Nun zum heiklen Thema "Informationspflichten":
Wenn von jemandem personenbezogen Daten verarbeitet werden, muss dieser darüber informiert werden. So etwas trifft seit kurzem bei mir zunehmend von verschiedenen Firmen ein.
Vorgaben für die Information:
- Die Formulierungen müssen präzise und in verständlicher Sprache sein.
- Die Informationen müssen leicht zugänglich sein.
- Die Informationen müssen innerhalb einer angemessenen Frist (max. 1 Monat) nach Erlangung der Daten mitgeteilt werden.
Inhalt der Informationen:
1. Name und Kontaktdaten des Verantwortlichen
2. Art der betroffenen Daten
3. Zweck der Verarbeitung
4. Rechtsgrundlage, meistens Art. 6 der DSGVO, bei Mail-Newslettern aber auch §7 UWG.
5. Dauer der Speicherung bzw. Kriterien für die Festlegung der Dauer
6. Werden die Daten an Dritte weiter gegeben? Wenn ja, an welche?
7. Werden Daten außerhalb der EU verarbeitet? Wenn ja, wie ist das angemessene Datenschutzniveau garantiert.
8. Werden Daten auf Basis einer Einwilligung verarbeitet? Wenn ja, muss auf das Widerrufsrecht hingewiesen werden.
9. Werden Daten auf Basis einer Interessenabwägung verarbeitet? Wenn ja, wie lautet das Interesse?
10. Rechte des Betroffenen, d.h. Hinweis auf das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und ein etwaiges Recht auf Datenübertragbarkeit
11. Kontaktdaten des Datenschutzbeauftragten. Ein DSB wird nur dann benötigt, wenn min. 10 Personen regelmäßig mit der Verarbeitung der Daten beschäftigt ist.
12. Hinweis auf ein Beschwerderecht bei der Aufsichtsbehörde
13. Sofern Daten auf einem Formular oder einer Internetseite angegeben werden müssen, muss angegeben werden, ob derjenige dazu gesetzlich oder vertraglich verpflichtet ist und ob diese für einen Vertragsschluss erforderlich sind. Auch muss angegeben werden, welche Folgen es hat, wenn die Daten nicht angegeben werden.
14. Kommt ein Verfahren zur automatisierten Entscheidungsfindung zum Einsatz, müssen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkung der Verarbeitung gemacht werden.
Falls die Daten nicht vom Betroffenen selber erhoben wurden, muss man zusätzlich angeben:
- Herkunft der Daten
Bei der Zusendung der Informationen ist evtl. schwierig das per Mail zu senden, wenn das als unverlangte Werbung nach §7 UWG angesehen werden könnte.
Ändert sich etwas an den übersandten Informationen (z.B. möchte man nachträglich die Daten doch anders verwenden), muss die Information neu versendet werden.
Ausnahmen für die Informationspflicht:
- wenn die Person bereits über die Informationen verfügt
- wenn sich die Erteilung der Information als unmöglich erweist, weil man z.B. keine Kontaktadresse hat.
- wenn ein unverhältnismäßiger Aufwand erforderlich wäre
Was ich mich momentan frage:
Gilt das jetzt auch für alle alten Daten oder nur für Daten, die ab dem 25.5. neu erhoben/verarbeitet werden?