Informationspflicht des Verantwortlichen, Teil 1
Die DSGVO regelt eine Reihe von Mitteilungs- und Informationspflichten für den Verantwortlichen zum Schutz der Rechte der betroffenen Personen. Im Rahmen unserer Tätigkeit als Datenschutzdienstleister bzw Datenschutzbeauftragter sind wir des öfteren in die Planung und Umsetzung von Maßnahmen zur Erfüllung der datenschutzrechtlichen Informationspflichten eingebunden. In der mehrteiligen Artikelserie „Informationspflichten des Verantwortlichen“ setzen wir uns für Sie mit den erforderlichen Inhalten zur rechtskonformen Umsetzung der Informationspflichten in verschiedenen Verarbeitungsszenarien auseinander.
Informationspflicht – Die Rechtsgrundlage
Die Informationspflicht des Verantwortlichen wird als Recht des Betroffenen im Kapitel III der DSGVO geregelt. Dort heißt es unter anderem:
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. (Art 12 Abs 1 DSGVO)
Artikel 13 und 14 betreffen die Informationspflicht bei der Erhebung von personenbezogenen Daten bei bzw nicht bei der Person. Artikel 15 bis 22 beziehen sich auf einzelne Betroffenenrechte wie das Auskunfts-, Berichtigungs-, Löschungs- und Verarbeitungseinschränkungsrecht, einschließlich damit verbundener Mitteilungspflichten des Verantwortlichen, die Rechte auf Datenübertragbarkeit und Widerspruch sowie das Recht des Betroffenen nicht ausschließlich einer automatisierten Verarbeitung unterworfen zu werden. Art 34 DSGVO beschreibt die Informationspflichten gegenüber dem Betroffenen bei Datenschutzverletzungen.
Im Teil 1 widme ich mich der DSGVO-Informationspflicht bei der Erhebung von Daten direkt beim Betroffenen. Für diesen Fall hat der Verantwortliche dem Betroffenen beim Zeitpunkt der Erhebung nachfolgende Daten mitzuteilen:
Informationspflicht bei der
Erhebung von Daten direkt beim Betroffenen
Bei der Erhebung von Daten direkt beim Betroffenen hat der Verantwortliche nachfolgende Daten zur Verfügung zu stellen.
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- wenn die Verarbeitung zur Wahrung der überwiegenden berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Anmerkung: In diesem Fall sind noch weitere Aspekte zu beachten.
Um eine faire und transparente Verarbeitung zu gewährleisten, muss der Verantwortliche dem Betroffenen noch weitere Informationen zur Verfügung stellen:
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- wenn die Verarbeitung auf Grund einer Einwilligung des Betroffenen beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Beabsichtigt der Verantwortliche zB zu einem späteren Zeitpunkt die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, so hat er den Betroffenen vor der Weiterverarbeitung über den neuen Zweck und alle anderen maßgeblichen Umstände zu informieren.
Die Informationspflicht entfällt, wenn die betroffene Person bereits über die Information verfügt.