Damit Unionsbürger ihr Recht auf Schutz personenbezogener Daten wahrnehmen können, bedarf es Transparenz bei der Datenerhebung und -nutzung. Deshalb sieht die Datenschutz-Grundverordnung eine Vielzahl von Informationspflichten vor.
Das Gesetz unterscheidet dabei zwischen zwei Fällen: Zum einen, wenn die personenbezogene Daten bei dem Betroffenen direkt erfasst werden (Art. 13 DSGVO) und zum anderen, wenn diese nicht bei der betroffenen Person erhoben werden (Art. 14 DSGVO).
Bei der Direkterhebung ist dieser unverzüglich zu informieren. Inhaltlich umfassen hier die Informationspflichten des Verantwortlichen seine Identität, die Kontaktdaten des Datenschutzbeauftragen (sofern vorhanden), die Verarbeitungszwecke und die Rechtsgrundlage, über etwaige berechtigte Interessen, über den Empfänger bei Übermittlung von Daten und auch über eine etwaige Übermittlung in Drittstaaten zu informieren. Darüber hinaus umfasst die Informationspflicht auch Angaben zur Dauer der Speicherung, den Rechten des Betroffenen, der Widerrufbarkeit von Einwilligungen, dem Beschwerderecht bei der Aufsichtsbehörde sowie die gesetzliche oder vertragliche Verpflichtung personenbezogene Daten bereitzustellen. Zudem ist über eine etwaige automatisierte Entscheidung oder andere Profiling-Maßnahmen zu unterrichten. Entbehrlich ist diese Informationspflicht bei der Direkterhebung nur, wenn der Betroffene bereits über diese Angaben verfügt.
Erfolgt die Erhebung nicht beim Betroffenen, ist dieser innerhalb einer angemessenen Frist, spätestens aber nach einem Monat zu informieren. Werden die Daten zur Kommunikation mit der Betroffenen Person verwendet, besteht die Informationspflicht jedoch direkt bei Kontaktaufnahme. Inhaltlich treffen den Verantwortlichen auch bei dieser Art der Erhebung grundsätzlich die gleichen Informationspflichten. Eine Ausnahme bildet dabei nur die Information über die Verpflichtung zur Bereitstellung, da der Verantwortliche nicht selbst über diese entscheiden kann. Zusätzlich trifft ihn die Pflicht darüber zu informieren, aus welcher Quelle die Daten stammen und ob es sich dabei um eine öffentlich zugängliche handelt. Den Informationspflichten ist in präziser, transparenter, verständlicher und leicht zugänglicher Form nachzukommen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden. Es wird explizit erwähnt, dass dafür auch sog. standardisierte Bildsymbole verwendet werden können, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln.
Im Falle, dass die personenbezogenen Daten nicht beim Betroffenen erhoben werden, muss in Ausnahmefällen der Informationspflicht nicht nachgekommen werden. Etwa wenn dies unmöglich oder unverhältnismäßig aufwendig ist, die Erhebung und/oder Übermittlung gesetzlich vorgeschrieben ist oder ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht besteht.
Passende Artikel der DSGVO
Art. 12 DSGVO Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person Art. 14 DSGVO Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurdenPassende Erwägungsgründe
(39) Grundsätze der Datenverarbeitung (58) Grundsatz der Transparenz (59) Modalitäten für die Ausübung der Rechte der Betroffenen (60) Informationspflicht (61) Zeitpunkt der Information (62) Ausnahmen von der Informationspflicht (73) Beschränkungen von Rechten und GrundsätzenPassende Paragraphen des BDSG
§ 4 BDSG Videoüberwachung öffentlich zugänglicher Räume § 29 BDSG Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten § 30 BDSG Verbraucherkredite § 32 BDSG Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person § 33 BDSG Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurdenExterne Links
Behörden
- Datenschutzkonferenz DSK ► Kurzpapier Nr. 10 – Informationspflichten bei Dritt- und Direkterhebung (Link)
- Datenschutzbehörde Rheinland-Pfalz ► Informationspflichten und Auskunftsrechte (Link)
- Datenschutzbehörde Schleswig-Holstein ► Praxisreihe 4 – Informationspflichten (Link)
- EU-Kommission ► Welche Informationen müssen Personen, deren Daten erhoben werden, mitgeteilt werden? (Link)
-
Der Bayerische Landesbeauftragte für den Datenschutz ► Informationspflichten des Verantwortlichen (Link)
- Data Protection Authority UK ► Right to be informed (Link)
- Data Protection Authority Ireland ► Rights of Individuals under the GDPR – The right to be informed (Link)
- Article 29 Data Protection Working Party ► WP260 – Guidelines on Transparency (Link)
Fachbeiträge
- GDD ► Praxishilfe – Transparenzpflichten bei der Datenverarbeitung (Link)
- IHK Saarland ► Informationspflichten nach der DSGVO (Link)
- BvD-News ► Umsetzung der Informationspflichten für Mitarbeiter – Anregungen und Ideen, Seite 29 (Link)
- Dr. Datenschutz ► Erfüllung der Informationspflichten – Ist ein Medienbruch zulässig? (Link)