Читать книгу Datenschutz für Unternehmen - Ricarda Kreindl - Страница 28

Eine Datenverarbeitung muss gegenüber der betroffenen Person hinreichend transparent erfolgen. Dem Betroffenen soll es daher möglich sein, zu erkennen, dass und in welchem Umfang die sie betreffenden personenbezogenen Daten verarbeitet werden bzw. werden sollen. Diesbezügliche Informationen und Mitteilungen müssen verständlich und in klarer und einfacher Sprache abgefasst werden[42] und für die betroffene Person außerdem leicht zugänglich sein. Insbesondere betrifft dies die Information über die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Rechte der betroffenen Person und etwaige Risiken im Zusammenhang mit der Datenverarbeitung (ErwGr 39 DSGVO). Diese Transparenzanforderungen werden durch die Bestimmungen der Art 12 bis Art 15 DSGVO ergänzt.

Die Pflicht, umfassend zu informieren, muss jedoch von Unternehmen nicht zum Anlass genommen werden, über alle nur denkbaren Verarbeitungsschritte und Verwendungssituationen zu informieren. Von überschießenden Informationen ist Abstand zu nehmen, wenn es die Verständlichkeit und Einfachheit der erteilten Informationen negativ beeinflusst. Vielmehr ist es erforderlich, situationsgerecht zu informieren, d. h. es sollen nur jene Informationen bereitgestellt werden, die für die jeweilige Handlungs- und Entscheidungssituation relevant sind.[43]

Der Grundsatz der Transparenz betrifft auch Systeme der Informationstechnik. Ein solches System muss so ausgestaltet sein, dass für die betroffene Person erkennbar ist, was das System tut bzw. tun kann und wie sich das System mit der Zeit verändern kann.[44]