Information zur DSGVO

Seit dem 25. Mai 2018 gilt in allen Mitgliedstaaten der Europäischen Union ein neues Datenschutzrecht. Mit der Europäischen Datenschutzgrundverordnung (DSGVO) soll sichergestellt werden, dass in allen Mitgliedstaaten der EU derselbe Datenschutzstandard besteht. Die DSGVO enthält Möglichkeiten für die Mitgliedstaaten, durch nationale Gesetze einige Bestimmungen zu aktualisieren.

Es wird unterschieden zwischen Informationspflichten bei der Erhebung personenbezogener Daten bei dem Betroffenen (Art. 13 DSGVO) Informationspflichten, bzw. wenn die Erhebung nicht direkt bei dem Betroffenen erfolgt (Art. 14 DSGVO).

Welche Informationspflichten bestehen nach Art. 13 DSGVO?

Werden personenbezogene Daten beim Betroffenen erhoben, muss der Verantwortliche nach Art. 13 Abs. 1 DSGVO folgende Informationen mitteilen:
a) Identität des Verantwortlichen
b) Kontaktdaten des Datenschutzbeauftragten
c) Verarbeitungszwecke und Rechtsgrundlage
d) Berechtigtes Interesse
e) Empfänger
f) Übermittlung in Drittstaaten
g) Dauer der Speicherung
h) Rechte der Betroffenen
i) Widerrufbarkeit von Einwilligungen
j) Beschwerderecht bei der Aufsichtsbehörde
k) Verpflichtung zur Bereitstellung personenbezogener Daten
l) Automatisierte Entscheidungsfindung und Profiling

Welche Informationspflichten bestehen nach Art. 14 DSGVO?
Werden personenbezogene Daten nicht beim Betroffenen erhoben, bestehen nach Art. 14 DSGVO für den Verantwortlichen nahezu dieselben Informationspflichten, wie bei der Erhebung direkt beim Betroffenen. Logischerweise muss allerdings hier der Betroffene nicht über eine etwaige Verpflichtung zur Bereitstellung informiert werden, da er selbst nicht über die Bereitstellung entscheiden kann. Nach Art. 14 Abs. 2 f) DSGVO muss der Verantwortliche den Betroffenen jedoch darüber aufklären, aus welcher Quelle die personenbezogenen Daten stammen und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.

In welcher Form müssen die Informationen bereitgestellt werden?
Nach Art. 12 DSGVO sind die oben dargestellten Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen. Dabei können sie schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden.

Wann muss der Betroffene informiert werden?
Bei der Direkterhebung muss der Betroffene nach Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung informiert werden.
Werden die Daten nicht beim Betroffenen erhoben, muss der Verantwortliche die Informationen nach Art. 14 Abs. 3 DSGVO grundsätzlich innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen. Werden die Daten allerdings zur Kommunikation mit dem Betroffenen verwendet oder sollen an einen Empfänger übermittelt werden, ist die Information zwingend zum Zeitpunkt der Kontaktaufnahme oder ersten Übermittlung vorzunehmen.

Kann die Informationspflicht eingeschränkt sein?
Bei der Direkterhebung kann nach Art. 13 Abs. 4 DSGVO auf die Information des Betroffenen nur dann verzichtet werden, wenn dieser bereits informiert wurde.
Soweit die Daten nicht beim Betroffenen erhoben werden, sind die Informationspflichten gemäß Art. 14 Abs. 5 DSGVO in drei weiteren Fällen entbehrlich:
• Die Information ist unmöglich oder unverhältnismäßig aufwendig.
• Die Erhebung oder Übermittlung ist gesetzlich vorgeschrieben.
• Es besteht ein Berufsgeheimnis oder eine sonstige satzungsmäßige Geheimhaltungspflicht.

Was passiert bei Verstößen gegen die Informationspflicht?
Wenn Verantwortliche ihren Informationspflichten nicht nachkommen, droht gemäß Art. 83 Abs. 5 b DSGVO ein Bußgeld.