Muster: Informationspflichten nach DSGVO
- Unternehmen müssen Betroffene über die Verarbeitung ihrer Daten informieren (Art. 13, 14 DSGVO).
- Datenschutzbeauftragter ist entscheidend für die Einhaltung der Informationspflichten.
- Betroffene haben Rechte wie Auskunft und Löschung, die Unternehmen mitteilen müssen.
- Informationen müssen klar, verständlich und rechtzeitig gegeben werden.
- Nichteinhaltung der Informationspflichten kann zu Bußgeldern führen.
- Item A
- Item B
- Item C
Informationspflichten & Datenschutz
Auch als kleiner und mittelständischer Unternehmer sollte ein Datenschutzbeauftragter jetzt zu Ihrem wichtigsten Ansprechpartner gehören, da die Umsetzung der Informationspflichten zu einer Ihrer wichtigsten datenschutzrechtlichen Pflichten gehört und eine vergleichsweise hohe Außenwirkung besitzt. Zudem stellen nicht beziehungsweise nicht korrekt umgesetzte Informationspflichten einen Datenschutzverstoß dar, die mit einem Bußgeld geahndet werden. Umso wichtiger ist es, dass die Betroffeneninformationen rechtlich korrekt umgesetzt werden – hierfür ist der Datenschutzbeauftragte die ideale Unterstützung!
Rechtliche Grundlagen der Informationspflichten
Unternehmen, die personenbezogenen Daten als Verantwortliche verarbeiten, müssen die betroffenen Personen über wesentliche Rahmenbedingungen der Verarbeitung informieren. Die gesetzliche Grundlage hierfür bilden die Art. 13, 14 DSGVO. Wesentliche Bestandteile der Informationen bilden etwa die Angabe des Zwecks zur Datenverarbeitung („Wofür werden die Daten verarbeitet?“), die Empfänger der personenbezogenen Daten („An wen werden die Daten noch weitergegeben?“) und regelmäßig die Dauer der Speicherung der personenbezogenen Daten („Wie lange werden personenbezogene Daten gespeichert?“). Doch ist zu beachten, dass sich die Pflicht zu Informationen nicht bereits in der bloßen Angabe der Rahmenbedingungen der Verarbeitung erschöpft: Die betroffene Person soll auch in die Lage versetzt werden, seine – durch die DSGVO umfangreich erweiterten – Betroffenenrechte ausüben zu können. Deswegen besteht für die Unternehmen im Rahmen der Informationspflichten auch die Pflicht, die betroffenen Personen über ihre Betroffenenrechte – also etwa das Recht auf Auskunft oder das Recht auf Löschung („Right to be forgotten“) – zu informieren. Damit ein Betroffener diese Rechte auch wirksam ausüben kann, müssen zudem Namen und Kontaktdaten des Verantwortlichen (das heißt also, des Unternehmens) sowie gegebenenfalls des Datenschutzbeauftragten in der Betroffeneninformation aufgeführt werden.
Weitergehend muss das Unternehmen unter anderem sicherstellen, dass die betroffenen Personen die Betroffeneninformationen in einer leicht wahrnehmbaren, verständlichen und klar nachvollziehbaren Form erhalten. Ergänzend muss das Unternehmen sicherstellen, dass – sofern die Daten bei der betroffenen Person selbst erhoben werden – die Betroffenen zum Zeitpunkt der Erhebung auch korrekte Betroffeneninformationen erhalten. Sofern die Daten nicht bei dem Betroffenen selbst erhoben werden, so muss der betroffenen Person spätestens innerhalb eines Monats die Betroffeneninformationen zugehen.
Anhand dieses umfangreichen Anforderungskataloges wird deutlich: Die Umsetzung der Informationspflichten ist für Unternehmen eine große Herausforderung sowohl in der rechtlichen Ausgestaltung wie in der praktischen Implementierung. Ein Datenschutzbeauftragter kann Ihnen hierbei genauso wie die untenstehenden Muster, eine wertvolle Hilfe sein.
Muster zum Download
Die obenstehenden Muster sind auf drei klassische Anwendungsbereiche, in denen Unternehmen regelmäßig informationspflichtig werden, zugeschnitten – Bewerber, Mitarbeiter und Interessenten/Kunden. Von all diesen Personenkreisen werden üblicherweise personenbezogene Daten verarbeitet. Zum Beispiel: ein Bewerber übersendet etwa ein Lebenslauf und ein Anschreiben, Ihre Personalabteilung verarbeitet die Steuer- und Versicherungsdaten von Mitarbeitern und bei Kunden verfügt das Unternehmen über die Anschriften, um ihnen Lieferungen zuzuschicken. All dies macht die Umsetzung der Informationspflicht diesen Betroffenen gegenüber zur datenschutzrechtlichen Pflicht.
Die Betroffeneninformation am Beispiel des Bewerbungsverfahrens:
Um die tatsächliche Umsetzung der Betroffeneninformation für Sie handhabbar zu machen, wird die Vorgehensweise anhand eines Bewerbers nachfolgend konkretisiert. Es handelt sich hierbei um ein grobes Beispiel, die Betroffeneninformationen sind stets auf die individuellen Gegebenheiten Ihres Unternehmens anzupassen. Bei entsprechenden Fragen können Sie sich gerne an uns wenden.
Ihr Unternehmen schreibt eine offene Stelle aus, wie gewünscht erhalten Sie daraufhin Bewerbungen via E-Mail. Diese Bewerbungen enthalten eine Vielzahl von personenbezogenen Daten, zum Beispiel:
- den Namen und Vornamen des Bewerbers
- die Anschrift - eine personalisierte E-Mail-Adresse
- ein Geburtsdatum
- ein Anschreiben sowie ein Lebenslauf
Es handelt sich hier um eine Direkterhebung personenbezogener Daten von Betroffenen. Der Anwendungsbereich der DSGVO (und des BDSG) ist somit eröffnet und Sie als Verantwortlicher müssen dem Bewerber eine Betroffeneninformation zukommen lassen. Das passende Muster hierfür ist freilich „Datenschutzinformation Muster – Bewerber“. Auch der Zweck der Datenverarbeitung ist eindeutig: Sie benötigen die Daten um eine Auswahl von geeigneten Beschäftigten treffen zu können – Ihr Zweck ist daher in erster Linie die Begründung eines Beschäftigungsverhältnisses. Selbstredend ist eine Datenverarbeitung hierfür datenschutzrechtlich auch zulässig – die entsprechende Rechtsgrundlage ist dabei Art. 88 DSGVO i. V. m. § 26 BDSG.
Die personenbezogenen Daten dürfen also zu diesem Zweck verarbeitet werden. Gleichsam definiert der Zweck grundsätzlich auch den Aufbewahrungszeitraum dieser Daten. Sobald der Auswahlprozess abgeschlossen ist und Sie sich gegen einen Bewerber entschieden haben, besteht auch kein Zweck mehr für die weitere Datenverarbeitung, weswegen die Daten grundsätzlich auch zu vernichten wären. Da sich aber möglicherweise aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) Ansprüche gegen Sie ergeben können, haben Sie ein berechtigtes Interesse daran, die Bewerberunterlagen über die Absage hinaus aufzubewahren, da die Bewerberunterlagen wichtig sein können, um sich gegen etwaige Klagen zur Wehr setzen zu können. Deswegen ist es datenschutzrechtlich regelmäßig zulässig, die Bewerberunterlagen über den Auswahlprozess hinaus noch für sechs Monate aufzubewahren. Über diesen Zeitpunkt hinaus besteht regelmäßig kein Zweck für die weitere Datenspeicherung, weswegen die Daten zu löschen sind. Die entsprechende Dauer der Aufbewahrung ist in der Betroffeneninformation – wie Sie auch unserem Muster entnehmen können – aufzunehmen.
Sofern Sie die Daten längerfristig speichern wollen, etwa weil Sie den Bewerber bei zukünftigen Stellenausschreibungen berücksichtigen wollen, benötigen Sie die aktive Einwilligung der betroffenen Person zur Speicherung in Ihrem Talentpool. Auch hierzu finden Sie einen passenden Textbaustein in unserem Muster.
Haben Sie sodann unser Muster entsprechend den Gegebenheiten Ihres Unternehmens angepasst, müssen Sie diese dem Bewerber zusenden. Bei einer Direkterhebung wie im genannten Beispielfall müssen Sie die Betroffeneninformation der betroffenen Person zum Zeitpunkt der Erhebung (Art, 13 DSGVO, Erwägungsgrund 61), also spätestens ab Erhalt der Bewerbung mitteilen – eine praktikable Lösung wäre hierbei etwa der Einsatz einer Auto-Response-E-Mail.
Die Folgen der Nichteinhaltung
Die korrekte Zusendung der Betroffeneninformation ist und bleibt eine datenschutzrechtliche Pflicht. Bleibt die Information aus, so kann es sich um einen Datenschutzverstoß handeln. Dieser Datenschutzverstoß ist grundsätzlich auch bußgeldbewährt. Die korrekte Einhaltung der Informationspflichten ist daher eine elementare datenschutzrechtliche Anforderung, deren Erfüllung auch im Interesse Ihres Unternehmens ist.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.