Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, wann auch ohne Anfrage proaktiv Informationen zur Verfügung gestellt werden müssen.
Betroffene Personen sind über sie betreffende Datenverarbeitungsvorgänge zu informieren. Werden die zu verarbeitenden Daten von ihnen direkt erhoben, hat die Information zum Zeitpunkt der Erhebung zu erfolgen. Ansonsten muss die Information innerhalb angemessener Frist erfolgen, spätestens nach einem Monat. Nimmt der Verantwortliche mit der betroffenen Person Kontakt auf, hat die Information bei der ersten Kontaktaufnahme zu erfolgen. Ist beabsichtigt, die erhobenen Daten anderen offenzulegen, muss die Information spätestens gleichzeitig mit der Offenlegung erfolgen.
Der Verantwortliche muss der betroffenen Person umfangreiche Informationen über die beabsichtigte Datenverarbeitung zur Verfügung stellen. Dazu gehören:
- Name und Kontaktdaten des Verantwortlichen, seiner gesetzlichen Vertreter und des etwa bestellten Datenschutzbeauftragten,
- Zwecke und Rechtsgrundlage der Datenverarbeitung,
- Empfänger bzw. Kategorien von Empfängern falls die Daten an Dritte übermittelt werden sollen, sowie
- Angaben zu einer beabsichtigten Übermittlung von Daten in Drittländer oder internationale Organisationen sowie zu deren Rechtsgrundlage.
Außerdem müssen Verantwortliche den betroffenen Personen Informationen zur Verfügung stellen, um die Fairness und Transparenz der Verarbeitung sicherzustellen. Hierzu gehören Angaben zur Speicherdauer, zur Widerruflichkeit einer etwa erteilten Einwilligung, und zu den Betroffenenrechten auf Auskunft, Berichtigung, Löschung und Beschwerde bei den Aufsichtsbehörden. Soll der Verarbeitungszweck für gespeicherte Daten später geändert werden, müssen betroffene Personen erneut informiert werden.