenschutz-Grundverordnung (DS-GVO)*.

Der GDD-Arbeitskreis „DS-GVO-Praxis“ stellt im Folgenden eine Hybrid-Datenschutzinforma-
tion vor, welche den jeweiligen Anforderungen der Artt. 13 & 14 DS-GVO gleichermaßen
gerecht werden soll.

* http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018                           3
1. Allgemeines                                                                                  Art. 13         Art. 14

1.1 Abgrenzung Artt. 13 & 14
                                                                     Drittstaatstrans-         Abs. 1 lit. f   Abs. 1 lit. f
Art. 13 regelt ausweislich der redaktionellen Über-                  fer
schrift die Informationspflicht bei Erhebung von                     Speicherdauer             Abs. 2 lit. a   Abs. 2 lit. a
personenbezogenen Daten bei der betroffenen
Person, Art. 14 regelt demgegenüber die Informa-
                                                                     Auskunftsanspruch         Abs. 2 lit. b   Abs. 2 lit. c
tionspflicht, wenn die personenbezogenen Daten                       (Art. 15); Berichtigung
                                                                     (Art. 16); Löschung
nicht bei der betroffenen Person erhoben wurden.                     (Art. 17 Abs. 1);
ErwGr 61 unterscheidet diesbezüglich, ob die Daten                   Einschränkung der
                                                                     Verarbeitung (Art. 18);
von der betroffenen Person oder aus einer anderen                    Widerspruch (Art. 21);
                                                                     Datenübertragbarkeit
Quelle erlangt werden. Die Unterscheidung von di-                    (Art. 20)
rekter und indirekter Erhebung folgt dem Ansatz,
                                                                     Widerruf der              Abs. 2 lit. c   Abs. 2 lit. d
der bereits den Artt. 10 und 11 DSRL zu Grunde                       Einwilligung
lag. Als Direkterhebung ist insoweit jede Erhebung
                                                                     Beschwerderecht           Abs. 2 lit. d   Abs. 2 lit. e
personenbezogener Daten mit Kenntnis oder unter
Mitwirkung der betroffenen Person zu verstehen.
                                                                     Pflicht zur Be-           Abs. 2 lit. e         -
Die Informationsgehalte der Artt. 13 & 14 sind wei-
                                                                     reitstellung der
testgehend identisch:                                                Daten
                                                                     Datenquelle                     -         Abs. 2 lit. f
                            Art. 13                Art. 14
                                                                     Automatisierte            Abs. 2 lit. f   Abs. 2 lit. g
                                                                     Entscheidungs-
Verantwortlicher           Abs. 1 lit. a         Abs. 1 lit. a       findung
und Vertreter

Datenschutzbe-            Abs. 1 lit. b          Abs. 1 lit. b
auftragter                                                           1.2 Transparenzpflichten außerhalb
Zwecke und                 Abs. 1 lit. c         Abs. 1 lit. c       der Artt. 13 & 14
Rechtsgrundlage
                                                                     Transparenz wird nicht nur durch die Artt. 13 und
Datenkategorien                  -               Abs. 1 lit. d
                                                                     14 DS-GVO hergestellt. Innerhalb der DS-GVO gibt
                                                                     es weitere Informationsansprüche, etwa
Berechtigte Inte-         Abs. 1 lit. d          Abs. 2 lit. b
ressen                                                               >> die Auskunft nach Art. 15 DS-GVO,
                                                                     >> die Unterrichtung der betroffenen Person
Empfänger oder             Abs. 1 lit. e         Abs. 1 lit. e           im Zusammenhang mit der Berichtigung oder
Kategorien von
Empfängern                                                               Löschung personenbezogener Daten nach Art.
                                                                         19 Satz 2 DS-GVO,

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018                            4
>> der Hinweis auf das Widerspruchsrecht 		                             ligen Abs. 1 und 2 vollkommen gleichbehandelt1.
     spätestens zum Zeitpunkt der ersten 		                             Nur augenscheinlich sind die zusätzlichen Informa-
     Kommunikation nach Art. 21 Abs. 4 DS-		                            tionen lediglich dann mitzuteilen, wenn sie not-
     GVO                                                                wendig sind, um eine faire und transparente Ver-
>> die Zurverfügungstellung der Vereinba-		                             arbeitung zu gewährleisten. Das Erfordernis einer
     rung zwischen gemeinsam für die Verar-		                           „fairen und transparenten Verarbeitung“ schwebt
     beitung Verantwortlichen nach Art. 26 		                           freilich gem. Art. 5 Abs. 1 lit. a über der gesamten
     Abs. 2 Satz 2 DS-GVO oder auch                                     DS-GVO. Eine qualitative Unterscheidung der Infor-
>> die Benachrichtigung der von einer Ver-		                            mationen nach Abs. 1 und Abs. 2 ist dementspre-
     letzung des Schutzes personenbezogener 		                          chend nicht möglich. Es fehlt zudem an jeglichen
     Daten betroffenen Person nach Art. 34 		                           Indizien, welche Informationen der Abs. 2 im Ein-
     DS-GVO.                                                            zelfall mitgeteilt werden müssen und welche nicht.
                                                                        Auch der Auskunft gem. Art. 15 Abs. 1 ist eine sol-
Daneben gelten z.B. die Impressumspflicht des                           che Unterscheidung fremd.
Website-Betreibers,          Unterrichtungspflichten         im             Im Zweifel ist wegen des hohen Haftungsrisikos
Fernabsatzrecht, Transparenz von AGB u.s.w.                             (vgl. Art. 83 Abs. 5 lit. b DS-GVO) stets zu einem
                                                                        Mehr an Information zu raten. Insbesondere wenn
                                                                        ein Medienbruch vorgenommen wird, indem ein Teil
              Die vorliegende Praxishilfe be-                           der Informationen z.B. auf einer Website vorgehal-
              fasst sich ausschließlich mit den                         ten wird, ist ein Weglassen von Informationsgehal-
              Transparenzpflichten nach Artt. 13                        ten umso schwieriger zu begründen.
              & 14 DS-GVO.
                                                                        1.4 Erlaubter Medienbruch

1.3 Abgrenzung zwischen den jewei-
                                                                        Manche Verarbeitungssituationen lassen es nicht
ligen Absätzen 1 und 2
                                                                        zu, der betroffenen Person einen mehrseitigen Ab-
Sowohl Art. 13 als auch Art. 14 DS-GVO nehmen                           druck der Transparenzinformationen unmittelbar
eine strukturelle Trennung der Informationsgehalte                      zur Verfügung zu stellen (z.B. Automatenverkauf,
vor, die sich in den jeweiligen Absätzen 1 und 2 wi-                    Telefongeschäfte, Postkarte für Gewinnspiel). Ein
derspiegelt. Die Trennung erfolgt zunächst im Hin-                      Übermaß an Information auf einen Streich kann be-
blick auf Art. 13 Abs. 3 und Art. 14 Abs. 4 DS-GVO:                     troffene Personen zudem überfordern und Wesentli-
Informationen der Absätze 2 sind bei nachträgli-                        ches untergehen lassen.
cher Zweckänderung (u.U. erneut) mitzuteilen.                               Die Art. 29-Datenschutzgruppe plädierte bereits
    Nach Auffassung der Artikel-29-Datenschutz-                         im Working Paper 100 für „das Prinzip, nach dem
gruppe werden die Informationsgehalte der jewei-                        eine Erklärung über eine Verarbeitung nach Treu

1 WP 260 Rev. 1 v. 11.4.2018, S. 14. Ebenso Kühling/Buchner/Bäcker, DS-GVO, 2. Aufl. 2018, Art. 13 Rn. 20; Wolff/Brink/Schmidt-Wudy,
BeckOK Datenschutzrecht, 21. Ed. 2017, Art. 13 Rn. 37; Gola/Franck, DS-GVO, 2. Aufl. 2018, Art. 13 Rn. 6

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018                              5
sentlichen davon ab, ob die jeweilige Information
         Auch der EuGH hat mit Urteil                                     essentiell für die Entscheidung für eine Preisgabe
         v. 30.03.2017, C-146/16 hinsichtlich
                                                                          der Daten erscheint4.
         der RL 2005/29 entschieden, dass
                                                                             Es muss sich bei 1st-level-Informationen gewis-
         räumliche oder zeitliche Beschrän-
                                                                          sermaßen um „Dealbreaker“ handeln. 2nd-level-
         kungen eines Kommunikations-
                                                                          Informationen sind demgegenüber für besonders
         mediums es rechtfertigen können,
         die notwendigen Informationen auf                                datenschutzinteressierte Betroffene oder für den
         anderem Wege zur Verfügung zu                                    Konfliktfall gedacht.
         stellen.
                                                                                      Die folgende Übersicht stellt das
                                                                                      Schema der 1st- und 2nd-level-
und Glauben nicht unbedingt in einem einzigen Do-
                                                                                      Informationen bespielhaft dar. Je
kument enthalten sein muss. Stattdessen könnten                                       nach Verarbeitung oder Darstel-
die Informationen für die Betroffenen auf mehre-                                      lungsart kann es zu Verschiebun-
ren Ebenen verteilt werden, solange die Gesamt-                                       gen kommen.
heit dieser Ebenen den rechtlichen Anforderungen
entspricht.“
    Die Artikel-29-Datenschutzgruppe hätt auch im
WP 260 an der gestuften Information fest2.
                                                                                   1st level                  2nd level
    Die Frage nach dem zulässigen Medienbruch in-
nerhalb derselben Unterrichtung wird vom Gesetz                           Namen und Kontaktdaten Namen und Kontaktdaten
                                                                          des Verantwortlichen   des Vertreters in der EU
allerdings nicht beantwortet. Lediglich der leich-
te Zugang wird stets betont3. Leichter Zugang ist
freilich einen Schritt weiter entfernt als bspw. die                                                  Kontaktdaten des Daten-
                                                                                                      schutzbeauftragten
unmittelbare Bereitstellung oder Beifügung. Auch
insgesamt ist die DS-GVO von einer Hinwendung
zum Digitalen geprägt, während der Vorarbeiten                            Zwecke, für die die per-  Rechtsgrundlage für die
                                                                          sonenbezogenen Daten      Verarbeitung
stand ausdrücklich das Versprechen einer Daten-                           verarbeitet werden sollen
schutzgesetzgebung für das Internetzeitalter im
Raum. Dieses Versprechen wird nun eingelöst.                              Berechtigte Interessen, die Berechtigte Interessen, die
                                                                          von einem Dritten verfolgt von dem Verantwortlichen
    Welche Informationen der betroffenen Person                           werden                      verfolgt werden
unmittelbar mitgegeben werden müssen (1st le-
vel) und welche Informationsgehalte ggf. auf einer                        Kategorien von Empfän-      Empfänger
                                                                          gern
gesonderten Website bzw. per Faxabruf etc. vorge-
halten werden können (2nd level), hängt im We-

2 WP 260 Rev. 1 v. 11.4.2018, S. 19 f.
3 Vgl. ErwGr 39, 58; Art. 12 Abs. 1 Satz 1, 12 Abs. 7 DS-GVO
4 Ausdruck von Treu und Glauben nach Art. 8 Abs. 2 Satz 1 GRCh bzw. Art. 5 Abs. 1 lit. a DS-GVO

  GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
  Datenverarbeitung / Stand: April 2018                               6
1st level                       2nd level                       1st level                 2nd level

Absicht des Verantwort-          Vorhandensein oder das           Bestehen einer automa-     Aussagekräftige Informa-
lichen, die personenbe-          Fehlen eines Angemes-            tisierten Entscheidungs-   tionen über die involvierte
zogenen Daten an ein             senheitsbschlusses der           findung einschließlich     Logik der automatisierten
Drittland oder eine inter-       Kommission oder einen            Profiling                  Entscheidungsfindung
nationale Organisation zu        Verweis auf die geeigne-                                    sowie die Tragweite und
übermitteln                      ten oder angemessenen                                       die angestrebten Auswir-
                                 Garantien und die Mög-                                      kungen einer derartigen
                                 lichkeit, wie eine Kopie                                    Verarbeitung für die
                                 von ihnen zu erhalten ist.                                  betroffenen Personen
                                 Dauer der Speicherung
                                 oder Kriterien zur Festle-       Kategorien personenbezo-
                                 gung dieser Dauer                gener Daten (nur außer-
                                                                  halb der Direkterhebung)
                                 Bestehen eines Rechts
                                 auf Auskunft seitens des         Quelle der personenbezo-
                                 Verantwortlichen über            genen Daten (nur außer-
                                 die betreffenden perso-          halb der Direkterhebung)
                                 nenbezogenen Daten
                                 sowie auf Berichtigung
                                 oder Löschung oder auf
                                 Einschränkung der Verar-
                                 beitung oder eines Wider-
                                 spruchsrechts gegen die
                                 Verarbeitung sowie des           1.5 Zeitpunkt
                                 Rechts auf Datenüber-
                                 tragbarbeit                      Bei Direkterhebung sind die Informationen gem.
Verpflichtung, die per-          Bereitstellung der perso-        Art. 13 Abs. 1 DS-GVO zum Zeitpunkt der Erhebung
sonenbezogenen Daten             nenbezogenen Daten ge-
bereitzustellen, und wel-        setzlich oder vertraglich        bereitzustellen. Außerhalb der Direkterhebung er-
che mögliche Folgen die          vorgeschrieben oder für          teilt der Verantwortliche die Informationen gem.
Nichtbereitstellung hätte        einen Vertragsabschluss          Art. 14 Abs. 3 DS-GVO
                                 erforderlich
                                                                  a) unter Berücksichtigung der spezifischen Um-
                                 Bestehen eines Rechts, die
                                                                  stände der Verarbeitung der personenbezogenen
                                 Einwilligung jederzeit zu
                                 widerrufen                       Daten innerhalb einer angemessenen Frist nach Er-
                                 Bestehen eines Be-               langung der personenbezogenen Daten, längstens
                                 schwerderechts bei einer         jedoch innerhalb eines Monats,
                                 Aufsichtsbehörde                 b) falls die personenbezogenen Daten zur Kom-
                                                                  munikation mit der betroffenen Person verwendet
                                                                  werden sollen, spätestens zum Zeitpunkt der ersten
                                                                  Mitteilung an sie, oder,

5 WP 260 Rev. 1 v. 11.4.2018, S. 18.

  GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
  Datenverarbeitung / Stand: April 2018                       7
c) falls die Offenlegung an einen anderen Emp-                 somit von vornherein verfristet. Zu beachten ist
fänger beabsichtigt ist, spätestens zum Zeitpunkt              schließlich, dass die Daten bereits unter Geltung
der ersten Offenlegung. Die Monatsfrist des Art. 14            eines angemessenen Transparenzregimes nach Art.
Abs. 3 lit. a DS-GVO gibt die Maximaldauer an, die             10 und 11 RL 95/46/EG erhoben wurden. Sofern da-
Fristen der litt. b und c führen niemals zu einem              bei die damaligen Bestimmungen eingehalten wor-
Aufschub.                                                      den sind, ist von einer nachvollziehbaren Verarbei-
    Die Artikel-29-Datenschutzgruppe schlägt vor,              tung i. S. d. Art. 5 Abs. 1 lit. a DSGVO auszugehen.
die Transparenzinformationen gegenüber den be-
troffenen Personen regelmäßig aufzufrischen, auch              1.7 Ausnahmen
wenn sich inhaltlich nichts geändert hat5. Hierfür
besteht kein Grund. Betroffene Personen, die kei-              Die Transparenzrechte werden in der DS-GVO nicht
nen Überblick mehr über die Transparenzinformati-              vorbehaltlos gewährt. Gem. Art. 13 Abs. 4 DS-GVO
onen haben, können sich diesen Überblick im Rah-               entfällt die Information bei der Direkterhebung,
men des Auskunftsersuchens gem. Art. 15 DS-GVO                 wenn und soweit die betroffene Person bereits über
verschaffen.                                                   die Informationen verfügt. Außerhalb der Direkter-
    Sämtliche Betroffene ungefragt in regelmäßigen             hebung finden die Transparenzregeln gem. Art. 14
Abständen mit Informationen zu behelligen, führt               Abs. 5 DS-GVO keine Anwendung, wenn und soweit
lediglich zu „transparency fatigue“. Die Informatio-
nen werden dann bei tatsächlicher inhaltlicher Än-             a) die betroffene Person bereits über die Informa-
derung nicht mehr zur Kenntnis genommen. Zudem                 tionen verfügt,
erscheint es unbillig, Verantwortliche gem. Art. 83
DS-GVO für etwas haften zu lassen, das in den Artt.            b) die Erteilung dieser Informationen sich als un-
13 und 14 DS-GVO nicht vorgeschrieben ist.                     möglich erweist oder einen unverhältnismäßigen
                                                               Aufwand erfordern würde; dies gilt insbesondere
1.6 Transparenz-Reset                                          für die Verarbeitung für im öffentlichen Interesse
                                                               liegende Archivzwecke, für wissenschaftliche oder
Es ist festzuhalten dass die DS-GVO keine pauschale            historische Forschungszwecke oder für statistische
Bestandsinformation am 25. Mai 2018, also keinen               Zwecke vorbehaltlich der in Artikel 89 Abs. 1 DS-
„Transparenz-Reset“ vorsieht. Anknüpfungspunkt                 GVO genannten Bedingungen und Garantien oder
für die Transparenzvorschriften ist jeweils die Er-            soweit die in Abs. 1 des vorliegenden Artikels ge-
hebung der Daten. Die Erhebungsphase ist mit Gel-              nannte Pflicht voraussichtlich die Verwirklichung
tung der Verordnung bereits abgeschlossen. Somit               der Ziele dieser Verarbeitung unmöglich macht oder
existiert kein auslösendes Ereignis, welches die               ernsthaft beeinträchtigt. In diesen Fällen ergreift
Transparenzvorgaben der Artt. 13 und 14 DS-GVO                 der Verantwortliche geeignete Maßnahmen zum
nach sich zöge. Auch die in der DS-GVO niederge-               Schutz der Rechte und Freiheiten sowie der be-
legten Mitteilungsfristen liegen für Altfälle bereits          rechtigten Interessen der betroffenen Person, ein-
in der Vergangenheit.                                          schließlich der Bereitstellung dieser Informationen
    Ein obligatorischer Transparenz-Reset wäre                 für die Öffentlichkeit,

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018                      8
c) die Erlangung oder Offenlegung durch Rechts-                >> Kontaktdaten des       Datenschutzbeauftragten
vorschriften der Union oder der Mitgliedstaaten,                  (ggf. 2nd level)
denen der Verantwortliche unterliegt und die ge-
eignete Maßnahmen zum Schutz der berechtigten                  2.2 Verarbeitungsrahmen
Interessen der betroffenen Person vorsehen, aus-
drücklich geregelt ist oder                                    >> Kategorien personenbezogener Daten, die ver-
                                                                  arbeitet werden (1st level)
d) die personenbezogenen Daten gemäß dem Uni-                  >> Quelle der personenbezogenen Daten und ggf.
onsrecht oder dem Recht der Mitgliedstaaten dem                   ob sie aus öffentlich zugänglichen Quellen
Berufsgeheimnis, einschließlich einer satzungsmä-                 stammen (1st level, außer. der Direkterhebung)
ßigen Geheimhaltungspflicht, unterliegen und da-               >> Dauer, für die die personenbezogenen Daten
her vertraulich behandelt werden müssen.                          gespeichert werden oder, falls dies nicht mög-
Darüber hinaus besteht nach den Öffnungsklauseln                  lich ist, die Kriterien für die Festlegung dieser
in Artt. 23 und 88 DS-GVO die Möglichkeit, natio-                 Dauer (ggf. 2nd level)
nale Beschränkungen zu verankern. Der Bundesge-                >> Zwecke, für die die personenbezogenen Daten
setzgeber hat mit der Verabschiedung des neuen                    verarbeitet werden sollen (1st level)
BDSG hiervon Gebrauch gemacht. Die §§ 4 Abs. 2,                >> Rechtsgrundlage für die Verarbeitung
29, 32 und 33 BDSG 2018 enthalten insoweit ge-                    (ggf. 2nd level)
ringfügige Ausnahmen.                                          >> berechtigte Interessen im Sinne von Art. 6 Abs.
                                                                  1 lit. f, die von dem Verantwortlichen ver-
                                                                  folgt werden (ggf. 2nd level)
                                                               >> berechtigte Interessen im Sinne von Art. 6 Abs.
                                                                  1 lit. f, die von einem Dritten verfolgt werden
2. Muster-Komplett-                                               (1st level)
information                                                    >> Bereitstellung der personenbezogenen Daten
                                                                  gesetzlich oder vertraglich vorgeschrieben
Im Folgenden wird eine vollständige den Artt. 13 &                (ggf. 2nd level)
14 DS-GVO entsprechende Information abgebildet.
Je nach Verarbeitung sind nur solche Gesichtspunk-                     In den Fällen, in denen berechtigte
te mit Leben zu füllen, die auch wirklich eine Rolle                   Interessen nach Art. 6 Abs. 1
spielen (z.B. Auslandsbezug, Profiling, berechtigte                    lit. f DS-GVO verfolgt werden, ist die
Interessen).                                                           Verpflichtung zur Aufklärung der
                                                                       betroffenen Person über das Wider-
2.1 Datenverarbeiter                                                   spruchsrecht gem. Art. 21 Abs. 4 DS-
                                                                       GVO zu beachten. Der Hinweis muss
>> Name und Kontaktdaten des Verantwortlichen                          in einer verständlichen und in einer
                                                                       von anderen Informationen getrenn-
   (1st Level)
                                                                       ten Form erfolgen.
>> Name und Kontaktdaten des Vertreters in der EU
   (ggf. 2nd level)

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018                      9
>> Bereitstellung der personenbezogenen Daten                   >> Bestehen eines Rechts, die Einwilligung im
   für einen Vertragsabschluss erforderlich                        Sinne von Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2
   (ggf. 2nd level)                                                lit. a jederzeit zu widerrufen, ohne dass die
>> Verpflichtung zur Bereitstellung und mögliche                   Rechtmäßigkeit der aufgrund der Einwilligung
   Folgen einer Nichtbereitstellung (1st level)                    bis zum Widerruf erfolgten Verarbeitung be-
>> Bestehen einer automatisierten Entschei-                        rührt wird (ggf. 2nd level)
   dungsfindung einschließlich Profiling                        >> Bestehen eines Beschwerderechts bei einer Auf
   gemäß Art. 22 Abs. 1 und 4 DS-GVO (1st level)                   sichtsbehörde (ggf. 2nd level)
   und – zumindest in diesen Fällen – aussage-
   kräftige Informationen (ggf. 2nd level) über                 3. Besondere Verarbeitungs-
   die involvierte Logik sowie die Tragweite und
                                                                situationen
   die angestrebten Auswirkungen einer derarti-
   gen Verarbeitung für die bet roffene Person
                                                                3.1 Ladenlokal
2.3 Weitergabe und Auslandsbezug
                                                                In einem Ladengeschäft, welches Waren und
>> Empfänger (ggf. 2nd level) oder Kategorien 		                Dienstleistungen unter Erhebung und Verarbeitung
   von Empfängern (1st level) der personenbezo-                 personenbezogener Daten anbietet (Fahrkarten,
   genen Daten                                                  Eintrittskarten, Erhebung von Kontaktinformati-
>> Absicht des Verantwortlichen, die personen-		                onen etc.), können die entsprechenden Hinweise
   bezogenen Daten an ein Drittland oder eine                   durch Aushang kenntlich gemacht werden. Sofern
   internationale Organisation zu übermitteln                   eine betroffene Person es wünscht, sollten Abdru-
   (1st level)                                                  cke zum Mitnehmen zur Verfügung gestellt werden.
>> Vorhandensein oder Fehlen eines Angemes-
   senheitsbeschlusses der Kommission                           3.2 Telefonische Bestellung
   (ggf. 2nd level)
>> Verweis auf geeignete oder angemessene                       Bei telefonischer Bestellung oder Reservierung er-
   Garantien und die Möglichkeit, wie eine Kopie                scheint eine Sprachwiedergabe der gesamten Trans-
   von ihnen zu erhalten ist, oder wo sie ver-                  parenzinformation nicht zweckdienlich. Sie könnte
   fügbar sind (ggf. 2nd level)                                 z.B. als Menüfunktion (Sprachwidergabe bzw. Link
                                                                per SMS aufs Handy) bereitgestellt werden und an-
2.4 Betroffenenrechte                                           sonsten auf eine (leicht zu merkende) URL verwie-
                                                                sen werden.
>> Bestehen eines Rechts auf Auskunft, Berichti-
   gung, Löschung, Einschränkung der Verarbei-                  3.3 Automatenkauf
   tung oder eines Widerspruchsrechts gegen die
   Verarbeitung sowie des Rechts auf Datenüber-                 Auch beim Automatenkauf erscheint es nicht sinn-
   tragbarkeit (ggf. 2nd level)                                 voll, dem Kunden (der unter Umständen sogar

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018                      10
unter Zeitdruck steht, Stichwort: Fahrkarte), alle
                                                                       Es handelt sich um eine Direkterhe-
Informationen per Bildschirm auf einmal zukom-
                                                                       bung im Sinne des Art. 13 DS-GVO,
men zu lassen. Hier sollte sich die Anzeige auf die
                                                                       jedoch ist der Betroffene atypischer-
wesentlichen 1st-level-Informationen beschränken
                                                                       weise nicht zugegen. Art. 14 DS-GVO
und der Hinweis auf eine (leicht zu merkende) URL
                                                                       findet keine Anwendung.
gegeben bzw. auf dem Fahrkartenausdruck vermerkt                       U.U. ist auch die Recherche in Karri-
werden. Es ist aber möglich, die Informationen als                     ereportalen als Direkterhebung an-
Menüoption vollständig für interessierte Betroffene                    zusehen, da die Daten auf Betreiben
vorzuhalten.                                                           und mit dem Willen der betroffenen
                                                                       Person für alle Interessierten ins
3.4 Gewinnspiel per Post                                               Netz gespeist werden.

Gewinnspiele per Postkarte sollen die Kandidaten
nicht mit Datenschutzhinweisen überfordern. Zwar                renzinformationen ohne Weiteres unmittelbar be-
müssen die Informationen nicht auf die Postkarte                reitzustellen. Bei reiner Online-Abwicklung ist es
selbst passen (denn diese schickt die betroffene                gestattet, 1st- und 2nd-level-Informationen auf
Person unmittelbar wieder weg), ein Zeitschriften-              getrennten Unterseiten vorzuhalten.
beileger etwa darf sich aber auf wesentliche 1st-                   Die Bewerbung per Post richtet sich entweder
level-Informationen beschränken und für den Rest                gezielt auf eine Stellenausschreibung oder erfolgt
eine andere Darreichungsform anbieten.                          initiativ. In beiden Fällen findet eine Erhebung per-
                                                                sonenbezogener Daten erst mit Sichtung der Ein-
3.5 Beschäftigtendaten                                          sendung statt. Eine etwaige Stellenausschreibung
                                                                darf sich daher auf grundlegende Informationen be-
Beschäftigte verfügen nicht notwendigerweise über               schränken, wenn die endgültige Information nach-
sämtliche datenschutzrelevanten Informationen,                  geliefert wird.
nur weil sie ein enges Schuldverhältnis zum Verant-
wortlichen unterhalten. Notwendige Transparenzin-               3.7 Videoüberwachung
halte können insoweit als Anlage zum Arbeitsver-
trag mitgeteilt werden. Zudem bietet es sich an,                Gem. § 4 Abs. 2 BDSG 2018 sind nurmehr der
entsprechende Informationen, die ggf. auch der                  Umstand der Beobachtung und der Name und die
ständigen Änderung und Aktualisierung unterlie-                 Kontaktdaten des Verantwortlichen durch geeig-
gen, auf einer betrieblichen Intranetseite vorzuhal-            nete Maßnahmen zum frühestmöglichen Zeitpunkt
ten.                                                            erkennbar zu machen. Es bleibt also beim heute
                                                                schon typischen Symbolschild. Weitere Transparen-
3.6 Bewerbermanagement                                          zinformationen erhält die betroffene Person nicht,
                                                                sie ist stattdessen auf den Auskunftsanspruch nach
Im Bewerbungsverfahren ist zu unterscheiden: In                 Art. 15 DS-GVO angewiesen.
einem Online-Bewerberportal sind die Transpa-

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018                      11
Gesellschaft für Datenschutz
und Datensicherheit e.V.

Die Inhalte dieser Praxishilfe wurden im Rahmen des
GDD-Arbeitskreises „DS-GVO Praxis“ erstellt.

Satz: C. Wengenroth, GDD-Geschäftsstelle, Bonn

Herausgeber:
Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)
Heinrich-Böll-Ring 10
53119 Bonn
Tel.: +49 2 28 96 96 75-00
Fax: +49 2 28 96 96 75-25
www.gdd.de
info@gdd.de

Stand:
Version 2.1 (April 2018)
Sie können auch lesen