Frage 1 des GDD Erfa-Kreises Würzburg:
Zu Art. 15 Abs. 3 S. 3:
Dieser lautet: Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen (…) Wie kann man das am besten machen, gibt es Empfehlungen / best practices? Bei E-Mails gibt zwei grundsätzliche Probleme: Sichere Datenübermittlung (Verschlüsselung) und Feststellung der Identität des Anfragenden / Betroffenen. Falls ein Unternehmen über ein Kundenportal verfügt, dann kann man darauf aufbauen (Login, Auswahl der Dokumente, etc.), aber ohne …?
Antwort des BayLDA:
Im DSK-Kurzpapier Nr. 6 zum Auskunftsrecht heißt es: „Stellt die betroffene Person ihren Auskunftsantrag elektronisch, ist die Auskunft nach Art. 15 Abs. 3 Satz 2 DS-GVO in einem gängigen elektronischen Format zur Verfügung zu stellen (z. B. im PDF-Format).“ Zur sicheren Identifikation und Auskunftszuleitung an die betroffene Person gibt es keine Pauschal-Regeln; hier kommt es auf die Art der Daten (z. B. Gesundheitsdaten bei einem Neurologen einerseits und Adressverlag andererseits) sowie auf die konkrete sonstige Beziehung mit der betroffenen Person an (längere Geschäftsbeziehung oder Neukunde etc.).
Frage 2 des GDD Erfa-Kreises Würzburg:
Hat der Betriebsrat ein Recht in das gesamte Verzeichnis der Verarbeitungstätigkeit des Arbeitgebers einzusehen? Muss der DSB bzw. die verantwortliche Stelle dieses komplett herzeigen oder hat nicht der BRat vielmehr selbst die Aufgabe ein entsprechendes Verzeichnis zu führen, da er ja selbst sog. verantwortliche Stelle ist und der DSB ihn auch nicht kontrollieren darf.
Antwort des BayLDA:
Ob ein Betriebsrat das Recht hat, in das gesamte VVT des Unternehmens einzusehen, beurteilt sich allein nach dem BetrVerfG, wozu wir uns nicht äußern können. Die datenschutzrechtliche Stellung des Betriebsrats in der DS-GVO wird im Moment noch diskutiert. Die vom BAG anhand des BDSG bisher gesehene Sonderstellung wird im Schrifttum unter Geltung der europäischen DS-GVO nunmehr vielfach bezweifelt. Unsere Empfehlung bis auf weiteres: Der Betriebsrat legt nach den Empfehlungen des DSB für seine internen Verarbeitungen personenbezogener Beschäftigtendaten ein VVT an.
Frage 3 des GDD Erfa-Kreises Würzburg:
Nach derzeitiger Rechtslage kann E-Mail-Werbung ohne Einwilligung unter bestimmten Voraussetzungen erfolgen, wenn dabei auch die Wertungen des § 7 Abs. 3 UWG (bzw. künftig Art 16 E-Privacy-VO) beachtet werden (Einzelheiten Anwendungshinweise Düsseldorfer Kreis). Der entsprechende Werbehinweis wurde ja oft in den Vertragsunterlagen durch Umrahmung untergebracht. Im Hinblick auf die EU-DS-GVO und die Informationspflichten gem. Art. 13 EU-DS-GVO interessiert uns, ob für eine transparente Datenverarbeitung nach Ihrer Ansicht auch zwingend über die in Art. 13 Abs. 2 EU-DS-GVO genannten Punkte informiert werden muss oder die Informationen gem. Abs. 1 ausreichen?
Antwort des BayLDA:
Zu den Informationspflichten kann auf das DSK-Kurzpapier Nr. 10, https://www.lda.bayern.de/media/dsk_kpnr_10_informationspflichten.pdf , sowie auf das WP 260 verwiesen werden. Insbesondere das WP 260 stellt unter Nr. 2 klar, dass die jeweiligen Absätze 1 und 2 der Art. 13 und 14 DS-GVO von gleicher Bedeutung sind und die jeweiligen Informationen zur Verfügung gestellt werden müssen. Das WP 260 erkennt allerdings unter Nr. 2.5 auch an, dass insbesondere bei digitalem Kontext mehrstufige Datenschutzinformationen möglich sind, z. B. Kern-Informationen (Verantwortlicher und Zweck der Verarbeitung einschließlich eventueller Empfänger der Daten) als unmittelbare Text-Information, weitere Detail-Informationen sind über einen Link direkt erreichbar.
Frage 4 des GDD Erfa-Kreises Würzburg:
Gem. Art 13 Abs. 1 lit e EU-DS-GVO muss über die Empfänger personenbezogener Daten bzw. über die Kategorien informiert werden. Da Empfänger ja nicht nur Dritte sind, sondern quasi auch ein Auftragsverarbeiter als „verlängerter Arm“ des Verantwortlichen sein kann, interessiert uns, ob wirklich Auftragsverarbeiter auch dazu zählen und wenn ja, ob es dann ausreicht im Hinblick auf die „Kategorien“ von Empfängern diese lediglich pauschal in ihrer Funktion zu benennen? Bei über 100 Dienstleister könnte dies sonst sehr unübersichtlich werden.
Antwort des BayLDA:
Wegen der Informationspflichten allgemein siehe zu Frage 3 (oben). Bei eingesetzten Auftragsverarbeitern reicht regelmäßig die Angabe von Kategorien.
