.st0{fill:#FFFFFF;}

Informationspflichten DSGVO

Wichtige Datenschutz-Themen von Profis aufbereitet

Informationspflichten DSGVO

Im Rahmen der Datenschutzgrundverordnung wurden die Betroffenenrechte im Datenschutz umfassend gestärkt.  Wollen Unternehmen personenbezogene Daten erheben und verarbeiten, müssen sie die Betroffenen über die Rahmenbedingungen umfassend informieren.

Diese sogenannte Informationspflicht ergibt sich direkt aus der DSGVO. Die maßgeblichen Vorschriften sind Art. 13 und 14 DSGVO. Sie geben dem Verantwortlichen genaue Anweisungen darüber, welchen Pflichten dieser nachzugehen hat.  

 

Das Wichtigste auf einen Blick

  • Die Aufklärung des Betroffenen über den Umstand der Datenerhebung und -verarbeitung stellt die Informationspflicht dar, die sich aus Art. 13 und 14 DSGVO ergibt 
  • Die Informationspflichten sind die Basis der Betroffenenrechte 
  • Der Verantwortliche ist grundsätzlich verpflichtet dem Betroffenen alle erforderlichen Informationen spätestens zum Zeitpunkt der Datenerhebung bereitzustellen 
  • Alle Informationen sind dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen 
  • Datenerhebungen und -verarbeitungen, die auf Grundlage mangelnder oder unzureichender Information des Betroffenen erfolgen sind datenschutzwidrig, dürfen insofern nicht stattfinden und können mit Schadenersatzansprüchen sowie Bußgeldern einhergehen 

1. Was sind Informationspflichten ? 

Das Recht auf Informationen stellt eines der wichtigsten Betroffenenrechte im Datenschutzrecht dar. Dabei wird von der Datenschutzgrundverordnung zwischen der Erhebung von personenbezogenen Daten bei der betroffenen Person selbst (Art. 13 DSGVO) und einer Erhebung, die nicht direkt bei der betroffenen Person erfolgt, sondern bei Dritten oder aus öffentlichen Quellen (Art. 14 DSGVO) unterschieden

In beiden Fällen ist es für den Verantwortlichen verpflichtend, den Betroffenen über den Umstand der Datenerhebung und -verarbeitung zu informieren. Diese Aufklärung stellt die Informationspflicht dar. So ist beispielsweise von Unternehmen ein Informationsschreiben aufzusetzen, sobald sie personenbezogene Daten von Bewerbern oder Mitarbeitern verarbeiten. Aber auch im Rahmen von Geschäftsprozessen mit Kunden oder Interessenten sind erforderliche Informationen bereitzustellen, sofern es sich um personenbezogene Daten handelt.


2. Inhaltliche Anforderungen an die Informationspflicht 

In den Informationspflichten der DSGVO spiegelt sich das Recht der Betroffenen, über alle datenschutzrechtlich relevanten Vorgänge informiert zu werden. Sie bilden demnach die Basis der Betroffenenrechte. Aus der DSGVO ergeben sich mehrere Informationspflichten des Verantwortlichen. 

Der Verantwortliche hat sodann im Sinne der Art. 13 Abs. 1 und 14 Abs. 1 DSGVO bei der Verarbeitung personenbezogener Daten folgende Informationen bereitzustellen:  

  • Name und die Kontaktdaten des Verantwortlichen und ggf. seines Vertreters sowie ggf. die Kontaktdaten des Datenschutzbeauftragten, um die Kontaktaufnahme zur Geltendmachung der Betroffenenrechte zu ermöglichen 

  • Vollständige und detaillierte Angaben zum Zweck und die Rechtsgrundlage der Verarbeitung personenbezogener Daten 

  • Benennung der Datenkategorie die verarbeitet werden soll 

  • Ob eine Übermittlung der Daten an Dritte stattfindet, Angabe des Empfänger oder der Empfängerkategorie sowie Grund für die Übermittlung 

  • Ob eine Übermittlung an ein Drittland oder eine internationale Organisation erfolgt, Angabe des Empfängerlands sowie der Zweck der Übermittlung 

  • Sofern als Rechtsgrundlage das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f) dient, Bezeichnung diese Interesses 

In der DSGVO kommt insbesondere den Grundsätzen der Transparenz und Fairness große Bedeutung zu, die eine Bereitstellung von Informationen insbesondere für eine faire und transparente Verarbeitung personenbezogener Daten vorsehen. Um den Anforderungen an Transparenz und Fairness genüge zutun, sollte ein Informationsschreiben weitere Angaben gemäß  Art. 13 Abs. 2 und Art. 14 Abs. 2 DSGVO enthalten.

Denn der Betroffene muss umfassend über die ihm durch die DSGVO eingeräumten Rechte belehrt werden und in die Lage versetzt werden, diese Rechte ausüben zu können.  

  • Angaben im Hinblick auf den Zeitraum der  Speicherung oder Aufbewahrung der Daten oder zumindest Angaben zu den Kriterien für die Festlegung dieses ZeitraumsDer Betroffene muss zumindest ungefähr ausrechnen können, wann seine Daten gelöscht werden 

  • Eine Aufklärung der Betroffenen über ihre Rechte aus den Art. 15 ff. DSGVO auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Beschwerde bei der zuständigen Aufsichtsbehörde 

  • Bei Direkterhebung von Daten beim Betroffenen nach Art. 13 DSGVO, muss der Verantwortliche ferner angeben, ob der Betroffene gesetzlich oder vertraglich verpflichtet ist seine personenbezogenen Daten bereitzustellen oder diese für einen angestrebten Vertragsabschluss erforderlich sind. Zudem muss stets über die möglichen Folgen einer Nichtbereitstellung für die betroffene Person aufgeklärt werden 

  • Herkunft der personenbezogenen Daten und ggf., ob sie aus öffentlich zugänglichen Quellen stammen 

  • Ob der Verantwortliche sog. Profiling betreibt (= automatisierte Entscheidungsfindung allein auf Basis personenbezogener Daten ohne menschliches Eingreifen)  

Kommt es zu einer Änderung des Verarbeitungszwecks, ist der Betroffene darüber vorher zu informieren. Neben der Aufklärung über die Änderung des Zwecks, sind alle Informationspflichten gem. Art. 13 Abs. 2 (Direkterhebung) bzw. Art. 14 Abs. 4 (Dritterhebung) DSGVO erneut zu erfüllen, um ein Haftungsrisiko zu vermeiden.  


3. Wann muss eine Information des Betroffenen erfolgen und in welcher Form ? 

Sowohl bei der Direkterhebung, als auch bei der Erhebung mittels eines Dritten, ist der Verarbeiter verpflichtet den Betroffenen sämtliche in Art. 13 und 14 DSGVO aufgelisteten Informationen spätestens zum Zeitpunkt der Datenerhebung bereitzustellen.  

Bei einer Dritterhebung muss die Information grundsätzlich innerhalb einer angemessenen Frist unter Berücksichtigung des Einzelfallsspätestens jedoch vier Wochen nach der Datenerhebung erfolgen, Art. 14 Abs. 3 DSGVO. 

Sobald die personenbezogenen Daten jedoch zur Kommunikation mit dem Betroffenen verwendet werden oder einem anderen Empfänger offengelegt werden sollen, ist der Betroffene spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung darüber zu informieren, Art. 14 Abs. 3 DSGVO. 

Besonders relevant wird diese Thematik im Hinblick auf die heutzutage nahezu unumgängliche Online-Präsenz. Denn jedem Klick folgt eine Preisgabe von Informationen über den Nutzer, die unter anderem an Dritte weitergegeben werden oder auch zu Werbezwecken genutzt werden.

Um online die Informationspflichten einzuhalten, sind individuelle Datenschutzerklärungen, sowie Cookie-Banner zu implementieren. Nur so kann eine rechtskonforme Aufklärung des Nutzers über die Erhebung seiner personenbezogener Daten erfolgen.  

Kommt der Verantwortliche seiner Verpflichtung nicht nach und verletzt dadurch die Rechte der Betroffenen, kann ihm eine Geldstrafe von bis zu 20 Millionen Euro oder  4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahrs drohen.

Zudem kann eine fehlerhafte oder fehlende Information des Betroffenen Schadenersatzansprüche begründen, Art. 82 DSGVO.  


4. Art und Weise der Information 

Eine nach der Datenschutzgrundverordnung vorgeschrieben Form, wie die Informationspflichten zu erfolgen haben gibt es nicht. Demnach kann der Informationspflicht sowohl schriftlich, als auch elektronisch genüge getan werden. Es sind dahingehend die allgemeinen Vorgaben des Art. 12 Abs. 1 DSGVO einzuhalten.

Der Verantwortliche muss der betroffenen Person demnach alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache übermitteln. Leicht zugängliche Form bedeutet auch, dass die Informationen in der konkreten Situation verfügbar sein müssen.  

Die Informationen können in Form eines sichtbaren Aushangs, als Vertragsanlage zur Unterschrift oder als Auslage im Geschäft zur Verfügung gestellt werden. 

Dadurch wird eine umfassende Unterrichtung der betroffenen Personen im Rahmen der Erhebung ihrer personenbezogenen Daten ermöglicht, die eine Grundlage für eine rechtmäßige Datenerhebung und -verarbeitung bildet, unabhängig davon, ob die Daten bei dem Betroffenen selbst oder bei Dritten erhoben werden.  

Bei BriefFax oder im allgemeinen Online-Verkehr darf auf weitergehende Informationen, die Online zur Verfügung gestellt werden, durch einen entsprechenden Link oder einen QR-Code um auf die Website zu gelangen, die eine mit den erforderlichen Informationen versehene Datenschutzerklärung enthält, verwiesen werden.  

Zudem ist der Verantwortliche nach Art. 5  Abs. 2 DSGVO verpflichtet, einen Nachweis darüber zu führen, dass er seinen Informationspflichten ordnungsgemäß nachgekommen ist. Aus diesem Grund wird stets empfohlen, die Erfüllung der Informationspflicht schriftlich zu dokumentieren.  

Kommt der Verantwortliche dieser datenschutzrechtlichen Informationspflicht gegenüber der betroffenen Person zum erforderlichen Zeitpunkt nicht nach, stellt dies eine Pflichtverletzung dar, die eine Geldbuße sowie den Verlust aller verarbeitenden Daten zur Folge haben kann. 

Denn es ist nicht unwahrscheinlich, dass  die Missachtung dieser Pflicht sich auch auf die Rechtmäßigkeit der Datenverarbeitung auswirkt. Im günstigsten Fall, wenn der Betroffene beispielsweise zur Duldung oder zur Mitwirkung an der Erhebung der Daten verpflichtet war, kann eine unterlassene Information nachgeholt werden, sodass die bereits erfolgte Erhebung der personenbezogenen Daten rechtmäßig bleibt. 

Hing die Datenerhebung jedoch vom Willen des Betroffenen ab und konnte aufgrund mangelnder rechtzeitiger Information in die Datenerhebung und -verarbeitung nicht eingewilligt werden, ist zum einen die Datenerhebung rechtswidrig erfolgt, zum anderen eine weitere Verarbeitung der Daten ebenfalls rechtswidrig. 

Ist dies der Fall, müssen die unrechtmäßig erhobenen und verarbeiteten Daten gelöscht werden.  


5. Ausnahmen zu den Informationspflichten 

Die DSGVO sieht in Art. 13 Abs. 4 und Art. 14 Abs. 5  DSGVO Ausnahmen von den Informationspflichten vor. Danach entfällt diese unter anderem, wenn und soweit der Betroffene bereits über die Informationen verfügt. 

Zudem besteht die Informationspflicht im Rahmen von Art. 14 Abs. 5 DSGVO nicht, wenn die Erteilung dieser Informationen unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde.

Ein unverhältnismäßiger Informationsaufwand kann sich beispielsweise daraus ergeben, dass von einer Datenerhebung eine große Anzahl an Menschen betroffen ist, deren Interessen und Rechte durch die Datenerhebung jedoch nur in geringfügigem Ausmaß beeinträchtigt werden.  

Die Informationspflicht entfällt insbesondere auch dort, wo die Erhebung oder Offenlegung erhobener Daten durch ein Gesetz ausdrücklich reglementiert wird oder unter das Berufsgeheimnis fällt.  


6. Fazit

Die Einhaltung der Informationspflichten, sowie deren Dokumentation sind von elementarer Bedeutung und daher zwingend zu erfüllen.

Betrachtet man die Menge an Informationen die heutzutage in allen Lebensbereichen zur Verfügung gestellt werden wird deutlich, dass die Umsetzung der Pflicht vor allem für Unternehmen sowohl in der rechtlichen Ausgestaltung als auch in der praktischen Umsetzung eine große Herausforderung darstellt.

Werden nicht alle notwendigen Informationen zur Verfügung gestellt oder geschieht es fehlerhaft, stellt dies einen Datenschutzverstoß dar, der mit Bußgeld geahndet werden und Schadenersatzansprüche Betroffener nach sich ziehen kann.

Aus diesem Grund ist es unentbehrlich, die Informationspflichten ernst zu nehmen und die Betroffenen in rechtlich umfassender Weise zu informieren. Insoweit ist es stets ratsam bei diesem Thema einen Experten zur Unterstützung heranzuziehen.  

Ähnliche spannende Beiträge

Artikel 82 DSGVO

„US-EU Adequancy Agreement“: Nachfolgeabkommen zum EU-US Privacy Shield?

Wir stellen die Entscheidung des Oberlandesgerichts Dresden vor: Persönliche Haftung des Geschäftsführers bei Verstößen gegen die DSGVO.

Weiterlesen
Artikel 82 DSGVO

EDSA: Neue Leitlinien zur Bußgeldberechnung

Erfahren Sie mehr über die neuen Richtlinien, bei denen Unternehmen bald mit höheren Strafen für Verstöße gegen die Allgemeine Datenschutzverordnung (DSGVO) rechnen müssen.

Weiterlesen
Art 15 DSGVO Auskunftsanspruch

Artikel 15 DSGVO

In Artikel 15 DSGVO sind die Betroffenenrechte normiert. In diesem Artikel erfahren Sie, welche das sind und was es in der Praxis zu beachten gibt.

Weiterlesen
Artikel 82 DSGVO

EuGH zur Klärung der Verarbeitung sensibler Daten

Informieren Sie sich über den Fragenkatalog zur Datenverarbeitung in Arbeitsverhältnissen, der dem Europäischen Gerichtshof (EuGH) vorgelegt wurde.

Weiterlesen
Matomo_DSGVO

Datenkategorien DSGVO

Welche Datenkategorien gibt es in der DSGVO? Welche Daten sind besonders geschützt? Von Datenschutzexperten für die Praxis. Jetzt informieren.

Weiterlesen
Informationspflichten DSGVO

Informationspflichten DSGVO

Die Informationspflichten der DSGVO sind vielseitig. Hier erfahren Sie, was Sie in der Praxis beachten müssen. Jetzt informieren.

Weiterlesen

Datenschutzschulungen für Ihre Mitarbeiter?


Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.