Muster: Informationspflichten nach DSGVO

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Die Datenschutzgrundverordnung (DSGVO) hat die Betroffenenrechte im Datenschutz umfassend gestärkt. So sieht die DSGVO nun umfangreiche Informationspflichten für Unternehmen vor. Das bedeutet, dass Unternehmen grundsätzlich in der Pflicht sind, betroffene Personen umfassend darüber zu informieren, wenn das Unternehmen personenbezogene Daten wie etwa Namen oder Mail-Adressen von dem Betroffenen verarbeitet. Im Besonderen zählen zu den betroffenen Personen Bewerber, Mitarbeiter, Geschäftspartner, Kunden und Interessenten. Reicht also beispielsweise ein Bewerber seine Bewerbungsunterlagen ein, so ist dieser Bewerber über die wesentlichen Rahmenbedingungen, wie seine Daten im Unternehmen verarbeitet werden, zu informieren.
Muster: Informationspflichten nach DSGVO
Die wichtigsten Erkenntnisse
  • Unternehmen müssen Betroffene über die Verarbeitung ihrer Daten informieren (Art. 13, 14 DSGVO).
  • Datenschutzbeauftragter ist entscheidend für die Einhaltung der Informationspflichten.
  • Betroffene haben Rechte wie Auskunft und Löschung, die Unternehmen mitteilen müssen.
  • Informationen müssen klar, verständlich und rechtzeitig gegeben werden.
  • Nichteinhaltung der Informationspflichten kann zu Bußgeldern führen.

Informationspflichten & Datenschutz

Auch als kleiner und mittelständischer Unternehmer sollte ein Datenschutzbeauftragter jetzt zu Ihrem wichtigsten Ansprechpartner gehören, da die Umsetzung der Informationspflichten zu einer Ihrer wichtigsten datenschutzrechtlichen Pflichten gehört und eine vergleichsweise hohe Außenwirkung besitzt. Zudem stellen nicht beziehungsweise nicht korrekt umgesetzte Informationspflichten einen Datenschutzverstoß dar, die mit einem Bußgeld geahndet werden. Umso wichtiger ist es, dass die Betroffeneninformationen rechtlich korrekt umgesetzt werden – hierfür ist der Datenschutzbeauftragte die ideale Unterstützung!

Rechtliche Grundlagen der Informationspflichten

Unternehmen, die personenbezogenen Daten als Verantwortliche verarbeiten, müssen die betroffenen Personen über wesentliche Rahmenbedingungen der Verarbeitung informieren. Die gesetzliche Grundlage hierfür bilden die Art. 13, 14 DSGVO. Wesentliche Bestandteile der Informationen bilden etwa die Angabe des Zwecks zur Datenverarbeitung („Wofür werden die Daten verarbeitet?“), die Empfänger der personenbezogenen Daten („An wen werden die Daten noch weitergegeben?“) und regelmäßig die Dauer der Speicherung der personenbezogenen Daten („Wie lange werden personenbezogene Daten gespeichert?“). Doch ist zu beachten, dass sich die Pflicht zu Informationen nicht bereits in der bloßen Angabe der Rahmenbedingungen der Verarbeitung erschöpft: Die betroffene Person soll auch in die Lage versetzt werden, seine – durch die DSGVO umfangreich erweiterten – Betroffenenrechte ausüben zu können. Deswegen besteht für die Unternehmen im Rahmen der Informationspflichten auch die Pflicht, die betroffenen Personen über ihre Betroffenenrechte – also etwa das Recht auf Auskunft oder das Recht auf Löschung („Right to be forgotten“) – zu informieren. Damit ein Betroffener diese Rechte auch wirksam ausüben kann, müssen zudem Namen und Kontaktdaten des Verantwortlichen (das heißt also, des Unternehmens) sowie gegebenenfalls des Datenschutzbeauftragten in der Betroffeneninformation aufgeführt werden.

Weitergehend muss das Unternehmen unter anderem sicherstellen, dass die betroffenen Personen die Betroffeneninformationen in einer leicht wahrnehmbaren, verständlichen und klar nachvollziehbaren Form erhalten. Ergänzend muss das Unternehmen sicherstellen, dass – sofern die Daten bei der betroffenen Person selbst erhoben werden – die Betroffenen zum Zeitpunkt der Erhebung auch korrekte Betroffeneninformationen erhalten. Sofern die Daten nicht bei dem Betroffenen selbst erhoben werden, so muss der betroffenen Person spätestens innerhalb eines Monats die Betroffeneninformationen zugehen.

Anhand dieses umfangreichen Anforderungskataloges wird deutlich: Die Umsetzung der Informationspflichten ist für Unternehmen eine große Herausforderung sowohl in der rechtlichen Ausgestaltung wie in der praktischen Implementierung. Ein Datenschutzbeauftragter kann Ihnen hierbei genauso wie die untenstehenden Muster, eine wertvolle Hilfe sein.

Muster zum Download

Die obenstehenden Muster sind auf drei klassische Anwendungsbereiche, in denen Unternehmen regelmäßig informationspflichtig werden, zugeschnitten – Bewerber, Mitarbeiter und Interessenten/Kunden. Von all diesen Personenkreisen werden üblicherweise personenbezogene Daten verarbeitet. Zum Beispiel: ein Bewerber übersendet etwa ein Lebenslauf und ein Anschreiben, Ihre Personalabteilung verarbeitet die Steuer- und Versicherungsdaten von Mitarbeitern und bei Kunden verfügt das Unternehmen über die Anschriften, um ihnen Lieferungen zuzuschicken. All dies macht die Umsetzung der Informationspflicht diesen Betroffenen gegenüber zur datenschutzrechtlichen Pflicht.

Die Betroffeneninformation am Beispiel des Bewerbungsverfahrens:

Um die tatsächliche Umsetzung der Betroffeneninformation für Sie handhabbar zu machen, wird die Vorgehensweise anhand eines Bewerbers nachfolgend konkretisiert. Es handelt sich hierbei um ein grobes Beispiel, die Betroffeneninformationen sind stets auf die individuellen Gegebenheiten Ihres Unternehmens anzupassen. Bei entsprechenden Fragen können Sie sich gerne an uns wenden.

Ihr Unternehmen schreibt eine offene Stelle aus, wie gewünscht erhalten Sie daraufhin Bewerbungen via E-Mail. Diese Bewerbungen enthalten eine Vielzahl von personenbezogenen Daten, zum Beispiel:

  • den Namen und Vornamen des Bewerbers
  • die Anschrift - eine personalisierte E-Mail-Adresse
  • ein Geburtsdatum
  • ein Anschreiben sowie ein Lebenslauf

Es handelt sich hier um eine Direkterhebung personenbezogener Daten von Betroffenen. Der Anwendungsbereich der DSGVO (und des BDSG) ist somit eröffnet und Sie als Verantwortlicher müssen dem Bewerber eine Betroffeneninformation zukommen lassen. Das passende Muster hierfür ist freilich „Datenschutzinformation Muster – Bewerber“. Auch der Zweck der Datenverarbeitung ist eindeutig: Sie benötigen die Daten um eine Auswahl von geeigneten Beschäftigten treffen zu können – Ihr Zweck ist daher in erster Linie die Begründung eines Beschäftigungsverhältnisses. Selbstredend ist eine Datenverarbeitung hierfür datenschutzrechtlich auch zulässig – die entsprechende Rechtsgrundlage ist dabei Art. 88 DSGVO i. V. m. § 26 BDSG.

Die personenbezogenen Daten dürfen also zu diesem Zweck verarbeitet werden. Gleichsam definiert der Zweck grundsätzlich auch den Aufbewahrungszeitraum dieser Daten. Sobald der Auswahlprozess abgeschlossen ist und Sie sich gegen einen Bewerber entschieden haben, besteht auch kein Zweck mehr für die weitere Datenverarbeitung, weswegen die Daten grundsätzlich auch zu vernichten wären. Da sich aber möglicherweise aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) Ansprüche gegen Sie ergeben können, haben Sie ein berechtigtes Interesse daran, die Bewerberunterlagen über die Absage hinaus aufzubewahren, da die Bewerberunterlagen wichtig sein können, um sich gegen etwaige Klagen zur Wehr setzen zu können. Deswegen ist es datenschutzrechtlich regelmäßig zulässig, die Bewerberunterlagen über den Auswahlprozess hinaus noch für sechs Monate aufzubewahren. Über diesen Zeitpunkt hinaus besteht regelmäßig kein Zweck für die weitere Datenspeicherung, weswegen die Daten zu löschen sind. Die entsprechende Dauer der Aufbewahrung ist in der Betroffeneninformation – wie Sie auch unserem Muster entnehmen können – aufzunehmen.

Sofern Sie die Daten längerfristig speichern wollen, etwa weil Sie den Bewerber bei zukünftigen Stellenausschreibungen berücksichtigen wollen, benötigen Sie die aktive Einwilligung der betroffenen Person zur Speicherung in Ihrem Talentpool. Auch hierzu finden Sie einen passenden Textbaustein in unserem Muster.

Haben Sie sodann unser Muster entsprechend den Gegebenheiten Ihres Unternehmens angepasst, müssen Sie diese dem Bewerber zusenden. Bei einer Direkterhebung wie im genannten Beispielfall müssen Sie die Betroffeneninformation der betroffenen Person zum Zeitpunkt der Erhebung (Art, 13 DSGVO, Erwägungsgrund 61), also spätestens ab Erhalt der Bewerbung mitteilen – eine praktikable Lösung wäre hierbei etwa der Einsatz einer Auto-Response-E-Mail.

Die Folgen der Nichteinhaltung

Die korrekte Zusendung der Betroffeneninformation ist und bleibt eine datenschutzrechtliche Pflicht. Bleibt die Information aus, so kann es sich um einen Datenschutzverstoß handeln. Dieser Datenschutzverstoß ist grundsätzlich auch bußgeldbewährt. Die korrekte Einhaltung der Informationspflichten ist daher eine elementare datenschutzrechtliche Anforderung, deren Erfüllung auch im Interesse Ihres Unternehmens ist.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!