Personenbezogene Daten
In den Datenschutzerstinformationen Ihres Internetauftritts muss angegeben werden, welche personenbezogenen Daten Ihr Unternehmen erhebt. Jedes Unternehmen verarbeitet personenbezogene Daten. Das können Daten von Kunden oder Interessenten sein, aber auch Daten von eigenen Mitarbeitern oder Bewerbern.
Besondere personenbezogene Daten: Ein sensibler Bereich
Spezielle Aufmerksamkeit gilt den „Besonderen personenbezogenen Daten“. Diese Kategorie umfasst sensible Daten, die aufgrund ihrer Natur besonderen Schutz benötigen. Dazu gehören Informationen über die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten oder Daten zur sexuellen Orientierung.
- Name
- Anschrift
- E-Mailadresse
- Telefonnummer
- Zeugnisse
- Lebenslauf
Ihre Pflicht!
Sie, als Verantwortlicher eines Unternehmens, sind verpflichtet, bei der Erhebung von personenbezogenen Daten die betroffene Person umfassend darüber zu informieren, welche Daten von Ihnen verarbeitet werden. Dies sollte spätestens zum Erhebungszeitpunkt, im Idealfall sogar vorher, erfolgen. Bewirbt sich beispielsweise eine Person bei Ihrem Unternehmen oder ein potentieller Kunde fordert ein Angebot an, so muss eine Datenschutzinformation bereitgestellt werden, wenn deren personenbezogene Daten verarbeitet werden.
Wie informieren Sie die betroffene Person?
Hier kommt es darauf an, ob Sie die Daten bei der Person direkt erhoben oder diese über einen Dritten erhalten haben.
Die Rechtsgrundlagen hierfür sind der Art. 13 DS-GVO für den ersten und Art. 14 DS-GVO für den zweiten Fall.
In den beiden Rechtsgrundlagen wurde auch festgelegt, welche Datenschutzinformationen Sie der betroffenen Person zur Verfügung stellen müssen.
Erheben Sie die personenbezogenen Daten direkt bei der betroffenen Person, so müssen Sie dieser Person folgendes mitteilen:
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die personenbezogene Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DS-GVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 DS-GVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind
Um eine faire und transparente Verarbeitung der personenbezogenen Daten gegenüber der betroffenen Person zu gewährleisten, müssen Sie weitere Datenschutzinformationen zur Verfügung stellen:
- die Dauer, für die personenbezogene Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a DS-GVO oder Artikel 9 Absatz 2 Buchstabe a DS-GVO beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person
Zweckänderung!
Bitte beachten Sie, sollen die Daten zukünftig für einen anderen Zweck verarbeitet werden, als den, für den diese erhoben wurden, so sind Sie verpflichtet, dies der betroffenen Person vor der Weiterverarbeitung mitzuteilen.
Fremderhebung
Erheben Sie die Daten nicht bei der betroffenen Person direkt, erhalten diese also über einen Dritten, so müssen Sie der betroffenen Person zusätzlich zu den vorgenannten Datenschutzinformationen weitere zur Verfügung stellen:
die Kategorien der personenbezogenen Daten, die verarbeitet werden
aus welcher Quelle die personenbezogenen Daten stammen und ob diese öffentlich zugänglich sind
Nachdem Ihnen von einem Dritten die Daten der betroffenen Person für Ihre Verarbeitungszwecke zur Verfügung gestellt wurden, müssen Sie der betroffenen Personen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats die vorgenannten Datenschutzinformationen zur Verfügung stellen.
Nutzen Sie die Daten zur Kommunikation mit der betroffenen Person, müssen Sie die Datenschutzinformationen spätestens zum Zeitpunkt der ersten Mitteilung an sie übermitteln.
Beabsichtigen Sie die Daten der betroffenen Person einem anderen Empfänger offenzulegen, so müssen Sie der betroffenen Person spätestens zum Zeitpunkt der ersten Offenlegung alle notwendigen Datenschutzinformationen zur Verfügung stellen. (Art. 14 Abs. 3)