• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Start » Lexikon » Informationspflichten

Wissenswertes

Lexikon

Informationspflichten

Art. 13, 14 DSGVO

Der Grundsatz der Direkterhebung (Direkterhebungsgrundsatz) wie er unter alter Rechtslage in § 4 Abs. 2 BDSG (alt) normiert war, hat keine ausdrückliche Regelung in der DSGVO erhalten. Dafür hat der Gesetzgeber mit Art. 13,14 DSGVO Rechtsgrundlagen geschaffen, die den Verantwortlichen dazu verpflichten, betroffene Personen umfassend darüber zu informieren, wie das Unternehmen personenbezogene Daten verarbeitet. Ziel dieser Regelungen ist es, die Datenverarbeitung transparent zu gestalten.

Hierbei unterscheidet der Gesetzgeber noch einmal, ob die personenbezogenen Daten direkt beim Betroffenen erhoben wurden oder ob der Verantwortliche die Daten aus anderen Quellen erhalten hat.

Erhebt der Verantwortliche die personenbezogenen Daten direkt beim Betroffenen, ist der Verantwortliche gem. Art. 13 DSGVO dazu verpflichtet, zum Zeitpunkt der Erhebung folgende Informationen mitzuteilen:

  • Verantwortlicher (Name und Kontaktdaten)
  • Ggf. Kontaktdaten des Datenschutzbeauftragten
  • Zwecke und Rechtsgrundlage: Wofür erfolgt die Verarbeitung? Was ist der Erlaubnistatbestand?
  • Wenn Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO zutrifft, muss das berechtigte Interesse genannt werden
  • Empfänger (interne und externe Stellen)
  • Drittstaatstransfer (Offenlegung von Verarbeitungsabsicht außerhalb der EU)

Des Weiteren muss der Verantwortliche zum Zeitpunkt der Erhebung folgende Informationen zur Verfügung stellen:

  • Speicherdauer (gesetzliche Fristen oder betriebliche Erfordernisse)
  • Betroffenenrechte (Artt. 15 – 21 DSGVO)
  • Bei Erlaubnistatbestand Einwilligung: Recht auf jederzeitigen Widerruf
  • Beschwerderecht bei einer Aufsichtsbehörde
  • Ggf. Verpflichtung des Verantwortlichen zur Bereitstellung von Daten (gesetzlich oder vertraglich) oder mögliche Folgen (Nichtbereitstellungspflicht)
  • Ggf. automatisierte Entscheidungsfindung, z. B. Profiling (Art. 4 Nr. 4 DSGVO) für die Kreditgewährung, plus Informationen über die involvierte Logik, Tragweite und Auswirkung für Betroffene

Die Informationspflicht entfällt dann, wenn die betroffene Person bereits über die Informationen verfügt.

Bezieht der Verantwortliche die personenbezogenen Daten aus anderen Quellen und somit nicht vom Betroffenen, ist der Verantwortliche gem. Art. 14 DSGVO dazu verpflichtet, folgende Informationen innerhalb maximal eines Monats zur Verfügung zu stellen:

  • Den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters;
  • Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  • ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln.

Des Weiteren muss der Verantwortliche zum Zeitpunkt der Erhebung folgende Informationen zur Verfügung stellen:

  • Die Speicherdauer;
  • wenn Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO zutrifft, muss das berechtigte Interesse genannt werden;
  • Betroffenenrechte;
  • bei Erlaubnistatbestand Einwilligung: Recht auf jederzeitigen Widerruf;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Die Informationspflicht des Verantwortlichen nach Art. 14 DSGVO entfällt gemäß Art. 14 Abs. 5 DSGVO, wenn

  • die Betroffenen Personen bereits über die Informationen verfügen;
  • sich die Erteilung der Informationen als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde;
  • die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, ausdrücklich geregelt ist;
  • personenbezogene Daten wegen dem Berufsgeheimnis der Geheimhaltungspflicht unterliegen.