.st0{fill:#FFFFFF;}

Informationspflichten DSGVO

Wichtige Datenschutz-Themen von Profis aufbereitet

Informationspflichten DSGVO

Im Rahmen der Datenschutzgrundverordnung wurden die Betroffenenrechte im Datenschutz umfassend gestärkt.  Wollen Unternehmen personenbezogene Daten erheben und verarbeiten, müssen sie die Betroffenen über die Rahmenbedingungen umfassend informieren.

Diese sogenannte Informationspflicht ergibt sich direkt aus der DSGVO. Die maßgeblichen Vorschriften sind Art. 13 und 14 DSGVO. Sie geben dem Verantwortlichen genaue Anweisungen darüber, welchen Pflichten dieser nachzugehen hat.  

 

Das Wichtigste auf einen Blick

  • Die Aufklärung des Betroffenen über den Umstand der Datenerhebung und -verarbeitung stellt die Informationspflicht dar, die sich aus Art. 13 und 14 DSGVO ergibt 
  • Die Informationspflichten sind die Basis der Betroffenenrechte 
  • Der Verantwortliche ist grundsätzlich verpflichtet dem Betroffenen alle erforderlichen Informationen spätestens zum Zeitpunkt der Datenerhebung bereitzustellen 
  • Alle Informationen sind dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen 
  • Datenerhebungen und -verarbeitungen, die auf Grundlage mangelnder oder unzureichender Information des Betroffenen erfolgen sind datenschutzwidrig, dürfen insofern nicht stattfinden und können mit Schadenersatzansprüchen sowie Bußgeldern einhergehen 
Inhalt
1. Was sind Informationspflichten ? 
2. Inhaltliche Anforderungen an die Informationspflicht 
3. Wann muss eine Information des Betroffenen erfolgen und in welcher Form ? 
4. Art und Weise der Information 
5. Ausnahmen zu den Informationspflichten 
6. Fazit

1. Was sind Informationspflichten ? 

Das Recht auf Informationen stellt eines der wichtigsten Betroffenenrechte im Datenschutzrecht dar. Dabei wird von der Datenschutzgrundverordnung zwischen der Erhebung von personenbezogenen Daten bei der betroffenen Person selbst (Art. 13 DSGVO) und einer Erhebung, die nicht direkt bei der betroffenen Person erfolgt, sondern bei Dritten oder aus öffentlichen Quellen (Art. 14 DSGVO) unterschieden

In beiden Fällen ist es für den Verantwortlichen verpflichtend, den Betroffenen über den Umstand der Datenerhebung und -verarbeitung zu informieren. Diese Aufklärung stellt die Informationspflicht dar. So ist beispielsweise von Unternehmen ein Informationsschreiben aufzusetzen, sobald sie personenbezogene Daten von Bewerbern oder Mitarbeitern verarbeiten. Aber auch im Rahmen von Geschäftsprozessen mit Kunden oder Interessenten sind erforderliche Informationen bereitzustellen, sofern es sich um personenbezogene Daten handelt.


2. Inhaltliche Anforderungen an die Informationspflicht 

In den Informationspflichten der DSGVO spiegelt sich das Recht der Betroffenen, über alle datenschutzrechtlich relevanten Vorgänge informiert zu werden. Sie bilden demnach die Basis der Betroffenenrechte. Aus der DSGVO ergeben sich mehrere Informationspflichten des Verantwortlichen. 

Der Verantwortliche hat sodann im Sinne der Art. 13 Abs. 1 und 14 Abs. 1 DSGVO bei der Verarbeitung personenbezogener Daten folgende Informationen bereitzustellen:  

  • Name und die Kontaktdaten des Verantwortlichen und ggf. seines Vertreters sowie ggf. die Kontaktdaten des Datenschutzbeauftragten, um die Kontaktaufnahme zur Geltendmachung der Betroffenenrechte zu ermöglichen 

  • Vollständige und detaillierte Angaben zum Zweck und die Rechtsgrundlage der Verarbeitung personenbezogener Daten 

  • Benennung der Datenkategorie die verarbeitet werden soll 

  • Ob eine Übermittlung der Daten an Dritte stattfindet, Angabe des Empfänger oder der Empfängerkategorie sowie Grund für die Übermittlung 

  • Ob eine Übermittlung an ein Drittland oder eine internationale Organisation erfolgt, Angabe des Empfängerlands sowie der Zweck der Übermittlung 

  • Sofern als Rechtsgrundlage das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f) dient, Bezeichnung diese Interesses 

In der DSGVO kommt insbesondere den Grundsätzen der Transparenz und Fairness große Bedeutung zu, die eine Bereitstellung von Informationen insbesondere für eine faire und transparente Verarbeitung personenbezogener Daten vorsehen. Um den Anforderungen an Transparenz und Fairness genüge zutun, sollte ein Informationsschreiben weitere Angaben gemäß  Art. 13 Abs. 2 und Art. 14 Abs. 2 DSGVO enthalten.

Denn der Betroffene muss umfassend über die ihm durch die DSGVO eingeräumten Rechte belehrt werden und in die Lage versetzt werden, diese Rechte ausüben zu können.  

  • Angaben im Hinblick auf den Zeitraum der  Speicherung oder Aufbewahrung der Daten oder zumindest Angaben zu den Kriterien für die Festlegung dieses ZeitraumsDer Betroffene muss zumindest ungefähr ausrechnen können, wann seine Daten gelöscht werden 

  • Eine Aufklärung der Betroffenen über ihre Rechte aus den Art. 15 ff. DSGVO auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Beschwerde bei der zuständigen Aufsichtsbehörde 

  • Bei Direkterhebung von Daten beim Betroffenen nach Art. 13 DSGVO, muss der Verantwortliche ferner angeben, ob der Betroffene gesetzlich oder vertraglich verpflichtet ist seine personenbezogenen Daten bereitzustellen oder diese für einen angestrebten Vertragsabschluss erforderlich sind. Zudem muss stets über die möglichen Folgen einer Nichtbereitstellung für die betroffene Person aufgeklärt werden 

  • Herkunft der personenbezogenen Daten und ggf., ob sie aus öffentlich zugänglichen Quellen stammen 

  • Ob der Verantwortliche sog. Profiling betreibt (= automatisierte Entscheidungsfindung allein auf Basis personenbezogener Daten ohne menschliches Eingreifen)  

Kommt es zu einer Änderung des Verarbeitungszwecks, ist der Betroffene darüber vorher zu informieren. Neben der Aufklärung über die Änderung des Zwecks, sind alle Informationspflichten gem. Art. 13 Abs. 2 (Direkterhebung) bzw. Art. 14 Abs. 4 (Dritterhebung) DSGVO erneut zu erfüllen, um ein Haftungsrisiko zu vermeiden.  


3. Wann muss eine Information des Betroffenen erfolgen und in welcher Form ? 

Sowohl bei der Direkterhebung, als auch bei der Erhebung mittels eines Dritten, ist der Verarbeiter verpflichtet den Betroffenen sämtliche in Art. 13 und 14 DSGVO aufgelisteten Informationen spätestens zum Zeitpunkt der Datenerhebung bereitzustellen.  

Bei einer Dritterhebung muss die Information grundsätzlich innerhalb einer angemessenen Frist unter Berücksichtigung des Einzelfallsspätestens jedoch vier Wochen nach der Datenerhebung erfolgen, Art. 14 Abs. 3 DSGVO. 

Sobald die personenbezogenen Daten jedoch zur Kommunikation mit dem Betroffenen verwendet werden oder einem anderen Empfänger offengelegt werden sollen, ist der Betroffene spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung darüber zu informieren, Art. 14 Abs. 3 DSGVO. 

Besonders relevant wird diese Thematik im Hinblick auf die heutzutage nahezu unumgängliche Online-Präsenz. Denn jedem Klick folgt eine Preisgabe von Informationen über den Nutzer, die unter anderem an Dritte weitergegeben werden oder auch zu Werbezwecken genutzt werden.

Um online die Informationspflichten einzuhalten, sind individuelle Datenschutzerklärungen, sowie Cookie-Banner zu implementieren. Nur so kann eine rechtskonforme Aufklärung des Nutzers über die Erhebung seiner personenbezogener Daten erfolgen.  

Kommt der Verantwortliche seiner Verpflichtung nicht nach und verletzt dadurch die Rechte der Betroffenen, kann ihm eine Geldstrafe von bis zu 20 Millionen Euro oder  4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahrs drohen.

Zudem kann eine fehlerhafte oder fehlende Information des Betroffenen Schadenersatzansprüche begründen, Art. 82 DSGVO.  


4. Art und Weise der Information 

Eine nach der Datenschutzgrundverordnung vorgeschrieben Form, wie die Informationspflichten zu erfolgen haben gibt es nicht. Demnach kann der Informationspflicht sowohl schriftlich, als auch elektronisch genüge getan werden. Es sind dahingehend die allgemeinen Vorgaben des Art. 12 Abs. 1 DSGVO einzuhalten.

Der Verantwortliche muss der betroffenen Person demnach alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache übermitteln. Leicht zugängliche Form bedeutet auch, dass die Informationen in der konkreten Situation verfügbar sein müssen.  

Die Informationen können in Form eines sichtbaren Aushangs, als Vertragsanlage zur Unterschrift oder als Auslage im Geschäft zur Verfügung gestellt werden. 

Dadurch wird eine umfassende Unterrichtung der betroffenen Personen im Rahmen der Erhebung ihrer personenbezogenen Daten ermöglicht, die eine Grundlage für eine rechtmäßige Datenerhebung und -verarbeitung bildet, unabhängig davon, ob die Daten bei dem Betroffenen selbst oder bei Dritten erhoben werden.  

Bei BriefFax oder im allgemeinen Online-Verkehr darf auf weitergehende Informationen, die Online zur Verfügung gestellt werden, durch einen entsprechenden Link oder einen QR-Code um auf die Website zu gelangen, die eine mit den erforderlichen Informationen versehene Datenschutzerklärung enthält, verwiesen werden.  

Zudem ist der Verantwortliche nach Art. 5  Abs. 2 DSGVO verpflichtet, einen Nachweis darüber zu führen, dass er seinen Informationspflichten ordnungsgemäß nachgekommen ist. Aus diesem Grund wird stets empfohlen, die Erfüllung der Informationspflicht schriftlich zu dokumentieren.  

Kommt der Verantwortliche dieser datenschutzrechtlichen Informationspflicht gegenüber der betroffenen Person zum erforderlichen Zeitpunkt nicht nach, stellt dies eine Pflichtverletzung dar, die eine Geldbuße sowie den Verlust aller verarbeitenden Daten zur Folge haben kann. 

Denn es ist nicht unwahrscheinlich, dass  die Missachtung dieser Pflicht sich auch auf die Rechtmäßigkeit der Datenverarbeitung auswirkt. Im günstigsten Fall, wenn der Betroffene beispielsweise zur Duldung oder zur Mitwirkung an der Erhebung der Daten verpflichtet war, kann eine unterlassene Information nachgeholt werden, sodass die bereits erfolgte Erhebung der personenbezogenen Daten rechtmäßig bleibt. 

Hing die Datenerhebung jedoch vom Willen des Betroffenen ab und konnte aufgrund mangelnder rechtzeitiger Information in die Datenerhebung und -verarbeitung nicht eingewilligt werden, ist zum einen die Datenerhebung rechtswidrig erfolgt, zum anderen eine weitere Verarbeitung der Daten ebenfalls rechtswidrig. 

Ist dies der Fall, müssen die unrechtmäßig erhobenen und verarbeiteten Daten gelöscht werden.  


5. Ausnahmen zu den Informationspflichten 

Die DSGVO sieht in Art. 13 Abs. 4 und Art. 14 Abs. 5  DSGVO Ausnahmen von den Informationspflichten vor. Danach entfällt diese unter anderem, wenn und soweit der Betroffene bereits über die Informationen verfügt. 

Zudem besteht die Informationspflicht im Rahmen von Art. 14 Abs. 5 DSGVO nicht, wenn die Erteilung dieser Informationen unmöglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde.

Ein unverhältnismäßiger Informationsaufwand kann sich beispielsweise daraus ergeben, dass von einer Datenerhebung eine große Anzahl an Menschen betroffen ist, deren Interessen und Rechte durch die Datenerhebung jedoch nur in geringfügigem Ausmaß beeinträchtigt werden.  

Die Informationspflicht entfällt insbesondere auch dort, wo die Erhebung oder Offenlegung erhobener Daten durch ein Gesetz ausdrücklich reglementiert wird oder unter das Berufsgeheimnis fällt.  


6. Fazit

Die Einhaltung der Informationspflichten, sowie deren Dokumentation sind von elementarer Bedeutung und daher zwingend zu erfüllen.

Betrachtet man die Menge an Informationen die heutzutage in allen Lebensbereichen zur Verfügung gestellt werden wird deutlich, dass die Umsetzung der Pflicht vor allem für Unternehmen sowohl in der rechtlichen Ausgestaltung als auch in der praktischen Umsetzung eine große Herausforderung darstellt.

Werden nicht alle notwendigen Informationen zur Verfügung gestellt oder geschieht es fehlerhaft, stellt dies einen Datenschutzverstoß dar, der mit Bußgeld geahndet werden und Schadenersatzansprüche Betroffener nach sich ziehen kann.

Aus diesem Grund ist es unentbehrlich, die Informationspflichten ernst zu nehmen und die Betroffenen in rechtlich umfassender Weise zu informieren. Insoweit ist es stets ratsam bei diesem Thema einen Experten zur Unterstützung heranzuziehen.  

Ähnliche spannende Beiträge

Kundendatenschutz DSGVO

Datenschutz im Betrieb

Kundendatenschutz

Was gilt es beim Kundendatenschutz zu beachten? Welche Vorgaben gilt es einzuhalten? Alle Informationen auf einen Blick. Alle Infos für die Praxis.

Weiterlesen
Artikel 82 DSGVO

Datenschutz im Betrieb

Datenschutz im Krankenhaus

Der Datenschutz im Krankenhaus ist enorm wichtig, vor allem deshalb, weil häufig mit sensiblen personenbezogenen Daten hantiert wird.

Weiterlesen
Artikel 82 DSGVO

Allgemein

Zulässigkeit der Speicherung von Website-Logfiles nach der DSGVO

Obwohl sie unterschiedliche Ansätze haben, sind IT-Sicherheit und Datenschutz untrennbar miteinander verbunden. Insofern ergibt sich bereits aus der Bereitstellung einer Website eine datenschutzrechtliche Verpflichtung zur Speicherung von sogenannten Logfiles, aber auch eine Verpflichtung aus Gründen der IT-Sicherheit.

Weiterlesen
Artikel 82 DSGVO

Datenschutz im Betrieb

Art 9 DSGVO

Art 9 DSGVO regelt die Ausnahmen für die Verarbeitung von personenbezogenen Daten. Wir informieren Sie, wann die Verarbeitung zulässig ist.

Weiterlesen
Artikel 82 DSGVO

Datenschutz und Werbung

LG Stuttgart: Kein DSGVO-Schadensersatz bei personalisierter Briefwerbung

Urteil des Landgerichts Stuttgart zur personalisierten Direktwerbung. Das Gericht befasste sich mit der Frage, ob personenbezogene Daten zur Durchsetzung von Werbewidersprüchen datenschutzkonform in eine so genannte schwarze Liste aufgenommen werden können.

Weiterlesen
Datenschutz und Betriebsrat

Datenschutz im Betrieb

Betriebsrat und Datenschutz

Welche Rolle nimmt der Betriebsrat im Thema Datenschutz ein? Ist dieser womöglich sogar ein Verantwortlicher iSd DSGVO? Alles Infos auf einen Blick.

Weiterlesen
Share0
Tweet0
Share0

Datenschutzschulungen für Ihre Mitarbeiter?

Praxisnahe Online Schulungen für Datenschutz und Cybersecurity. DSGVO konform und zertifiziert.

 Mehr ansehen