DSGVOInformationspflichten

Damit Unionsbürger ihr Recht auf Schutz personenbezogener Daten wahrnehmen können, bedarf es Transparenz bei der Datenerhebung und -nutzung. Deshalb sieht die Datenschutz-Grundverordnung eine Vielzahl von Informationspflichten vor.

Das Gesetz unterscheidet dabei zwischen zwei Fällen: Zum einen, wenn die personenbezogene Daten bei dem Betroffenen direkt erfasst werden (Art. 13 DSGVO) und zum anderen, wenn diese nicht bei der betroffenen Person erhoben werden (Art. 14 DSGVO).

Bei der Direkterhebung ist dieser unverzüglich zu informieren. Inhaltlich umfassen hier die Informationspflichten des Verantwortlichen seine Identität, die Kontaktdaten des Datenschutzbeauftragen (sofern vorhanden), die Verarbeitungszwecke und die Rechtsgrundlage, über etwaige berechtigte Interessen, über den Empfänger bei Übermittlung von Daten und auch über eine etwaige Übermittlung in Drittstaaten zu informieren. Darüber hinaus umfasst die Informationspflicht auch Angaben zur Dauer der Speicherung, den Rechten des Betroffenen, der Widerrufbarkeit von Einwilligungen, dem Beschwerderecht bei der Aufsichtsbehörde sowie die gesetzliche oder vertragliche Verpflichtung personenbezogene Daten bereitzustellen. Zudem ist über eine etwaige automatisierte Entscheidung oder andere Profiling-Maßnahmen zu unterrichten. Entbehrlich ist diese Informationspflicht bei der Direkterhebung nur, wenn der Betroffene bereits über diese Angaben verfügt.

Erfolgt die Erhebung nicht beim Betroffenen, ist dieser innerhalb einer angemessenen Frist, spätestens aber nach einem Monat zu informieren. Werden die Daten zur Kommunikation mit der Betroffenen Person verwendet, besteht die Informationspflicht jedoch direkt bei Kontaktaufnahme. Inhaltlich treffen den Verantwortlichen auch bei dieser Art der Erhebung grundsätzlich die gleichen Informationspflichten. Eine Ausnahme bildet dabei nur die Information über die Verpflichtung zur Bereitstellung, da der Verantwortliche nicht selbst über diese entscheiden kann. Zusätzlich trifft ihn die Pflicht darüber zu informieren, aus welcher Quelle die Daten stammen und ob es sich dabei um eine öffentlich zugängliche handelt. Den Informationspflichten ist in präziser, transparenter, verständlicher und leicht zugänglicher Form nachzukommen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden. Es wird explizit erwähnt, dass dafür auch sog. standardisierte Bildsymbole verwendet werden können, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.

Im Falle, dass die personenbezogenen Daten nicht beim Betroffenen erhoben werden, muss in Ausnahmefällen der Informationspflicht nicht nachgekommen werden. Etwa wenn dies unmöglich oder unverhältnismäßig aufwendig ist, die Erhebung und/oder Übermittlung gesetzlich vorgeschrieben ist oder ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht besteht.