Informationspflichten nach DSGVO (Anleitung)

Wenn Verantwortliche personenbezogene Daten erheben und verarbeiten wollen, müssen sie die Betroffenen darüber informieren. Diese sogenannten Informationspflichten ergeben sich direkt aus der Datenschutz-Grundverordnung (DSGVO). Zu informieren sind z. B. Websitebesucher, Newsletterempfänger, Kunden, Bewerber oder Mitarbeiter. Wie die Informationspflichten zu erfüllen sind, unterscheidet sich nach einigen wichtigen Gesichtspunkten.

Was sind Informationspflichten?

Das Recht auf Information ist das wohl wichtigste Betroffenenrecht im Rahmen der DSGVO. Dabei unterscheidet die Verordnung zwischen der Erhebung von personenbezogenen Daten bei der betroffenen Person selbst (Art. 13 DSGVO) und einer Erhebung, die nicht direkt bei der betroffenen Person erfolgt, sondern bei Dritten oder aus öffentlichen Quellen (Art. 14 DSGVO). Für beide Fälle gilt jedoch, dass Betroffene über die Umstände der Datenerhebung zu informieren sind.

Diese Offenlegung wird als Informationspflicht bezeichnet. So müssen beispielsweise Arbeitgeber ein Informationsschreiben aufsetzen, sobald sie personenbezogene Daten von Bewerbern oder Mitarbeitern verarbeiten. Aber auch für den Geschäftsbetrieb mit Kunden sind die Informationen bereitzustellen, wenn personenbezogene Kundendaten – dazu zählen auch Interessentendaten – verarbeitet werden.

Was ist der Inhalt der Informationspflichten?

Da die DSGVO unter anderem auf den Grundsätzen der Fairness und Transparenz aufgebaut ist, schreibt sie auch vor, dass die Informationen, die für eine faire und transparente Verarbeitung notwendig sind, bereitgestellt werden. So bestimmen Art. 13 Abs. 1 und Art. 14 Abs.  1 DSGVO, dass der Verantwortliche bei der Verarbeitung personenbezogener Daten über Folgendes unterrichten muss:

  • Den Namen und die Kontaktdaten des Verantwortlichen und ggf. seines Vertreters sowie ggf. die Kontaktdaten des Datenschutzbeauftragten. Dies soll es der betroffenen Person ermöglichen, mit dem Verantwortlichen Kontakt aufzunehmen, um ihre Rechte geltend zu machen. Zu den pflichtmäßig zu veröffentlichenden Kontaktdaten gehören mindestens die postalische Adresse und die E-Mailadresse.
  • Den Zweck und die Rechtsgrundlage der Verarbeitung der personenbezogenen Daten: Dabei müssen die Angaben zum Zweck so vollständig und detailgenau sein, dass die betroffene Person genau erkennen kann, mit welchen Datenverarbeitungen sie zu rechnen hat.
  • Sofern als Rechtsgrundlage das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f) dient, muss der Verantwortliche diese Interessen einzeln aufzählen. Eine Verarbeitung aufgrund dieser Rechtsgrundlage ist aber nur dann gerechtfertigt, wenn es die gegenläufigen Interessen und Rechte der betroffenen Person überwiegt.
  • die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten: Darunter ist jede Stelle zu verstehen, der personenbezogene Daten offengelegt werden. Empfänger können damit auch interne Abteilungen sein, Auftragsverarbeiter oder sonstige Dritte.
  • auch über die Absicht des Verantwortlichen, die Daten an ein Drittland oder eine internationale Organisation (bzw. Empfänger in diesen) zu übermitteln: Die Information über eine Übermittlung in Drittstaaten bezieht sich auf den Fall der absehbaren Datenübermittlung in ein Zielland oder eine Organisation außerhalb der Europäischen Union. Bezweckt wird damit eine Aufklärung des Betroffenen über das Übermittlungsrisiko, so dass dieser vorab Einwände gegen die Übermittlung erheben kann. Um der betroffenen Person diese Einschätzung zu ermöglichen, ist ihr mitzuteilen, ob ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, der die Datenübermittlung nach Art. 45 DSGVO erlaubt oder ob andere Garantien zur Einhaltung des Datenschutzniveaus vorliegen (z.B. Privacy Shield oder Standardvertragsklauseln).

Um den Anforderungen an Transparenz und Fairness gerecht zu werden, muss ein Informationsschreiben gemäß Art. 13 Abs. 2 und Art. 14 Abs. 2 DSGVO zusätzlich enthalten:

  • Angaben zur Speicherdauer der personenbezogenen Daten und falls dies nicht möglich ist, Angaben über die Kriterien für die Festlegung dieser Dauer. Die Angaben müssen so aussagekräftig sein, dass der Betroffene sich zumindest ausrechnen kann, wann seine Daten gelöscht werden.
  • Eine Aufklärung der Betroffenen über ihre Rechte aus den Art. 15 ff. DSGVO auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Beschwerde bei einer Aufsichtsbehörde.
  • Bei der direkten Erhebung von Daten beim Betroffenen, die von Art. 13 DSGVO umfasst wird, muss der Verantwortliche ferner angeben, ob Betroffene die Bereitstellung ihrer personenbezogenen Daten gesetzlich oder vertraglich schulden oder diese für einen angestrebten Vertragsabschluss erforderlich sind. Diese Informationen sind stets durch die möglichen Folgen einer Nichtbereitstellung für die betroffene Person zu ergänzen.
  • In den Fällen des Art. 14 DSGVO, wenn also die Erhebung der Daten nicht direkt bei der betroffenen Person erfolgt, bedarf es einer Unterrichtung der Betroffenen über die Quelle, aus der die Daten stammen, und in diesem Zusammenhang auch, ob die Daten aus öffentlich zugänglichen Quellen stammen.

Tipp: Nutzen Sie unsere kostenlosen Generatoren, um ein Informationsschreiben für Kunden oder für Mitarbeiter und Bewerber aufzusetzen.

Form und Zeitpunkt der Information von Betroffenen

Bei der direkten Erhebung von Daten beim Betroffenen

Grundsätzlich gilt, dass spätestens zum Zeitpunkt der Datenerhebung ein Verantwortlicher seine Informationspflichten gegenüber der betroffenen Person erfüllen muss. Die Form der Darstellung der Informationen wird ebenfalls von der DSGVO vorgegeben. Art. 12 Abs.  1 DSGVO enthält allgemeine Vorgaben über geeignete Maßnahmen, um die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Hinsichtlich der Umsetzung dieses „Gebots leichter Zugänglichkeit“ im Alltag kann auf die konkrete Datenverarbeitung abgestellt werden. Informationspflichten sollen daher ohne Medienbruch oder situationsgerecht in abgestufter Form (mit Medienbruch) erfüllt werden.

Der Europäische Datenschutzausschuss (EDSA) hat eine abgestufte Information für zulässig anerkannt. Danach müssen im ersten Schritt immer die Informationen zur Identität des Verantwortlichen und zu den Zwecken der Verarbeitung angegeben werden. Soweit diese Informationen ohnehin schon offenkundig sind, kann dieser Schritt entfallen (z. B. bei einem Anruf zu einer Terminvereinbarung mit dem Friseur oder Steuerberater). Je nach Art des Kontakts mit der betroffenen Person ist zusätzlich noch auf das Bestehen der Betroffenenrechte hinzuweisen, z. B. in Werbeschreiben.

In einem zweiten Schritt müssen dann alle Informationen nach Art. 13 bzw. Art. 14 DSGVO für die betroffene Person erteilt werden. In der Praxis kann das z. B. per Link zu der entsprechenden Website geschehen. Möglich ist auch das Bereithalten eines dementsprechenden Informationsblattes, das jederzeit ausgehändigt bzw. übergeben oder zugesandt werden kann.

Wenn die Erhebung nicht direkt bei dem Betroffenen erfolgt

Hinsichtlich des Zeitpunkts der Informierung ergibt sich hier die Besonderheit, dass diese zeitlich und sachlich nicht mit der Datenerhebung verbunden ist. Insofern wird dem Verantwortlichen ein beachtlicher Spielraum eröffnet. Dieser hat – unter Berücksichtigung der Umstände des Einzelfalls – bis zu einem Monat Zeit, seinen Informationspflichten nachzukommen. Werden die personenbezogenen Daten jedoch zur Kommunikation mit der betroffenen Person verwendet oder sollen die Daten einem anderen Empfänger offengelegt werden, muss der Betroffene spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung informiert werden.

Regelungen für beide Fälle bei etwaigen Zweckänderungen

Wie bereits erwähnt, muss sich der Verantwortliche gemäß Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO auch an dem Grundsatz der Zweckbindung orientieren. Danach bedarf jede Erhebung personenbezogener Daten einen festgelegten und eindeutigen Zweck. Beabsichtigt ein Verantwortlicher die personenbezogenen Daten für einen anderen und ursprünglich nicht festgelegten Zweck weiterzuverarbeiten, hat er zuvor die betroffenen Personen zu informieren und über alle Details zum neuen Zweck und allen weiteren maßgeblichen Informationen zu unterrichten.

Ausnahmen zu den Informationspflichten

Ausnahmen von den Informationspflichten regeln Art. 13 Abs. 4 und Art. 14 Abs. 5 lit. a DSGVO. Demnach entfällt die Pflicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Gemäß Art. 14 Abs. 5 lit. b-d DSGVO liegt ein Ausschlusstatbestand auch vor, wenn sich die Erteilung dieser Informationen als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Ein unverhältnismäßiger Mitteilungsaufwand kann sich daraus ergeben, dass von einer Datenerhebung zahlreiche Personen betroffen sind, deren Interessen hierdurch jeweils nur in geringfügigem Ausmaß beeinträchtigt werden. Ebenso entfällt eine Informationspflicht, wenn die Erhebung oder Offenlegung bestimmter Daten durch ein Gesetz ausdrücklich geregelt wird oder dem Berufsgeheimnis unterliegt.

Folgen eines Verstoßes gegen die Pflichten zur Information

Teilt der Verantwortliche der betroffenen Person zum erforderlichen Zeitpunkt die in Art. 13 und 14 DSGVO vorhergesehenen Informationen nicht mit, so stellt dies eine Pflichtverletzung dar, die eine Geldbuße zur Folge haben kann. Jedoch muss es nicht allein bei einer finanziellen Sanktion verbleiben. Es ist nicht unwahrscheinlich, dass sich ein Verstoß gegen die Informationspflicht auch auf die Rechtmäßigkeit der Datenverarbeitung auswirkt. Im besten Fall – wenn die betroffene Person zur Duldung oder an der Mitwirkung der Datenerhebung verpflichtet war – kann die unterlassene Mitteilung nachgeholt werden. In diesen Fällen bleibt die bereits erfolgte Datenerhebung rechtmäßig und wirkt sich nicht auf die verarbeiteten Daten.

Hing die Datenerhebung jedoch vom Willen der betroffenen Person ab und konnte diese mangels rechtzeitiger Information in die Datenerhebung und Datenverarbeitung nicht einwilligen, liegt eine doppelte Rechtswidrigkeit vor. Zum einen ist die Datenerhebung rechtswidrig erfolgt, zum anderen ist eine weitere Verarbeitung der Daten ebenfalls rechtswidrig. Dies hat zur Folge, dass die unrechtmäßig erhobenen und verarbeiteten Daten gelöscht werden müssen.

Fazit: Informationspflichten sind zwingend zu erfüllen

Durch die Erstellung von geeigneten Informationsschreiben wird eine umfassende Unterrichtung der betroffenen Personen im Rahmen der Erhebung ihrer personenbezogenen Daten ermöglicht. Dies ist Voraussetzung für eine rechtmäßige Erhebung und Verarbeitung personenbezogener Daten durch Verantwortliche, unabhängig davon, ob die Daten bei dem Betroffenen selbst oder bei Dritten erhoben werden. Kommt ein Verantwortlicher dieser Pflicht nicht nach, riskiert er ein Bußgeld sowie den Verlust aller verarbeiteten Daten.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.