Datenschutzrechtliche Informationspflichten

Umsetzung der datenschutzrechtlichen Informationspflichten (in der Personalarbeit)

Seit dem 25. Mai 2018 ist die EU Datenschutz-Grundverordnung (DS-GVO) einzuhalten und seit diesem Datum bestehen immer wieder Unsicherheiten, wie man mit den Informationspflichten in den Art. 13 und 14 DS-GVO umgehen soll.

Die drängendsten Fragen haben wir im Folgenden versucht so praxisnah wie möglich zu beantworten.

Müssen Unternehmen wirklich beim Digitalisieren einer Visitenkarte die betroffene Person darüber informieren?

Ja. Das Gesetz kennt hier keine Gnade. Denn in Art. 13 DS-GVO wird die Anforderung an eine Erhebung von personenbezogenen Daten bei der betroffenen Person, was der Ersterfassung der Daten vom „Visitenkartengeber“ entspricht, wie folgt definiert: „Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: […]“. Wer sich also nicht mit möglichen Verstößen der DS-GVO herumschlagen möchte, muss diesen Punkt erfüllen. Ähnliches regelt im Übrigen auch der Art. 14 DS-GVO, wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden. Hierfür ist jedoch nicht der Zeitpunkt der Erhebung für die Erfüllung der Informationspflicht relevant, sondern es muss spätestens innerhalb eines Monats informiert werden.

Spannend wird jedoch die Frage nach dem „Wie?“, denn vermutlich möchte niemand ständig mit E-Mails oder anderen Informationsmedien zugeschüttet werden, in welchen die neuen Informationspflichten mitgeteilt werden. Auch stehen der Aufwand und die Verhältnismäßigkeit oftmals in keinem Verhältnis zum Nutzen. Schon gar nicht bei Visitenkarten, die man von einem Empfänger genau mit dem Ziel der Erhebung und Verarbeitung zu diversesten Zwecken erhalten hat.

Wie lässt sich die Informationspflicht vom Ablauf und Aufwand vereinfachen?

Die grundsätzlichen Anforderungen an die Informationen werden in Art. 12 Abs. 1 DS-GVO wie folgt definiert: „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache […]“. In der Praxis hat es sich bewährt, für verschiedene Erhebungs- und Verarbeitungssituationen die notwendigen Informationspflichten transparent und einfach zugänglich auf der Internetseite zu veröffentlichen. Ein idealer Platz ist die Datenschutzerklärung, welche einen besonderen Bereich für verschiedene Gruppen von Betroffenen enthält. So könnten dort allgemein und leicht zugänglich unter www.firma-xy.de/datenschutz Informationspflichten für Bewerber, Interessenten, Kontakte, Kunden und Lieferanten aufgelistet werden. Bei der inhaltlichen Gestaltung sollte man darauf achten, die formalen Anforderungen der Art. 13 bzw. 14 zu erfüllen.

In der Theorie könnte nun ein jeder „Visitenkartengeber“ explizit darüber informiert werden, was mit seinen Daten gemacht wird, jedoch ist das zusätzlicher Aufwand. In der Praxis hat es sich bewährt, wenn man die Information indirekt verteilt. Sofern es eine zeitnahe Kommunikation mit dem „Visitenkartengeber“ nach der Digitalisierung seiner Daten gibt z.B. ein Termin wird geschickt, ein Angebot gesendet oder sonstige Unterlagen übermittelt, sollte es ausreichen in jedem Kommunikationsvorgang die entsprechenden allgemeinen Hinweise zu platzieren.

In einer E-Mail könnte das wie folgt aussehen und stets mit den anderen rechtlich notwendigen Angaben zum Verantwortlichen verschickt werden (E-Mail-Signatur): „Wir erfüllen unsere Informationspflichten zum Datenschutz gem. Art. 13-14 DS-GVO durch Veröffentlichung auf unserer Internetseite unter: www.firma.de/datenschutz oder durch Zusendung auf Ihre formlose Anfrage.“ Damit hat der Empfänger die Möglichkeit, die Informationen einfach einzusehen und die Mitarbeiter müssen sich nicht bei jeder E-Mail darüber Gedanken machen, ob Sie die Informationspflicht bereits erfüllt haben. Auch wird dem Umstand Rechnung getragen, dass man nicht auf die Internetseite festgelegt ist, sondern auch formlos die Informationen auf anderem Wege anfordern könnte.

In rein papierbezogenen Prozessen sollte man sich überlegen, die Anforderungen auch schriftlich zu erfüllen. So könnte z.B. auf einer Bewerbermesse ein Merkblatt mit den Informationspflichten zusammen mit anderen Unterlagen ausgeteilt werden, wenn sich ein Bewerber am Messestand mit seinen Kontaktdaten meldet.

Welche Informationspflichten sollten in der Personalabteilung beachtet werden?

Der Klassiker ist sicherlich der Bewerbungsfall. Ein Bewerber meldet sich online im Karriereportal des Unternehmens an und stellt seine Daten bereit. Hier werden die Daten direkt online erhoben und es können direkt im Bewerbungsprozess die Informationspflichten übermittelt werden. Am sichersten ist es, hier ein Häkchen einzubauen, in welchem der Bewerber nochmal nachweislich bestätigt, dass er die Informationen erhalten bzw. gelesen hat. Geht die Bewerbung per E-Mail an bewerbung@firma-xy.de ein, so könnte eine automatische Antwort verschickt werden, welche neben der Eingangsbestätigung und netten Hinweisen über den weiteren Prozess eben auch auf die Informationspflichten hinweist. Bei einer direkten Kontaktaufnahme zwischen Bewerber und Personalreferent wären die Hinweise zu den Informationspflichten mit Link zu Webseite in der bereits oben erwähnten Antwort-E-Mail automatisch enthalten.

Jetzt fehlen lediglich noch Informationspflichten für die eigenen Mitarbeiter. Wird aus dem Bewerber ein Mitarbeiter oder werden weitere Daten erhoben, müssen diese natürlich auch intern erfüllt werden. Hier empfiehlt sich ebenfalls ein Informationsblatt, das zum Beispiel mit dem Arbeitsvertrag ausgehändigt wird. Um den Umfang hier nicht zu sprengen hat sich im betrieblichen Alltag etabliert, dass man eine sehr grobe „Erstinformation“ ausgibt, bei dem grob über alle Verarbeitungsvorgänge informiert wird. Mit dem Hinweis, dass der Mitarbeiter natürlich beim Datenschutzbeauftragten auch Detailinformationen für alle Verarbeitungstätigkeiten einholen kann.

Praxistipp zur Umsetzung der datenschutzrechtlichen Informationspflichten:

Sie sollten sich für die Dokumentation und Verwaltung eine Software zum Datenschutzmanagement zulegen, in welcher die Verarbeitungstätigkeiten dokumentiert werden (Pflicht aus Art. 30 DS-GVO) und aus welchen sich bei Bedarf automatisch die Informationspflichten ausgeben lassen. Die audatis Consulting GmbH bietet das in ihrem webbasierten Datenschutzmanagement-Tool, dem audatis MANAGER, mit an. Eine weitere Quelle zur Umsetzung ist die Orientierungshilfe zu Informationspflichten des bayerischen Landesbeauftragten für den Datenschutz.
 

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Datenschutzerklärung lesen.