Datenschutz-Informationen (für Beschäftigte)

Datenschutz

„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:"

Mit diesem Beitrag beschäftigen wir uns mit der Informationspflicht nach Artikel 13 und Artikel 14 - insbesondere für Beschäftigte.

Datenschutzcoaching Informationspflichten

Wer beschreibt eigentlich welche Daten wie verarbeitet werden? Und wer weiss das eigentlich genau? Ist es die Aufgabe des/der Datenschutzbeauftragten diese Informationen zu "ermitteln"?


Datenschutz Coaching

Als interne/r Datenschutzbeauftragte/r liegen unzählige Aufgaben vor Ihnen. Mit unserer Blog-Reihe „Coaching für Datenschutzbeauftragte“ erhalten Sie praktische Tipps für die Umsetzung.

Sie haben noch mehr Fragen? Gerne bieten wir Ihnen ein individuelles 1:1 Datenschutz Coaching an, in dem wir alle relevanten Themen detailliert besprechen und gemeinsam Lösungen für die direkte Umsetzung in Ihrem Unternehmen ausarbeiten. 

Unser Angebot für Sie.


„Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:"

Dabei entstehen häufig einige Fragen:

Wie muss die Information aufgebaut sein und was soll diese beinhalten?

Hier hilft, wie sehr häufig, ein Blick in die Verordnung. Zumindest im ersten Schritt.
Aufzuteilen ist dies nach den Informationspflichten „bei Erhebung von personenbezogenen Daten bei der betroffenen Person“ (Art. 13) und „wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden“ (Art. 14).

Eine sehr gute Erklärung, um was es wirklich geht, findet sich im entsprechenden Erwägungsgrund 60: „Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.“

Da die Datenverarbeitung an sich schon ein Eingriff in das Datenschutzrecht der betroffenen Person ist, sollte man diese fairerweise darüber informieren, welche Grundlage die Datenverarbeitung legitimiert und welche Daten zu welchen Zwecken wie verarbeitet werden. Es gehört meines Erachtens zu einem respektvollen Umgang mit anderen Menschen, dass auch deren Daten entsprechend behandelt werden. Das besagt eben auch die Informationspflicht aus der DSGVO sowie die Anforderungen nach Artikel 5 der DSGVO.


Was genau ist meine Aufgabe als Datenschutzbeauftragter diesbezüglich?

Nach Artikel 39 ist dies u.a. die „Unterrichtung und Beratung des Verantwortlichen […] hinsichtlich ihrer Pflichten nach dieser Verordnung …“.

Also auch hier die Beratung zur Datenschutz-Information, nicht aber die Erstellung. Aber natürlich kann es sinnvoll sein, dass der/die Datenschutzbeauftragte diese Information erstellt, indem er dies koordiniert und die notwendigen Informationen anfordert.


Woher bekomme ich als (externer) Datenschutzbeauftragte/r die relevanten und notwendigen Informationen?

Werfen Sie zuerst einen Blick in das Verzeichnis von Verarbeitungstätigkeiten. Dieses sollte in der Regel alle Informationen im Detail enthalten, welche Sie in reduzierter Form für die Informationspflichten (und ebenfalls für Auskunftsersuche) nutzen können. Sollten hier nun Informationen fehlen, welche für die Datenschutz-Informationen nachgefordert oder recherchiert werden, sollten diese in das Verzeichnis der Verarbeitungstätigkeiten übernommen werden.

Weitere Informationen zum Verzeichnis der Verarbeitungstätigkeiten (VVT) inklusive geforderten Inhalten finden Sie in unserem Blog-Beitrag zum VVT

Die Details hängen sehr stark von den individuellen Gegebenheiten ab:
Welche Software genutzt wird, ob Dienstleister mit einer Auftragsverarbeitung beauftragt sind und ob es sich evtl. um eine Konzernstruktur handelt.

Aber nachfolgender Rahmen ist hilfreich, um die Informationen zu strukturieren:

  • Einleitung
  • Wer ist für die Datenverarbeitung verantwortlich?
  • Wer ist Datenschutzbeauftragter?
  • Welche Datenkategorien nutzen wir als Arbeitgeber?
  • Woher stammen diese Daten?
  • Zwecke und Rechtsgrundlagen
  • Empfänger von Daten
  • Datenschutzrechte der Betroffenen
  • Beschwerderecht bei Aufsichtsbehörde/n
  • Speicherdauer
  • Übermittlung in Drittländer
  • Bereitstellungspflicht
  • Automatisierte Einzelfallentscheidung oder Profiling

 

Für unsere Kunden und Coaching-Teilnehmer bieten wir entsprechende Muster an. Weitere Muster stellen aber auch die Aufsichtsbehörden für den Datenschutz der jeweiligen Bundesländer zur Verfügung.

Die Informationen sind so zum Beispiel auch für die Datenschutzerklärung auf der Internetseite, der Beschilderung zur Videoüberwachung oder den allgemeinen Datenschutz-Informationen zu erstellen. Das Schema ist immer gleich.


Sollten die Datenschutz-Informationen bestätigt oder gar in diese eingewilligt werden?

Die Datenschutz-Informationen sind einseitige Erklärungen in denen beschrieben wird, wie die rechtskonforme Datenverarbeitung erfolgt. Die Datenverarbeitung wird NICHT durch die Datenschutzerklärung legitimiert, sondern durch eine Rechtsgrundlage nach Artikel 6 DSGVO. Diese vorher bestimmte und umgesetzte Rechtsgrundlage wird dann in der Datenschutzerklärung dargelegt. Würde man dieser Verarbeitung zustimmen handelt es sich eher um eine Einwilligung und damit um eine Rechtsgrundlage nach Artikel 6 Abs. 1 lit. a), welche weitere Anforderungen (unter anderem eine Datenschutzerklärung) nach sich zieht.

Es ist also zu trennen zwischen einer „Einwilligung“, einem „unterzeichneten Vertrag“ und einer Information zum Datenschutz. Letztere muss in einfacher, transparenter und verständlicher Weise zur Verfügung gestellt werden, aber in diese wird nicht explizit eingewilligt.

Hierbei ist auch die Barrierefreiheit zu berücksichtigen, zumal es derzeit in bestimmten Konstellationen keine befriedigende Lösung gibt. Bspw. besteht die Problematik einer Erkennbarkeit der Videoüberwachung hinsichtlich der Personengruppe „blinder oder stark sehbehinderter Menschen“.


Warum sind gerade die Informationen für Beschäftigte so wichtig?

Beschäftigte verfügen in der Regel über sehr gutes Insiderwissen. Kommt es zu einer unfreundlichen Beendigung des Arbeitsverhältnisses, kann dieses Wissen über evtl. fehlende Angaben zu Ungunsten des Verantwortlichen (aus)genutzt werden.

Häufig werden - durchaus berechtigte - Anfragen zum Auskunftsrecht gestellt, welche sich dann mit den Informationen aus den Datenschutz-Informationen decken sollten.

Wichtig ist auch, dass hier nicht nur die DSGVO zu berücksichtigen ist, sondern auch das BDSG, genauer § 26 Abs. 8 BDSG. Dort sind Beschäftigte nicht nur feste Arbeitnehmerinnen und Arbeitnehmer, sondern weitere dort genannte „Personenkreise“. Hieraus können sich unter Umständen weitere oder besondere Informationen ergeben.

Verschiedene Muster werden auch im "Virtuelle Datenschutzbüro" zum Download bereitgestellt. 

 

Haben Sie weitere Fragen oder gar Themenwünsche, die wir in unserer Reihe „Coaching für Datenschutzbeauftragte“ aufnehmen sollten?

Melden Sie sich gerne oder besuchen Sie auch unsere regelmäßige offene Datenschutzsprechstunde.

Vielleicht sehen wir uns auch bei einem 1:1 Datenschutzcoaching?