Neue Informationspflichten

Bei einer Erhebung von personenbezogenen Daten direkt beim Betroffenen muss ihm die oder der Verantwortliche der Einrichtung oder Organisationseinheit (wobei die praktische Umsetzung der Meldung jedoch dem eigentlichen "Verfahrenseigner" obliegen dürfte) nach Art. 13 EU-DSGVO bereits zum Zeitpunkt der Erhebung dieser Daten folgende Informationen in schriftlicher oder elektronischer Form mitteilen:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
  • die Kontaktdaten des Datenschutzbeauftragten,
  • die Verarbeitungszwecke sowie die Rechtsgrundlage für die Verarbeitung,
  • ggf. die berechtigten Interessen durch den Verantwortlichen oder einen Dritten,
  • ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
  • ggf. eine beabsichtigte Übermittlung der Daten in Drittstaaten,
  • die Dauer der Speicherung bzw. die Kriterien für die Festlegung dieser Dauer,
  • die Betroffenenrechte gemäß Art. 15 - 21 EU-DSGVO,
  • ggf. die Widerrufbarkeit von Einwilligungen,
  • das Beschwerderecht bei der Aufsichtsbehörde, vgl. Art. 77 EU-DSGVO,
  • ggf. seine Verpflichtung der betroffenen Person zur Bereitstellung personenbezogener Daten.

Je nach Verarbeitungstätigkeit kann diese Meldung in persönlicher (z.B. per Post oder E-Mail, bzw. per Unterschrift bestätigter Kenntnisnahme (und Zustimmung zu) einer Datenschutzerklärung) oder in anderer angemessener Form (z.B. "Opt-in" oder "Double Opt-in" auf - weiterführenden - Internetseiten) erfolgen. Die Art der Meldung ist vorab im VVT anzugeben bzw. zu erläutern, und eine erfolgte Mitteilung ist durch die Verantwortlichen zu dokumentieren und ggf. dem VVT nachträglich beizufügen.

Bei einer Direkterhebung entfällt die Informationspflicht gem. Art. 13 Abs. 4 EU-DSGVO, falls der Betroffene bereits informiert wurde. Bei einer Erhebung von personenbezogenen Daten aus anderen Quellen nach Art. 14 EU-DSGVO muss der Verantwortliche den Betroffenen innerhalb einer angemessenen Frist, spätestens nach einem Monat, folgende Informationen in schriftlicher oder elektronischer Form mitteilen:

  • alle oben genannten Informationen mit Ausnahme der Verpflichtung zur Bereitstellung,
  • die Quelle, aus welcher die personenbezogenen Daten stammen und ob es sich um eine öffentlich zugängliche Quelle handelt.

Zudem müssen diese Informationen nach Art. 12 EU-DSGVO in präziser, transparenter und verständlicher Form erteilt werden und leicht zugänglich sein.

Aufgrund der durch die Vorgaben der EU-DSGVO deutlich gestärkten Betroffenenrechte ergibt sich somit folgende konkrete Umsetzungsmaßnahme:

  • Es ist umgehend zu prüfen, ob in der eigenen Organisationseinheit personenbezogene Daten beim Betroffenen oder aus anderen Quellen erhoben und dabei die oben genannten Informationspflichten eingehalten wurden bzw. werden.
  • Gegebenenfalls sind die Betroffenen entsprechend zu informieren und die erfolgten Informationen zu dokumentieren. Sofern Beschäftigte der TU Braunschweig betroffen sind, empfiehlt es sich ggf., die erforderlichen Transparenzinhalte beispielsweise als Anlage zum Arbeitsvertrag mitzuteilen.

Glossar