Was muss ich tun, um die Informationspflichten aus Art. 13 und Art. 14 DS-GVO zu erfüllen?

Was muss ich tun, um die Informationspflichten aus Art. 13 und Art. 14 DS-GVO zu erfüllen?

07/2018

Eine Handreichung des Landesbeauftragten für Datenschutz Brandenburg

Was sind Informationspflichten und wann muss ich ihnen nachkommen?

 

Die Informationspflichten nach Art. 13 und Art. 14 DS-GVO verpflichten Sie als Verantwortlichen dazu, den betroffenen Personen, also beispielsweise Ihren Kunden/Patienten etc., Informationen über die sie betreffende Verarbeitung ihrer personenbezogenen Daten zu geben. Nur wenn die betroffene Person weiss, dass ihre personenbezogenen Daten bei Ihnen verarbeitet werden, hat sie die Möglichkeit, ihre Rechte, insbesondere ihr Auskunftsrecht nach Art. 15 DS-GVO, Ihnen gegenüber geltend zu machen.

 

Es gibt zwei Wege, wie Sie als Verantwortlicher Daten von betroffenen Personen erhalten können. Zum einen gibt es die Direkterhebung der personenbezogenen Daten bei der betroffenen Person selbst (Art. 13 DS-GVO). Zum anderen können die personenbezogenen Daten der betroffenen Person bei einem Dritten erhoben werden (Art. 14 DS-GVO). Dies nennt man Dritterhebung.

 

In beiden Fällen müssen Sie der betroffenen Person sämtliche in Art. 13 Abs. 1 DS-GVO bzw. 14 Abs. 1 DS-GVO aufgelisteten Informationen mitteilen. Davon sind unter anderem Ihr Name und Ihre Kontaktdaten als Verantwortlicher, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten und die Zwecke und Rechtsgrundlage(n) für die Verarbeitung umfasst. Darüber hinaus müssen Sie die in Art. 13 Abs. 2 DS-GVO bzw. 14 Abs. 2 DS-GVO genannten Informationen zur Verfügung stellen, damit eine faire und transparente Verarbeitung der Daten gewährleistet wird. Dabei handelt es sich unter anderem um die Speicherdauer der personenbezogenen Daten und den Hinweis an die betroffene Person, dass sie ein Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs,- Widerspruchs,- und Datenübertragbarkeitsrecht gegenüber dem Verantwortlichen, also Ihnen, hat. Bei der Direkterhebung (Art. 13 DS-GVO) müssen Sie der betroffenen Person die gesetzlichen Informationen zum Zeitpunkt der Erhebung der Daten mitteilen bzw. zur Verfügung stellen. Wie dies in der Praxis ausgestaltet werden kann, siehe unten Nr. 2).

 

Bei der Dritterhebung (Art. 14 DS-GVO) werden die Daten der betroffenen Person ohne deren Kenntnis bei einem Dritten erhoben. Es ist daher nicht möglich, die betroffene Person in diesem Moment zu informieren. Daher sind Sie als Verantwortlicher verpflichtet, der betroffenen Person spätestens innerhalb eines Monats nach Erhebung der Daten beim Dritten die in Art. 14 Abs. 1 und 2 DS-GVO geforderten Informationen mitzuteilen bzw. zur Verfügung zu stellen. Falls die Daten zur Kommunikation mit der betroffenen Person selbst verwendet werden oder falls eine Offenlegung der Daten an einen anderen Empfänger beabsichtigt ist, müssen die Informationen spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung erteilt werden.

 

Ausnahmen von den Informationspflichten sind gegebenenfalls unter Berücksichtigung anderer anwendbarer Gesetze möglich.

 

2) Muss ich die betroffene Person schriftlich informieren oder reicht ein Verweis auf meine Webseite, auf der ich die Informationen bereitstelle?

Die DS-GVO schreibt keine bestimmte Form für die Informationspflichten vor. Die Informationen sind der betroffenen Person gemäss Art. 12 Abs. 1 DS-GVO in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, zu übermitteln. Falls es von der betroffenen Person verlangt wird, können die Informationen auch mündlich erteilt werden.

 

Unabhängig von der Form müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden.

 

Grundsätzlich sollten die Informationen, wenn möglich, mit dem gleichen Medium übermittelt werden, mit dem die Kommunikation mit der betroffenen Person geführt wird. In der Offline-Kommunikation, also per Brief, Fax, Telefonat oder bei persönlicher Anwesenheit des Kunden/ Patienten etc., würde das allerdings dazu führen, dass mehrseitige Informationsblätter mitgeschickt bzw. ausgehändigt werden oder die betroffene Person (beim Telefonat) auf Verlangen ausführlich mündlich informiert werden muss. In diesem Zusammenhang sei auf das Working Paper 260 der Art.-29-Gruppe hingewiesen, dass eine Vereinfachung für die Praxis vorschlägt. Danach ist es denkbar, dass die Informationserteilung abgeschichtet und mittels verschiedener Medien erfolgen kann.

 

Dieser „Medienbruch“ kann so ausgestaltet werden, dass die erste „Informationsschicht“ mit den wichtigsten Informationen mittels Brief/Fax, Telefonat oder in Anwesenheit der betroffenen Person mitgeteilt wird.

 

In der ersten „Informationsschicht“ sollten daher die (detaillierten) Zwecke der Verarbeitung, die Identität des Verantwortlichen, eine Beschreibung der Rechte der betroffenen Person und die Verarbeitung, die sich am stärksten auf die betroffene Person auswirkt sowie die Verarbeitung, die überraschend sein könnte, genannt werden. Ausserdem sollte die betroffene Person der ersten „Informationsschicht“ entnehmen können, welche Folgen die Verarbeitung für sie hat. Auch durch dieses gestaffelte Verfahren erfüllen Sie als Verantwortlicher Ihre Informationspflicht.

 

Ob Sie als Verantwortlicher von der Abschichtung der Informationspflichten Gebrauch machen möchten oder ob Sie die Informationen gebündelt mittels eines einzigen Mediums übermitteln, liegt in Ihrem Ermessen. Ein alleiniger Hinweis nur auf Ihre Webseite, ohne dass Sie zumindest die wichtigsten Informationen vorab mittels des gewählten Kommunikationsmediums mitteilen, genügt in der Offline-Kommunikation allerdings nicht.

 

Praxisbeispiele

 

Bei der Kommunikation per Brief oder Fax können die weitergehenden Informationen (zweite „Informationsschicht“) dann z.B. durch Abrufen eines Links und/oder Scannen eines QRCodes, die auf eine Webseite mit den vollständigen Informationen nach Art. 13 und 14 DSGVO führen, übermittelt werden. Der Link und/oder QR-Code können auf den Brief/das Fax gedruckt werden oder per E-Mail nachgeschickt werden.

 

Bei einem Telefonat (z.B. einem Verkaufs-, Beratungsgespräch) können der betroffenen Person die weitergehenden Informationen im Anschluss an das Telefonat zugesendet werden. Dies kann per Brief/Fax oder E-Mail geschehen, die jeweils einen Link und/oder QR-Code mit Weiterleitung auf die entsprechende Webseite mit den vollständigen Informationen enthalten.

 

In Anwesenheit der betroffenen Person (z.B. bei einem Beratungsgespräch oder einem Arztbesuch) können Sie Ihre Informationspflichten dadurch erfüllen, dass Sie oder Ihre Mitarbeiter die Kunden/Patienten etc. zwingend aktiv auf einen ausliegenden Flyer hinweisen, auf dem die wichtigsten Informationen als Kurzfassung abgedruckt sind. Für die weitergehenden Informationen kann dann wieder mittels Link und/oder QR-Code auf die Webseite mit den vollständigen Informationen verwiesen werden. Wir empfehlen, dass es einen eigenen Flyer allein für die Kurzfassung der Informationen gibt, damit diese für die betroffene Person leicht auffindbar sind. Als Standort bietet sich der Empfangstresen an, den die betroffene Person passieren muss und an dem sie von Ihnen oder Ihren Mitarbeitern angesprochen werden kann.

 

Zusätzlich zum Flyer ist es erforderlich, dass es dem Patienten/Kunden in Ihrer Praxis/in Ihren Räumen als Dienstleister ausserdem möglich ist, die vollständigen Informationen ohne Internetzugang abzurufen. Wie dies konkret ausgestaltet wird, ist Ihnen überlassen. Denkbar wären beispielsweise ein Aushang mit den vollständigen Informationen oder ausliegende Informationsblätter.

 

Sollte sich der erste Kontakt per Telefon oder persönlicher Vorsprache darauf beschränken, dass die betroffene Person lediglich einen Termin vereinbaren möchte, so müssen die Informationen nach Art. 13 und 14 DS-GVO zu diesem Zeitpunkt noch nicht mitgeteilt bzw. zur Verfügung gestellt werden. Es genügt, wenn Sie den Kunden, Patienten etc. entsprechend informieren, wenn er zum Termin erscheint.

 

In der Online-Kommunikation, also beispielsweise per E-Mail, können die Informationspflichten dadurch erfüllt werden, dass Sie in der E-Mail einen gut sichtbaren Link setzen, der auf Ihre Webseite verweist, auf der Sie die vollständigen, nach Art. 13 und 14 DS-GVO notwendigen Informationen, wie die personenbezogenen Daten der betroffenen Person im Rahmen Ihrer konkreten Tätigkeit (Beratung, Arztbesuch etc.) verarbeitet werden, darstellen.

 

Falls die Kontaktaufnahme mit Ihren Kunden/Patienten etc. dadurch entsteht, dass diese eine Online-Maske ausfüllen, so muss auch hier ein gut auffindbarer Link gesetzt werden, der zu einer Seite mit den vollständigen Informationen über die betreffende Verarbeitung führt. Auch hier gilt aber, dass bei einer ausschliesslichen Kommunikation zur Terminvereinbarung die Informationspflichten zu diesem Zeitpunkt noch nicht erfüllt werden müssen.

 

3) Muss ich nachweisen, dass ich die Informationspflichten erfüllt habe?

Ja, Sie als Verantwortlicher müssen nachweisen, dass Sie die Informationspflichten eingehalten haben, Art. 5 Abs. 1 lit. a, Abs. 2 DS-GVO. Am sichersten wäre es, sich den Erhalt der Informationen von der betroffenen Person per Unterschrift bestätigen zu lassen. Allerdings kann dies in der Praxis sehr umständlich sein. Sie als Verantwortlicher können die konkrete Ausgestaltung der Nachweise selbst festlegen. Wir empfehlen, die Erfüllung der Informationspflichten schriftlich zu dokumentieren bzw. zu verakten, um sich vor Auseinandersetzungen zu schützen. Mögliche Varianten sind unten aufgelistet.

 

Praxisbeispiele

 

In der schriftlichen Kommunikation (E-Mail, Fax, Brief) ist der Nachweis der Informationspflichten durch den Sendebericht oder eine Kopie des Ausgangsschreibens möglich.

 

In der mündlichen Kommunikation per Telefon kann per Telefonvermerk oder Eintrag im elektronischen System zu der betroffenen Person nachgewiesen werden, dass die wichtigsten Informationen übermittelt und auf die Webseite mit den vollständigen Informationen hingewiesen wurde. Hierbei geht es nicht um die telefonische Terminvergabe, siehe oben.

 

In Anwesenheit der betroffenen Person kann ebenfalls durch Eintrag nachgewiesen werden, dass die betroffene Person aktiv aufgefordert worden ist, sich den Flyer zu nehmen und dass dieser die Möglichkeit gegeben wurde, die vollständigen, auch in der Praxis/den Räumen des Verantwortlichen als Dienstleister ausliegenden Informationen zur Kenntnis zu nehmen bzw. dass auf die Webseite hingewiesen wurde. Ob der Eintrag elektronisch durch Setzen eines Hakens im Verwaltungssystem oder durch Stempel in der Papierakte, beispielsweise Patientenakte, vollzogen wird, entscheiden Sie. Die Informations- und damit die Nachweispflicht entsteht nicht, wenn die betroffene Person lediglich vorbeikommt, um persönlich einen Termin zu vereinbaren, siehe oben.

 

Durch standardisiert ablaufende Prozesse oder eine allgemeine Übung in Ihrem Unternehmen wird die Erfüllung der neuen Informations- und Dokumentationspflichten für Sie und Ihre Mitarbeiter allmählich zur Routine werden. Durch immer gleich ablaufende Arbeitsschritte im ersten Kontakt mit Ihrem Kunden/Patienten minimieren Sie das Risiko, diese Pflichten zu vergessen und damit einen Verstoss gegen die DS-GVO zu begehen. Auch Schulungen bzw. regelmässige Kontrollen Ihrer Mitarbeiter tragen dazu bei, ein höheres Bewusstsein für die Bedeutung der Informations- und Dokumentationspflichten zu schaffen.

 

4) Wer muss die Informationspflichten erfüllen, wenn es sich um gemeinsame Verantwortliche i. S. d. Art. 26 DS-GVO handelt?

Eine gemeinsame Verantwortlichkeit zweier oder mehrerer Verantwortlicher liegt vor, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Dies unterscheidet sie von der Auftragsverarbeitung nach Art. 28 DS-GVO. Die gemeinsam Verantwortlichen müssen in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtungen aus der DS-GVO erfüllt. Hierbei muss auch geregelt werden, wer welchen Informationspflichten aus Art. 13 und 14 DS-GVO nachkommt. Dies zu bestimmen bleibt den gemeinsam Verantwortlichen selbst überlassen. Insofern können Sie als Verantwortlicher sich mit Ihrem/Ihren ebenfalls verantwortlichen Partner(n) absprechen. Bitte beachten Sie, dass das Wesentliche dieser Vereinbarung der betroffenen Person zur Verfügung gestellt werden muss.

 

Lda.brandenburg.de; 18.06.2018

https://www.lda.brandenburg.de/media_fast/4055/Infoblatt_Informationspflichten.pdf

 

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung