Hinweispflichten – so erfüllen Sie Ihre Informationspflicht aus der DSGVO

Hinweispflichten sind eine der wenigen Neuerungen der DSGVO – zumindest was Deutschland angeht. Unternehmen sind verpflichtet deutlich mehr Informationen über die Verarbeitung personenbezogener Daten an die Betroffenen bereitzustellen als bisher. Die Artikel 13 und 14 der DSGVO geben ganz klare Vorgaben an die Informationen, die der Verantwortliche dem Betroffenen mitteilen muss. Erfahren Sie, was es beim Thema Hinweispflichten zu beachten gibt und wie Sie das Thema am einfachsten angehen.

Hinweispflichten: Sobald personenbezogene Daten erhoben werden, ist der Verantwortliche dazu verpflichtet, seine Informationspflicht gegenüber dem Betroffenen umzusetzen. Die Artikel 13 & 14 der DSGVO liefern Hinweise darauf, welche Informationen dem Betroffenen zum Zeitpunkt der Erhebung übermittelt werden müssen.

Was müssen Sie bei den Hinweispflichten unbedingt beachten?

Die Hinweispflichten sollten sich immer an Geschäftsprozessen orientieren. Beispielsweise sind die Hinweispflichten für ein Verkaufsgeschäft andere, als für eine Bewerbung oder für eine Einwilligung zu einem Newsletter.

Hinweispflichten einfach umsetzen – so machen Sie es richtig

Auch wenn sich die Umsetzung nach einem ziemlichen Formalismus anhört, die Operationalisierung der Hinweispflichten ist nicht so kompliziert und aufwändig wie es im ersten Schritt vielleicht scheint. Worauf fußt diese Einschätzung?

1. Die DSGVO gibt keine Formvorschriften vor
Die DSGVO gibt keine Vorschriften vor, wie die Art der Informationen darzustellen & zu übermitteln sind. Man kann für seine Geschäftsprozesse die ideale Übermittlungsform auswählen.

Beispiele:

  • Hinweispflichten werden auf der Webseite eingestellt und lediglich der Link wird kommuniziert
  • Ein bestehender Vertrag wird um einen Anhang erweitert

Hier haben Unternehmen viele Freiheiten, solange sie sich an die inhaltlichen Vorgaben zu Hinweispflichten halten.

2. Hinweispflichten müssen nicht für einen einzelnen Betroffenen personalisiert werden
Für einen bestimmten Geschäftsvorfall genügt es eine Standard-Hinweispflicht zu entwickeln, die dann immer wieder verwendet werden kann. Es erfolgt keine Personalisierung auf den Einzelfall.

3. Betroffene müssen bei neuen Geschäftsvorfällen nicht zwingend nochmals informiert werden
Wenn der Betroffene alle Informationen zu einem Geschäftsvorfall nachweislich schon hat – weil er beispielsweise schon einmal diesen Geschäftsvorfall bei Ihnen durchlaufen hat – muss er nicht nochmals informiert werden. Sie müssen allerdings nachweisen können, dass Sie die Informationen damals schon bereitgestellt hatten.

4. Die Datenschutzerklärung deckt bereits Informationen zu zahlreichen Geschäftsprozessen ab
Ihre Datenschutzerklärung auf Ihrer Webseite deckt – wenn Sie ordentlich aufgesetzt ist – schon eine ganze Menge an Geschäftsprozessen, die Ihre Webseite betreffen, ab. Das heißt, für diese Online-Prozesse müssen nicht nochmal zusätzliche Hinweispflichten generiert und angeboten werden.

Wann muss der Betroffene die Informationen bekommen?

Der Betroffene muss die Hinweispflichten frühestmöglich übermittelt bekommen. Das heißt Idealerweise immer zu dem Zeitpunkt an dem Sie die personenbezogenen Daten über den Betroffenen erheben – sei es, dass er die Informationen selbst mitteilt, dass er ein Formular ausfüllt oder einen Vertrag bekommt den er unterschreiben soll.

Welche Daten muss der Verantwortliche der betroffenen Person mitteilen?

Zum Zeitpunkt der Erhebung muss der Betroffene insb. die folgenden Informationen erhalten:

  • den Namen und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters;
  • ggf. die Kontaktdaten des Datenschutzbeauftragten (sofern einer bestellt ist);
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Abs. 1 lit. f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  • ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind;
  • Angaben zur Aufbewahrungsdauer der Daten;
  • Informationen zu Widerrufs- und Widerspruchsrechten

Die Auflistung stellt lediglich einen Auszug dar. Die vollständigen Vorgaben aus dem Gesetz finden Sie im Artikel 13 und 14 der DSGVO

Weitere ausführliche Informationen zu Informationspflichten finden Sie auf unserem Infoportal datenschutzprofi24.de