This is some text inside of a div block.

Informationspflichten nach DSGVO

Welche personenbezogenen Daten verarbeiten Sie als Verantwortlicher? Darüber müssen Sie gemäß Artikel 12, 13 und 14 der DSGVO die betroffenen Personen gut verständlich und transparent informieren.

Informationspflichten nach DSGVO

Informationspflichten nach DSGVO

Welche personenbezogenen Daten verarbeiten Sie als Verantwortlicher? Darüber müssenSie gemäß Artikel 12, 13 und 14 der DSGVO die betroffenen Personen gut verständlichund transparent informieren.

Bedeutung der Informationspflichten

Der Grundsatz der Transparenz (Art. 5 Abs. 1 lit. a) DSGVO) gibt vor, dass personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten müssen leicht zugänglich, verständlich und in klarer und einfacher Sprache formuliert sein (siehe Art. 12 DSGVO). Durch Art. 13 und 14 DSGVO wird ein konkreter Rahmen gesetzt, welche Pflichtangaben zu machen sind. Mit Hilfe dieser bekannt gemachten Informationen wird oftmals der Grundstein für die Wahrnehmung der Betroffenenrechte (Art. 15 ff. DSGVO) durch die betroffenen Personen ermöglicht. Als Verantwortlicher müssen Sie ggf. nachweisen, dass die Betroffenen ordentlich informiert wurden.

Wie kamen Sie an die personenbezogenen Daten der betroffenen Person?

Ob Sie nach Art. 13 oder 14 DSGVO die betroffenen Personen informieren müssen, ist davon abhängig, wie Sie an die personenbezogenen Daten gelangen. Es werden zwei Fälle unterschieden:

  • Direkterhebung - Daten werden bei der betroffenen Person selbst erhoben (Art. 13 DSGVO)
  • Dritterhebung - Daten der betroffenen Person werden durch Dritte erhoben (Art. 14 DSGVO)

Unabhängig von der Erhebungsart, sind Sie als Verantwortlicher verpflichtet den betroffenen Personen die in Art. 13 bzw. Art. 14 DSGVO genannten Informationen bereitzustellen. Im Falle der Direkterhebung müssen Sie als Verantwortlicher die Information in der Regel spätestens zum Zeitpunkt der Erhebung bereitstellen. Im Falle der Dritterhebung sind Sie als Verantwortlicher verpflichtet, die Informationen nachträglich innerhalb einer angemessenen Frist nach Erlangung der Daten mitzuteilen (Art. 14 Abs. 3 DSGVO). Als Maximaldauer ist ein Zeitraum von einem Monat nach der Erlangung der Daten festgelegt.

Welche Informationen bereitstellen?

Die Betroffenen haben grundsätzlich einen Anspruch auf nachfolgende Informationen:

  • Name des Verantwortlichen sowie ggf. dessen Vertreter,
  • Kontaktdaten des ggf. vorhandenen Datenschutzbeauftragten,
  • Zwecke und Rechtsgrundlagen der Verarbeitung,
  • das berechtigte Interesse, insofern die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten beruht (Art. 6 Abs. 1 lit. f DSGVO),
  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (vgl. Art. 4 Nr. 9 DSGVO) und
  • ggf. Absicht einer Drittlandübermittlung 

Zusätzlich sind folgende Informationen bereitzustellen:

  • die geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer,
  • die Betroffenenrechte, 
  • das Recht zum jederzeitigen Widerruf einer Einwilligung und die Tatsache, dass die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung bis zum Widerruf unberührt bleibt,
  • das Beschwerderecht bei einer Aufsichtsbehörde,
  • ggf. die gesetzliche oder vertragliche Verpflichtung des Verantwortlichen, personenbezogene Daten Dritten bereitzustellen und die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten und
  • im Falle einer automatisierten Entscheidungsfindung (einschließlich Profiling) aussagekräftige Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung.

Im Falle der Dritterhebung ist zusätzlich die Quelle der Daten anzugeben.

Auf welchem Weg informieren?

Gemäß Art. 12 Abs. 1 DSGVO sind die Informationen in präziser, transparenter, verständlicher und
leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln.

Die DSGVO schreibt dabei keine bestimmte Form der Information vor. Sie kann in schriftlicher oder in anderer Form, gegebenenfalls auch elektronisch, erfolgen. Grundsätzlich sollten Sie als Verantwortlicher für die Übermittlung das gleiche Medium nutzen, über das auch die betroffene Person kommuniziert hat.

In der Online-Kommunikation (z.B. E-Mail), kann dies bspw. ein gut sichtbarer Link in der Signatur sein. Dieser Link verweist auf eine Website, auf der etwa die Datenschutzerklärung alle erforderlichen Informationen umfasst.

Haben Sie nicht deutschsprachige Mitglieder*innen, so sollten Sie auch Informationen in einer anderen bevorzugten Sprache (z.B. Englisch) bereitstellen. Von einer Pflicht zur Information in einer fremden Sprache ist auszugehen, wenn Sie gezielt nicht-deutschsprachige Mitglieder*innen anwerben und ggf. Formulare wie den Mitgliedsantrag auf fremder Sprache zur Verfügung stellen. 

Zusammenfassung

Die Erfüllung der Informationspflichten ist für die betroffenen Personen außerordentlich wichtig und stellt eine gesetzliche Verpflichtung, unter Nennung von Mindestangaben, dar. Im Zweifel müssen Verantwortliche nachweisen, dass Betroffene transparent informiert wurden. 

Weitere Informationen finden Sie nachfolgend unter: 

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK); Kurzpapier Nr. 10 Informationspflichten bei Dritt- und Direkterhebung, Stand: 16.01.2018, aufrufbar unter: https://www.lda.bayern.de/media/dsk_kpnr_10_informationspflichten.pdf

Malte Pignol

Malte Pignol

Datenschutzbeauftragter

Unterstützt das campai Team seit Anfang 2022 als externer Datenschutzbeauftragter - „Datenschutz als Mehrwert verstehen und den Datenschutz zum Vorteil nutzen“