DSGVO – information privacy standard – Kapitel P.3

Unsere Blogreihe rund um den Kriterienkatalog des DSGVO – information privacy standard geht in die nächste Runde. In unserem letzten Beitrag haben wir uns mit dem Kapitel P.2 – Grundsätze – befasst. Heute werfen wir einen Blick auf das nächste Kapitel: P.3 – Pflichten des Kunden.

Das Kapitel P.3 – Pflichten des Kunden

Das Kapitel verweist auf die Informationspflichten, die Verantwortliche gegenüber betroffenen Personen erfüllen müssen. Diese Pflichten ergeben sich aus den Bestimmungen der Art. 12 Abs. 1, 5 und 7 DSGVO sowie Art. 13 und Art. 14 DSGVO.

Da diese Informationspflichten – wie dargestellt – gesetzlich normiert sind, können sie im Gegensatz zu z. B. Kapitel P.2 – Grundsätze – nicht partiell ausgeschlossen werden. Sie sind verpflichtend durch die verantwortliche Stelle oder die beauftragten Auftragsverarbeitern umzusetzen.

Informationspflicht im Hinblick auf die Gestaltung von Prozessen und Applikationen

Verantwortliche bzw. Auftragsverarbeiter müssen Prozesse und Applikationen so gestalten, dass betroffene Personen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einfacher Sprache über die Verarbeitung ihrer personenbezogenen Daten informiert werden. Hierfür können ergänzend auch standardisierte Icons verwendet werden.

Dabei ist zwischen der direkten Erhebung bei der betroffenen Person und der indirekten Datenerhebung zu unterscheiden.

Direkte Erhebung personenbezogener Daten

Findet die Datenerhebung direkt bei der betroffenen Person statt, muss der Verantwortliche folgende Informationen zur Verfügung stellen:

Name und Kontaktdaten des Verantwortlichen sowie – sofern vorhanden – die Kontaktdaten der*des Datenschutzbeauftragten
Zwecke der Datenverarbeitung sowie die zugrunde liegenden Rechtsgrundlagen
bei einer Verarbeitung auf Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO: Angabe des berechtigten Interesses
Informationen zu Empfängern bzw. Empfängerkategorien
Informationen über eine mögliche Drittlandübermittlung unter Angabe von Angemessenheitsbeschlüssen oder anderer geeigneten Garantien
Dauer der Datenspeicherung
Bestehen der Betroffenenrechte (Löschung, Auskunft, Widerspruch)
Hinweis auf das Widerrufsrecht bei Verarbeitung auf Grundlage einer Einwilligung
Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, idealerweise unter Angabe der zuständigen Aufsichtsbehörde
Informationen darüber, ob die Angabe der Daten freiwillig oder verpflichtend ist sowie Folgen einer Nichtangabe
Bestehen automatisierter Entscheidung einschließlich Profiling
bei Weiterverarbeitung: Angabe der neuen Zwecke sowie aller oben genannten Informationen

Die Nachweise zur Einhaltung der Informationspflicht betreffen dabei insbesondere: die Datenschutzerklärung, das Impressum, Einwilligungsformulare, Informationsblätter sowie das Verzeichnis der Verarbeitungstätigkeiten. Darüber hinaus sollten interne Dokumente zu einschlägigen Rechtsgrundlagen, zur Abwägung berechtigter Interessen sowie Nachweise zu Schulungen der Mitarbeiter*innen im Zusammenhang mit den Betroffenenrechten vorgehalten werden.

Indirekte Erhebung personenbezogener Daten

Erfolgt die Datenerhebung nicht direkt bei der betroffenen Person, muss der Verantwortliche ihr die unter Punkt 1.2 aufgeführten Informationen innerhalb eines Monats nach Erhalt der Daten zur Verfügung stellen. Eine Ausnahme besteht, wenn die Daten zu einem bestimmten Zweck verwendet oder an Dritte weitergegeben werden sollen – in diesem Fall spätestens bei der ersten Mitteilung bzw. Offenlegung. Abweichende Regelungen gemäß Art. 14 Abs. 5 DSGVO bleiben davon unberührt.

Typische Nachweise umfassen etwa Informationsschreiben inklusive Versandnachweisen oder öffentlich zugängliche Datenschutzerklärungen und Impressen. Insbesondere die Dokumentation der Datenherkunft und ggf. der begründeten Ausnahmen nach Art. 14 Abs. 5 DSGVO kann als Nachweis dienen.

Bereitstellung der Informationen und Identifikation der betroffenen Person

Die verantwortliche Stelle muss die Informationen in geeigneter Weise und im jeweils angemessenen Format bereitstellen. Dabei sind die genutzten Geräte, die Benutzeroberfläche sowie die Zugänglichkeit zu berücksichtigen.

Dazu ist eine eindeutige Identifikation notwendig, es sei denn eine der folgenden Ausnahmen ist einschlägig:

Die betroffene Person verfügt bereits über die Information.
Die Bereitstellung ist unverhältnismäßig aufwendig oder nicht möglich (z. B. bei Archiv-, Forschungs- oder Statistikzwecken gemäß Art. 89 Abs. 1 DSGVO).
Die Bereitstellung würde die Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen. In diesem Fall müssen:
- geeignete Schutzmaßnahmen ergriffen sowie
- eine entsprechende Information veröffentlicht werden.
Die Einholung und/oder Weitergabe ist durch Unionsrecht oder das Recht der Mitgliedstaaten vorgesehen, wobei geeignete Schutzmaßnahmen für die Betroffenen vorliegen.
Die personenbezogenen Daten unterliegen gesetzlichen Geheimhaltungspflichten oder dem Berufsgeheimnis.

Die Einhaltung der Anforderungen kann durch interne Prozesse zur Identitätsverifizierung und Informationsblätter nachgewiesen werden. Auch interne Richtlinien zum Umgang mit den genannten Ausnahmen sind als geeignete Nachweisdokumente geeignet.

Form der Bereitstellung

Ohne vorherige Identifikation der betroffenen Person kann eine Bereitstellung der Information durch öffentliche Zugänglichmachung erfolgen, z. B. über Websites oder Apps.

Dabei ist zu beachten, dass die Information schriftlich oder elektronisch zur Verfügung gestellt werden muss. Eine mündliche Information ist nur auf ausdrücklichen Wunsch der betroffenen Person zulässig, sofern diese zuvor eindeutig identifiziert wurde.

Nachweise können durch die öffentlich zugängliche Datenschutzerklärung sowie Impressen erfolgen. Für die mündliche Information sollten interne Richtlinien dokumentiert sein.

Unterstützungspflicht des Auftragsverarbeiters

Auftragsverarbeiter sind verpflichtet, den Verantwortlichen bei der Erfüllung der Informationspflicht zu unterstützen. Dies kann durch ausdrückliche Weisung des Verantwortlichen geschehen oder weil eine ihm übertragene Tätigkeit eine Informationspflicht auslöst. In diesen Fällen müssen entsprechende Information bereitgestellt werden. Darüber hinaus sind Änderungen in der Datenverarbeitung, die für die Einhaltung der Informationspflicht relevant sind, rechtzeitig an den Verantwortlichen zu melden.

Die Unterstützungspflicht kann durch abgeschlossene Auftragsverarbeitungsverträge, Weisungsdokumente oder die Dokumentation von Änderungsmitteilungen nachgewiesen werden.

Fazit

Die Informationspflicht des Verantwortlichen oder des Auftragsverarbeiters gegenüber den betroffenen Personen gegenüber Kund*innen (vorgenommen durch den Verantwortlichen oder den Auftragsverarbeiter) ist zentraler Bestandteil des Transparenzgebots der DSGVO. Sie bildet einen wesentlichen Pfeiler beim Schutz der Rechte und Freiheiten betroffener Personen. Ein klar strukturiertes Datenschutz-Managementsystem (DSMS) ist essenziell, um die erforderlichen Nachweise zu erbringen und Transparenz gegenüber den Betroffenen zu gewährleisten.

Sarah Akanbam Herwig | 30. April 2025 | Allgemein | Aufsichtsbehörde, Auftragsverarbeiter, betroffene Person, Betroffenenrechte, Blogreihe DSGVO – information privacy standard, DSGVO – information privacy standard, DSGVO-Zertifikat, Informationspflichten, Verantwortlicher, Verarbeitungstätigkeiten

DSGVO – information privacy standard – Kapitel P.3 – Pflichten des Kunden