Die Informationspflicht der DSGVO bei der Direkt- und Dritterhebung

Die Informationspflicht aus Art. 13 zusammen mit Art. 14 Datenschutzgrundverordnung (DSGVO) sind Hauptvoraussetzungen einer rechtmäßigen und transparenten Verarbeitung personenbezogener Daten. Nur mit den in diesen Regelungen vorgegebenen Informationen hat der Betroffene die Möglichkeit, ausreichende Kenntnis über die Verarbeitung seiner Daten zu erhalten und eine entsprechende Einschätzung vornehmen zu können. Von der Vollständigkeit der Informationen hängt die Legitimität der Einwilligung des Betroffenen ab. Dabei unterscheidet der Gesetzgeber ob die personenbezogenen Daten bei der betroffenen Person (Direkterhebung Art. 13 DSGVO) oder bei einem Dritten (Dritterhebung, Art. 14 DSGVO) erhoben werden.

Ein Verstoß gegen die auferlegten Informationspflicht führt zu Sanktionen der Aufsichtsbehörde gegen den Verantwortlichen und einer Geldbuße. Die betroffene Person kann zudem einen Anspruch auf Schadensersatz geltend machen.

Informationspflicht nach Art. 13 DSGVO (Direkterhebung)

 Werden bei der betroffenen Person Daten erhoben, ist der Verantwortliche verpflichtet, die folgenden Informationen dem Betroffenen offenzulegen:

  • Namen und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden);
  • den oder die Zwecke für die Verarbeitung der personenbezogenen Daten und die Rechtsgrundlage für die Verarbeitung;
  • das berechtigte Interesse, wenn sich die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten stützt (Art. 6 Abs. 1 lit. f DSGVO);
  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
  • die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Ebenso die Information, ob ein Angemessenheitsbeschluss der Kommission vorhanden ist oder nicht (fehlt dieser, muss auf geeignete oder angemessene Garantien verwiesen werden und die Möglichkeit, eine Kopie zu erhalten, oder wo sie verfügbar sind).

Weitere Informationen sollen die rechtmäßige und transparente Verarbeitung der personenbezogenen Daten fördern:

  • die Dauer der Speicherung, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer;
  • das Recht des Betroffenen auf Auskunft, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit;
  • das Recht, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der Verarbeitung aufgrund der Einwilligung bis zum Widerruf berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • die mögliche gesetzliche oder vertragliche Verpflichtung des Verantwortlichen, personenbezogene Daten Dritten bereitzustellen und die möglichen Folgen der Nichtbereitstellung
  • bei Bestehen einer automatisierten Entscheidungsfindung (einschließlich Profiling) aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Diese Informationen müssen der betroffenen Person bei der Erhebung mitgeteilt werden.

Informationspflicht nach Art. 14 DSGVO (Dritterhebung)

Inhaltlich hat der Verantwortliche grundsätzlich die gleichen Informationen herauszugeben, wie bei einer Direkterhebung.

Der Unterschied besteht darin, dass Dritte keinerlei Kenntnis über die Datenerhebung haben, da sie bei der Erhebung nicht mitgewirkt haben.

  • Der Verantwortliche ist daher verpflichtet, die Kategorien der verarbeiteten personenbezogenen Daten konkret und eindeutig mitzuteilen. Es muss für den Betroffenen erkennbar sein, welche Folgen die Verarbeitung haben kann. Dadurch kann der Betroffene sich überlegen, ob er von seinem Auskunftsrecht Gebrauch machen möchte.
  • Der Verantwortliche muss zusätzlich die Datenquelle angeben und, ob es sich dabei um eine öffentlich zugängliche Quelle handelt. Es muss mindestens eine allgemeine Information gegeben werden, selbst wenn es sich um mehrere Quellen handelt und die Herkunft unbekannt ist.

Angaben über berechtigte Interessen des Verantwortlichen oder eines Dritten fallen nicht, wie bei der Direkterhebung, unter Abs. 1, sondern müssen im Rahmen der zusätzlichen Informationen zur Verfügung gestellt werden.

Bei der Dritterhebung müssen diese Informationen nachträglich mitgeteilt werden. Die Frist dafür kann selbst bemessen werden, sollte aber einen Monat nicht überschreiten.

Was ist weiter zu beachten?

Bei einer Zweckänderung müssen in beiden Fällen die Informationspflichten erneut erfüllt werden. Da die Übermittlung an einen Dritten bereits zur Zweckänderung führen kann, ist es ratsam, die betroffene Person bereits vor der Übermittlung darüber zu informieren. Genauso muss jeder neue Empfänger gegenüber der betroffenen Person offengelegt werden.

Die Informationen müssen in „präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache“ übermittelt werden (Art. 12 Abs 1 DSGVO). Die Informationen sind schriftlich oder in anderer Form, ggf. auch elektronisch zur Verfügung zu stellen. Ist die Information elektronisch verfügbar, muss sie leicht auffindbar sein. Dies bedeutet ebenfalls, dass die Informationen zum Zeitpunkt der Erhebung verfügbar sein müssen. Es kann also zum Beispiel nicht auf Informationen im Internet verwiesen werden, wenn die Daten bei einer anwesenden Person erhoben werden. Das gilt ebenso bei einer schriftlichen Korrespondenz.

Weiter ist die Nachweispflicht des Verantwortlichen nicht zu vernachlässigen.

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.