Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 09/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI Rechenschaftspflicht TTDSG Urteil Vorlagen

Informationspflichten

Erheben Verantwortliche personenbezogene Daten, sieht die Datenschutz-Grundverordnung (DSGVO) eine Reihe von Informationspflichten vor. Sie müssen die betroffenen Personen unter anderem darüber unterrichten, zu welchen Zwecken sie die Daten verwenden, welche Rechte die betroffenen Personen besitzen und über eine Reihe weiterer Details.

➜ Informationspflichten praktisch umsetzen

DSGVO-Informationspflichten erfüllen – das können DSB empfehlen

Worüber müssen Verantwortliche informieren?
Bild: iStock.com / Ryzhi
Pflichten des Verantwortlichen, Rechte des Betroffenen
DSGVO-Informationspflichten erfüllen – das können DSB empfehlen

Damit Betroffene ihre Rechte nach der DSGVO wahrnehmen können, benötigen sie aussagekräftige Informationen darüber, dass und wie Verantwortliche ihre personenbezogenen Daten verarbeiten. Deshalb sieht die DSGVO mehrere Informationspflichten vor.

Ratgeber
22. August 2023

Datenschutzhinweise auf einen Blick: Datenschutz-Icons

DP+
Icons können Wegweiser durch die Datenschutzhinweise sein
Bild: iStock.com / Zdenek Sasek
Informationspflichten
Datenschutzhinweise auf einen Blick: Datenschutz-Icons

Wer kennt sie nicht: seitenlange Datenschutzhinweise, die Nutzerinnen und Nutzer bereits auf den ersten Blick erschlagen. Icons bieten eine Möglichkeit, die Informationen übersichtlicher zu gestalten.

Ratgeber
8. März 2023

Datenschutzerklärung für Websites: Was muss drinstehen?

DP+
Eine rechtskonforme Datenschutz­erklärung ist ein Aushängeschild, gleich ob bei großen oder kleinen Unternehmen. Die nötige Zeit zu investieren, um sie korrekt zu gestalten, lohnt sich also. Zudem bietet eine rechtssichere Datenschutzerklärung keine Angriffsfläche für Abmahner.
Transparenz als oberstes Gebot
Datenschutzerklärung für Websites: Was muss drinstehen?

Jedes Unternehmen mit einer Website muss transparent informieren, was es mit den dort verarbeiteten Daten tut. Wie lässt sich das in Zeiten von Abmahnungen wegen Google Fonts, von Analysetools, TTDSG und nötigen Belehrungen über Joint-Controller-Verhältnisse umsetzen?

Ratgeber
21. September 2022

Datenschutzhinweise: So lassen sie sich in der Praxis einbinden

DP+
Jeder, der einen Online-Auftritt hat und z.B. Online-Bestellungen ermöglicht, braucht Datenschutzhinweise
Bild: iStock.com / svetikd
Informationspflichten
Datenschutzhinweise: So lassen sie sich in der Praxis einbinden

Mit den Datenschutzhinweisen (der „Datenschutzerklärung“) setzen Unternehmen die Informationspflichten von Art. 13 und Art. 14 DSGVO um. Doch wie lassen sich die vorgeschriebenen Angaben praxisgerecht zur Verfügung stellen? Diese Vorschläge können Sie als DSB machen.

Ratgeber
21. Mai 2022

Die Transparenzpflichten der DSGVO

DP+
Die Transparenzpflichten der DSGVO
Bild: iStock.com / exdez
Betroffenenrechte und Informationspflichten
Die Transparenzpflichten der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) verlangt eine faire und transparente Verarbeitung von personenbezogenen Daten. Welche Pflichten kommen damit auf mein Unternehmen als verantwortlichen Verarbeiter zu?

Ratgeber
25. Juni 2021

Betroffenenrechte in der Datenschutz-Grundverordnung

Eine ganz zentrale Forderung bei den Betroffenenrechten: Daten sind unter bestimmten Voraussetzungen auch wieder zu löschen!
Bild: Spectral-Design / iStock / Thinkstock
Datenschutzorganisation
Betroffenenrechte in der Datenschutz-Grundverordnung

Datenschutz ist nur sinnvoll, wenn Betroffene das Recht haben, ihre Ansprüche durchzusetzen. Die Datenschutz-Grundverordnung (DSGVO) greift die schon früher unter dem altem Bundesdatenschutzgesetz geltenden Rechte auf und entwickelt sie weiter. Die interne Datenschutzorganisation muss diese Betroffenenrechte umsetzen können.

Ratgeber
27. September 2019

Meldepflichten nach DSGVO richtig umsetzen

Meldepflichten nach DSGVO richtig umsetzen
Bild: iStock.com / aydinynr
Informationspflichten
Meldepflichten nach DSGVO richtig umsetzen

Kommt es zu einer Datenschutz-Verletzung, treten unter bestimmten Bedingungen Meldepflichten ein. Wann genau welche Informationspflicht eintritt, regelt die Datenschutz-Grundverordnung (DSGVO).

Ratgeber
4. Mai 2019

Informationspflichten: Muster (nicht nur) für Kommunen

Informationspflichten: Muster (nicht nur) für Kommunen
Bild: iStock.com / Tatiana Mezhenina
Betroffenenrechte
Informationspflichten: Muster (nicht nur) für Kommunen

Die Informationspflichten bringen viele Verantwortliche, gleich ob öffentlich oder nicht, „aus dem Tritt“. Die Frage ist meist: Wie lässt sich das bloß in der Praxis umsetzen? Wir stellen ein konkretes Beispiel vor.

Ratgeber
28. Januar 2019

Muster: Verzeichnis der Verarbeitungstätigkeiten und Informationen nach Art. 13 DSGVO

DP+
Muster: Verzeichnis der Verarbeitungstätigkeiten und Informationen nach Art. 13 DSGVO

Die Informationspflichten bringen viele Verantwortliche, gleich ob öffentlich oder nicht, „aus dem Tritt“. Die Frage ist meist: Wie lässt sich das bloß in der Praxis umsetzen? Wir stellen ein konkretes Beispiel vor. Das Muster vereinigt Verzeichnis der Verarbeitungstätigkeiten und Informationen nach Art. 13 DSGVO.

Download
28. Januar 2019

Informationspflicht: Transparenz im Bewerbungsverfahren

Informationspflicht: Transparenz im Bewerbungsverfahren
Bild: iStock.com / Rawpixel
Beschäftigtendatenschutz
Informationspflicht: Transparenz im Bewerbungsverfahren

Jedes Unternehmen lebt davon, Nachwuchs zu rekrutieren. Dabei muss es im Einklang mit den Vorgaben der DSGVO den Bewerber transparent über den Umgang mit seinen Daten informieren. Was sich einfach anhört, ist in der Praxis eine echte Herausforderung.

Analyse
24. Januar 2019
1 von 2

Pflicht zur Information und das Recht auf transparente Information

Die folgenden Gesetze und Vorschriften brauchen Sie, um sich mit diesem Betroffenenrecht auseinanderzusetzen:

  • Art. 13 DSGVO (Informationspflichten, wenn die Daten direkt bei der betroffenen Person erhoben werden) und § 32 BDSG (Ausnahmen in Deutschland)
  • Art. 14 DSGVO (Informationspflichten, wenn die Daten nicht direkt bei der betroffenen Person erhoben werden) sowie §§ 33 und 29 Abs. 1 Satz 1 BDSG (Ausnahmen in Deutschland)
  • Art. 12 DSGVO (Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Personen)

Ausnahmen von den Informationspflichten

Erhebt ein Verantwortlicher Daten direkt bei der betroffenen Person, muss er sie darüber und über die näheren Umstände informieren. Das gilt nur dann nicht, wenn die betroffene Person bereits über diese Informationen verfügt.

Weitere Ausnahmen enthält für Deutschland § 32 Bundesdatenschutzgesetz (BDSG). Danach können Verantwortliche statt der betroffenen Person die Öffentlichkeit informieren, etwa per Aushang. Das trifft unter anderem zu,

  • wenn es sich um analog gespeicherte Daten in einfach gelagerten Fällen handelt oder
  • wenn die Daten nötig sind, um Rechtsansprüche zu sichern.

Soweit ein Verantwortlicher die Information bei einem Dritten erhoben hat, also nicht direkt bei der betroffenen Person, muss er die betroffene Person nicht informieren, wenn sie die Details bereits kennt.

Weitere Ausnahmen: Das gilt auch,

  • wenn es unmöglich ist, der betroffenen Person die Informationen zu erteilen oder es einen unverhältnismäßigen Aufwand erfordern würde.
  • wenn nationale Rechtsvorschriften etwas anderes bestimmen. In Deutschland: § 33 BDSG – dann muss der Verantwortliche jedoch anstelle der betroffenen Person die Öffentlichkeit informieren – oder § 29 Abs. 1 Satz 1 BDSG bei Geheimhaltungspflichten.

Inhalt der Informationspflichten

Erfolgt die Datenerhebung direkt bei der betroffenen Person, gilt Art. 13 DSGVO. Findet sie dagegen bei einem Dritten statt, gilt Art. 14 DSGVO.

Die Inhalte beider Vorschriften sind recht ähnlich. Der Datenverarbeiter muss die betroffene Person jeweils informieren über:

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten (aber nicht notwendigerweise dessen Namen)
  • Zwecke, zu denen die Daten verarbeitet werden sollen
  • die Rechtsgrundlage für die Datenverarbeitung (Greift der Verantwortliche zur Begründung auf „berechtigte Interessen“ gemäß Art. 6 Abs. 1 Buchstabe f DSGVO zurück, muss er diese ebenfalls erläutern.)
  • nur wenn er die Daten bei Dritten erhebt: welche personenbezogenen Daten verarbeitet werden (Kategorien von Daten)
  • wenn die Dateien weitergegeben werden: die Kategorien der Empfänger
  • wenn der Verantwortliche die Daten in ein Drittland übermittelt: Information hierüber sowie die Rechtsgrundlage dafür

Darüber hinaus dienen weitere Informationen dazu, eine faire und transparente Verarbeitung zu gewährleisten:

  • die Speicherdauer der Daten oder zumindest Kriterien, um diese Speicherdauer festzulegen
  • Hinweis auf die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit
  • beruht die Verarbeitung auf einer Einwilligung: Hinweis auf das Widerrufsrecht
  • Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
  • Findet die Datenerhebung direkt bei der betroffenen Person statt: Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist, ob eine Pflicht zur Bereitstellung besteht und was die Folgen einer Nichtbereitstellung sind
  • Erhebt der Verantwortliche die Daten bei einem Dritten: Quelle, aus der die Daten stammen, und gegebenenfalls, ob es eine öffentlich zugängliche Quelle war
  • bei automatisierten Entscheidungen und Profiling: die involvierte Logik, die Tragweite und die Auswirkungen

Ändert sich später der Zweck, müssen Verantwortliche die Informationen erneut erteilen.

Zeitpunkt, um die Informationen zu erteilen

Erhebt ein Unternehmen die Daten direkt bei der betroffenen Person, muss es die Informationen zum Zeitpunkt der Datenerhebung mitteilen.

Erhebt es die Daten bei einem Dritten, gilt:

  • Die betroffene Person muss die Informationen spätestens innerhalb eines Monats erhalten.
  • Möchte ein Datenverarbeiter die Daten verwenden, um mit der betroffenen Person zu kommunizieren, darf er die Informationen auch später, spätestens aber zum Zeitpunkt der ersten Mitteilung geben.
  • Ist beabsichtigt, die Daten einem anderen Empfänger offenzulegen, muss die betroffene Person dies spätestens zum Zeitpunkt der ersten Offenlegung wissen.

Art und Weise der Informationserteilung

Verantwortliche müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung stellen (Art. 12 Abs. 1 DSGVO).

Die Informationen können in schriftlicher oder in anderer Form vorliegen, beispielsweise elektronisch über das Internet. Eine Internetseite dürfte die häufigste Form sein, wenn die Informationen für die Öffentlichkeit bestimmt sind.

Zu beachten ist, dass Datenverarbeiter die Informationen unentgeltlich erteilen müssen.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.