Beiträge

​Infor­ma­ti­ons­pflich­ten bei Daten­er­he­bung und -ver­ar­bei­tung sind fester Bestand­teil des Daten­schutz­rechts. Mit der EU-Daten­schutz-Grund­ver­ord­nung (DSGVO) ver­viel­fa­chen sich jedoch die von Unter­neh­men und Ver­ant­wort­li­chen zu berück­sich­ti­gen­den Pflich­ten in Bezug auf die Infor­ma­ti­on von Betrof­fe­nen. Die­ser Arti­kel stellt die Neue­run­gen zur EU-Daten­schutz-Grund­ver­ord­nung dar.

Was sind Infor­ma­ti­ons­pflich­ten?

Ein ele­men­ta­rer Grund­satz des Daten­schutz­rech­tes ist die Trans­pa­renz. Betrof­fe­ne sol­len in die Lage ver­setzt wer­den, die Daten­er­he­bung, -ver­ar­bei­tung bzw. -nut­zung zu prü­fen oder, wie es das Bun­des­ver­fas­sungs­ge­richt aus­ge­drückt hat, wis­sen

wer was wann und bei wel­cher Gele­gen­heit über sie weiß.“

Die­ser Grund­satz kann nur dann gewähr­lei­stet wer­den, wenn Unter­neh­men und Ver­ant­wort­li­che aus­rei­chend über Daten­ver­ar­bei­tungs­vor­gän­ge infor­mie­ren.

Wie ist die bis­he­ri­ge Rechts­la­ge?

Infor­ma­ti­ons­pflich­ten sind bis­lang im BDSG und z.T. auch in ande­ren Geset­zen gere­gelt. Wer­den per­so­nen­be­zo­ge­ne Daten direkt beim Betrof­fe­nen erho­ben, rich­ten sich die zu ertei­len­den Infor­ma­tio­nen nach § 4 Abs. 3 BDSG, bei der Erhe­bung ohne Kennt­nis des Betrof­fe­nen ist § 33 BDSG anzu­wen­den.

Außer­dem exi­stie­ren in eini­gen Berei­chen spe­zi­el­le Infor­ma­ti­ons­pflich­ten, wie etwa in § 13 Abs. 1 TMG für Anbie­ter von Tele­me­di­en, die in der Regel in Form von Daten­schutz­er­klä­run­gen auf Web­sites oder Apps umge­setzt wer­den.

Was ändert sich durch die Daten­schutz-Grund­ver­ord­nung?

Die Grund­ver­ord­nung regelt die Infor­ma­ti­ons­pflich­ten in den Art. 13 und 14 in zwei sehr umfang­rei­chen und über das bis­her Erfor­der­li­che hin­aus­ge­hen­den Kata­lo­gen. Ergän­zend dazu fin­den sich, in einer Viel­zahl der Erwä­gungs­grün­de der Daten­schutz-Grund­ver­ord­nung, Anmer­kun­gen und Hin­wei­se, wel­che den Grund­satz der fai­ren und trans­pa­ren­ten Ver­ar­bei­tung stets her­vor­he­ben.

Es wird unter­schie­den zwi­schen Infor­ma­ti­ons­pflich­ten bei der Erhe­bung per­so­nen­be­zo­ge­ner Daten bei dem Betrof­fe­nen (Art. 13 DSGVO) Infor­ma­ti­ons­pflich­ten, wenn die Erhe­bung nicht direkt bei dem Betrof­fe­nen erfolgt (Art. 14 DSGVO).

Wel­che Infor­ma­ti­ons­pflich­ten bestehen nach Art. 13 DSGVO?

Wer­den per­so­nen­be­zo­ge­ne Daten beim Betrof­fe­nen erho­ben, muss der Ver­ant­wort­li­che nach Art. 13 Abs. 1 DSGVO fol­gen­de Infor­ma­tio­nen mit­tei­len:

a) Iden­ti­tät des Ver­ant­wort­li­chen
Es ist über den Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen zu infor­mie­ren. Glei­ches gilt ggf. für Namen und Kon­takt­da­ten des Ver­tre­ters des Ver­ant­wort­li­chen nach Art. 27 DSGVO, wenn der Ver­ant­wort­li­che selbst nicht in der EU nie­der­ge­las­sen ist.

b) Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten
Neu ist auch die Ver­pflich­tung zur Mit­tei­lung der Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten des Ver­ant­wort­li­chen.

c) Ver­ar­bei­tungs­zwecke und Rechts­grund­la­ge
Der Ver­ant­wort­li­che muss auch über die Zwecke der Daten­ver­ar­bei­tung sowie über die Rechts­grund­la­ge der Ver­ar­bei­tung infor­mie­ren. Die­se neue Anfor­de­rung führt dazu, dass der Betrof­fe­ne dar­über auf­ge­klärt wird, auf wel­chen Erlaub­nis­tat­be­stand (sie­he Art. 6 DSGVO, z.B. Ein­wil­li­gung oder Erfül­lung eines Ver­tra­ges) der Ver­ant­wort­li­che die Daten­ver­ar­bei­tung stüt­zen möch­te.

d) Berech­tig­tes Inter­es­se
Soll­te die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zur Wah­rung berech­tig­ter Inter­es­sen des Ver­ant­wort­li­chen nach Art. 6 Abs. 1 f) DSGVO erfor­der­lich sein, bezie­hen sich die Infor­ma­ti­ons­pflich­ten auch auf eine Auf­klä­rung über die­se Inter­es­sen.

e) Emp­fän­ger
In allen Fäl­len, in denen per­so­nen­be­zo­ge­ne Daten über­mit­telt wer­den sol­len, sind die Betrof­fe­nen grund­sätz­lich über die kon­kre­ten Emp­fän­ger zu infor­mie­ren. Aus­nahms­wei­se reicht auch eine Infor­ma­ti­on über Kate­go­ri­en von Emp­fän­gern, wenn kon­kre­te Unter­neh­men noch nicht bezeich­net wer­den kön­nen.

f) Über­mitt­lung in Dritt­staa­ten
Soll­te der Ver­ant­wort­li­che eine Über­mitt­lung per­so­nen­be­zo­ge­ner Daten in Dritt­staa­ten beab­sich­ti­gen, ist dar­über eben­falls zu infor­mie­ren. Um die­se Pflicht zu erfül­len, ist mit­zu­tei­len, auf wel­cher beson­de­ren Bedin­gung nach Art. 44 ff. DSGVO die Über­mitt­lung beruht und wel­che Maß­nah­men ergrif­fen wur­den, um beim Emp­fän­ger ein ange­mes­se­nes Daten­schutz­ni­veau her­zu­stel­len. Wer­den z.B. EU-Stan­dard­ver­trags­klau­seln ver­wen­det, ist dem Betrof­fe­nen eine Ein­sicht­nah­me in das ent­spre­chen­de Doku­ment zu ermög­li­chen.

Nach Art. 13 Abs. 2 DSGVO muss der Ver­ant­wort­li­che dem Betrof­fe­nen dar­über hin­aus wei­te­re Infor­ma­tio­nen mit­tei­len, die ins­be­son­de­re not­wen­dig sind, um eine fai­re und trans­pa­ren­te Ver­ar­bei­tung zu gewähr­lei­sten:

a) Dau­er der Spei­che­rung
Es ist kon­kret anzu­ge­ben, für wie lan­ge per­so­nen­be­zo­ge­ne Daten gespei­chert wer­den. Nur aus­nahms­wei­se, wenn die Anga­be einer Kon­kre­ten Zeit­span­ne dem Ver­ant­wort­li­chen nicht mög­lich ist, rei­chen Kri­te­ri­en für die Fest­le­gung der end­gül­ti­gen Dau­er der Spei­che­rung aus.

b) Rech­te der Betrof­fe­nen
Die Betrof­fe­nen sind über ihre Rech­te auf Aus­kunft, Berich­ti­gung, Löschung, Ein­schrän­kung der Ver­ar­bei­tung, Wider­spruch gegen die Ver­ar­bei­tung sowie Daten­über­trag­bar­keit hin­zu­wei­sen, die sich aus den Art. 15 – 21 DSGVO erge­ben und hier behan­delt wer­den.

c) Wider­ruf­bar­keit von Ein­wil­li­gun­gen
Soweit die Ver­ar­bei­tung auf einer Ein­wil­li­gung des Betrof­fe­nen beruht, ist auch dar­auf geson­dert hin­zu­wei­sen. Die ent­spre­chen­de Infor­ma­ti­ons­pflicht ist nur erfüllt, wenn gleich­zei­tig dar­über auf­ge­klärt wird, dass die Ein­wil­li­gung jeder­zeit wider­ru­fen wer­den kann und die Daten­ver­ar­bei­tung bis zum Zeit­punkt des Wider­rufs recht­mä­ßig bleibt.

d) Beschwer­de­recht bei der Auf­sichts­be­hör­de
Der Betrof­fe­ne ist dar­über auf­zu­klä­ren, dass er sich gemäß Art. 77 DSGVO bei einer Auf­sichts­be­hör­de beschwe­ren kann, wenn er der Ansicht ist, dass die Ver­ar­bei­tung sei­ner per­so­nen­be­zo­ge­nen Daten rechts­wid­rig erfolgt.

e) Ver­pflich­tung zur Bereit­stel­lung per­so­nen­be­zo­ge­ner Daten
Der Ver­ant­wort­li­che muss den Betrof­fe­nen dar­über infor­mie­ren, ob die Bereit­stel­lung sei­ner per­so­nen­be­zo­ge­nen Daten gesetz­lich oder ver­trag­lich vor­ge­schrie­ben, für einen Ver­trags­schluss erfor­der­lich ist oder eine son­sti­ge Ver­pflich­tung besteht und wel­che Fol­gen eine Nicht­be­reit­stel­lung hät­te.

f) Auto­ma­ti­sier­te Ent­schei­dungs­fin­dung und Pro­filing
Sobald der Ver­ant­wort­li­che Ver­fah­ren der auto­ma­ti­sier­ten Ent­schei­dung nach Art. 22 DSGVO oder ande­re Pro­filing-Maß­nah­men nach Art. 4 Nr. DSGVO durch­führt, muss der Betrof­fe­ne über die beson­de­re Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen sol­cher Ver­fah­ren infor­miert wer­den. Die­se Infor­ma­ti­ons­pflicht erstreckt sich auf Anga­ben zu der dazu ver­wen­de­ten Logik oder des Algo­rith­mus.

Wel­che Infor­ma­ti­ons­pflich­ten bestehen nach Art. 14 DSGVO?

Wer­den per­so­nen­be­zo­ge­ne Daten nicht beim Betrof­fe­nen erho­ben, bestehen nach Art. 14 DSGVO für den Ver­ant­wort­li­chen nahe­zu die­sel­ben Infor­ma­ti­ons­pflich­ten, wie bei der Erhe­bung direkt beim Betrof­fe­nen.

Logi­scher­wei­se muss aller­dings hier der Betrof­fe­ne nicht über eine etwai­ge Ver­pflich­tung zur Bereit­stel­lung infor­miert wer­den, da er selbst nicht über die Bereit­stel­lung ent­schei­den kann.

Nach Art. 14 Abs. 2 f) DSGVO muss der Ver­ant­wort­li­che den Betrof­fe­nen jedoch dar­über auf­klä­ren, aus wel­cher Quel­le die per­so­nen­be­zo­ge­nen Daten stam­men und ob es sich dabei um eine öffent­lich zugäng­li­che Quel­le han­delt.

In wel­cher Form müs­sen die Infor­ma­tio­nen bereit­ge­stellt wer­den?

Nach Art. 12 DSGVO sind die oben dar­ge­stell­ten Infor­ma­tio­nen in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form zu ertei­len. Dabei kön­nen sie schrift­lich oder in elek­tro­ni­scher Form an den Betrof­fe­nen über­mit­telt wer­den.

Es wird expli­zit erwähnt, dass dafür auch sog. stan­dar­di­sier­te Bild­sym­bo­len ver­wen­det wer­den kön­nen, um in leicht wahr­nehm­ba­rer, ver­ständ­li­cher und klar nach­voll­zieh­ba­rer Form einen aus­sa­ge­kräf­ti­gen Über­blick über die beab­sich­tig­te Ver­ar­bei­tung zu ver­mit­teln. Anders als im BDSG wird es in der Daten­schutz-Grund­ver­ord­nung beson­de­re Anfor­de­run­gen an die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von Kin­dern geben. In die­sem Fal­le soll­ten nach Erwä­gungs­grund 58 der DSGVO auf­grund der beson­de­ren Schutz­wür­dig­keit von Kin­dern Infor­ma­tio­nen und Hin­wei­se in einer der­ge­stalt kla­ren und ein­fa­chen Spra­che erfol­gen, dass ein Kind sie ver­ste­hen kann.

Wann muss der Betrof­fe­ne infor­miert wer­den?

Bei der Direkt­er­he­bung muss der Betrof­fe­ne nach Art. 13 Abs. 1 DSGVO zum Zeit­punkt der Erhe­bung infor­miert wer­den.
Wer­den die Daten nicht beim Betrof­fe­nen erho­ben, muss der Ver­ant­wort­li­che die Infor­ma­tio­nen nach Art. 14 Abs. 3 DSGVO grund­sätz­lich inner­halb einer ange­mes­se­nen Frist, spä­te­stens jedoch nach einem Monat ertei­len. Wer­den die Daten aller­dings zur Kom­mu­ni­ka­ti­on mit dem Betrof­fe­nen ver­wen­det oder sol­len an einen Emp­fän­ger über­mit­telt wer­den, ist die Infor­ma­ti­on zwin­gend zum Zeit­punkt der Kon­takt­auf­nah­me oder ersten Über­mitt­lung vor­zu­neh­men.

Kann die Infor­ma­ti­ons­pflicht ein­ge­schränkt sein?

Bei der Direkt­er­he­bung kann nach Art. 13 Abs. 4 DSGVO auf die Infor­ma­ti­on des Betrof­fe­nen nur dann ver­zich­tet wer­den, wenn die­ser bereits infor­miert wur­de.

Soweit die Daten nicht beim Betrof­fe­nen erho­ben wer­den, sind die Infor­ma­ti­ons­pflich­ten gemäß Art. 14 Abs. 5 DSGVO in drei wei­te­ren Fäl­len ent­behr­lich:

  • Die Infor­ma­ti­on ist unmög­lich oder unver­hält­nis­mä­ßig auf­wen­dig.
  • Die Erhe­bung oder Über­mitt­lung ist gesetz­lich vor­ge­schrie­ben.
  • Es besteht ein Berufs­ge­heim­nis oder eine son­sti­ge sat­zungs­mä­ßi­ge Geheim­hal­tungs­pflicht.

Ins­ge­samt lässt sich fest­hal­ten, dass die Fäl­le, in denen auf eine Infor­ma­ti­on des Betrof­fe­nen ver­zich­tet wer­den kann, im Gegen­satz zum BDSG ein­ge­schränkt wer­den.

Fol­ge bei Ver­stö­ßen gegen die Infor­ma­ti­ons­pflicht?

Wenn Ver­ant­wort­li­che ihren Infor­ma­ti­ons­pflich­ten nicht nach­kom­men, droht gemäß Art. 83 Abs. 5 b DSGVO ein Buß­geld. Der euro­päi­sche Gesetz­ge­ber sieht die Gewähr­lei­stung einer fai­ren und trans­pa­ren­ten Daten­ver­ar­bei­tung mit Hil­fe umfas­sen­der Infor­ma­ti­on als ele­men­tar an und bedroht Ver­stö­ße in die­sen Fäl­len mit dem hohen Buß­geld­rah­men, der Buß­gel­der bis zu 20.000.000 EUR oder 4% des Jah­res­um­sat­zes vor­sieht.

Wel­che Vor­ge­hens­wei­se wäre emp­feh­lens­wert?

Ver­ant­wort­li­che soll­ten nun früh­zei­tig begin­nen, die neu­en Infor­ma­ti­ons­pflich­ten umzu­set­zen und die wei­te­ren Anfor­de­run­gen an Form und Zeit­punkt der Mit­tei­lung zu beach­ten.