Informationspflichten DS-GVO

 

 

Die Datenschutzgrundverordnung hat die Rechte der betroffenen Personen umfangreich gestärkt. U. a. müssen Unternehmer die Betroffenen bei der Erhebung und Verarbeitung personenbezogener Daten informieren. Diese Informationspflichten ergeben sich unmittelbar aus der DS-GVO, genauer gesagt aus Art. 13 und 14.

 

Das Wichtigste auf einen Blick  

• Die Aufklärung des Betroffenen über Aspekte der Datenerhebung und -verarbeitung ist nach Art. 13 und 14 DS-GVO eine Informationspflicht. 
• Informationspflichten bilden die Grundlage der Betroffenenrechte. 
• Der Verantwortliche ist grundsätzlich verpflichtet, dem Betroffenen alle wesentlichen Informationen spätestens zum Zeitpunkt der Datenerhebung bereitzustellen. 
• Die Informationen sind dem Betroffenen präzise, transparent, verständlich und leicht zugänglich in klarer, einfacher Sprache zur Verfügung zu stellen. 

1. Wann bestehen Informationspflichten? 

Es gibt zwei Möglichkeiten der Erhebung:  

Daten können bei den betroffenen Personen entweder direkt (Art. 13 DS-GVO) oder durch öffentliche Quellen erhoben werden (Art. 14 DS-GVO).  

Es ist immer notwendig, dass der Verantwortliche den Betroffenen über den Umstand der Datenerhebung und -verarbeitung informiert. Beispielsweise muss ein Unternehmen ein Informationsschreiben herausgeben, sobald personenbezogene Daten von Mitarbeitern oder Kunden verarbeitet werden.  

 

 

2. Was muss enthalten sein?  

Die inhaltlichen Anforderungen an die Informationspflicht sind aus Art. 13 und 14 DS-GVO zu entnehmen. Erforderlich sind:  

• Name und Kontaktdaten des Verantwortlichen (ggf. seines Vertreters) und des Datenschutzbeauftragten zur Geltendmachung der Betroffenheitsrechte. 

• Lückenlose, genaue Mitteilung des Datenverarbeitungszwecks. 
• Nennung der Rechtsgrundlage, Angabe der Datenkategorie. 
• Information, ob eine Übermittlung der Daten an Dritte stattfindet, wenn ja: Angabe des Empfängers und Übermittlungsgrund. 
• Information, ob eine Übermittlung an ein Drittland oder eine internationale Organisation erfolgt, wenn ja: Angabe des Empfängerlandes und Übermittlungsgrund. 
• Wenn das berechtigte Interesse nach Art 6 Abs. 1 lit. f DS-GVO die Rechtsgrundlage darstellt, ist dieses Interesse darzulegen. 

Um den DS-GVO-Grundsätzen der Transparenz und Fairness nachzukommen, sollte ein Informationsschreiben nach Art. 13 Abs. 2, 14 Abs. 2 DS-GVO weitere Angaben enthalten:  

• Auskunft über den Zeitraum der Speicherung/Aufbewahrung der Daten bzw. An–gaben zu den Kriterien für die Festlegung dieses Zeitraums, damit der Betroffene einen Überblick erhält. 
• Aufklärung des Betroffenen über seine Rechte aus den Art. 15 ff. DS-GVO in Bezug auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung, Daten–übertragung, Widerspruch und Beschwerde bei der zuständigen Aufsichtsbehörde. 

• Bei der Direkterhebung von Daten, muss der Verantwortliche nach Art. 13 DS-GVO angeben, ob eine gesetzliche oder vertragliche Verpflichtung hierfür besteht oder ob diese für den Vertragsschluss erforderlich ist. Hierbei muss immer über die möglichen Folgen der Nichtbereitstellung aufgeklärt werden. 
• Angabe der Herkunft der personenbezogenen Daten (z. B. öffentlich zugängliche Quellen). 
• Informationen über die Vornahme von Profiling (= automatisierte Entscheidungsfin–dung auf Basis personenbezogener Daten ohne menschliches Eingreifen). 

Wird eine Änderung des Verwendungszwecks vorgenommen, so ist der Betroffene darüber umgehend zu informieren und sein Einverständnis einzuholen. 

 

3. Zeitpunkt und Art der Information  

Die Informationen sind nach Art. 13 und 14 DS-GVO spätestens zum Zeitpunkt der Datenerhebung bereitzustellen.  

Erfolgt eine Dritterhebung, so muss die Information gemäß Art. 14 Abs. 3 DS-GVO in einer angemessenen Frist unter Berücksichtigung des Einzelfalls, jedoch spätestens nach vier Wochen mitgeteilt werden. Etwas anderes gilt, sobald die Daten zur Kommunikation mit dem Betroffenen verwendet werden oder an einem anderen Empfänger offengelegt werden sollen: Hier ist die Information spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung erforderlich.  

Relevant werden die Punkte vor allem im Bereich der Online-Präsenz, da bei einem Websitebesuch oft Informationen gesammelt werden, die an Dritte weitergegeben und/oder für Werbezwecke genutzt werden (z. B. Google Analytics). Um die Informationspflichten auch online einzuhalten und rechtskonforme Aufklärung des Nutzers zu gewährleisten, sind Cookie-Banner einzubauen. 

Es ist keine Form vorgeschrieben, wie die Informationspflicht umgesetzt werden soll. Sie kann daher sowohl schriftlich als auch elektronisch erfolgen. Wichtig ist, dass die Informa–tionsweitergabe dokumentiert und damit nachgewiesen werden kann.  

Es sind die allgemeinen Vorgaben des Art. 12 Abs. 1 DS-GVO zu beachten: alle Informa–tionen müssen präzise, transparent, verständlich und leicht zugänglich, in klarer, einfacher Sprache vermittelt werden.  

Möglich ist dies u. a. als sichtbarer Aushang, als Vertragsanlage zur Unterschrift oder online über einen Link oder QR-Code. 

4. Folge einer Pflichtverletzung  

Kommt der Verantwortliche seiner Verpflichtung nicht nach, so kann ihm aufgrund der Verletzung der Betroffenheitsrechte eine Geldstraße von bis zu 20 Millionen Euro oder 4% des gesamten, weltweit erzielten Jahresumsatzes bevorstehen. Daneben kann der Betroffene bei fehlender oder unvollständiger Information Schadensersatzansprüche nach Art. 82 DS-GVO geltend machen.  

5. Ausnahmen  

Nach Art. 13 Abs. 4 DS-GVO und Art. 14 Abs. 5 lit. a) DS-GVO besteht die Informations–pflicht nicht, wenn die betroffene Person bereits informiert wurde. 

Die Pflicht entfällt auch, wenn die Erteilung der Information unmöglich oder unverhältnismäßig oder die Erhebung und Offenlegung gesetzlich geregelt ist.  

 

6. Fazit  

Die Informationspflichten sind unbedingt einzuhalten und Vornahmen zu dokumentieren, um Schadensersatzansprüche und Bußgelder zu vermeiden. Es wird geraten, einen Experten als Unterstützung heranzuziehen.