GDD-Praxishilfe DS-GVO VII - Transparenzpflichten bei der Datenverarbeitung

Die Seite wird erstellt Lisa Vogel

Staat und Politik

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

Gesellschaft für Datenschutz
und Datensicherheit e.V.

GDD-Praxishilfe DS-GVO VII
Transparenzpflichten bei der Datenverarbeitung

INHALT

1. Allgemeines
1.1 Abgrenzung Artt. 13 & 14........................................................................................... 4
1.2 Transparenzpflichten außerhalb der Artt. 13 & 14........................................................ 4
1.3 Abgrenzung zwischen den jeweiligen Absätzen 1 und 2................................................. 5
1.4 Erlaubter Medienbruch............................................................................................... 5
1.5 Zeitpunkt.................................................................................................................. 7
1.6 Transparenz-Reset...................................................................................................... 8
1.7 Ausnahmen............................................................................................................... 8

2. Muster-Komplettinformation
2.1 Datenverarbeiter........................................................................................................ 9
2.2 Verarbeitungsrahmen................................................................................................. 9
2.3 Weitergabe und Auslandsbezug................................................................................. 10
2.4 Betroffenenrechte.................................................................................................... 10

3. Besondere Verarbeitungssituationen
3.1 Ladenlokal.............................................................................................................. 10
3.2 Telefonische Bestellung............................................................................................ 10
3.3 Automatenkauf........................................................................................................ 10
3.4 Gewinnspiel per Post............................................................................................... 11
3.5 Beschäftigtendaten.................................................................................................. 11
3.6 Bewerbermanagement.............................................................................................. 11
3.7 Videoüberwachung................................................................................................... 11

Transparenzpflichten bei der Daten-
verarbeitung

Die Einführung der Datenschutz-Grundverordnung geht mit einer bewussten Stärkung der
Betroffenenrechte einher. „Ein unionsweiter wirksamer Schutz personenbezogener Daten er-
fordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ heißt
es daher ausdrücklich in Erwägungsgrund (ErwGr) Nr. 11. Hauptpfeiler der neuen Betrof-
fenenrechte sind neben dem strengeren Haftungsregime und den neu eingeführten Einzel-
ansprüchen vor allem die ausgeweiteten Transparenzpflichten bei der Datenverarbeitung.
Art. 13 DS-GVO widmet sich den Informationspflichten bei der Direkterhebung, Art. 14 ist
das Pendant bei Erhebung von Daten bei Dritten. Die betroffene Person soll die Informati-
onen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren
und einfachen Sprache erhalten (Art. 12 Abs. 1 Satz 1 DS-GVO) und dies stets unentgeltlich
(Art. 12 Abs. 5).

Am 11. April 2018 verabschiedete die Artikel-29-Datenschutzgruppe ihr WP 260 zu den Trans-
parenzregeln der Datenschutz-Grundverordnung (DS-GVO)*.

Der GDD-Arbeitskreis „DS-GVO-Praxis“ stellt im Folgenden eine Hybrid-Datenschutzinforma-
tion vor, welche den jeweiligen Anforderungen der Artt. 13 & 14 DS-GVO gleichermaßen
gerecht werden soll.

* http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018 3

1. Allgemeines                                                                                  Art. 13         Art. 14

1.1 Abgrenzung Artt. 13 & 14
                                                                     Drittstaatstrans-         Abs. 1 lit. f   Abs. 1 lit. f
Art. 13 regelt ausweislich der redaktionellen Über-                  fer
schrift die Informationspflicht bei Erhebung von                     Speicherdauer             Abs. 2 lit. a   Abs. 2 lit. a
personenbezogenen Daten bei der betroffenen
Person, Art. 14 regelt demgegenüber die Informa-
                                                                     Auskunftsanspruch         Abs. 2 lit. b   Abs. 2 lit. c
tionspflicht, wenn die personenbezogenen Daten                       (Art. 15); Berichtigung
                                                                     (Art. 16); Löschung
nicht bei der betroffenen Person erhoben wurden.                     (Art. 17 Abs. 1);
ErwGr 61 unterscheidet diesbezüglich, ob die Daten                   Einschränkung der
                                                                     Verarbeitung (Art. 18);
von der betroffenen Person oder aus einer anderen                    Widerspruch (Art. 21);
                                                                     Datenübertragbarkeit
Quelle erlangt werden. Die Unterscheidung von di-                    (Art. 20)
rekter und indirekter Erhebung folgt dem Ansatz,
                                                                     Widerruf der              Abs. 2 lit. c   Abs. 2 lit. d
der bereits den Artt. 10 und 11 DSRL zu Grunde                       Einwilligung
lag. Als Direkterhebung ist insoweit jede Erhebung
                                                                     Beschwerderecht           Abs. 2 lit. d   Abs. 2 lit. e
personenbezogener Daten mit Kenntnis oder unter
Mitwirkung der betroffenen Person zu verstehen.
                                                                     Pflicht zur Be-           Abs. 2 lit. e         -
Die Informationsgehalte der Artt. 13 & 14 sind wei-
                                                                     reitstellung der
testgehend identisch:                                                Daten
                                                                     Datenquelle                     -         Abs. 2 lit. f
                            Art. 13                Art. 14
                                                                     Automatisierte            Abs. 2 lit. f   Abs. 2 lit. g
                                                                     Entscheidungs-
Verantwortlicher           Abs. 1 lit. a         Abs. 1 lit. a       findung
und Vertreter

Datenschutzbe-            Abs. 1 lit. b          Abs. 1 lit. b
auftragter                                                           1.2 Transparenzpflichten außerhalb
Zwecke und                 Abs. 1 lit. c         Abs. 1 lit. c       der Artt. 13 & 14
Rechtsgrundlage
                                                                     Transparenz wird nicht nur durch die Artt. 13 und
Datenkategorien                  -               Abs. 1 lit. d
                                                                     14 DS-GVO hergestellt. Innerhalb der DS-GVO gibt
                                                                     es weitere Informationsansprüche, etwa
Berechtigte Inte-         Abs. 1 lit. d          Abs. 2 lit. b
ressen                                                               >> die Auskunft nach Art. 15 DS-GVO,
                                                                     >> die Unterrichtung der betroffenen Person
Empfänger oder             Abs. 1 lit. e         Abs. 1 lit. e           im Zusammenhang mit der Berichtigung oder
Kategorien von
Empfängern                                                               Löschung personenbezogener Daten nach Art.
                                                                         19 Satz 2 DS-GVO,

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018                            4

>> der Hinweis auf das Widerspruchsrecht ligen Abs. 1 und 2 vollkommen gleichbehandelt1.
spätestens zum Zeitpunkt der ersten Nur augenscheinlich sind die zusätzlichen Informa-
Kommunikation nach Art. 21 Abs. 4 DS- tionen lediglich dann mitzuteilen, wenn sie not-
GVO wendig sind, um eine faire und transparente Ver-
>> die Zurverfügungstellung der Vereinba- arbeitung zu gewährleisten. Das Erfordernis einer
rung zwischen gemeinsam für die Verar- „fairen und transparenten Verarbeitung“ schwebt
beitung Verantwortlichen nach Art. 26 freilich gem. Art. 5 Abs. 1 lit. a über der gesamten
Abs. 2 Satz 2 DS-GVO oder auch DS-GVO. Eine qualitative Unterscheidung der Infor-
>> die Benachrichtigung der von einer Ver- mationen nach Abs. 1 und Abs. 2 ist dementspre-
letzung des Schutzes personenbezogener chend nicht möglich. Es fehlt zudem an jeglichen
Daten betroffenen Person nach Art. 34 Indizien, welche Informationen der Abs. 2 im Ein-
DS-GVO. zelfall mitgeteilt werden müssen und welche nicht.
Auch der Auskunft gem. Art. 15 Abs. 1 ist eine sol-
Daneben gelten z.B. die Impressumspflicht des che Unterscheidung fremd.
Website-Betreibers, Unterrichtungspflichten im Im Zweifel ist wegen des hohen Haftungsrisikos
Fernabsatzrecht, Transparenz von AGB u.s.w. (vgl. Art. 83 Abs. 5 lit. b DS-GVO) stets zu einem
Mehr an Information zu raten. Insbesondere wenn
ein Medienbruch vorgenommen wird, indem ein Teil
Die vorliegende Praxishilfe be- der Informationen z.B. auf einer Website vorgehal-
fasst sich ausschließlich mit den ten wird, ist ein Weglassen von Informationsgehal-
Transparenzpflichten nach Artt. 13 ten umso schwieriger zu begründen.
& 14 DS-GVO.
1.4 Erlaubter Medienbruch

1.3 Abgrenzung zwischen den jewei-
Manche Verarbeitungssituationen lassen es nicht
ligen Absätzen 1 und 2
zu, der betroffenen Person einen mehrseitigen Ab-
Sowohl Art. 13 als auch Art. 14 DS-GVO nehmen druck der Transparenzinformationen unmittelbar
eine strukturelle Trennung der Informationsgehalte zur Verfügung zu stellen (z.B. Automatenverkauf,
vor, die sich in den jeweiligen Absätzen 1 und 2 wi- Telefongeschäfte, Postkarte für Gewinnspiel). Ein
derspiegelt. Die Trennung erfolgt zunächst im Hin- Übermaß an Information auf einen Streich kann be-
blick auf Art. 13 Abs. 3 und Art. 14 Abs. 4 DS-GVO: troffene Personen zudem überfordern und Wesentli-
Informationen der Absätze 2 sind bei nachträgli- ches untergehen lassen.
cher Zweckänderung (u.U. erneut) mitzuteilen. Die Art. 29-Datenschutzgruppe plädierte bereits
Nach Auffassung der Artikel-29-Datenschutz- im Working Paper 100 für „das Prinzip, nach dem
gruppe werden die Informationsgehalte der jewei- eine Erklärung über eine Verarbeitung nach Treu

1 WP 260 Rev. 1 v. 11.4.2018, S. 14. Ebenso Kühling/Buchner/Bäcker, DS-GVO, 2. Aufl. 2018, Art. 13 Rn. 20; Wolff/Brink/Schmidt-Wudy,
BeckOK Datenschutzrecht, 21. Ed. 2017, Art. 13 Rn. 37; Gola/Franck, DS-GVO, 2. Aufl. 2018, Art. 13 Rn. 6

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018 5

sentlichen davon ab, ob die jeweilige Information
Auch der EuGH hat mit Urteil essentiell für die Entscheidung für eine Preisgabe
v. 30.03.2017, C-146/16 hinsichtlich
der Daten erscheint4.
der RL 2005/29 entschieden, dass
Es muss sich bei 1st-level-Informationen gewis-
räumliche oder zeitliche Beschrän-
sermaßen um „Dealbreaker“ handeln. 2nd-level-
kungen eines Kommunikations-
Informationen sind demgegenüber für besonders
mediums es rechtfertigen können,
die notwendigen Informationen auf datenschutzinteressierte Betroffene oder für den
anderem Wege zur Verfügung zu Konfliktfall gedacht.
stellen.
Die folgende Übersicht stellt das
Schema der 1st- und 2nd-level-
und Glauben nicht unbedingt in einem einzigen Do-
Informationen bespielhaft dar. Je
kument enthalten sein muss. Stattdessen könnten nach Verarbeitung oder Darstel-
die Informationen für die Betroffenen auf mehre- lungsart kann es zu Verschiebun-
ren Ebenen verteilt werden, solange die Gesamt- gen kommen.
heit dieser Ebenen den rechtlichen Anforderungen
entspricht.“
Die Artikel-29-Datenschutzgruppe hätt auch im
WP 260 an der gestuften Information fest2.
1st level 2nd level
Die Frage nach dem zulässigen Medienbruch in-
nerhalb derselben Unterrichtung wird vom Gesetz Namen und Kontaktdaten Namen und Kontaktdaten
des Verantwortlichen des Vertreters in der EU
allerdings nicht beantwortet. Lediglich der leich-
te Zugang wird stets betont3. Leichter Zugang ist
freilich einen Schritt weiter entfernt als bspw. die Kontaktdaten des Daten-
schutzbeauftragten
unmittelbare Bereitstellung oder Beifügung. Auch
insgesamt ist die DS-GVO von einer Hinwendung
zum Digitalen geprägt, während der Vorarbeiten Zwecke, für die die per- Rechtsgrundlage für die
sonenbezogenen Daten Verarbeitung
stand ausdrücklich das Versprechen einer Daten- verarbeitet werden sollen
schutzgesetzgebung für das Internetzeitalter im
Raum. Dieses Versprechen wird nun eingelöst. Berechtigte Interessen, die Berechtigte Interessen, die
von einem Dritten verfolgt von dem Verantwortlichen
Welche Informationen der betroffenen Person werden verfolgt werden
unmittelbar mitgegeben werden müssen (1st le-
vel) und welche Informationsgehalte ggf. auf einer Kategorien von Empfän- Empfänger
gern
gesonderten Website bzw. per Faxabruf etc. vorge-
halten werden können (2nd level), hängt im We-

2 WP 260 Rev. 1 v. 11.4.2018, S. 19 f.
3 Vgl. ErwGr 39, 58; Art. 12 Abs. 1 Satz 1, 12 Abs. 7 DS-GVO
4 Ausdruck von Treu und Glauben nach Art. 8 Abs. 2 Satz 1 GRCh bzw. Art. 5 Abs. 1 lit. a DS-GVO

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018 6

1st level                       2nd level                       1st level                 2nd level

Absicht des Verantwort-          Vorhandensein oder das           Bestehen einer automa-     Aussagekräftige Informa-
lichen, die personenbe-          Fehlen eines Angemes-            tisierten Entscheidungs-   tionen über die involvierte
zogenen Daten an ein             senheitsbschlusses der           findung einschließlich     Logik der automatisierten
Drittland oder eine inter-       Kommission oder einen            Profiling                  Entscheidungsfindung
nationale Organisation zu        Verweis auf die geeigne-                                    sowie die Tragweite und
übermitteln                      ten oder angemessenen                                       die angestrebten Auswir-
                                 Garantien und die Mög-                                      kungen einer derartigen
                                 lichkeit, wie eine Kopie                                    Verarbeitung für die
                                 von ihnen zu erhalten ist.                                  betroffenen Personen
                                 Dauer der Speicherung
                                 oder Kriterien zur Festle-       Kategorien personenbezo-
                                 gung dieser Dauer                gener Daten (nur außer-
                                                                  halb der Direkterhebung)
                                 Bestehen eines Rechts
                                 auf Auskunft seitens des         Quelle der personenbezo-
                                 Verantwortlichen über            genen Daten (nur außer-
                                 die betreffenden perso-          halb der Direkterhebung)
                                 nenbezogenen Daten
                                 sowie auf Berichtigung
                                 oder Löschung oder auf
                                 Einschränkung der Verar-
                                 beitung oder eines Wider-
                                 spruchsrechts gegen die
                                 Verarbeitung sowie des           1.5 Zeitpunkt
                                 Rechts auf Datenüber-
                                 tragbarbeit                      Bei Direkterhebung sind die Informationen gem.
Verpflichtung, die per-          Bereitstellung der perso-        Art. 13 Abs. 1 DS-GVO zum Zeitpunkt der Erhebung
sonenbezogenen Daten             nenbezogenen Daten ge-
bereitzustellen, und wel-        setzlich oder vertraglich        bereitzustellen. Außerhalb der Direkterhebung er-
che mögliche Folgen die          vorgeschrieben oder für          teilt der Verantwortliche die Informationen gem.
Nichtbereitstellung hätte        einen Vertragsabschluss          Art. 14 Abs. 3 DS-GVO
                                 erforderlich
                                                                  a) unter Berücksichtigung der spezifischen Um-
                                 Bestehen eines Rechts, die
                                                                  stände der Verarbeitung der personenbezogenen
                                 Einwilligung jederzeit zu
                                 widerrufen                       Daten innerhalb einer angemessenen Frist nach Er-
                                 Bestehen eines Be-               langung der personenbezogenen Daten, längstens
                                 schwerderechts bei einer         jedoch innerhalb eines Monats,
                                 Aufsichtsbehörde                 b) falls die personenbezogenen Daten zur Kom-
                                                                  munikation mit der betroffenen Person verwendet
                                                                  werden sollen, spätestens zum Zeitpunkt der ersten
                                                                  Mitteilung an sie, oder,

5 WP 260 Rev. 1 v. 11.4.2018, S. 18.

  GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
  Datenverarbeitung / Stand: April 2018                       7

c) falls die Offenlegung an einen anderen Emp- somit von vornherein verfristet. Zu beachten ist
fänger beabsichtigt ist, spätestens zum Zeitpunkt schließlich, dass die Daten bereits unter Geltung
der ersten Offenlegung. Die Monatsfrist des Art. 14 eines angemessenen Transparenzregimes nach Art.
Abs. 3 lit. a DS-GVO gibt die Maximaldauer an, die 10 und 11 RL 95/46/EG erhoben wurden. Sofern da-
Fristen der litt. b und c führen niemals zu einem bei die damaligen Bestimmungen eingehalten wor-
Aufschub. den sind, ist von einer nachvollziehbaren Verarbei-
Die Artikel-29-Datenschutzgruppe schlägt vor, tung i. S. d. Art. 5 Abs. 1 lit. a DSGVO auszugehen.
die Transparenzinformationen gegenüber den be-
troffenen Personen regelmäßig aufzufrischen, auch 1.7 Ausnahmen
wenn sich inhaltlich nichts geändert hat5. Hierfür
besteht kein Grund. Betroffene Personen, die kei- Die Transparenzrechte werden in der DS-GVO nicht
nen Überblick mehr über die Transparenzinformati- vorbehaltlos gewährt. Gem. Art. 13 Abs. 4 DS-GVO
onen haben, können sich diesen Überblick im Rah- entfällt die Information bei der Direkterhebung,
men des Auskunftsersuchens gem. Art. 15 DS-GVO wenn und soweit die betroffene Person bereits über
verschaffen. die Informationen verfügt. Außerhalb der Direkter-
Sämtliche Betroffene ungefragt in regelmäßigen hebung finden die Transparenzregeln gem. Art. 14
Abständen mit Informationen zu behelligen, führt Abs. 5 DS-GVO keine Anwendung, wenn und soweit
lediglich zu „transparency fatigue“. Die Informatio-
nen werden dann bei tatsächlicher inhaltlicher Än- a) die betroffene Person bereits über die Informa-
derung nicht mehr zur Kenntnis genommen. Zudem tionen verfügt,
erscheint es unbillig, Verantwortliche gem. Art. 83
DS-GVO für etwas haften zu lassen, das in den Artt. b) die Erteilung dieser Informationen sich als un-
13 und 14 DS-GVO nicht vorgeschrieben ist. möglich erweist oder einen unverhältnismäßigen
Aufwand erfordern würde; dies gilt insbesondere
1.6 Transparenz-Reset für die Verarbeitung für im öffentlichen Interesse
liegende Archivzwecke, für wissenschaftliche oder
Es ist festzuhalten dass die DS-GVO keine pauschale historische Forschungszwecke oder für statistische
Bestandsinformation am 25. Mai 2018, also keinen Zwecke vorbehaltlich der in Artikel 89 Abs. 1 DS-
„Transparenz-Reset“ vorsieht. Anknüpfungspunkt GVO genannten Bedingungen und Garantien oder
für die Transparenzvorschriften ist jeweils die Er- soweit die in Abs. 1 des vorliegenden Artikels ge-
hebung der Daten. Die Erhebungsphase ist mit Gel- nannte Pflicht voraussichtlich die Verwirklichung
tung der Verordnung bereits abgeschlossen. Somit der Ziele dieser Verarbeitung unmöglich macht oder
existiert kein auslösendes Ereignis, welches die ernsthaft beeinträchtigt. In diesen Fällen ergreift
Transparenzvorgaben der Artt. 13 und 14 DS-GVO der Verantwortliche geeignete Maßnahmen zum
nach sich zöge. Auch die in der DS-GVO niederge- Schutz der Rechte und Freiheiten sowie der be-
legten Mitteilungsfristen liegen für Altfälle bereits rechtigten Interessen der betroffenen Person, ein-
in der Vergangenheit. schließlich der Bereitstellung dieser Informationen
Ein obligatorischer Transparenz-Reset wäre für die Öffentlichkeit,

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018 8

c) die Erlangung oder Offenlegung durch Rechts- >> Kontaktdaten des Datenschutzbeauftragten
vorschriften der Union oder der Mitgliedstaaten, (ggf. 2nd level)
denen der Verantwortliche unterliegt und die ge-
eignete Maßnahmen zum Schutz der berechtigten 2.2 Verarbeitungsrahmen
Interessen der betroffenen Person vorsehen, aus-
drücklich geregelt ist oder >> Kategorien personenbezogener Daten, die ver-
arbeitet werden (1st level)
d) die personenbezogenen Daten gemäß dem Uni- >> Quelle der personenbezogenen Daten und ggf.
onsrecht oder dem Recht der Mitgliedstaaten dem ob sie aus öffentlich zugänglichen Quellen
Berufsgeheimnis, einschließlich einer satzungsmä- stammen (1st level, außer. der Direkterhebung)
ßigen Geheimhaltungspflicht, unterliegen und da- >> Dauer, für die die personenbezogenen Daten
her vertraulich behandelt werden müssen. gespeichert werden oder, falls dies nicht mög-
Darüber hinaus besteht nach den Öffnungsklauseln lich ist, die Kriterien für die Festlegung dieser
in Artt. 23 und 88 DS-GVO die Möglichkeit, natio- Dauer (ggf. 2nd level)
nale Beschränkungen zu verankern. Der Bundesge- >> Zwecke, für die die personenbezogenen Daten
setzgeber hat mit der Verabschiedung des neuen verarbeitet werden sollen (1st level)
BDSG hiervon Gebrauch gemacht. Die §§ 4 Abs. 2, >> Rechtsgrundlage für die Verarbeitung
29, 32 und 33 BDSG 2018 enthalten insoweit ge- (ggf. 2nd level)
ringfügige Ausnahmen. >> berechtigte Interessen im Sinne von Art. 6 Abs.
1 lit. f, die von dem Verantwortlichen ver-
folgt werden (ggf. 2nd level)
>> berechtigte Interessen im Sinne von Art. 6 Abs.
1 lit. f, die von einem Dritten verfolgt werden
2. Muster-Komplett- (1st level)
information >> Bereitstellung der personenbezogenen Daten
gesetzlich oder vertraglich vorgeschrieben
Im Folgenden wird eine vollständige den Artt. 13 & (ggf. 2nd level)
14 DS-GVO entsprechende Information abgebildet.
Je nach Verarbeitung sind nur solche Gesichtspunk- In den Fällen, in denen berechtigte
te mit Leben zu füllen, die auch wirklich eine Rolle Interessen nach Art. 6 Abs. 1
spielen (z.B. Auslandsbezug, Profiling, berechtigte lit. f DS-GVO verfolgt werden, ist die
Interessen). Verpflichtung zur Aufklärung der
betroffenen Person über das Wider-
2.1 Datenverarbeiter spruchsrecht gem. Art. 21 Abs. 4 DS-
GVO zu beachten. Der Hinweis muss
>> Name und Kontaktdaten des Verantwortlichen in einer verständlichen und in einer
von anderen Informationen getrenn-
(1st Level)
ten Form erfolgen.
>> Name und Kontaktdaten des Vertreters in der EU
(ggf. 2nd level)

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018 9

>> Bereitstellung der personenbezogenen Daten                   >> Bestehen eines Rechts, die Einwilligung im
   für einen Vertragsabschluss erforderlich                        Sinne von Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2
   (ggf. 2nd level)                                                lit. a jederzeit zu widerrufen, ohne dass die
>> Verpflichtung zur Bereitstellung und mögliche                   Rechtmäßigkeit der aufgrund der Einwilligung
   Folgen einer Nichtbereitstellung (1st level)                    bis zum Widerruf erfolgten Verarbeitung be-
>> Bestehen einer automatisierten Entschei-                        rührt wird (ggf. 2nd level)
   dungsfindung einschließlich Profiling                        >> Bestehen eines Beschwerderechts bei einer Auf
   gemäß Art. 22 Abs. 1 und 4 DS-GVO (1st level)                   sichtsbehörde (ggf. 2nd level)
   und – zumindest in diesen Fällen – aussage-
   kräftige Informationen (ggf. 2nd level) über                 3. Besondere Verarbeitungs-
   die involvierte Logik sowie die Tragweite und
                                                                situationen
   die angestrebten Auswirkungen einer derarti-
   gen Verarbeitung für die bet roffene Person
                                                                3.1 Ladenlokal
2.3 Weitergabe und Auslandsbezug
                                                                In einem Ladengeschäft, welches Waren und
>> Empfänger (ggf. 2nd level) oder Kategorien 		                Dienstleistungen unter Erhebung und Verarbeitung
   von Empfängern (1st level) der personenbezo-                 personenbezogener Daten anbietet (Fahrkarten,
   genen Daten                                                  Eintrittskarten, Erhebung von Kontaktinformati-
>> Absicht des Verantwortlichen, die personen-		                onen etc.), können die entsprechenden Hinweise
   bezogenen Daten an ein Drittland oder eine                   durch Aushang kenntlich gemacht werden. Sofern
   internationale Organisation zu übermitteln                   eine betroffene Person es wünscht, sollten Abdru-
   (1st level)                                                  cke zum Mitnehmen zur Verfügung gestellt werden.
>> Vorhandensein oder Fehlen eines Angemes-
   senheitsbeschlusses der Kommission                           3.2 Telefonische Bestellung
   (ggf. 2nd level)
>> Verweis auf geeignete oder angemessene                       Bei telefonischer Bestellung oder Reservierung er-
   Garantien und die Möglichkeit, wie eine Kopie                scheint eine Sprachwiedergabe der gesamten Trans-
   von ihnen zu erhalten ist, oder wo sie ver-                  parenzinformation nicht zweckdienlich. Sie könnte
   fügbar sind (ggf. 2nd level)                                 z.B. als Menüfunktion (Sprachwidergabe bzw. Link
                                                                per SMS aufs Handy) bereitgestellt werden und an-
2.4 Betroffenenrechte                                           sonsten auf eine (leicht zu merkende) URL verwie-
                                                                sen werden.
>> Bestehen eines Rechts auf Auskunft, Berichti-
   gung, Löschung, Einschränkung der Verarbei-                  3.3 Automatenkauf
   tung oder eines Widerspruchsrechts gegen die
   Verarbeitung sowie des Rechts auf Datenüber-                 Auch beim Automatenkauf erscheint es nicht sinn-
   tragbarkeit (ggf. 2nd level)                                 voll, dem Kunden (der unter Umständen sogar

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018                      10

unter Zeitdruck steht, Stichwort: Fahrkarte), alle
Es handelt sich um eine Direkterhe-
Informationen per Bildschirm auf einmal zukom-
bung im Sinne des Art. 13 DS-GVO,
men zu lassen. Hier sollte sich die Anzeige auf die
jedoch ist der Betroffene atypischer-
wesentlichen 1st-level-Informationen beschränken
weise nicht zugegen. Art. 14 DS-GVO
und der Hinweis auf eine (leicht zu merkende) URL
findet keine Anwendung.
gegeben bzw. auf dem Fahrkartenausdruck vermerkt U.U. ist auch die Recherche in Karri-
werden. Es ist aber möglich, die Informationen als ereportalen als Direkterhebung an-
Menüoption vollständig für interessierte Betroffene zusehen, da die Daten auf Betreiben
vorzuhalten. und mit dem Willen der betroffenen
Person für alle Interessierten ins
3.4 Gewinnspiel per Post Netz gespeist werden.

Gewinnspiele per Postkarte sollen die Kandidaten
nicht mit Datenschutzhinweisen überfordern. Zwar renzinformationen ohne Weiteres unmittelbar be-
müssen die Informationen nicht auf die Postkarte reitzustellen. Bei reiner Online-Abwicklung ist es
selbst passen (denn diese schickt die betroffene gestattet, 1st- und 2nd-level-Informationen auf
Person unmittelbar wieder weg), ein Zeitschriften- getrennten Unterseiten vorzuhalten.
beileger etwa darf sich aber auf wesentliche 1st- Die Bewerbung per Post richtet sich entweder
level-Informationen beschränken und für den Rest gezielt auf eine Stellenausschreibung oder erfolgt
eine andere Darreichungsform anbieten. initiativ. In beiden Fällen findet eine Erhebung per-
sonenbezogener Daten erst mit Sichtung der Ein-
3.5 Beschäftigtendaten sendung statt. Eine etwaige Stellenausschreibung
darf sich daher auf grundlegende Informationen be-
Beschäftigte verfügen nicht notwendigerweise über schränken, wenn die endgültige Information nach-
sämtliche datenschutzrelevanten Informationen, geliefert wird.
nur weil sie ein enges Schuldverhältnis zum Verant-
wortlichen unterhalten. Notwendige Transparenzin- 3.7 Videoüberwachung
halte können insoweit als Anlage zum Arbeitsver-
trag mitgeteilt werden. Zudem bietet es sich an, Gem. § 4 Abs. 2 BDSG 2018 sind nurmehr der
entsprechende Informationen, die ggf. auch der Umstand der Beobachtung und der Name und die
ständigen Änderung und Aktualisierung unterlie- Kontaktdaten des Verantwortlichen durch geeig-
gen, auf einer betrieblichen Intranetseite vorzuhal- nete Maßnahmen zum frühestmöglichen Zeitpunkt
ten. erkennbar zu machen. Es bleibt also beim heute
schon typischen Symbolschild. Weitere Transparen-
3.6 Bewerbermanagement zinformationen erhält die betroffene Person nicht,
sie ist stattdessen auf den Auskunftsanspruch nach
Im Bewerbungsverfahren ist zu unterscheiden: In Art. 15 DS-GVO angewiesen.
einem Online-Bewerberportal sind die Transpa-

GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der
Datenverarbeitung / Stand: April 2018 11

Gesellschaft für Datenschutz
und Datensicherheit e.V.

Die Inhalte dieser Praxishilfe wurden im Rahmen des
GDD-Arbeitskreises „DS-GVO Praxis“ erstellt.

Satz: C. Wengenroth, GDD-Geschäftsstelle, Bonn

Herausgeber:
Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)
Heinrich-Böll-Ring 10
53119 Bonn
Tel.: +49 2 28 96 96 75-00
Fax: +49 2 28 96 96 75-25
www.gdd.de
info@gdd.de

Stand:
Version 2.1 (April 2018)

Sie können auch lesen