Die Informationspflichten sind für die Ausübung der Betroffenenrechte (vgl. Art. 15 ff. DS-GVO) unabdingbar. Nur wenn die betroffene Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese Rechte auch ausüben. Die Informationspflichten sind immer dann zu beachten, wenn personenbezogene Daten verarbeitet werden: Web-Site, Call Center Anruf, Werbung, Preisausschreiben, Videoüberwachung u.v.m. .
1 Folgen eines Verstoßes
Ein Verstoß gegen die aufgezeigten Informationspflichten wird mit einer Geldbuße von bis zu 20.000.000 € oder von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher der Beträge höher ist, bestraft.
2 Nachweise der Informationspflichten
Der Verantwortliche muss im Sinne der Rechenschaftspflicht den Nachweis der ordnungsgemäßen Erledigung der Informationspflichten erbringen können (Art. 5 Abs. 1 lit. a und Abs. 2 DS-GVO). Die dazu erforderliche Dokumentation geschieht in einem erweiterten Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO).
3 Form der Informationspflicht
Nach Art. 12 Abs. 1 DS-GVO müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermittelt werden. Die Informationen sind schriftlich, ggf. elektronisch zur Verfügung zu stellen. Wird auf eine digital verfügbare Information Bezug genommen, dann muss diese leicht auffindbar sein.
4 Informationspflichten bei Direkterhebung
Bei der Direkterhebung wird zwischen den Informationen unterschieden, die der betroffenen Person mitzuteilen sind (Art. 13 Abs. 1 DGS-GVO) und solchen, die zur Verfügung zu stellen sind:
Mitzuteilen sind nach Abs. 1:
- Name (Unternehmen) und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreter
- Kontaktdaten des ggf. vorhandenen Datenschutzbeauftragten
- Zwecke der Verarbeitung personenbezogenen Daten
Rechtsgrundlage der Verarbeitung - das berechtigte Interesse, insofern die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten beruht
Empfänger oder Kategorien von Empfängern der personenbezogenen Daten - Übermittlung der personenbezogenen Daten an ein Drittland, inkl. Angemessenheitsbeschluss der Kommission oder bei Fehlen Verweis auf angemessene Garantien
Zusätzlich sind nach Abs. 2 Informationen zur Verfügung zu stellen:
- die geplante Speicherdauer
- die Betroffenenrechte (Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit),
- das Recht zum jederzeitigen Widerruf einer Einwilligung
- das Beschwerderecht bei einer Aufsichtsbehörde,
- ggf. die gesetzliche oder vertragliche Verpflichtung des Verantwortlichen, personenbezogene Daten Dritten bereitzustellen und die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten und
- im Falle einer automatisierten Entscheidungsfindung (einschließlich Profiling) aussagekräftige Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung.Zeitpunkt der Erfüllung der Informationspflichten
Bei der Direkterhebung müssen die Informationen zum Zeitpunkt der Erhebung der Daten mitgeteilt werden
5 Informationspflichten bei Dritterhebung
Bei der Dritterhebung wird in der DS-GVO auch zwischenzwischen mitzuteilenden Informationen (Art. 14 Abs. 1 DS-GVO) und zusätzlichen Informationen unterschieden. Umfang und Art entsprechen im Wesentlichen dem Fall der Direkterhebung.
Allerdings hat die betroffene Person im Gegensatz zur Direkterhebung nicht an der Datenerhebung mitgewirkt und somit auch keine Kenntnis darüber, welche personenbezogene Daten erhoben wurden. Daher ist der Verantwortliche verpflichtet, die Kategorien der verarbeiteten personenbezogenen Daten mitzuteilen, damit für den Betroffenen erkennbar wird, zu welchen Folgen die Verarbeitung führen kann. Bei der Dritterhebung ist zudem die Datenquelle anzugeben und, ob es sich dabei um eine öffentlich zugängliche Quelle handelt (Art. 14 Abs. 2 lit. f DS-GVO).
Zeitpunkt der Erfüllung der Informationspflichten
Im Falle der Dritterhebung ist der Verantwortliche verpflichtet, die Informationen nachträglich innerhalb einer angemessenen Frist nach Erlangung der Daten mitzuteilen (Art. 14 Abs. 3 DS-GVO). Diese Frist darf einen Monat nicht überschreiten. Werden die erhobenen Daten zur Kommunikation mit der betroffenen Person verwendet, sind die Informationen spätestens zum Zeitpunkt der ersten Kontaktaufnahme mitzuteilen. Falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, müssen die Informationen spätestens zum Zeitpunkt der ersten Offenlegung erteilt werden.
6 Zweckänderung und Übermittlung
Die Informationspflichten im Falle einer Zweckänderung gelten für beide Fälle. Neben der Information über die geänderte Zweckbestimmung sind alle Informationspflichten gemäß Art. 13 Abs. 2 DS-GVO (Direkterhebung) oder gemäß Art. 14 Abs. 2 DSGVO (Dritterhebung) erneut zu erfüllen. Die Übermittlung an einen Dritten ist häufig eine Zweckänderung, so dass aus diesem Grund vor der Übermittlung die betroffene Person entsprechend zu informieren ist. Auch muss bei der Offenlegung an einen neuen Empfänger informiert werden, soweit dieser nicht von der bereits nach Artikel 13 Abs. 1 lit. e DS-GVO erteilten Information über Empfänger oder Empfängerkategorien enthalten ist.
7 Ausnahmen
Die Informationspflichten nach den Art. 13 und 14 DS-GVO bestehen nicht, wenn und soweit die betroffene Person bereits über die Informationen verfügt. Im Falle der Dritterhebung bestehen darüber hinaus keine Informationspflichten, wenn die Informationserteilung sich z. B. als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde, die Daten einem Berufsgeheimnis unterliegen oder die Erlangung durch Rechtsvorschrift ausdrücklich geregelt ist.
8 BDSG-neu
Außerdem sind in den §§ 32 und 33 des neuen Bundesdatenschutzgesetzes (BDSG-neu) weitere Ausnahmen von den Informationspflichten normiert. Die Informationspflicht nach Art. 13 DS-GVO soll beispielsweise gem. § 32 Abs. 1 Nr. 4 BDSG-neu nicht bestehen, wenn die Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche beeinträchtigt würde und die Interessen des Verantwortlichen an der Nichterteilung der Information die Interessen der betroffenen Person überwiegen.