Die DSGVO regelt die Informationspflichten des Verantwortlichen gegenüber der betroffenen Person in Abhängigkeit davon, ob die personenbezogenen Daten
- bei der betroffenen Person direkt (Art. 13 DSGVO)
- oder bei Dritten (Art. 14 DSGVO) erhoben werden.
Die DSGVO unterscheidet also
- zwischen einer sogenannten „Direkterhebung „ und einer
- sogenannten „Dritterhebung „.
Informationspflichten bei Direkterhebung
Nachfolgend möchte ich auf die Informationspflichten bei einer Direkterhebung nach Art. 13 DSGVO eingehen, den Regelfall bei der Annahme eines Mandats von einem neuen Mandanten.
Die anderen, vielfältigen in der DSGVO noch vorhandenen Transparenzpflichten, werden Gegenstand eines gesonderten Artikels werden.
Art. 13 DSGVO unterscheidet bei der Informationspflicht wiederum zwischen
- Informationen, die der betroffenen Person mitzuteilen sind (Art. 13 Abs. 1 DSGVO) und
- Informationen die der betroffenen Person zur Verfügung zu stellen sind (Art. 13 Abs. 2 DSGVO)
Mitzuteilende Informationen
Es handelt sich um
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
Zur Verfügung zu stellende Informationen
Folgende Informationen sind der betroffenen Person zur Verfügung zu stellen
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Zeitpunkt der Mitteilung und der Zurverfügungstellung
Beides, also Mitteilung und Zurverfügungstellung hat zum Zeitpunkt der Erhebung der Daten zu erfolgen. Dieses wird in einigen Fällen auf Probleme stoßen.
Denken Sie nur daran, dass ein potentieller Mandant anruft und einen Besprechungstermin vereinbaren will.
Bereits die Aufnahme seines Nachnamens, um diesen in den elektronischen Terminkalender einzutragen, stellt eine Erhebung im Sinne der DSGVO dar.
Soll die Mitarbeiterin im Telefondienst nun beginnen den Informationspflichten nach Art. 13 Abs. 1 und Abs. 2 DSGVO nachzukommen, während sie den Namen „erhebt „?
Weder glaube ich, dass ein potentieller Mandant hierfür die Geduld aufbringen würde, noch dass es organisatorisch auf Dauer machbar wäre.
Insoweit ist der Verordnungsgeber über das Ziel hinaus geschossen und es wird eine Anpassung notwendig sein.
Der GDD geht in seiner Praxishilfe “DSGVO 7” unter Punkt 3. auf “Besondere Verarbeitungssituationen” ein.
Er führt unter anderem aus, dass bei telefonischer Bestellung oder Reservierung eine Sprachwiedergabe der gesamten Transparenzinformationen nicht zweckdienlich sei und sie könne zum Beispiel als Menüfunktionen (Sprachwiedergabe bzw. Link per SMS aufs Handy) bereitgestellt werden und ansonsten auf eine „leicht zu merkende„ URL verwiesen werden.
Etwas anderes kann meines Erachtens auch nicht für den Fall eines telefonischen Erstkontaktes verlangt werden.
Beim Erscheinen in der Kanzlei sollten dann allerdings die notwendigen Informationen vollständig und umfassend mitgeteilt und zur Verfügung gestellt werden.
Art der Zurverfügungstellung und Mitteilung
Nach Art. 12 Abs. 1 Satz 2 DSGVO erfolgt die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls elektronisch.
Sie sollten dem neuen Mandanten also die Information in Form eines Merkblattes zur Verfügung stellen, ihm die Zeit geben, es durchzulesen und sich schriftlich bestätigen lassen, dass er die Informationen nach Art. 13 DSGVO erhalten hat.
Das kann z. B. in – hoffentlich kurzen – Wartezeit erfolgen. Viele von uns kennen das ja schon aus den ärztlichen Wartezimmern, wo Daten schriftlich vorab zur Verfügung gestellt werden.
Ausnahmen von der Informationspflicht
Selbstverständlich hat der Verordnungsgeber auch Ausnahmen vorgesehen.Eine der Ausnahmen findet sich in Art. 13 Abs. 4 DSGVO.
Keine Informationspflicht besteht, wenn und soweit die betroffene Person bereits über die Informationen verfügt.
Insoweit haben sie praktisch dieses Informationsproblem maximal ein mal pro Mandant. Organisatorisch sollten Sie es so gestalten, dass sie den Nachweis darüber, dass sie ihrer Informationspflicht nachgekommen sind, gesondert aufbewahren, unabhängig vom jeweiligen Mandat.
Auch der deutsche Gesetzgeber hat Ausnahmen in §§ 32, 33 BDSG_neu vorgesehen. Diese helfen Ihnen aber im vorliegenden Fall nicht weiter und es ist umstritten, ob diese Ausnahmen, soweit sie über die der DSGVO hinausgehen, Bestand haben werden.
Nachweis der Erfüllung der Informationspflicht
Hintergrund ist, dass sie im Hinblick auf das Transparenzgebot stets den Nachweis der ordnungsgemäßen Erledigung ihrer Informationspflichten zu erbringen haben. Dieses ergibt sich aus Art. 5 Abs. 1 lit. a und Abs. 2 DSGVO.
Sie sollten diese Informationspflicht sehr ernst nehmen.
Bei Verstoß gegen diese Pflichten kann nach Art. 83 Abs. 5 lit. b DSGVO eine Geldbuße erhoben werden.
Sicherlich wird nicht die Möglichkeit der Geldbuße (bis 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes) bei einem einmaligen Verstoß voll ausgeschöpft werden, jedoch kann die Geldbuße empfindlich sein und letztendlich auch schädlich für das Ansehen der Kanzlei.
Der Beitrag DSGVO in der Anwaltskanzlei (die Informationspflichten Teil 1) erschien zuerst auf Organisationsberatung Treysse.