Datenschutzerstinformationen

Personenbezogene Daten

Jedes Unternehmen verarbeitet personenbezogene Daten. Das können Daten von Kunden oder Interessenten sein, aber auch Daten von eigenen Mitarbeitern oder Bewerbern.

Hierunter fallen zum Beispiel:

• Name
• Anschrift
• E-Mailadresse
• Telefonnummer
• Zeugnisse
• Lebenslauf

Ihre Pflicht!

Sie, als Verantwortlicher eines Unternehmens, sind verpflichtet, bei der Erhebung von personenbezogenen Daten die betroffene Person umfassend darüber zu informieren, welche Daten von Ihnen verarbeitet werden. Dies sollte spätestens zum Erhebungszeitpunkt, im Idealfall sogar vorher, erfolgen. Bewirbt sich beispielsweise eine Person bei Ihrem Unternehmen oder ein potentieller Kunde fordert ein Angebot an, so muss eine Datenschutzinformation bereitgestellt werden, wenn deren personenbezogene Daten verarbeitet werden.

Wie informieren Sie die betroffene Person?

Hier kommt es darauf an, ob Sie die Daten bei der Person direkt erhoben oder diese über einen Dritten erhalten haben.

Die Rechtsgrundlagen hierfür sind der Art. 13 DS-GVO für den ersten und Art. 14 DS-GVO für den zweiten Fall.

In den beiden Rechtsgrundlagen wurde auch festgelegt, welche Datenschutzinformationen Sie der betroffenen Person zur Verfügung stellen müssen.

Erheben Sie die personenbezogenen Daten direkt bei der betroffenen Person, so müssen Sie dieser Person folgendes mitteilen:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f DS-GVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 DS-GVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Um eine faire und transparente Verarbeitung der personenbezogenen Daten gegenüber der betroffenen Person zu gewährleisten, müssen Sie weitere Datenschutzinformationen zur Verfügung stellen:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a DS-GVO oder Artikel 9 Absatz 2 Buchstabe a DS-GVO beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Zweckänderung!

Bitte beachten Sie, sollen die Daten zukünftig für einen anderen Zweck verarbeitet werden, als den, für den diese erhoben wurden, so sind Sie verpflichtet, dies der betroffenen Person vor der Weiterverarbeitung mitzuteilen.

Fremderhebung

Erheben Sie die Daten nicht bei der betroffenen Person direkt, erhalten diese also über einen Dritten, so müssen Sie der betroffenen Person zusätzlich zu den vorgenannten Datenschutzinformationen weitere zur Verfügung stellen:

  • die Kategorien der personenbezogenen Daten, die verarbeitet werden;
  • aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob diese aus öffentlich zugänglichen Quellen stammen.

Nachdem Ihnen von einem Dritten die Daten der betroffenen Person für Ihre Verarbeitungszwecke zur Verfügung gestellt wurden, müssen Sie der betroffenen Personen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats die vorgenannten Datenschutzinformationen zur Verfügung stellen.

Nutzen Sie die Daten zur Kommunikation mit der betroffenen Person, müssen Sie die Datenschutzinformationen spätestens zum Zeitpunkt der ersten Mitteilung an sie übermitteln.

Beabsichtigen Sie die Daten der betroffenen Person einem anderen Empfänger offenzulegen, so müssen Sie der betroffenen Person spätestens zum Zeitpunkt der ersten Offenlegung alle notwendigen Datenschutzinformationen zur Verfügung stellen (Art. 14 Abs. 3).