- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

DSGVO: Wie Sie Ihre Informationspflichten erfüllen

Damit Betroffene ihre Rechte nach der Datenschutz-Grundverordnung (DSGVO / GDPR) wahrnehmen können, benötigen sie aussagekräftige Informationen darüber, dass und wie Verantwortliche ihre personenbezogenen Daten verarbeiten. Deshalb sieht die DSGVO mehrere Informationspflichten für Verantwortliche vor.

Inhaltsverzeichnis
Wer hat die Daten erhoben? [1]
Welchen Inhalt muss die Information haben? [2]
Auf welchem Weg muss ein Verantwortlicher informieren? [3]
Informationspflicht bei Zweckänderung [4]
Informationspflicht bei Übermittlung [5]
Information über Widerspruchsrecht [6]
Informationspflichten in Verbindung mit einer Einwilligung [7]
Form und Nachweis der Informationspflichten [8]
Was ist jetzt zu tun? [9]

Welche Daten und Informationen erheben und verarbeiten Verantwortliche? Darüber müssen sie gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung [10] die betroffenen Personen aufklären.

Diese Verpflichtung zur Information bildet gleichzeitig die Grundlage für das Auskunftsrecht [11] der Betroffenen. Denn wenn der Betroffene nicht weiß, dass jemand Daten über ihn verarbeitet, kann er schwerlich von seinem Recht Gebrauch machen.

Wer hat die Daten erhoben?

In der Praxis sind zwei Fälle denkbar, wie ein Verantwortlicher an die personenbezogenen Daten eines Betroffenen gelangt:

In beiden Fällen ist der Verarbeiter verpflichtet, dem Betroffenen sämtliche in Artikel 13 Absatz1 beziehungsweise Artikel 14 Absatz 1 DSGVO aufgelisteten Informationen bereitzustellen.

Dazu gehören unter anderem Name und Kontaktdaten des Verantwortlichen, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten [12] und die Zwecke sowie Rechtsgrundlagen für die Verarbeitung.

Welchen Inhalt muss die Information haben?

Die Betroffenen haben einen Anspruch auf Informationen darüber,

Auf welchem Weg muss ein Verantwortlicher informieren?

Die DSGVO schreibt keine bestimmte Form der Information vor. Sie kann in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, erfolgen.

Grundsätzlich sollte der Verantwortliche für die Übermittlung das gleiche Medium nutzen, über das auch der oder die Betroffene kommuniziert hat.

Bei Brief oder Fax dürfen die weitergehenden Informationen auch online zur Verfügung stehen. Der Betroffene kann zum Beispiel durch Abrufen eines Links oder Scannen eines QR-Codes auf eine Webseite mit den vollständigen Informationen gelangen.

In der Online-Kommunikation, also bei einer E-Mail, reicht ein gut sichtbarer Link. Dieser Link verweist auf eine Website, auf der etwa die Datenschutzerklärung alle erforderlichen Informationen zur Verfügung stellt.

Informationspflicht bei Zweckänderung

Die  Informationspflichten  im  Falle  einer  Zweckänderung  gelten  sowohl  für  die  Direkterhebung  als auch für die Dritterhebung.

Neben der Information über  den  geänderten  Zweck  sind  alle Informationspflichten gemäß Artikel 13 Absatz 2 DSGVO (Direkterhebung)  oder  gemäß Artikel 14  Absatz  2  DSGVO (Dritterhebung) erneut zu erfüllen, wie die Aufsichtsbehörden für den Datenschutz betonen.

Informationspflicht bei Übermittlung

Die  Übermittlung  an  einen  Dritten  ist  häufig  eine Zweckänderung.  Schon  aus  diesem  Grund müssen Verantwortliche die  betroffene  Person informieren, bevor sie die Daten übermitteln, so die Aufsichtsbehörden für den Datenschutz.

Weiterhin müssen sie informieren, wenn sie die Daten einem neuen Empfänger offenlegen. Das gilt etwa bei einem Auftragsverarbeiter [14], soweit er nicht schon in den Empfängern  oder  Empfängerkategorien auftaucht.

Wichtig: Information über Widerspruchsrecht

Ein Verantwortlicher muss die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf das Widerspruchsrecht nach Artikel 21 DSGVO hinweisen. Dieser Hinweis muss verständlich sein und getrennt von anderen Informationen erfolgen.

Informationspflichten in Verbindung mit einer Einwilligung

Die Einwilligung [15] einer betroffenen Personin die Verarbeitung ihrer personenbezogenen Daten muss als „informierte Einwilligung“ erfolgen. Artikel 7 DSGVO (Bedingungen für die Einwilligung) fordert entsprechend:

„Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.“

Form und Nachweis der Informationspflichten

Die DSGVO fordert in Artikel 12 DSGVO insbesondere transparente Informationen.

Der Verantwortliche muss der betroffenen Person alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. Das gilt insbesondere für Informationen, die sich speziell an Kinder [16] richten.

Zudem muss ein Verantwortlicher nachweisen können, dass er seinen Informationspflichten nachkommt. Die Datenschutz-Aufsichtsbehörden empfehlen, die Erfüllung der Informationspflichten schriftlich zu dokumentieren, um sich vor Auseinandersetzungen zu schützen.

Was ist jetzt zu tun?

Prüfen Sie, wie die verantwortliche Stelle im Unternehmen die Informationspflichten nach DSGVO umsetzt. Eine Reihe von Arbeitshilfen unterstützt Sie dabei:

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, Analyst und IT-Fachjournalist im Bereich IT-Sicherheit und Datenschutz.