Informationspflichten
Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person, Artikel 12 DSGVO
Nach Artikel 12 Absatz 1 und 2 DSGVO hat der Verantwortliche der betroffenen Person unter anderem »die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22« zu »erleichtern« und »Informationen über die (…) ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung« zu stellen.
Zur Gewährleistung der Rechte der betroffenen Person sind beim Verantwortlichen organisatorische Maßnahmen vorab festzulegen, zum Beispiel:
- Wer ist innerhalb des Verantwortlichen zuständig, wenn eine betroffene Person ihre Rechte geltend macht?
- In welcher Frist soll das Anliegen des Betroffenen weitergeleitet und bearbeitet werden (beachte: Monatsfrist nach Datenschutz-Grundverordnung für die Antwort)?
- In welcher Form soll das Anliegen weitergeleitet werden (Stichwort: Geheimhaltung, Vertraulichkeit)?
- Wer sind die Ansprechpartner für verschiedene Datenverarbeitungssysteme (um beispielsweise in einer Bündelungsbehörde wie einem Landratsamt den Auskunftsanspruch hinsichtlich aller gespeicherten Daten, gleich in welchem Amt, gewährleisten zu können)?
Beispiel: Ein europaweit agierendes Unternehmen mit Hauptsitz in Sachsen muss seine Informationen an die betroffenen Personen in der Sprache verfassen, die dem jeweiligen Adressaten und Zweck entspricht. Dies folgt auch aus dem Transparenzgebot von Artikel 5 Absatz 1 Buchstabe a DSGVO, beschränkt sich aber auf den Kreis typisierbarer (gemeinhin erwartbarer) betroffener Personen und deren Sprache. Gemeinhin muss also ein Verantwortlicher jene Sprache nutzen, die nach der Verkehrssitte, dem Geschäftsbereich oder dem Geschäftsmodell üblicherweise von den betroffenen Personen gesprochen wird.
Informationspflichten bei der Erhebung von personenbezogenen Daten, Artikel 13 und 14 DSGVO
Die Datenschutz-Grundverordnung sieht in den Artikeln 13 und 14 Informationspflichten des Verantwortlichen gegenüber der betroffenen Person vor. Dabei unterscheidet die Datenschutz-Grundverordnung danach, ob die Daten direkt bei der betroffenen Person oder bei einem Dritten erhoben werden.
Informationspflichten treffen den Verantwortlichen, der einer betroffenen Person unaufgefordert die Gelegenheit geben muss, die Informationen zur Verarbeitung ihrer personenbezogenen Daten zur Kenntnis nehmen zu können. Durch Informationspflichten soll die Transparenz geschaffen werden, die für die betroffene Person erkennbar macht, wer was wann und bei welcher Gelegenheit über sie erhebt, verarbeitet oder speichert.
Jedoch gibt es Ausnahmen von den Informationspflichten. So kann von der Information der betroffenen Person insbesondere abgesehen werden, wenn sie bereits über die Informationen verfügt. Davon kann ausgegangen werden, wenn der Informationsstand in Ausmaß, Klarheit und Genauigkeit den Informationen entspricht, die der Verantwortliche der betroffenen Person zur Verfügung stellen muss.
Weitere Einschränkungen der Informationsflicht ergeben sich im öffentlichen Bereich aus § 8 des Sächsischen Datenschutzdurchführungsgesetzes. So darf etwa der Verantwortliche bei der Erhebung personenbezogener Daten von der Information nach Artikel 14 Absatz 1 und 2 der Datenschutz-Grundverordnung absehen, soweit und solange die Weitergabe der Information die öffentliche Sicherheit gefährden würde oder dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten notwendig ist. Der Verantwortliche hat jedoch die Gründe zu dokumentieren, wenn er (zunächst) von einer Information absieht. Wenn sich die Informationserteilung auf die Übermittlung von Daten an Strafverfolgungsbehörden oder Nachrichtendienste bezieht, ist diesen vorab Gelegenheit zur Stellungnahme zu geben.
Werden die Daten direkt bei der betroffenen Person erhoben, so sind dieser bereits zum Zeitpunkt der Erhebung im Wesentlichen folgende Angaben zu übermitteln:
- der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte.
In Sonderfällen sind weitere Angaben erforderlich, beispielsweise bei Datenübermittlungen in Drittländer.
Sollen die personenbezogenen Daten für einen anderen Zweck weiterverarbeitet werden als den, für den sie erhoben wurden, so sind der betroffenen Person vor der Weiterverarbeitung die Informationen nach Artikel 13 Absatz 3 DSGVO zur Verfügung zu stellen.
Das »Mitteilen« der Informationen nach Artikel 13 DSGVO durch den Verantwortlichen an die betroffene Person setzt kein aktives Vermitteln (gar gegen Unterschriftsleistung) an die betroffene Person voraus. Es ist vielmehr als ein »zur Verfügung stellen« durch den Verantwortlichen zu verstehen. Dieser hat der betroffenen Person Gelegenheit zu geben, sich die Informationen durchzulesen. Der Verantwortliche muss dies »durch geeignete Maßnahmen« (Artikel 12 Absatz 1 der Datenschutz-Grundverordnung) sicherstellen, die sich gegenseitig ergänzen können. Solche Maßnahmen können etwa ein Aushang, ein Link in der Signatur einer E-Mail, ein Info-Blatt, eine Erklärung auf der Webseite oder ein Textteil im Vertrag sein. Entscheidend ist, dass die betroffene Person die Informationen nach Artikel 13 der Datenschutz-Grundverordnung leicht und einfach erlangen kann, wenn sie dies wünscht.
Bitte beachten Sie: All dies findet keine Anwendung, wenn und soweit die betroffene Person bereits über die geforderten Informationen verfügt, zum Beispiel indem der Verantwortliche sie durch ein Merkblatt bereits informiert hat.
Wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden, richten sich die Informationspflichten nach Artikel 14 DSGVO. Danach hat der Verantwortliche der betroffenen Person folgende Informationen mitzuteilen:
- der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
- wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte;
- welche Daten oder Datenkategorien verarbeitet werden sowie
10. aus welcher Quelle die personenbezogenen Daten stammen.
Ist beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, sind nach Artikel 14 Absatz 4 DSGVO unter anderem die Informationen über den anderen Zweck mitzuteilen.
Die oben beschriebenen Informationspflichten finden jedoch keine Anwendung, wenn und soweit die betroffene Person bereits über die aufgeführten Informationen verfügt, zum Beispiel indem Sie als Verantwortlicher die betroffene Person durch ein Merkblatt aufgeklärt haben, oder wenn der betroffenen Person die Informationen nicht erteilt werden können oder wenn die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen Sie als Verantwortlicher unterliegen und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder wenn die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht Deutschlands oder Sachsens dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.
Bei der Erhebung bei der betroffenen Person müssen die Informationspflichten bereits bei der Erhebung der Daten erfüllt werden. Werden die Informationen aus dritter Quelle erhoben, muss der für die Verarbeitung Verantwortliche seiner Informationenpflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung der Daten innerhalb einer angemessenen Frist nach Erlangung der Daten, längstens jedoch innerhalb eines Monats, nachkommen. Falls die Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist der Informationspflicht spätestens zum Zeitpunkt der ersten Mitteilung nachzukommen. Ist eine Weitergabe an einen anderen Empfänger beabsichtigt, ist die betroffene Person spätestens bei Weitergabe in Kenntnis zu setzen.
Die Übermittlung der Informationen hat unentgeltlich und schriftlich oder in anderer Form, gegebenenfalls in elektronischer Form, zu erfolgen. Die Information kann zum Beispiel auf einer Webseite bereitgestellt werden, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für Situationen, in denen die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erhoben werden (siehe Erwägungsgrund 60). Zum Beispiel ist dies bei der Videoüberwachung der Fall. Die Grundverordnung sieht unter anderem vor, dass die Informationen auch in Kombination mit standardisierten Bildsymbolen bereitgestellt werden können, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie nach der Datenschutz-Grundverordnung jedoch maschinell lesbar sein.
Der Verantwortliche hat sicherzustellen, dass die Information nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Als datenschutzfreundlichste Variante wird in Erwägungsgrund 63 Satz 4 der Datenschutz-Grundverordnung ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System bezeichnet.
Das unten aufgeführte Merkblatt gibt praktische Hinweise zur Erfüllung der Informationspflichten nach den Artikeln 13 und 14 der Datenschutz-Grundverordnung und enthält Musterformulare für verschiedene Fallkonstellationen mit entsprechenden Ausfüllhinweisen. Die Formulare stehen auch einzeln als Word-Dokumente zum Download bereit.
In der Regel nicht. Behörden erlangen personenbezogene Daten ausschließlich auf gesetzlicher Grundlage, entweder im Wege des zielgerichteten Beschaffens (Erheben) oder als »Beifang« (Erlangen). In beiden Fällen kommt in der Regel die Ausnahmevorschrift des Artikel 14 Absatz 5 Buchstabe c DSGVO zum Tragen: Die Informationspflichten nach Artikel 14 Absatz 1 bis 3 DSGVO finden keine Anwendung, wenn die Erlangung der Daten durch EU-, deutsche oder sächsische Rechtsvorschriften ausdrücklich geregelt ist und diese Rechtsvorschriften geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen. Das ist in der Regel bei Rechtsvorschriften, die die Tätigkeit von Behörden regeln, der Fall. Daher braucht eine Behörde in der Regel keine Informationspflichten nach Artikel 14 Absatz 1 bis 3 DSGVO zu erfüllen.
Beispiel:
Der Sächsische Rechnungshof (SRH) erhebt zu Kontrollzwecken – manchmal als bloßen »Beifang«, manchmal zielgerichtet – viele personenbezogene Daten bei anderen Behörden oder sogar Privaten. Seine Rechtsgrundlage hierfür sind die §§ 88 ff. Sächsische Haushaltsordnung, die ihm die Erhebung solcher Daten zu Prüfungszwecken erlaubt. In diesem Fall kommt die Ausnahmeregelung des Artikel 14 Absatz 5 Buchstabe c DSGVO zur Anwendung: Die Erlangung der personenbezogenen Daten durch den Sächsischen Rechnungshof ist durch EU-, deutsche oder sächsische Rechtsvorschriften, hier unter anderem durch die §§ 88 ff. Sächsische Haushaltsordnung, ausdrücklich geregelt; diese Rechtsvorschriften sehen auch geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vor, hier unter anderem § 12 Rechnungshofgesetz (Beratungsgeheimnis).
Weitere Informationen
- Kurzpapier: Informationspflichten bei Dritt- und Direkterhebung (PDF-Datei auf der Website der Datenschutzkonferenz)
- Merkblatt Informationspflichten von öffentlichen Stellen nach Artikel 13 und 14 Datenschutz-Grundverordnung (*.pdf, 0,12 MB)
- Formular 1 Informationspflichten – Information betroffener Personen über die Verarbeitung personenbezogener Daten, wenn die Daten bei der betroffenen Person erhoben werden (Artikel 13 DSGVO) (*.docx, 58,21 KB) siehe Merkblatt Ziffer 1 Fallgruppe 1
- Formular 2 Informationspflichten – Information betroffener Personen über die Verarbeitung personenbezogener Daten, wenn die Daten nicht bei der betroffenen Person erhoben werden (Artikel 14 DSGVO) (*.docx, 55,17 KB) siehe Merkblatt Ziffer 1 Fallgruppe 2
- Formular 3 Informationspflichten – Information betroffener Personen über die Verarbeitung personenbezogener Daten, wenn die Daten zu einem anderen Zweck weiterverarbeitet werden sollen (Artikel 13 Absatz 3, 14 Absatz 4 DSGVO) (*.docx, 56,26 KB) siehe Merkblatt Ziffer 1 Fallgruppe 3
- Formular 4 Informationspflichten – Information betroffener Personen, wenn bei der ersten Erhebung abzusehen ist, dass Daten sowohl bei der betroffenen Person als auch bei anderen Stellen erhoben werden (Artikel 13 Absatz 1 und 2, 14 Absatz 1 und 2 DSGVO) (*.docx, 57,10 KB)