Bescheid der Datenschutzbehörde nach einem amtswegigen Prüfverfahren – Teil 3: Informationspflicht

06.09.2019 | Autorin: Mag. Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

In dieser Reihe zeigen wir Ihnen anhand eines tatsächlich ausgestellten Bescheides auf, wie Sie datenschutzrechtliche Vorgaben in Ihrem eigenen Unternehmen oder Verein umsetzen können, um bei einer behördlichen Überprüfung zu bestehen.

Dieser Teil beschäftigt sich mit den Informationspflichten, die durch die DSGVO erheblich erweitert wurden. Lassen Sie sich hierbei – neben einem spezialisierten Rechtsanwalt – auch von Ihrem Webdesigner beraten, denn dieser weiß am besten über die technische Umsetzung Ihrer Website Bescheid und kann auch über benötigte Informationen Auskunft geben.

zu Punkt 3. a) des Bescheids:

Die datenschutzrechtlichen Vorgaben nur intern zu erfüllen reicht nicht aus – Sie müssen die betroffenen Personen auch umfangreich über ihre Rechte informieren – bereits im Zeitpunkt der Datenerhebung. Dies kann zB über die Datenschutzerklärung Ihrer Website erfolgen und muss individuell auf Ihr Unternehmen oder Ihren Verein abgestimmt werden.

Es muss in der Datenschutzerklärung deutlich angeführt werden, ob die Informationen gemäß Art. 13 oder Art. 14 der DSGVO erteilt werden. Nach Art. 13 DSGVO ist eine Information erforderlich, wenn die Datenerhebung bei der betroffenen Person selbst durchgeführt wird, wohingegen nach Art. 14 DSGVO immer dann informiert werden muss, wenn die Daten nicht bei der betroffenen Person selbst erhoben werden. Art. 13 DSGVO verlangt die Erteilung folgender Informationen:

  • Name und Kontaktdaten des Verantwortlichen bzw. seines Vertreters
  • Kontaktdaten des Datenschutzbeauftragten (wenn erforderlich)
  • Zwecke und Rechtsgrundlagen für die Datenerhebung und Verarbeitung – bei einem berechtigten Interesse muss eine Angabe erfolgen, welches Interesse verfolgt wird
  • Empfänger der personenbezogenen Daten (wenn vorhanden)
  • Absicht, dass Daten an ein Drittland oder eine internationale Organisation übermittelt werden sollen (wenn beabsichtigt)

Werden die Daten nicht bei der betroffenen Person selbst erhoben, gibt es kleine Abweichungen bei den Informationspflichten z.B. aus welcher Quelle die personenbezogenen Daten stammen.

zu Punkt 3. b):

Es stellt einen Verstoß gegen die DSGVO dar, wenn falsche Informationen erteilt werden. Ist zB kein Datenschutzbeauftragter notwendig und daher auch nicht bestellt, wird aber trotzdem in die Datenschutzerklärung aufgenommen, verstößt dies gegen die Informationspflicht. Das ist ebenso der Fall, wenn auf verschiedene Plugins hingewiesen wird, die auf der Website nicht verwendet werden.

zu Punkt 3. c):

Jede Verarbeitung muss auf einer Rechtgrundlage beruhen. Diese können unter anderem in einem Vertrag, einem berechtigten Interesse oder einer Einwilligung bestehen und müssen vollständig in der Datenschutzerklärung angeführt werden.

zu Punkt 3. d):

Besteht die Rechtsgrundlage in einem berechtigten Interesse, muss auch angegeben werden, worin das berechtigte Interesse besteht. Dabei dürfen die Interessen der Grundrechte der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Es muss also eine Abwägung stattfinden. Je nachdem wessen Interessen überwiegen, ist die Verarbeitung rechtmäßig oder nicht.

zu Punkt 3. e):

Beruht die Datenverarbeitung auf der Rechtsgrundlage der Einwilligung, muss die betroffene Person darüber informiert werden, dass diese jederzeit widerrufen werden kann.

Den betroffenen Personen muss transparent dargelegt werden, warum welche Daten erhoben, gespeichert oder anderweitig verarbeitet werden. Deswegen müssen zusätzlich noch folgende Informationen zur Verfügung gestellt werden:

  • Dauer der Datenspeicherung
  • Bestehen eines Auskunftsrechts und eines Rechts auf Berichtigung oder Löschung bzw. Einschränkung der Verarbeitung
  • Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
  • Informationen darüber, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist bzw. ob die betroffene Personen verpflichtet ist, die Daten bereitzustellen und welche Folgen die Nichtbereitstellung hätte
  • Bestehen automatisierter Entscheidungsfindung (z.B. bei Profiling, falls erforderlich)

Der Verantwortliche trägt Rechnung dafür, dass alle Informationen vollständig, präzise und in leicht zugänglicher Form übermittelt werden. Da Betreiber von Websites oft gar nicht genau wissen, welche Plugins überhaupt verwendet werden bzw. wie die Seite technisch umgesetzt ist, wird dringend empfohlen, neben einem spezialisierten Rechtsanwalt und Datenschutzexperten, auch Webdesigner für die Erstellung der eigenen Datenschutzerklärung zu konsultieren. So können Sie eine behördliche Überprüfung positiv bestehen.