Eintrag markiert ‘Rechtsgrundlagen’

DSGVO: Was bedeutet die Pflicht zur Angabe der Rechtsgrundlagen in den Betroffeneninformationen

Freitag, 1. Februar 2019

Die Artikel 13 und 14 der EU Datenschutz-Grundverordung (DSGVO) legen dem Verantwortlichen komplexe Informationspflichten auf. Insbesondere verlangen sie, dass der Verantwortliche dem Betroffenen „die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung“ mitteilt.

Nun benennt Artikel 6 (1) der DSGVO die Rechtsgrundlagen der Datenverarbeitung eigentlich abschließend. Es handelt sich um die Datenverarbeitung

  • auf Grund einer Einwilligung des Betroffenen (lit. a),
  • zur Vertragserfüllung oder zur konkreten Vertragsanbahnung (lit. b),
  • zur Erfüllung einer gesetzlichen Verpflichtung (lit. c),
  • zum Schutz lebenswichtiger Interessen (lit. d),
  • zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (lit. e) oder
  • zur Wahrung berechtigter Interessen (lit. f).

Generell verlangt die DSGVO ein sehr hohes Maß an Transparenz (z. B. die Information in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“, Artikel 12 DSGVO). Der Betroffene soll, plastisch ausgedrückt, nach der Information durch den Verantwortlichen wissen, worum es geht und warum was mit seinen Daten gemacht wird.

Zu Artikel 6 (1) lit. f der DSGVO legt die Verordnung beispielsweise fest, dass der Betroffene nicht nur informiert werden muss, dass seine Daten auf Grund der Wahrung eines berechtigten Interesses verarbeitet werden. Vielmehr muss das konkrete Interesse beschrieben werden.

In Bezug auf Artikel 6 (1) lit. c weisen viele Muster und daraus folgend viele Informationen nach Artikel 13 bzw. Artikel 14 DSGVO meines Erachtens nach massive Lücken auf, sind daher unvollständig und daher ungenügend. Diese Muster nennen nämlich als Rechtsgrundlage lediglich „Artikel 6 (1) lit. c“. Sie geben also lediglich an, dass die Datenverarbeitung „zur Erfüllung einer rechtlichen Verpflichtung erforderlich“ sei, ohne die konkrete rechtliche Verpflichtung zu benennen.

Bei diesem Vorgehen kann der Betroffene natürlich nicht beurteilen, geschweige denn überprüfen, ob die Datenverarbeitung rechtmäßig ist. Woher soll der Betroffene wissen, welchen rechtlichen Verpflichtungen der Verantwortliche unterliegt?

Unabhängig von den Informationspflichten gegenüber den Betroffenen benötigt der Verantwortliche eine Rechtsgrundlage für die Datenverarbeitung. Er muss also, wenn er sich auf Artikel 6 (1) lit. c beruft, selbst genau wissen, welche rechtliche Verpflichtung ihn trifft.

Auch hieraus folgt, dass der Verantwortliche die genauen gesetzlichen Bestimmungen ermitteln und dann auch aufführen muss, aus der sich die Verpflichtung zur konkreten Datenverarbeitung ergibt.

Für die Personaldatenverarbeitung reicht es also nicht aus, pauschal zu schreiben, man müsse die personenbezogenen Daten wie Name, Vorname, Adresse, Steuernummer, Sozialversicherungsnummer etc. verarbeiten, weil man als Verantwortlicher einer rechtlichen Verpflichtung unterliege. Nein, der Verantwortliche muss die konkreten Bestimmungen des SGB, der AO etc. aufführen.

Leider haben sich die Anbieter von Musterlösungen für die Informationen nach Artikel 13 / 14 DSGVO selten die Mühe gemacht, die genauen Bestimmungen zu ermitteln und aufzuschreiben. Um es offen zu sagen: Außer meinen eigenen Mustern ist mir kein weiteres Muster bekannt, welches die konkreten Angaben enthält.

Falls Sie als ein anderer Anbieter von Musterlösungen für die Informationen nach Artikel 13 / 14 DSGVO diesen Artikel hier lesen sollten und ebenso wie ich den Aufwand der komplexen Recherche betrieben und entsprechende Muster erarbeitet haben, so nehmen Sie doch bitte mir mir Kontakt auf. Sehr gerne würde ich mit Ihnen gemeinsam ein möglichst vollständiges Archiv solcher Musterlösungen aufbauen und ggf. gemeinsam anbieten.

Und wenn Sie, liebe Leserin, lieber Leser eine verantwortliche Stelle vertreten und für sich diese Informationen nach Artikel 13 / Artikel 14 DSGVO erstellen müssen, selbst wissen müssen bzw. wissen wollen, was im Einzelfall die konkreten gesetzlichen Grundlagen sind, so nehmen Sie bitte auch mit mir Kontakt auf und fragen nach meinen Musterlösungen.