DSGVO Transparenzgrundsatz – Was ist enthalten

Die Datenschutzgrundverordnung DSGVO ist seit dem 25. Mai 2018 in vollem Umfang in Kraft getreten und auch anzuwenden. Komplett neu im Vergleich zum Bundesdatenschutzgesetzt BDSG ist der Transparenzgrundsatz.

Die wichtigen Bereiche, die durch die DSGVO geregelt sind, lassen sich durch das übergeordnete Thema des Transparenzgrundsatzes erkennen.

 

Zum Transparenzgrundsatz gehören die untergeordneten Bereiche:

Das Recht auf Schutz der Daten der Verbraucher hat durch die Vorschriften bezüglich der Transparenz erst Gestalt erlangt. So darf ein Verbraucher jederzeit erfahren, welche Daten von ihm gespeichert sind, in welcher Weise das geschah, zu welchem Zweck, und wie lange. Das Unternehmen, welches die Daten hält, muss nicht nur lückenlos Auskunft darüber geben, sondern im Zweifelsfall auch den Prozess selbst zeigen können, der die notwendigen Informationen vollständig zur Verfügung stellt.

 

  1. Betroffenenrechte

Es gibt keine vollständigen Neuerungen in den Betroffenenrechten der DSGVO. Bekannt sind:  Vergessenwerden, das Widerspruchsrecht und das Recht auf Berichtigung. Zu Beachten: die DSGVO verlangt von Unternehmen technische Konzepte, wodurch es den Anträgen ermöglicht wird, den Berichtigungen und Löschungen (Vergessenwerden) sofort nachzukommen. Neu ist zudem die Transparenz- und Informationsvorschriften.

Deutliche Steigerung ist vor allem in den Informationspflichten gegenüber der betroffenen zu erkennen. So regelt Art. 13 DSGVO, dass der betroffenen Person v.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte mitzuteilen sind. Diesbezüglich verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorzulegen sind. Die Dokumentation der Umsetzung dieser Vorgaben, beispielsweise in einer Datenschutzerklärung, ist zu empfehlen.

Weiter Neuerung ist das Recht des Betroffenen auf Datenübertragbarkeit gemäß Art. 20 DSGVO. Dieses Recht wurde für die Nutzung sozialer Netzwerke geschaffen. Beim Wechsel des Anbieters beispielsweise, kann vom Erst-Anbieter eine Datenanforderung in einem gängigen bzw. lesbaren und elektronischen Format angefordert werden. Die Daten können so an den Zweitanbieter übertragen werden. Die Datenübertragung kann durch das Recht auf Datenübertragbarkeit auch automatsch angeforter werden. Dies gilt nicht nur bei Anbietern sozialer Medien, es greift auch in anderen Bereichen.

 

  1. Verzeichniss der Verarbeitungstätigen (VTT)

Unternehmen haben nun eine Rechenschaftspflicht. Zur Umsetzung der sog. Rechenschaftspflicht gemäß Art. 5 Abs.2 DSGVO stellt Art. 30 DSGVO bzw. die Anforderung zur Erstellung von Verzeichnissen der Verarbeitungstätigkeiten (VVT) dar.

In Artikel 30 Abs.1 DSGVO ist eine Übersicht der Mindestanforderungen des Verzeichnisses genannt. Bekanntzugeben sind mindestens Name und Kontaktdaten des Verantwortlichen und seines Vertreters sowie des u.U. vorhandenen Datenschutzbeauftragten. Weiterhin sind auch Angaben zum Zweck der Datenverarbeitung, zur Kategorien der verwendeten Daten, sowie Empfänger und mögliche Übermittlungen an Drittländer anzugeben.

In Artikel 30 Abs.1 DSGVO wird erstmals eine Pflicht für den Auftragsdatenverarbeiter vorgeschrieben. Die war bis Dato im Europäischen Datenschutzrecht nicht enthalten. Das Verarbeitungsverzeichnis ist zudem dienlich, den neuen Beweislastregeln der DSGVO nachzukommen und die Einhaltung der DSGVO zu dokumentieren.

Auch Löschfirsten sind im VVT vorzulegen. Hier gilt der Zweckbindungsgrundsatz, wonach Daten nur so lange verarbeitet werden dürfen, wie auch ein Zweck für die Verarbeitung besteht. Es besteht auch das Recht auf „sofortige“ Löschung der Betroffenendaten.

 

  1. Grundsätze von Privacy by Design / Privacy by Default

 

Hier gilt die Transparez durch Technik. Im großen Unterschied zum alten BDSG ist die Pflicht zur Information nicht mehr passiv, sondern die Unternehmen müssen aktiv vorangehen.

Der Grundsatz ‘Privacy by Design’ besagt, dass eine App, eine Webseite oder eine Firmenanwendung im Grundsatz so entwickelt sein muss, dass die Betroffenenrechte gewahrt sind.

Der Grundsatz ‘Privacy by Default’ gibt die Informationspflicht in die Hände der Unternehmen. Es genügt nicht mehr, auf Wunsch des Betroffenen dessen Daten zu schützen, sondern es gilt die Regel: der Verbraucher genießt immer vollen Datenschutz, wenn er nichts sagt oder tut. Nur auf ausdrücklichen Wunsch – dem sogenannten Opt-In – darf von diesem Grundsatz abgewichen werden.

Die DSGVO verlangt datenschutz- und privatsphärefreundliche technische Voreinstellungen. Der User soll bei der Nutzung von Websites und Browsern von vornherein auf Einstellungen zurückgreifen können, die sein Recht auf informationelle Selbstbestimmung im größtmöglichem Umfang schützen, ohne dass er entsprechende Häkchen, z.B. zum Ausschluss des Web-Trackings, selbst setzen muss. Dem Nutzer muss durch die Voreinstellungen auch deutlich werden, dass eine Veränderung der Einstellungen Auswirkungen auf den Datenschutz hat.

 

  1. Mitarbeiterdatenschutz

Der Transparenzgrundsatz gilt zudem auch nach innen. So müssen auch die Daten der Mitarbeiter in gleicher Weise transparent sein, ebenso die Rechte der Mitarbeiter in Bezug auf deren Daten. Neben dem Mitarbeiterdatenschutz sind auch die entsprechenden Prozesse transparent zu halten. So muss ein Unternehmer die Daten des für Datenschutz Zuständigen transparent offenlegen. Auf Wunsch muss ein Löschkonzept vorgezeigt werden, genauso wie eine Datenschutzfolgenabschätzung oder das Verzeichnis der Verarbeitungstätigkeiten.

Die Mitarbeiter kommen durch die Arbeit mit Bewerbungen und die Verwaltung von Arbeitsverträgen immer wieder in Kontakt mit personenbezogenen Daten. Datenpannen im Zusammenhang mit Mitarbeiter- oder Bewerberdaten können zudem erhebliche Reputationsschäden herbeiführen.

Zu schulen ist der Umgang mit Löschpflichten (etwa nach Beendigung des Arbeitsverhältnisses, Ablehnung eines Bewerbers oder Ausübung von Betroffenenrechten) und im Umgang mit den o.g. Betroffenenrechten. Zu besonders sensiblen personenbezogenen Daten gemäß Artikel 9 DSGVO beispielsweise die Gesundheitsdaten.

Nach § 26 BDSG neu ist zu beachten, das eine Verarbeitung von Mitarbeiterdaten erlaubt ist, wenn sie der Begründung, Beendigung oder Durchführung eines Arbeitsverhältnisses dient. Wird eine Einwilligung von Mitarbeitern in die Datenverarbeitung eingeholt, so hat dieses trotz des Abhängigkeitsverhältnisses von Arbeitnehmern, freiwillig zu erfolgen.

 

  1. Auftragsdatenverarbeitung

Für den Verbraucher müssen Informationen, die dessen Person betreffen, nicht nur verfügbar sein, sondern in einer verständlichen Form vorliegen. Die Pflicht zum Verstehen liegt dann nicht beim Verbraucher. Vielmehr muss das Unternehmen in klarer und einfacher Sprache dafür sorgen, dass der Betroffene die Informationen leicht findet und auch verstehen kann.

Auch bei Auftragsverarbeitern gilt die Transparenz- und Informationsvorschriften der DSGVO zu berücksichtigen. Betroffenen ist mitzuteilen, wer die Auftragsverarbeiter sind und eine etwaige Einwilligung von Betroffenen in die Datenverarbeitung muss auf der Grundlage dieser Information ergehen.

Dieser Prozesse insgesamt sind genau zu dokumentieren. Insbesondere für Haftungsfragen ist es wichtig. Hier ist neben den Dokumentationspflichten zusätzlich auf genaue Haftungsregelungen- und Vereinbarungen zu achten, welche Risiko abgrenzen und auch mögliche Regress-Möglichkeiten beinhalten. Dadurch kann das wirtschaftliche Risiko von Verstößen minimiert werden.

 

  1. Meldepflicht und Datenpannen

Ebenso müssen die Prozesse bei Datenpannen transparent sein. Neben der Vorgabe durch die Datenschutzgrundverordnung sprechen auch praktische Gründe für die Transparenz. Nach Artikel 33 und 34 DSGVO, der Meldepflicht bei Verletzungen des Datenschutzes, ist jeder Betroffene dazu aufgerufen, entsprechende Pannen beim Datenschutz zu melden. Auch für Mitwisser innerhalb des Unternehmens – auch wenn dies ein Auftragsverarbeiter ist – gilt die Meldepflicht.

 

Die kommende ePrivacy-Verordnung

Zur DSGVO soll die ePrivacy-Verordnung gelten und den Datenschutz für Fälle elektronischer Kommunikation regeln. Es ist frühestens im Jahr 2019 mit einer Geltung der ePrivacy-Verordnung zu rechnen. Für den Verbraucher werden mit Inkrafttreten der ePrivacy-Verordnung weitere Rechte aktiv werden.

Eine Neuerung wird die Regelung der Cookie-Nutzung durch ein verschärftes Koppelungsverbot sein. Demnach darf eine Website-Nutzung nicht mehr von der Einwilligung in Werbung mittels Cookies abhängig gemacht werden. Demzufolge könnte Werbetreibenden zukünftig eine wesentliche Einnahmequelle entfallen. Zudem enthält die ePrivacy-Verordnung Vorgaben über Cookie-Einstellungen in Browsern und leitet damit die Ablösung der Cookie-Banner ein.

 

unsere DSGVO News:

DSGVO: TEIL 1 Datenminimierung und Datensparsamkeit

https://datenschutzbeauftragter-dsgvo.com/dsgvo-teil-1-datenminimierung-und-datensparsamkeit/

DSGVO: TEIL 2 Datenminimierung durch Anonymisierung und Pseudonymisierung

https://datenschutzbeauftragter-dsgvo.com/dsgvo-teil-2-datenminimierung-durch-anonymisierung-und-pseudonymisierung/