Countdown zur Datenschutzgrundverordnung –Informationspflichten unter der DSGVO
Mit der DSGVO sind neue und teilweise abweichende Regelungen in Bezug auf datenschutzrechtliche Informationspflichten eingeführt worden. Unternehmen sollten hier insbesondere ihre Datenschutzerklärungen und Einwilligungsprozesse prüfen, um Bußgelder und Abmahnungen zu vermeiden. Dabei kann man die Umstellung auf die DSGVO durchaus als Chance betrachten, bisherige Schwachstellen in Bezug auf die Transparenz in der Datenverarbeitung und die Wirksamkeit bestehender Einwilligungserklärungen zu beseitigen.
Transparenz im Umgang mit personenbezogenen Daten ist ein integraler Bestandteil des Datenschutzes. Betroffene sollen stets die Möglichkeit haben, nachzuvollziehen, wer welche Daten wann zu welchem Zweck verarbeitet. Entsprechend enthält das Datenschutzrecht eine Vielzahl von Informationspflichten, die eine entsprechende Transparenz der Datenverarbeitung sicherstellen sollen.
Informationspflichten bei Erhebung von Daten
Die seit dem 25. Mai 2018 geltende DSGVO enthält einen umfangreichen Katalog an Informationspflichten, die sich unter anderem in Artikel 13 und Artikel 14 DSGVO wiederfinden. Zusätzlich enthält Artikel 12 DSGVO konkrete Vorgaben zur Form der Information, die in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind.
Art. 13 und Art. 14 DSGVO enthalten eine Auflistung der Informationen, die dem Betroffenen zwingend mitgeteilt werden müssen. Dabei ist von besonderer Relevanz, dass gemäß Art. 14 DSGVO eine entsprechende Information der Betroffenen gerade auch dann erfolgen muss, wenn die Daten nicht unmittelbar beim Betroffenen, sondern aus einer anderen Quelle, z.B. aus dem Internet oder über einen Lead Provider, erhoben werden. Von diesem Grundsatz sieht Art. 14 zwar eine Reihe von engen Ausnahmen vor, die jedoch insbesondere bei der Erhebung von personenbezogenen Daten zum Zwecke der gewerblichen Nutzung regelmäßig nicht einschlägig sein dürften.
Weitere Informations- und Auskunftspflichten
Neben Art. 13 und Art. 14 DSGVO enthält die Datenschutzgrundverordnung weitere Auskunfts- und Informationspflichten, die teilweise über die bisherigen Verpflichtungen hinausgehen. So hat die verantwortliche Stelle etwa gemäß Art. 15 DSGVO dem Betroffenen auf Anfrage umfassend Auskunft über die zu ihm gespeicherten Daten und deren Verarbeitung zu erteilen. Soweit sich eine verantwortliche Stelle für die Datenverarbeitung auf ein berechtigtes Interesse beruft, ist der Betroffene gemäß Art. 21 Abs. 4 DSGVO über sein Widerspruchsrecht zu informieren.
Die Einwilligung nach der DSGVO
Von besonderer Bedeutung ist die Transparenz der Datenverarbeitung auch im Zusammenhang mit der Einholung einer Einwilligung zur Datenverarbeitung, was von den verantwortlichen Stellen häufig übersehen wird. Dabei ist die Einhaltung der Transparenzregeln und Informationspflichten gerade in diesem Zusammenhang wichtig, da mangelnde Transparenz hier im Zweifel zu einer Unwirksamkeit der Einwilligung und damit zur Rechtswidrigkeit der auf Grundlage der Einwilligung erfolgten Datenverarbeitung insgesamt führen kann.
Insbesondere bei der Einholung der Einwilligung durch vorformulierte Texte ist darauf zu achten, dass aus dem Einwilligungstext in verständlicher, klarer und einfacher Sprache die Art, der Zweck und der Umfang der Datenverarbeitung deutlich wird, um die erforderliche „Informiertheit“ der Einwilligung sicherzustellen. Darüber hinaus ist der Betroffene zwingend auf sein Recht zum Widerruf der Einwilligung hinzuweisen. Die Einwilligung muss schließlich aktiv erteilt werden, sodass eine stillschweigende Annahme der Erklärung nicht in Betracht kommt.
Praktische Relevanz weist die Frage auf, inwieweit in der Vergangenheit, d. h. vor dem 25. Mai 2018, eingeholte Einwilligungen unter Geltung der DSGVO weiterhin wirksam sind. Aus dem Erwägungsgrund 171 der DSGVO ergibt sich, dass bestehende Einwilligungen wirksam bleiben, sofern diese ihrer Art nach den Bedingungen der DSGVO entsprechen. Entsprechend sieht auch der Zusammenschluss der deutschen Aufsichtsbehörden für den Datenschutz (Düsseldorfer Kreis) bisher rechtswirksame Einwilligungen zumindest grundsätzlich als weiterhin wirksam an, wenn sie im Einklang mit den Voraussetzungen des BDSG in der alten Fassung eingeholt wurden. Dies gilt aber nicht für Einwilligungen von Minderjährigen, die bei Erteilung der Einwilligung das sechszehnte Lebensjahr noch nicht vollendet hatten, denn unter Geltung der DSGVO können Minderjährige unter sechzehn Jahren eine Einwilligung nicht ohne Zustimmung der Erziehungsberechtigten erteilen.
Vor dem Hintergrund der verschärften Haftung für Datenschutzverstöße unter der DSGVO empfehlen wir jedoch, bestehende Einwilligungen in jedem Fall nochmals kritisch auf ihre Vereinbarkeit mit den Anforderungen der DSGVO zu prüfen. Insoweit ist auch zu berücksichtigen, dass die Bereitschaft von betroffenen Kunden zur Abgabe einer Einwilligung im Zusammenhang mit der Umstellung auf die DSGVO deutlich erhöht sein dürfte. Entsprechend ist die Umstellung auf die DSGVO auch als Chance zu sehen, in Bezug auf die datenschutzrechtlichen Einwilligungen „nachzubessern“ und rechtliche Risiken für die Zukunft zu vermeiden.
Fazit
Die DSGVO bringt neue und teilweise abweichende Regelungen in Bezug auf Informationspflichten. Unternehmen sollten hier insbesondere ihre Datenschutzerklärungen und Einwilligungsprozesse prüfen, um zukünftig Bußgelder und Abmahnungen zu verhindern. Dabei ist die Umstellung auf die DSGVO durchaus als Chance zu betrachten, bisherige Schwachstellen in Bezug auf die Transparenz in der Datenverarbeitung und die Wirksamkeit bestehender Einwilligungserklärungen zu beseitigen.