Informationspflichten
Die Informationspflichten und das Recht auf transparente Information
Erheben Verantwortliche personenbezogene Daten, sieht die Datenschutz-Grundverordnung (DSGVO) eine Reihe von Informationspflichten vor. Sie müssen die betroffenen Personen unter anderem darüber unterrichten, zu welchen Zwecken sie die Daten verwenden, welche Rechte die betroffenen Personen besitzen und über eine Reihe weiterer Details.
Gesetze und Vorschriften zu den Informationspflichten
- Art. 13 DSGVO (Informationspflichten, wenn die Daten direkt bei der betroffenen Person erhoben werden) und § 32 BDSG (Ausnahmen in Deutschland)
- Art. 14 DSGVO (Informationspflichten, wenn die Daten nicht direkt bei der betroffenen Person erhoben werden) sowie §§ 33 und 29 Abs. 1 Satz 1 BDSG (Ausnahmen in Deutschland)
- Art. 12 DSGVO (Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Personen)
Ausnahmen von den Informationspflichten
Erhebt ein Verantwortlicher Daten direkt bei der betroffenen Person, muss er sie darüber und über die näheren Umstände informieren. Das gilt nur dann nicht, wenn die betroffene Person bereits über diese Informationen verfügt.
Weitere Ausnahmen enthält für Deutschland § 32 Bundesdatenschutzgesetz (BDSG). Danach können Verantwortliche statt der betroffenen Person die Öffentlichkeit informieren, etwa per Aushang. Das trifft unter anderem zu,
- wenn es sich um analog gespeicherte Daten in einfach gelagerten Fällen handelt oder
- wenn die Daten nötig sind, um Rechtsansprüche zu sichern.
Soweit ein Verantwortlicher die Information bei einem Dritten erhoben hat, also nicht direkt bei der betroffenen Person, muss er die betroffene Person nicht informieren, wenn sie die Details bereits kennt.
Weitere Ausnahmen: Das gilt auch,
- wenn es unmöglich ist, der betroffenen Person die Informationen zu erteilen oder es einen unverhältnismäßigen Aufwand erfordern würde.
- wenn nationale Rechtsvorschriften etwas anderes bestimmen. In Deutschland: § 33 BDSG – dann muss der Verantwortliche jedoch anstelle der betroffenen Person die Öffentlichkeit informieren – oder § 29 Abs. 1 Satz 1 BDSG bei Geheimhaltungspflichten.
Inhalt der Informationspflichten
Erfolgt die Datenerhebung direkt bei der betroffenen Person, gilt Art. 13 DSGVO. Findet sie dagegen bei einem Dritten statt, gilt Art. 14 DSGVO.
Die Inhalte beider Vorschriften sind recht ähnlich. Der Datenverarbeiter muss die betroffene Person jeweils informieren über:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten (aber nicht notwendigerweise dessen Namen)
- Zwecke, zu denen die Daten verarbeitet werden sollen
- die Rechtsgrundlage für die Datenverarbeitung (Greift der Verantwortliche zur Begründung auf „berechtigte Interessen“ gemäß Art. 6 Abs. 1 Buchstabe f DSGVO zurück, muss er diese ebenfalls erläutern.)
- nur wenn er die Daten bei Dritten erhebt: welche personenbezogenen Daten verarbeitet werden (Kategorien von Daten)
- wenn die Dateien weitergegeben werden: die Kategorien der Empfänger
- wenn der Verantwortliche die Daten in ein Drittland übermittelt: Information hierüber sowie die Rechtsgrundlage dafür
Darüber hinaus dienen weitere Informationen dazu, eine faire und transparente Verarbeitung zu gewährleisten:
- die Speicherdauer der Daten oder zumindest Kriterien, um diese Speicherdauer festzulegen
- Hinweis auf die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit
- beruht die Verarbeitung auf einer Einwilligung: Hinweis auf das Widerrufsrecht
- Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
- Findet die Datenerhebung direkt bei der betroffenen Person statt: Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist, ob eine Pflicht zur Bereitstellung besteht und was die Folgen einer Nichtbereitstellung sind
- Erhebt der Verantwortliche die Daten bei einem Dritten: Quelle, aus der die Daten stammen, und gegebenenfalls, ob es eine öffentlich zugängliche Quelle war
- bei automatisierten Entscheidungen und Profiling: die involvierte Logik, die Tragweite und die Auswirkungen
Ändert sich später der Zweck, müssen Verantwortliche die Informationen erneut erteilen.
Zeitpunkt, um die Informationen zu erteilen
Erhebt ein Unternehmen die Daten direkt bei der betroffenen Person, muss es die Informationen zum Zeitpunkt der Datenerhebung mitteilen.
Erhebt es die Daten bei einem Dritten, gilt:
- Die betroffene Person muss die Informationen spätestens innerhalb eines Monats erhalten.
- Möchte ein Datenverarbeiter die Daten verwenden, um mit der betroffenen Person zu kommunizieren, darf er die Informationen auch später, spätestens aber zum Zeitpunkt der ersten Mitteilung geben.
- Ist beabsichtigt, die Daten einem anderen Empfänger offenzulegen, muss die betroffene Person dies spätestens zum Zeitpunkt der ersten Offenlegung wissen.
Art und Weise der Informationserteilung
Verantwortliche müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung stellen (Art. 12 Abs. 1 DSGVO).
Die Informationen können in schriftlicher oder in anderer Form vorliegen, beispielsweise elektronisch über das Internet. Eine Internetseite dürfte die häufigste Form sein, wenn die Informationen für die Öffentlichkeit bestimmt sind.
Zu beachten ist, dass Datenverarbeiter die Informationen unentgeltlich erteilen müssen.
