Faktencheck Datenschutz: Informationspflichten einfach erklärt

Headerbild, Illustrationen z.B. von verschiedenen Endgeräten abgebildet auf einem blauen Hintergrund

Die Datenschutz-Grundverordnung (DSGVO) regelt, wie mit Daten von natürlichen Personen umzugehen ist. Besonders zwei Aspekte der DSGVO sind dabei von zentraler Bedeutung – und werfen doch immer wieder Fragen auf: die Informationspflichten einerseits, die in Artikel 13 und 14 geregelt sind, sowie die Auskunftsrechte andererseits, die Artikel 15 festhält. Welche Rechte geben sie Verbraucher*innen im Hinblick auf ihre Daten und wie können sie von diesen Rechten Gebrauch machen? In dieser Folge der Serie „Faktencheck Datenschutz“ gehen wir diesen Fragen nach.

Der Datenschutz hat für Microsoft seit jeher einen besonders hohen Stellenwert. Mit dem Inkrafttreten der europäischen DSGVO haben wir die Regeln zur Verarbeitung personenbezogener Daten daher nicht nur in Europa zur Anwendung gebracht, sondern den Kern der DSGVO-Betroffenenrechte auch auf Kunden weltweit ausgedehnt. Doch welche Rechte und Pflichten gehen mit der DSGVO einher?

Was hat es mit den Artikeln 13 und 14 auf sich?

Der wichtigste Unterschied zwischen den beiden Artikeln: Während Artikel 13 die Informationspflicht im Fall der Datenerhebung direkt bei der betroffenen Person anspricht, bezieht sich Artikel 14 auf sonstige Datenerhebungen – das können beispielsweise die Daten aus einer Bonitätsprüfung sein oder von Versicherungen und Personaldienstleistern. Auch die Videoüberwachung im öffentlichen Straßenverkehr fällt darunter. Die DSGVO unterscheidet zwischen Auftragsverarbeitern und Verantwortlichen. Letztere sind natürliche oder juristische Personen, Behörden, eine Einrichtung oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Verantwortliche können somit unsere Kunden sein, die unsere Produkte nutzen. Artikel 13 besagt, dass die Verantwortlichen der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten zumindest die folgenden Informationen mitteilen müssen:

    • Den Namen und die Kontaktdaten der verantwortlichen Person sowie gegebenenfalls ihres Vertreters
    • Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
    • Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
    • Erfolgt die Verarbeitung zur Wahrung berechtigter Interessen der Verantwortlichen oder von Dritten, so müssen diese berechtigten Interessen angegeben werden
    • Gegebenenfalls die Empfänger*innen oder Kategorien von Empfänger*innen der personenbezogenen Daten
    • Gegebenenfalls die Absicht der Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln

Daneben gibt es noch weitere Informationen, die der Verantwortliche der betroffenen Person zur Verfügung stellt. Dazu gehören beispielsweise die Dauer, für die die personenbezogenen Daten gespeichert werden, sowie das Bestehen eines Beschwerderechts bei den Aufsichtsbehörden. Außerdem regelt Artikel 13 die Informationspflichten der Verantwortlichen für jene Fälle, in denen personenbezogene Daten für einen anderen Zweck weiterverarbeitet werden als den, für den sie erhoben worden sind.

Mit personenbezogenen Daten sind dabei all jene Daten gemeint, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Während anonymisierte Daten nicht als personenbezogene Daten gelten, fallen pseudonymisierte Daten unter den Anwendungsbereich der DSGVO.

So setzt Microsoft die Informationspflichten um

Um die Informationspflichten richtig umzusetzen, ist es wichtig zu verstehen, dass Microsoft sowohl als Verantwortlicher personenbezogene Daten erfasst und verwendet als auch im Auftrag:

  • In den Microsoft-Datenschutzbestimmungen wird erläutert, inwiefern personenbezogene Daten von Microsoft als Verantwortlicher erfasst und verwendet werden. Als Verantwortlicher tritt Microsoft bei Produkten auf, die sich beispielsweise an Verbraucher*innen richten wie bei unseren kostenlosen Angeboten Outlook-Email und Kalender. Solche Daten werden unter anderem für die Bereitstellung des Service verwendet. Das beinhaltet auch die Aktualisierung, Sicherung und den Support.
  • Richtet sich das Produktangebot an Unternehmen, so verarbeitet Microsoft personenbezogene Daten für den Großteil der Datenverarbeitung hingegen im Auftrag. In diesen Fällen ist Microsoft nicht Verantwortlicher im Sinne der DSGVO. Die Microsoft-Datenschutzbestimmungen enthalten zudem produktspezifische Bestimmungen, die sich an Unternehmenskunden und Entwickler*innen richten. Möchten Unternehmenskunden als Verantwortliche ihre Datenschutzbestimmungen veröffentlichen, so bieten wir ihnen Tools zur Umsetzung in unseren Produkten an.

Zum Weiterlesen

Weitere Beiträge der Serie

Alle Beiträge unserer Reihe „Faktencheck Datenschutz“ gibt es hier.

Ein Beitrag von Fatih Ataoglu
Head of Data Privacy and Data Security bei Microsoft Deutschland

Porträt Fatih Ataoglu

Tags: ,

Weitere Infos zu diesem Thema

11. Juni 2021
Faktencheck Datenschutz: Wir klären auf

Das komplexe Thema Datenschutz wirft auch heute noch bei vielen Menschen Fragen auf. Mit unserer neuen Reihe „Faktencheck Datenschutz“ widmen wir uns den zentralen Fragestellungen. In dieser ersten Folge geht es darum, wie Microsoft Datenschutz versteht.

11. Februar 2021
Im Daten-Dschungel: Wie Microsoft mit dem CLOUD Act umgeht

In dieser Ausgabe unserer Reihe „Im Daten-Dschungel“ geht es darum, wie wir mit Anfragen von US-Strafverfolgungsbehörden umgehen, die Zugriff auf Daten fordern, die auf Cloud-Servern von Microsoft, aber außerhalb der USA liegen.