Datenschutzpflichten verstehen: Ihr Leitfaden

In der heutigen digitalen Welt, in der Daten das neue Gold sind, ist der Schutz personenbezogener Informationen wichtiger denn je. Die Datenschutz-Grundverordnung (DSGVO) hat klare Regeln geschaffen, um die Privatsphäre von Einzelpersonen zu wahren. Doch selbst als kleines oder mittelständisches Unternehmen stehen Sie vor der Herausforderung, diese komplexen Anforderungen zu erfüllen. Hier kommt der Datenschutzbeauftragte ins Spiel, der zu einem Ihrer wichtigsten Ansprechpartner werden sollte. Die korrekte Umsetzung der Informationspflichten ist nicht nur eine gesetzliche Notwendigkeit, sondern auch ein entscheidender Faktor für das Vertrauen Ihrer Kunden und eine hohe Außenwirkung.

Fehler oder Versäumnisse bei der Erfüllung dieser Pflichten können ernsthafte Konsequenzen haben, bis hin zu empfindlichen Bußgeldern. Es ist daher von größter Bedeutung, dass die Betroffeneninformationen rechtlich korrekt gestaltet und umgesetzt werden. In diesem umfassenden Artikel beleuchten wir die Rolle des Datenschutzbeauftragten, die rechtlichen Grundlagen der Informationspflichten und geben Ihnen praktische Einblicke, wie Sie diese Herausforderung meistern können.

Warum ein Datenschutzbeauftragter unverzichtbar ist

Die Rolle des Datenschutzbeauftragten (DSB) geht weit über die bloße Einhaltung von Vorschriften hinaus; er oder sie ist der zentrale Pfeiler für die Einhaltung datenschutzrechtlicher Pflichten in Ihrem Unternehmen. Insbesondere bei der Umsetzung der Informationspflichten spielt der DSB eine entscheidende Rolle. Diese Pflichten sind nicht nur eine technische Anforderung, sondern ein Spiegelbild Ihrer Transparenz und Ihres Engagements für den Schutz der Daten Ihrer Kunden, Mitarbeiter und Interessenten. Die Sichtbarkeit dieser Transparenz nach außen hin ist enorm und beeinflusst maßgeblich das Vertrauen in Ihr Unternehmen.

Ein qualifizierter Datenschutzbeauftragter verfügt über das notwendige Fachwissen, um die komplexen Anforderungen der DSGVO zu interpretieren und in praktische, unternehmensspezifische Lösungen zu überführen. Er berät Sie nicht nur bei der Erstellung rechtssicherer Betroffeneninformationen, sondern unterstützt Sie auch dabei, diese Informationen so zu gestalten, dass sie für die betroffenen Personen leicht verständlich und zugänglich sind. Angesichts der Tatsache, dass nicht oder falsch umgesetzte Informationspflichten als direkter Datenschutzverstoß gewertet und mit Bußgeldern geahndet werden können, ist die Expertise eines DSB von unschätzbarem Wert. Er hilft Ihnen, Fallstricke zu vermeiden und stellt sicher, dass Ihre Prozesse den gesetzlichen Anforderungen entsprechen, wodurch Sie nicht nur rechtlich abgesichert sind, sondern auch das Vertrauen Ihrer Stakeholder stärken.

Die rechtlichen Grundlagen der Informationspflichten nach DSGVO

Unternehmen, die personenbezogene Daten als Verantwortliche verarbeiten, sind gesetzlich dazu verpflichtet, die betroffenen Personen über die wesentlichen Rahmenbedingungen dieser Verarbeitung zu informieren. Die maßgeblichen rechtlichen Grundlagen hierfür finden sich in Artikel 13 und Artikel 14 der DSGVO. Diese Artikel legen detailliert fest, welche Informationen den betroffenen Personen zur Verfügung gestellt werden müssen, je nachdem, ob die Daten direkt bei der Person erhoben werden (Art. 13) oder aus anderen Quellen stammen (Art. 14).

Wesentliche Bestandteile dieser Informationen umfassen:

• Zweck der Datenverarbeitung: Eine klare Angabe, wofür die Daten überhaupt verarbeitet werden (z.B. „Zur Abwicklung Ihrer Bestellung“ oder „Zur Bearbeitung Ihrer Bewerbung“).
• Empfänger der personenbezogenen Daten: Information darüber, an wen die Daten weitergegeben werden könnten (z.B. Versanddienstleister, Zahlungsdienstleister, IT-Dienstleister).
• Dauer der Speicherung: Wie lange die personenbezogenen Daten gespeichert werden und nach welchen Kriterien die Speicherdauer festgelegt wird.

Die Informationspflicht erschöpft sich jedoch nicht in der bloßen Angabe dieser Rahmenbedingungen. Ein zentrales Anliegen der DSGVO ist es, die betroffenen Personen in die Lage zu versetzen, ihre umfassenden Betroffenenrechte wirksam ausüben zu können. Daher muss Ihr Unternehmen die betroffenen Personen auch über ihre Rechte informieren. Dazu gehören:

• Recht auf Auskunft: Das Recht zu erfahren, welche Daten über sie gespeichert sind.
• Recht auf Berichtigung: Das Recht, unrichtige Daten korrigieren zu lassen.
• Recht auf Löschung (oder „Recht auf Vergessenwerden“): Das Recht, unter bestimmten Umständen die Löschung ihrer Daten zu verlangen.
• Recht auf Einschränkung der Verarbeitung: Das Recht, die Verarbeitung ihrer Daten einzuschränken.
• Recht auf Datenübertragbarkeit: Das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln.
• Widerspruchsrecht: Das Recht, der Verarbeitung ihrer Daten zu widersprechen.

Um die Ausübung dieser Rechte zu ermöglichen, müssen zudem der Name und die Kontaktdaten des Verantwortlichen (also Ihres Unternehmens) sowie gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten in der Betroffeneninformation aufgeführt sein. Dies schafft Transparenz und erleichtert die Kommunikation zwischen betroffener Person und Unternehmen.

Umfang und Form der Betroffeneninformation

Die DSGVO legt nicht nur fest, welche Informationen bereitzustellen sind, sondern auch wie diese präsentiert werden müssen. Unternehmen müssen sicherstellen, dass die betroffenen Personen die Informationen in einer leicht wahrnehmbaren, verständlichen und klar nachvollziehbaren Form erhalten. Dies bedeutet, dass die Sprache einfach und prägnant sein sollte, Fachjargon vermieden wird und die Struktur der Information logisch und übersichtlich ist. Lange, verschachtelte Sätze oder eine unübersichtliche Darstellung können die Wirksamkeit der Information beeinträchtigen und sogar als Verstoß gewertet werden.

Zusätzlich zur Form gibt es auch klare Vorgaben zum Zeitpunkt der Informationsbereitstellung:

• Direkterhebung: Werden die personenbezogenen Daten direkt bei der betroffenen Person erhoben (z.B. über ein Online-Formular oder bei einem persönlichen Gespräch), muss die Betroffeneninformation zum Zeitpunkt der Erhebung bereitgestellt werden. Das bedeutet, die Person muss die Informationen erhalten, bevor sie ihre Daten eingibt oder übermittelt.
• Nicht-Direkterhebung: Werden die Daten nicht direkt bei der betroffenen Person erhoben (z.B. aus öffentlichen Registern oder von Dritten), muss die Information spätestens innerhalb eines Monats nach Erlangung der Daten zugestellt werden. Sollten die Daten für die Kommunikation mit der betroffenen Person verwendet werden, muss die Information spätestens zum Zeitpunkt der ersten Kommunikation erfolgen. Wenn eine Offenlegung der Daten an einen anderen Empfänger geplant ist, muss die Information spätestens zum Zeitpunkt der ersten Offenlegung bereitgestellt werden.

Dieser umfangreiche Anforderungskatalog macht deutlich, dass die Umsetzung der Informationspflichten eine erhebliche Herausforderung für Unternehmen darstellt – sowohl in der rechtlichen Ausgestaltung als auch in der praktischen Implementierung. Ein Datenschutzbeauftragter kann hierbei ebenso wie detaillierte Muster eine wertvolle Unterstützung bieten.

Praktische Anwendung: Informationspflichten im Bewerbungsverfahren

Um die tatsächliche Umsetzung der Betroffeneninformation für Sie greifbarer zu machen, konkretisieren wir die Vorgehensweise anhand eines häufigen Anwendungsfalls: des Bewerbungsverfahrens. Es handelt sich hierbei um ein grobes Beispiel; die Betroffeneninformationen sind stets auf die individuellen Gegebenheiten und spezifischen Verarbeitungstätigkeiten Ihres Unternehmens anzupassen.

Stellen Sie sich vor, Ihr Unternehmen schreibt eine offene Stelle aus, und Sie erhalten daraufhin Bewerbungen per E-Mail. Diese Bewerbungen enthalten eine Vielzahl personenbezogener Daten, wie zum Beispiel:

• Den Namen und Vornamen des Bewerbers
• Die Anschrift und eine personalisierte E-Mail-Adresse
• Ein Geburtsdatum
• Ein Anschreiben sowie ein Lebenslauf mit weiteren persönlichen Angaben (z.B. Ausbildung, beruflicher Werdegang, Hobbys)

Hierbei handelt es sich um eine Direkterhebung personenbezogener Daten von betroffenen Personen. Der Anwendungsbereich der DSGVO (und des BDSG, Bundesdatenschutzgesetz) ist somit eröffnet, und Sie als Verantwortlicher müssen dem Bewerber eine Betroffeneninformation zukommen lassen. Der Zweck der Datenverarbeitung ist eindeutig: Sie benötigen diese Daten, um eine Auswahl geeigneter Beschäftigter treffen zu können. Ihr primärer Zweck ist daher die Begründung eines Beschäftigungsverhältnisses.

Eine Datenverarbeitung zu diesem Zweck ist datenschutzrechtlich zulässig. Die entsprechende Rechtsgrundlage ist dabei Artikel 88 DSGVO in Verbindung mit § 26 BDSG, der die Verarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses regelt. Die personenbezogenen Daten dürfen also für diesen Zweck verarbeitet werden.

Gleichsam definiert der Zweck grundsätzlich auch den Aufbewahrungszeitraum dieser Daten. Sobald der Auswahlprozess abgeschlossen ist und Sie sich gegen einen Bewerber entschieden haben, besteht im Grunde kein Zweck mehr für die weitere Datenverarbeitung, weswegen die Daten grundsätzlich zu vernichten wären. Allerdings können sich aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) Ansprüche gegen Sie ergeben, beispielsweise wenn ein abgelehnter Bewerber Diskriminierung geltend macht. In diesem Fall haben Sie ein berechtigtes Interesse daran, die Bewerberunterlagen über die Absage hinaus aufzubewahren, da diese Unterlagen wichtig sein können, um sich gegen etwaige Klagen zur Wehr setzen zu können. Deswegen ist es datenschutzrechtlich regelmäßig zulässig, die Bewerberunterlagen über den Auswahlprozess hinaus noch für sechs Monate aufzubewahren. Über diesen Zeitpunkt hinaus besteht regelmäßig kein Zweck für die weitere Datenspeicherung, weswegen die Daten zu löschen sind. Die entsprechende Dauer der Aufbewahrung ist in der Betroffeneninformation – wie Sie auch unseren Mustern entnehmen können – aufzunehmen.

Sollten Sie die Daten längerfristig speichern wollen, etwa weil Sie den Bewerber bei zukünftigen Stellenausschreibungen berücksichtigen möchten (z.B. in einem „Talentpool“), benötigen Sie die aktive Einwilligung der betroffenen Person zur Speicherung. Diese Einwilligung muss freiwillig, informiert und spezifisch sein und kann jederzeit widerrufen werden. Auch hierzu finden Sie einen passenden Textbaustein in einem Muster für Talentpools.

Sobald Sie Ihr Muster entsprechend den Gegebenheiten Ihres Unternehmens angepasst haben, müssen Sie dieses dem Bewerber zusenden. Bei einer Direkterhebung, wie im genannten Beispielfall, müssen Sie die Betroffeneninformation der betroffenen Person zum Zeitpunkt der Erhebung (Art. 13 DSGVO, Erwägungsgrund 61), also spätestens ab Erhalt der Bewerbung, mitteilen. Eine praktikable Lösung hierbei wäre der Einsatz einer automatischen Antwort-E-Mail (Auto-Response-E-Mail), die unmittelbar nach Eingang der Bewerbung versendet wird und die Datenschutzinformationen enthält.

Umgang mit Informationspflichten bei Mitarbeitern und Kunden/Interessenten

Ähnlich wie bei Bewerbern müssen auch bei Mitarbeitern und Kunden/Interessenten die Informationspflichten erfüllt werden. Für Mitarbeiter verarbeitet Ihre Personalabteilung eine Vielzahl von Daten, darunter Steuer- und Versicherungsdaten, die für die Durchführung des Arbeitsverhältnisses notwendig sind. Auch hier sind die Zwecke der Verarbeitung, die Empfänger (z.B. Finanzamt, Sozialversicherungsträger) und die Speicherdauer klar zu kommunizieren. Bei Kunden verarbeitet Ihr Unternehmen typischerweise Adressen für Lieferungen, Kontaktdaten für die Kommunikation und möglicherweise Zahlungsdaten. Auch hier sind die gleichen Prinzipien anzuwenden: Transparenz über Zweck, Empfänger und Speicherdauer.

Vergleich: Datenkategorien und typische Aufbewahrungsfristen

Häufige Fragen zur Umsetzung der Informationspflichten

Die Komplexität der DSGVO wirft bei vielen Unternehmen Fragen auf. Hier beantworten wir einige der am häufigsten gestellten Fragen zu den Informationspflichten:

Was genau sind „Informationspflichten“ nach der DSGVO?

Die Informationspflichten der DSGVO (Art. 13 und 14) verpflichten Unternehmen, die personenbezogene Daten verarbeiten, die betroffenen Personen transparent und umfassend über diese Verarbeitung zu informieren. Das Ziel ist es, den Einzelnen die Kontrolle über seine Daten zu ermöglichen, indem er weiß, welche Daten zu welchem Zweck, von wem, wie lange und mit welchen Rechten verarbeitet werden.

Wann muss mein Unternehmen einen Datenschutzbeauftragten bestellen?

Die Notwendigkeit eines Datenschutzbeauftragten hängt von verschiedenen Faktoren ab, darunter die Art, der Umfang, die Umstände und die Zwecke der Datenverarbeitung. Das deutsche BDSG konkretisiert dies: Ein DSB ist in der Regel erforderlich, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn besondere Kategorien von Daten (wie Gesundheitsdaten) oder Verarbeitungen, die einer Datenschutz-Folgenabschätzung bedürfen, durchgeführt werden. Unabhängig von der gesetzlichen Pflicht ist es für kleine und mittelständische Unternehmen, die personenbezogene Daten verarbeiten, oft ratsam, einen DSB zu bestellen oder externen Rat einzuholen, um die Einhaltung der komplexen Datenschutzvorschriften sicherzustellen.

Welche sind die wichtigsten Betroffenenrechte, über die ich informieren muss?

Sie müssen über eine Reihe von Rechten informieren, die den betroffenen Personen zustehen. Die wichtigsten sind das Recht auf Auskunft (Auskunft über die gespeicherten Daten), das Recht auf Berichtigung (Korrektur unrichtiger Daten), das Recht auf Löschung (das „Recht auf Vergessenwerden“ unter bestimmten Bedingungen), das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit und das Widerspruchsrecht gegen bestimmte Verarbeitungen (insbesondere Direktmarketing). Die Information über diese Rechte befähigt die betroffene Person, ihre Kontrolle über die eigenen Daten aktiv auszuüben.

Wie lange darf ich Bewerberdaten aufbewahren?

Grundsätzlich dürfen Bewerberdaten nur so lange aufbewahrt werden, wie sie für den ursprünglichen Zweck der Datenerhebung – die Besetzung der ausgeschriebenen Stelle – erforderlich sind. Nach Abschluss des Auswahlverfahrens und einer Absage sollte eine Löschung erfolgen. Eine Ausnahme bildet das berechtigte Interesse des Unternehmens, sich gegen mögliche Diskriminierungsklagen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) zu verteidigen. Daher ist es in Deutschland üblich und zulässig, Bewerberunterlagen für einen Zeitraum von sechs Monaten nach der Absage aufzubewahren. Eine längere Speicherung, beispielsweise für einen Talentpool, erfordert die ausdrückliche und freiwillige Einwilligung des Bewerbers.

Was sind die Konsequenzen, wenn ich die Informationspflichten nicht einhalte?

Die Nichteinhaltung der Informationspflichten stellt einen Datenschutzverstoß dar, der mit erheblichen Bußgeldern geahndet werden kann. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vor, je nachdem, welcher Betrag höher ist. Neben den finanziellen Strafen können auch Reputationsschäden und ein Verlust des Kundenvertrauens die Folge sein, was langfristig weitreichendere Auswirkungen auf Ihr Geschäft haben kann. Die korrekte Erfüllung dieser Pflichten ist daher nicht nur eine gesetzliche, sondern auch eine strategische Notwendigkeit für jedes Unternehmen.

Die Folgen der Nichteinhaltung

Die korrekte und fristgerechte Zusendung der Betroffeneninformation ist und bleibt eine elementare datenschutzrechtliche Pflicht. Bleibt diese Information aus oder ist sie fehlerhaft, so handelt es sich um einen Datenschutzverstoß. Dieser Verstoß ist grundsätzlich bußgeldbewehrt, wie die DSGVO in Artikel 83 klar festlegt. Die möglichen Bußgelder sind nicht unerheblich und können, je nach Schwere und Umfang des Verstoßes, empfindliche Höhen erreichen. Dies unterstreicht die Notwendigkeit, diesen Pflichten höchste Priorität einzuräumen.

Darüber hinaus sind die Konsequenzen bei Nichteinhaltung nicht nur finanzieller Natur. Ein Verstoß kann auch zu einem Vertrauensverlust bei Kunden, Mitarbeitern und Geschäftspartnern führen. In einer Zeit, in der Datenschutz und Datensicherheit immer stärker ins öffentliche Bewusstsein rücken, kann ein solcher Reputationsschaden weitreichende negative Auswirkungen auf Ihr Unternehmen haben. Die korrekte Einhaltung der Informationspflichten ist daher eine grundlegende datenschutzrechtliche Anforderung, deren Erfüllung nicht nur im Interesse der betroffenen Personen, sondern auch im ureigensten Interesse Ihres Unternehmens liegt. Investieren Sie in die Einhaltung des Datenschutzes – es zahlt sich aus, in vielerlei Hinsicht.

Wenn du andere Artikel ähnlich wie Datenschutzpflichten verstehen: Ihr Leitfaden kennenlernen möchtest, kannst du die Kategorie Wellness besuchen.