Wer personenbezogene Daten verarbeitet, muss die betroffenen Personen über diese Verarbeitung informieren. Über die Informationspflichten nach Art. 13 und Art 14. DSGVO haben wir vor einiger Zeit hier berichtet. Welche Informationspflichten bei einer Zweckänderung bestehen, haben wir kürzlich hier erklärt und auch das OLG München hat sich in seinem Beschluss vom 03.03.2023 – 6 W 1491/22 mit der Werkqualität von Datenschutzerklärungen befasst.

Doch wie sieht es eigentlich mit dem konkreten Inhalt von Art. 13 und 14 DSGVO aus? Der vorliegende Beitrag soll hier weiterhelfen und aufzeigen, welche Inhalte die Informationen enthalten müssen und wie sie bereitzustellen sind.

Inhalt der Datenschutzinformationen

In Art. 13 und 14 DSGVO werden die Informationspflichten in zwei Konstellationen aufgeteilt:

  • In Art. 13 DSGVO werden die Informationspflichten geregelt, wenn die personenbezogenen Daten bei der betroffenen Person direkt erhoben werden (Direkterhebung).
  • In Art. 14 DSGVO werden die Informationspflichten geregelt, wenn die personenbezogenen Daten der betroffenen Person bei Dritten erhoben werden (Dritterhebung).

Der Umfang der jeweiligen Informationspflicht ist in Art. 13 Abs. 1 und 2 sowie in Art. 14 Abs. 1 und 2 DSGVO geregelt und für beide Konstellationen weitestgehend übereinstimmend.

Bei einer direkten Erhebung von personenbezogenen Daten bei einer betroffenen Person sind nach Art. 13 Abs. 1 DSGVO die folgenden Informationen zur Verfügung zu stellen:

  • Name und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreters
  • Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
  • Zwecke und Rechtsgrundlage der Verarbeitung
  • Beschreibung des berechtigten Interesses, sofern die Datenerhebung auf Art. 6 Abs. 1 S. 1 lit. f DSGVO beruht
  • Datenempfänger (Empfänger oder Kategorien von Empfängern)
  • Absicht zur Verarbeitung in einem Drittland und zugleich Information darüber, ob ein Angemessenheitsbeschluss der Kommission vorhanden ist bzw. bei Fehlen desselben ein Verweis auf geeignete Garantien.

Weiterhin wird dieser Katalog an Informationen in Art. 13 Abs. 2 DSGVO durch solche erweitert, die für die Gewährleistung einer fairen und transparenten Verarbeitung notwendig sind:

  • Speicherdauer
  • Betroffenenrechte (z.B. Auskunft, Berichtigung, Löschung)
  • Recht auf Widerruf bei Abgabe einer Einwilligung
  • Beschwerderecht bei einer Aufsichtsbehörde
  • Angabe, ob die Bereitstellung der personenbezogenen Daten rechtlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist oder ob eine Pflicht zur Angabe der Daten besteht und welche möglichen Folgen eine Unterlassung hat
  • nähere Angaben im Falle automatisierter Entscheidungsfindungen (einschließlich Profiling).

Auch bei einer Erhebung von personenbezogenen Daten über Dritte wird zwischen mitzuteilenden Informationen gemäß Art. 14 Abs. 1 DSGVO und zusätzlichen Informationen zur Gewährung einer fairen und transparenten Verarbeitung in Art. 14 Abs. 2 DSGVO unterschieden. Die Art und der Inhalt der mitzuteilenden Informationen entsprechen im Wesentlichen denen, die auch bei einer Direkterhebung mitgeteilt werden müssen.

Bei einer Dritterhebung von personenbezogenen Daten bei einer betroffenen Person sind nach Art. 14 Abs. 1 DSGVO die folgenden Informationen zur Verfügung zu stellen:

  • Name und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreters
  • Kontaktdaten des Datenschutzbeauftragten (wenn vorhanden)
  • Zwecke und Rechtsgrundlage der Verarbeitung
  • die Kategorien personenbezogener Daten, die verarbeitet werden
  • Datenempfänger (Empfänger oder Kategorien von Empfängern)
  • Absicht zur Verarbeitung in einem Drittland und zugleich Information darüber, ob ein Angemessenheitsbeschluss der Kommission vorhanden ist bzw. bei Fehlen desselben ein Verweis auf geeignete Garantien.

Weiterhin wird dieser Katalog an Informationen in Art. 14 Abs. 2 DSGVO durch solche erweitert, die für die Gewährleistung einer fairen und transparenten Verarbeitung notwendig sind:

  • Speicherdauer
  • die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf Art. 6 Abs. 1 S. 1 lit. f DSGVO beruht
  • Betroffenenrechte (z.B. Auskunft, Berichtigung, Löschung)
  • Recht auf Widerruf bei Abgabe einer Einwilligung
  • Beschwerderecht bei einer Aufsichtsbehörde
  • aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen sowie
  • nähere Angaben im Falle automatisierter Entscheidungsfindungen (einschließlich Profiling) über die verwendete Logik, die Tragweite und die angestrebten Auswirkungen.

Richtige Form der Bereitstellung

Datenschutzinformationen können sowohl in schriftlicher, elektronischer sowie rein mündlicher Form bereitgestellt werden. Auch automatisierte mündliche Informationen sind möglich. Dies kann auch von der jeweiligen Zielgruppe abhängen.

Übrigens: Die DSGVO setzt kein aktives Handeln des Betroffenen bei der Bereitstellung der Datenschutzinformationen voraus. Die bloße Möglichkeit der Kenntnisnahme der Datenschutzinformationen durch den Betroffenen ist ausreichend.

Richtige Art und Weise der Bereitstellung

Datenschutzinformationen sind in einer einfachen, klaren und verständlichen Sprache breitzustellen. Sollte sich das „Angebot“ nicht nur an Empfänger aus dem Inland richten, sollte auf Übersetzungen geachtet werden, um die Empfängersprache hinreichend berücksichtigen zu können.

Angesichts der Menge an Informationen, die der betroffenen Person übermittelt werden müssen, kann von den Verantwortlichen zudem ggf. ein Mehrebenen-Ansatz verfolgt werden, um eine Überfrachtung an Informationen zu vermeiden.

Richtiger Zeitpunkt der Bereitstellung

Bei der Direkterhebung müssen die Datenschutz-Information nach Art. 13 Abs. 1 DSGVO „zum Zeitpunkt der Erhebung dieser Daten“ dem Betroffenen bereitgestellt werden.

Im Falle der Dritterhebung müssen die Informationen

  • innerhalb einer „angemessenen Frist“ nach Erlangung der personenbezogenen Daten und
  • spätestens nach Ablauf eines Monats „unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten“ erteilt werden.

Fazit

Neben dem Inhalt der Datenschutzinformationen sind auch die Form, die Art und Weise und der Zeitpunkt der Bereitstellung von Bedeutung.