Praxistipp: Inhalte der Informationspflicht bei Direkterhebung Teil 2
Praxistipps Datenschutz 12|2018
Zusammenfassung: Die Weiterleitung oder Übermittlung von Daten intern oder an andere Einrichtungen ist sicher eine der wichtigsten Informationen für betroffene Personen. Nur wer weiß, an wen die eigenen Daten weitergegeben werden und warum dies geschieht, kann sich über den Umfang der Datenverarbeitung klar werden und gegebenenfalls weitere Schritte ein- leiten. Daher wird in diesem Praxistipp auf die unterschiedlichen Empfänger eingegangen, die die personengezogenen Daten übermittelt bekommen.
Der Praxisfall
Eine betroffene Person erhält Werbung von einer Bank. Dabei wird ein Kredit angeboten. Da die betroffene Person sich nicht erinnern kann, mit der Bank jemals zu tun gehabt zu haben, liegt die Frage auf der Hand, woher die Bank denn die Daten hat. Irgendjemand muss die Daten ja an die Bank weitergegeben haben. Um die Grundrechte und Grundfreiheiten des Datenschutzes geltend machen zu können, also um zu erfahren, woher die Bank die Daten hat oder um gegebenenfalls die weitere Zusendung von Werbematerial zu unterbinden, möchte die betroffene Person anhand der Information, die die Bank ihr nach Art. 13 geben muss, herausbekommen, wie die Daten in die Hände der Bank gelangt sind. Als erstes geht es darum, diese Information zu finden und dann darin nachzulesen, wer die Daten ursprünglich verarbeitet hat und wie sie in die Hände der werbenden Bank gelangt sind und an wen die Daten gegebenenfalls wei- tergegeben wurden oder werden.
Was der Gesetzgeber erreichen möchte
Nur wer weiß, welche personenbezogenen Daten bei Verantwortlichen und Auftragsverarbeitern verarbeitet werden, kann in der Folge seine Rechte und Freiheiten hinsichtlich Datenschutzes geltend machen. Dazu gehört auch herauszubekommen, an wen der Verantwortliche die Daten weitergegeben hat. Daher hat der Gesetzgeber die In- formationspflicht aus dem vorher gültigen Datenschutzrecht erweitert.
Information bei der Erhebung
Die Informationspflicht entsteht bei der Erhebung der Daten. Und sie entsteht dann, wenn die personenbezogenen oder auf die Person beziehbaren Daten bei der betroffenen Person erhoben werden. Hier sind mehrere Situationen denkbar. Zum einen erfolgt die Erhebung dann, wenn die betroffene Person ein Formular ausfüllt, das ihr per Brief zugesendet oder ausgehändigt wurde. „Bei der Erhebung“ müssen die Informationen vorliegen.
Beim Ausfüllen des zugesendeten Formulars muss die Information entweder zuvor schon zugegangen oder dem Anschreiben mit dem Formular beigefügt werden. Ein Teil der Informationen, die dann vorliegen müssen wurde schon im vorangegangenen Praxistipp beschrieben. Oder es wird ein Online- Formular ausgefüllt, dann muss die Information beispielsweise per Link aufrufbar sein.
Empfänger oder Kategorien von Empfängern der Daten
Wer Informationen zu den über die eigene Person erhobenen Daten erhält, der möchte mutmaßlich auch wissen, an wen die eigenen personenbezogenen Daten möglicherweise weitergegeben werden. Wichtig ist hier, alle Stellen zu nennen, auch solche, an welche personenbezogenen Daten aus einer rechtlichen Verpflichtung heraus weitergeleitet werden. Unter Empfänger versteht der Gesetzgeber eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Damit gehören zu den Empfängern auch die Auftragsverarbeiter!
Kategorien von Empfängern
Grundsätzlich kommen hier mehrere Möglichkeiten in Betracht. Da gibt es interne Weitergaben, Datenübermittlung aufgrund einer Verarbeitung im Auftrag, aufgrund einer Funktionsübertragung, Datenübermittlung aufgrund einer Grundlage der Rechtmäßigkeit nach Art. 6 Abs. 1 DSGVO, darunter auch die Weiterleitung an staatliche Stellen und möglicherweise auch die Übermittlung an weitere Stellen. Kategorien von Empfängern bedeutet, dass nicht jeder einzelne Empfänger aufzuführen ist, zumindest nicht in der ersten allgemeinen Information nach Art. 13 bzw. 14 DSGVO. Es genügen die Kategorien wie beispielsweise „staatliche Stellen im Rahmen der Erfüllung rechtlicher Verpflichtungen“, ohne dass die Stellen einzeln aufzuführen sind.
Sind interne Empfänger auch zu nennen?
Zunächst einmal werden personenbezogene Daten intern weitergegeben. Nun kann man einwenden, dass eine interne Weitergabe von Daten hier nicht erwähnt werden muss. Allerdings sollte man sich hierzu die Definition der „Empfänger“ näher ansehen. Laut DSGVO ist (wie auch schon vorstehend zitiert) „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht (Art. 4 Ziff. 9 DSGVO). Bei einer internen Weitergabe werden Daten nicht an Dritte weitergegeben, und die Empfänger sind natürliche Person, sind also hier auch aufzuführen.
Verarbeitung im Auftrag nach Art. 28 DSGVO
Nahezu jedes Unternehmen und jede Organisation haben heute Auftragsverarbeiter, die für das Unternehmen oder die Organisation tätig sind. An die Auftragsverarbeiter werden demzufolge ebenfalls Daten weitergegeben. Auch wenn es sich dabei nicht um Dritte handelt, sind die Auftragsverarbeiter eine „Kategorie von Empfängern“ und demzufolge hier auch aufzuführen. Hier liegt auch eine besondere Verantwortung des Verantwortlichen, denn nicht in allen Fällen soll bekannt werden, dass ein Auftragsverarbeitungsverhältnis besteht. Beispiel: Ein Callcenter übernimmt den Support für ein anderes Unternehmen. Die Kundenberaterinnen und Kundenberater melden sich am Telefon im Supportfall nicht mit der Firmierung des Callcenters, sondern mit dem Namen des Auftraggebers, denn die Kunden erwarten ja den Support von ihrem Dienstleister. Daher sollte an dieser Stelle immer von der Option „Kategorien“ Gebrauch gemacht werden, und erst auf Einzelnachfrage müssen dann in der Regel die genauen Verhältnisse offengelegt werden.
Verarbeitung im Rahmen einer Funktionsübertragung
Man kann einwenden, dass sich der Begriff „Funktionsübertragung“ nicht in der DSGVO findet. Aber das galt auch schon für das zuvor geltende Bundesdatenschutzgesetz. Dort stand der Begriff auch nicht wörtlich, dennoch wurden Verträge über eine solche Funktionsübertragung geschlossen. Damit ist gemeint, dass eine Weiterverarbeitung von personenbezogenen Daten bei einem Auftragnehmer erfolgt, für die eine Rechtsgrundlage vorhanden ist. Die Daten dürfen also weitergegeben werden, ohne dass auf das Privileg der Auftragsverarbeitung ausgewichen werden muss. Daher ist die Weitergabe an Empfänger im Rahmen einer Funktionsübertragung (beispielsweise arbeitsmedizinischer Dienst, Steuerberater) hier auch aufzuführen.
Gesetzliche Verpflichtungen zur Weiterleitung oder Übermittlung personenbezogener Daten
Eine Weiterleitung aufgrund gesetzlichen Verpflichtungen an öffentlich-rechtliche Einrichtungen wie Finanzamt oder Krankenkassen erfolgt mittlerweile in jedem Unternehmen. Diese Übermittlungen werden ebenfalls an „Empfänger“ vorgenommen. Daher müssen diese Fälle ebenfalls als Kategorie von Empfängern hier in der Informationspflicht genannt werden.
Hier gibt es den Praxistipp als kostenlosen PDF-Download:
Team Datenschutz
Langjährige Erfahrung. Zielgerichtete Lösungen. Zufriedene Kunden. In Deutschland. In Europa. Weltweit. Willkommen bei
Team
Datenschutz.
Kontakt
Wir sind für Sie da.
Am Hagelsrech 14
66806 Ensdorf
+49 6831 7689 777
Tipps & News
Praxistipps, Events, Aktuelles & mehr
Newsletter
Immer up to date im Datenschutz.
Copyright © 2024 Team Datenschutz