Was gehört in eine Artikel 13, 14 Information?

Wer personenbezogene Daten verarbeitet, muss die betroffenen Personen über diese Verarbeitung informieren. Über die Informationspflichten nach Art. 13 und Art 14. DSGVO haben wir vor einiger Zeit hier berichtet. Welche Informationspflichten bei einer Zweckänderung bestehen, haben wir kürzlich hier erklärt und auch das OLG München hat sich in seinem Beschluss vom 03.03.2023 – 6 W 1491/22 mit der Werkqualität von Datenschutzerklärungen befasst.

Doch wie sieht es eigentlich mit dem konkreten Inhalt von Art. 13 und 14 DSGVO aus? Der vorliegende Beitrag soll hier weiterhelfen und aufzeigen, welche Inhalte die Informationen enthalten müssen und wie sie bereitzustellen sind.

Inhalt der Datenschutzinformationen

In Art. 13 und 14 DSGVO werden die Informationspflichten in zwei Konstellationen aufgeteilt:

In Art. 13 DSGVO werden die Informationspflichten geregelt, wenn die personenbezogenen Daten bei der betroffenen Person direkt erhoben werden (Direkterhebung).
In Art. 14 DSGVO werden die Informationspflichten geregelt, wenn die personenbezogenen Daten der betroffenen Person bei Dritten erhoben werden (Dritterhebung).

Der Umfang der jeweiligen Informationspflicht ist in Art. 13 Abs. 1 und 2 sowie in Art. 14 Abs. 1 und 2 DSGVO geregelt und für beide Konstellationen weitestgehend übereinstimmend.

Bei einer direkten Erhebung von personenbezogenen Daten bei einer betroffenen Person sind nach Art. 13 Abs. 1 DSGVO die folgenden Informationen zur Verfügung zu stellen:

Name und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreters
Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
Zwecke und Rechtsgrundlage der Verarbeitung
Beschreibung des berechtigten Interesses, sofern die Datenerhebung auf Art. 6 Abs. 1 S. 1 lit. f DSGVO beruht
Datenempfänger (Empfänger oder Kategorien von Empfängern)
Absicht zur Verarbeitung in einem Drittland und zugleich Information darüber, ob ein Angemessenheitsbeschluss der Kommission vorhanden ist bzw. bei Fehlen desselben ein Verweis auf geeignete Garantien.

Weiterhin wird dieser Katalog an Informationen in Art. 13 Abs. 2 DSGVO durch solche erweitert, die für die Gewährleistung einer fairen und transparenten Verarbeitung notwendig sind:

Speicherdauer
Betroffenenrechte (z.B. Auskunft, Berichtigung, Löschung)
Recht auf Widerruf bei Abgabe einer Einwilligung
Beschwerderecht bei einer Aufsichtsbehörde
Angabe, ob die Bereitstellung der personenbezogenen Daten rechtlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist oder ob eine Pflicht zur Angabe der Daten besteht und welche möglichen Folgen eine Unterlassung hat
nähere Angaben im Falle automatisierter Entscheidungsfindungen (einschließlich Profiling).

Auch bei einer Erhebung von personenbezogenen Daten über Dritte wird zwischen mitzuteilenden Informationen gemäß Art. 14 Abs. 1 DSGVO und zusätzlichen Informationen zur Gewährung einer fairen und transparenten Verarbeitung in Art. 14 Abs. 2 DSGVO unterschieden. Die Art und der Inhalt der mitzuteilenden Informationen entsprechen im Wesentlichen denen, die auch bei einer Direkterhebung mitgeteilt werden müssen.

Bei einer Dritterhebung von personenbezogenen Daten bei einer betroffenen Person sind nach Art. 14 Abs. 1 DSGVO die folgenden Informationen zur Verfügung zu stellen:

Name und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreters
Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
Zwecke und Rechtsgrundlage der Verarbeitung
die Kategorien personenbezogener Daten, die verarbeitet werden
Datenempfänger (Empfänger oder Kategorien von Empfängern)
Absicht zur Verarbeitung in einem Drittland und zugleich Information darüber, ob ein Angemessenheitsbeschluss der Kommission vorhanden ist bzw. bei Fehlen desselben ein Verweis auf geeignete Garantien.

Weiterhin wird dieser Katalog an Informationen in Art. 14 Abs. 2 DSGVO durch solche erweitert, die für die Gewährleistung einer fairen und transparenten Verarbeitung notwendig sind:

Speicherdauer
die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 Abs. 1 S. 1 lit. f DSGVO beruht
Betroffenenrechte (z.B. Auskunft, Berichtigung, Löschung)
Recht auf Widerruf bei Abgabe einer Einwilligung
Beschwerderecht bei einer Aufsichtsbehörde
aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen sowie
nähere Angaben im Falle automatisierter Entscheidungsfindungen (einschließlich Profiling) über die verwendete Logik, die Tragweite und die angestrebten Auswirkungen.

Richtige Form der Bereitstellung

Datenschutzinformationen können sowohl in schriftlicher, elektronischer sowie rein mündlicher Form bereitgestellt werden. Auch automatisierte mündliche Informationen sind möglich. Dies kann auch von der jeweiligen Zielgruppe abhängen.

Übrigens: Die DSGVO setzt kein aktives Handeln des Betroffenen bei der Bereitstellung der Datenschutzinformationen voraus. Die bloße Möglichkeit der Kenntnisnahme der Datenschutzinformationen durch den Betroffenen ist ausreichend.

Richtige Art und Weise der Bereitstellung

Datenschutzinformationen sind in einer einfachen, klaren und verständlichen Sprache breitzustellen. Sollte sich das „Angebot“ nicht nur an Empfänger aus dem Inland richten, sollte auf Übersetzungen geachtet werden, um die Empfängersprache hinreichend berücksichtigen zu können.

Angesichts der Menge an Informationen, die der betroffenen Person übermittelt werden müssen, kann von den Verantwortlichen zudem ggf. ein Mehrebenen-Ansatz verfolgt werden, um eine Überfrachtung an Informationen zu vermeiden.

Richtiger Zeitpunkt der Bereitstellung

Bei der Direkterhebung müssen die Datenschutz-Information nach Art. 13 Abs. 1 DSGVO „zum Zeitpunkt der Erhebung dieser Daten“ dem Betroffenen bereitgestellt werden.

Im Falle der Dritterhebung müssen die Informationen

innerhalb einer „angemessenen Frist“ nach Erlangung der personenbezogenen Daten und
spätestens nach Ablauf eines Monats „unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten“ erteilt werden.

Fazit

Neben dem Inhalt der Datenschutzinformationen sind auch die Form, die Art und Weise und der Zeitpunkt der Bereitstellung von Bedeutung.

Sarah Hofmann | 16. April 2024 | Allgemein | Artikel 13 DSGVO, Artikel 13 Information, Artikel 14 DSGVO, Artikel 14 Information, Datenschutzinformation | 2 Kommentare

2 Comments

Anonym
17. April 2024 @ 7:47

Sehr geehrte Damen und Herren, reicht es aus, wenn ein Arbeitgeber Art. 14 Informationen allgemein im Intranet veröffentlicht, ohne dass die entsprechenden Personen sicher wissen, ob sie aktiv betroffen sind? Oder muss dies den entsprechenden Arbeitnehmern immer direkt gesendet werden? Vielen Dank.

- Blogredaktion
  17. April 2024 @ 14:07
  
  Vielen Dank für Ihren Kommentar. Wir nehmen diesen zum Anlass in nächster Zeit einen Artikel über die Art der Bereitstellung der Datenschutzhinweise zu veröffentlichen.
  Mit freundlichen grüßen
  Ihre Blogredaktion