In Artikel 14 DSGVO lesen Sie, was zu tun ist, wenn Sie personenbezogene Daten nicht direkt bei der betroffenen Person erheben. Sobald diese Situation nämlich eintritt, müssen Sie den Betroffenen darüber informieren. Ein Versäumnis hat schwere Konsequenzen, wie dieses Fallbeispiel aus meinem Alltag als Datenschutzexperte zeigt.
Artikel 14 DSGVO – was regelt der genau?
Hin und wieder kommt es vor, dass Sie personenbezogene Daten nicht vom Besitzer dieser Daten selbst erhalten. Das ist zum Beispiel der Fall, wenn ein Handwerksbetrieb Kundendaten von einem anderen Betrieb erhält, der ebenfalls am Projekt beteiligt ist. Diese indirekte Erhebung darf nicht stillschweigend geschehen, denn einer der Grundsätze der DSGVO lautet schließlich: Transparenz!
Deshalb fordert Artikel 14 der DSGVO, dass Sie die betroffene Person in jedem Fall über die Datenweitergabe informieren müssen – selbst, wenn sie aus den besten Gründen heraus erfolgt.
Folgende Informationen sind neben den üblichen Angaben (Name und Kontaktdaten von Verantwortlichem, Vertreter und ggfs. Datenschutzbeauftragtem) notwendig:
- Die Zwecke dieser Verarbeitung sowie die Rechtsgrundlage, evtl. welches berechtigte Interesse hier besteht
- Die Kategorien von Daten, die hierbei verarbeitet wurden
- Wer diese Daten erhält
- Falls Sie beabsichtigen die personenbezogenen Daten in ein Drittland zu übermitteln, auch ein Hinweis darauf
- Speicherdauer oder Kriterien für das Löschen der Daten
- Rechte des Betroffenen
- Herkunft der Daten, also die Quelle aus der die Daten stammen
Wann muss die Information spätestens erfolgen?
Am besten natürlich so schnell wie möglich. Die DSGVO gestattet in Artikel 14 jedoch „unter Berücksichtigung der spezifischen Umstände der Verarbeitung“ einen Zeitraum von maximal einem Monat nach Erhebung der Daten. Ausnahmen:
- falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
- falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.
So viel zur Theorie. Schauen wir uns nun an, wie das in der Praxis aussieht – bzw. nicht aussehen sollte!
Fallbeispiel: Beschwerde eines Kunden wegen mangelnder Information nach Artikel 14 DSGVO
Eine interessierte Firma kontaktierte mich mit der Bitte, ihren internen Datenschutzbeauftragten abzulösen. Der Grund war genau jener, den ich auch schon in einem vergangenen Beitrag zu internen Datenschutzbeauftragten angeführt hatte: Interne DSB müssen die Datenschutzprojekte parallel zu ihren „normalen“ Aufgaben bearbeiten – und das wird schnell zu viel. Auch der interne DSB aus diesem Fallbeispiel hatte Schwierigkeiten, alles unter einen Hut zu bringen und dabei noch sorgfältig auf die korrekte Abwicklung zu achten. Die Folge: Er vergaß, einen Kunden über die indirekte Datenerhebung nach Artikel 14 DSGVO zu informieren. Verschärfend kam hinzu, dass diese Kundeninformationen „auf dem kleinen Dienstweg“ an das Unternehmen kamen. Ein Konflikt war damit vorprogrammiert.
Und dieser Konflikt ließ nicht lange auf sich warten. Denn wie es dann auch häufig so ist, bemerkte der Kunde diese Panne natürlich und wandte sich an die Aufsichtsbehörde.
Für den Geschäftsführer der Firma aus diesem Beispiel war nun klar:
- Er braucht dringend kompetente, eindeutige Beratung, was jetzt zu tun ist. Denn der Kunde konsultierte seinerseits Anwälte und Behörden und gab nicht klein bei.
- Es ist Zeit, den internen Datenschutzbeauftragten abzulösen. Schon lange war dieser zwar überfordert, aber diese Situation zwang den Geschäftsführer nun endgültig zum Handeln.
So kam der Geschäftsführer auf mich zu. Gemeinsam besprachen wir die Lage und er erhielt eindeutige Handlungsanweisungen, wie er mit dem entrüsteten Kunden kommunizieren und welche Angaben er zudem den Behörden übermitteln sollte. So konnte die Situation letztendlich noch gerettet werden.
Fazit: Vorsorge ist besser als Nachsorge
Mit einem externen Datenschutzbeauftragten, der sich voll und ganz auf Datenschutz-Aufgaben (z.B. eben auch das Einhalten von Artikel 14 DSGVO) konzentrieren kann, sind Unternehmen gut beraten.
Und wenn das Kind schon in den Brunnen gefallen ist? Dann versuchen Sie bitte keinesfalls, es eigenhändig wieder herauszuholen – denn machen Sie jetzt noch Fehler im Umgang mit den Datenschutzbehörden, verstricken Sie sich nur immer weiter. Ein anderes Fallbeispiel zeigt das ganz eindeutig. Spätestens jetzt ist der Zeitpunkt erreicht, an dem Sie sich einen kompetenten Berater zur Seite holen sollten, der eindeutige Schritte vorgibt. Und so noch größeren Schaden abwendet.
