Im normalen Geschäftsalltag eines typischen Unternehmens tritt diese Situation eher selten auf. Im Prinzip geht es darum, dass ein Verantwortlicher personenbezogene Daten über eine Person erhält, ohne diese Daten selbst erhoben (erfragt) zu haben. Wo kommt es vor?
Ein typisches Beispiel dafür ist der Fall eines Haftpflichtschadens: Die geschädigte Person meldet den Schaden der Versicherung und nennt natürlich auch den Namen des Verursachers. In diesem Fall erhält die Versicherung diese Daten des Verursachers durch einen Dritten. Die Versicherung muss dann gemäß Artikel 14 die betroffene Person (der Verursacher) über die Datenspeicherung und -Nutzung bei der Versicherung informieren. Ähnliche Fälle liegen möglicherweise insbesondere vor bei:
· Empfehlungswerbung (Kunden empfehlen Kunden)
· Whistleblower-Systemen (anonyme Meldung von Fehlverhalten einer beschäftigten Person)
· Knöllchen z.B. nach zu schnellem Fahren mit dem Firmen-KFZ
· Meldung über neue Kunden von externen Vertriebspartnern
· Sämtliche Formulare, in welchen die Namen von anderen Personen genannt werden (so auch in Personalfragebögen, wo ggf. die Ehepartner genannt werden, um die Steuerklasse zu bestimmen)
· Ermittlungen durch Privatdetektive
· Öffentlich zugänglichen Quellen (z.B. Internet, Telefonbuch, Socialmedia)
· Ein anderes Beispiel für diese Dritt-Erhebung liefert der Artikel 8 DSGVO. Dort kann ein Kind die E-Mail-Adresse eines Elternteils nennen, damit dieser eine Einwilligung zur Datenverarbeitung erteilt. Somit erhebt der Verantwortliche die E-Mail-Adresse nicht bei dem Elternteil selbst, sondern bei dessen Kind.
· Mitarbeiterbeurteilungen im „360 Grad“ Verfahren. Hier werden Kollegen, Chefs, Lieferanten und Kunden nach deren Beurteilung von Mitarbeitern eingesetzt.
Im Ergebnis bedeutet das: Wenn eine betroffene Person (noch) keine Kenntnis von der Datenverarbeitung bei einem Verantwortlichen hat, dann muss sie darüber zügig informiert werden. Nur auf diese Weise kann die betroffene Person Ihre Rechte und Freiheiten schützen.