Die Informationspflichten der DSGVO: Wer, Wann, Worüber, Wie?

Fachbeitrag

Wer Daten verarbeitet, hat zu informieren. So weit, so bekannt. Wir schauen trotz allem nochmal genau hin. Wann müssen wir nochmal informieren? Und wo genau? Ja und worüber denn überhaupt. Ein Überblick.

Oh lord, please help me!

„Puhh, schon wieder…?“ fragen Sie sich jetzt zurecht. Zugegeben, das Thema Informationspflichten wurde seit Einführung der DSGVO mehr als plattgetreten. Auch wir haben in diesem Blog schon ausführlich darüber berichtet und uns in alle Tiefen des Info-Sumpfes vorgewagt. Aber da wir unsere Blogbeiträge eher selten nach Unwichtigkeit aussuchen, sondern unseren geschätzten Lesern jederzeit einen Mehrwert bieten wollen, hatte das Ganze vielleicht auch eine naheliegende Berechtigung.

Informationen als Grundlage aller Transparenz

Mal angenommen diese nervigen, allgegenwärtigen Cookie-Banner, die Sie ständig fragen, ob Sie damit einverstanden sind, dass die von Ihnen besuchte Website Cookies einsetzt, würde es nicht geben. Toll oder? Endlich wieder ungestörtes Surfen, ohne erst genervt die Einwilligung durch Klick auf den schön farblich unterlegten und prominent platzierten „Zustimmen“-Button zu erteilen. Stimmt schon. Aber mal ehrlich: hätten Sie jemals von Cookies und vergleichbaren Technologien überhaupt etwas gehört (solange Sie kein Datenschutzbeauftragter o.Ä. sind), wenn es diese Banner nicht gäbe?

Hätte der unbedarfte, in der Informationstechnologie nicht übermäßig bewanderte Internetnutzer wirklich ohne Probleme in Erfahrung gebracht, dass bei fast jedem Besuch einer Website Daten über ihn erhoben, ausgewertet und mit Dritten geteilt werden? Vermutlich nicht.

Soll heißen: Ohne Informationen keine Transparenz. Und ohne transparente Darstellung aller Datenverarbeitungsprozesse, kann ein Betroffener seine Rechte nicht wahrnehmen. Solange Sie nicht wissen, dass jemand Ihre Daten verarbeitet, kommen Sie höchstwahrscheinlich eher selten auf die Idee Ihre Rechte auf Auskunft oder Löschung wahrzunehmen. Die Kontrolle über Ihre Daten hätten Sie in diesem Moment aussichtlos verloren.

Die Informationspflichten sind deshalb ein ganz zentraler Bestandteil der DSGVO, da diese den Betroffenen helfen möchte, über ihre Daten selbst bestimmen zu können und dies nicht den „Datenverarbeitern“ überlassen werden soll.

Wer muss denn die Informationen bereitstellen?

Sie. Also zumindest, wenn Sie eine „verantwortliche Stelle“ im Sinne der DSGVO sind. Das werden Sie in den seltensten Fällen als Privatperson sein. In den überwiegenden Fällen trifft es natürlich eher juristische Personen. So treffen Unternehmen zahlreiche und teils umfassende Informationspflichten gegenüber verschiedenen Personengruppen. Dazu zählen üblicherweise Mitarbeiter, Kunden und Geschäftspartner. Je nach Branche treffen das Unternehmen mal mehr oder mal weniger Informationspflichten. Ein Unternehmen, welches vor allem auf seine Online-Aktivitäten angewiesen ist und zahlreiche Kundendaten zu Analyse- und Werbezwecken sammelt, wird üblicherweise deutlich umfassendere Informationen bereitstellen müssen als ein mittelständischer produzierender Betrieb, der hauptsächlich B2B-Daten verarbeitet und eine Homepage betreibt, auf die sich selten jemand verirrt.

Wann muss ich denn jetzt nochmal informieren?

Immer. Also zumindest immer, wenn personenbezogene Daten erhoben werden. Entweder bei Erhebung direkt beim Betroffenen selbst oder aber über einen Dritten. Die entsprechenden Vorschriften sind in Art. 12 ff. DSGVO zu finden. Ausnahmen gibt es (leider) nur wenige, von denen man auch eher zurückhaltend Gebrauch machen sollte.

Erhebung bei der betroffenen Person, Art. 13 DSGVO

Werden Daten direkt beim Betroffenen selbst erhoben, verlangt das Gesetz eine Information der betroffenen Person

„… zum Zeitpunkt der Erhebung …“

Das heißt natürlich nicht, dass man nicht schon vor der Erhebung informieren dürfte, falls man bereits sicher weiß, dass eine Erhebung stattfinden wird.

Diese Regelung kann die verantwortlichen Stellen durchaus vor Herausforderungen stellen, da es nicht immer einfach ist spätestens zeitgleich mit der Erhebung die relevanten Informationen bereitzustellen. Bekannte Beispiele sind alle nur denkbaren Hinweisschilder, wie z.B. zur Videoüberwachung, Zahlungsabwicklung an der Supermarktkasse oder Fotoaufnahmen auf der Firmenveranstaltung. Ob diese Informationen tatsächlich immer den Adressaten erreichen, sei mal dahingestellt. Schließlich setzt das Ganze auch noch ein gewisses Maß an Informationsinteresse und Leidenschaft für die eigenen Daten voraus. Hat die verantwortliche Stelle jedoch (nachweisbar!) alles Erdenkliche getan, dass die betroffene Person die Informationen spätestens zum Zeitpunkt der Erhebung wahrnehmen kann, ist sie fein raus.

Erhebung bei einem Dritten, Art. 14 DSGVO

Sie sind eine verantwortliche Stelle (z.B. ein Inkassounternehmen oder ein Werbung versendendes Unternehmen) und beziehen Daten von einer anderen Stelle – nennen wir sie mal „Datenhändler“ – und denken jetzt, die Infos können sich die Betroffenen sonst wo holen? Da müssen wir Sie enttäuschen. In diesem Fall greift die Vorschrift des Art. 14 DSGVO, welche u.a. besagt:

 „Der Verantwortliche erteilt die Informationen […]

  • […] innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats
  • falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
  • falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.“

Sie können sich also ggf. einen Monat Gedanken darüber machen, wie Sie die Betroffenen erreichen oder was sie ihnen so mitzuteilen haben.

Worüber muss ich im Detail informieren?

Über alles. Also zumindest alles was die Kataloge der Art. 13 und 14 DSGVO enthalten. Diese ähneln sich überwiegend. Größter Unterschied ist der, das bei Erhebung der Daten bei einem Dritten zusätzlich noch die Quellen und die Kategorien der Daten anzugeben sind.

Die Inhalte im Einzelnen sind:

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • Berechtigtes Interesse im Falle von Art. 6 Abs. 1 S. 1 lit. f DSGVO
  • Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten
  • Datenübermittlung in ein Drittland bzw. an eine internationale Organisation und Verweis auf eventuelle Angemessenheitsbeschlüsse oder sonstige Garantien
  • Speicherdauer der Daten
  • Betroffenenrechte
  • ob eine Bereitstellungspflicht besteht
  • ob eine automatisierte Entscheidungsfindung/Profiling stattfindet.
  • Kategorien der Daten (nur bei Erhebung über einen Dritten)
  • Quellen, aus der die Daten stammen (nur bei Erhebung über einen Dritten)

Die einzelnen Punkte der Art. 13 und 14-Kataloge werfen immer mal wieder gewisse Auslegungsfragen auf, die wir hier im Detail nicht alle behandeln können. Dazu an anderen Stellen mehr.

Wie setzt man es in der Praxis am besten um?

Eine gute Nachricht gibt es zumindest. In der Praxis hat sich der sogenannte „Layered Approach“ weitestgehend durchgesetzt. Dieser besagt, dass nicht um jeden Preis alle notwendigen Informationen auf einen Schlag erteilt werden müssen. Auch ein abgestuftes Erteilen der Informationen ist denkbar. So wird z.B. gerne mit einem „Medienbruch“ gearbeitet. Ein Hinweisschild versorgt den hilflosen Betroffenen mit den wichtigsten Inhalten vorab. Der extrem Wissensdurstige kann sich weitere, detailliertere Informationen an anderer Stelle holen, meist über einen Link auf eine Website. Diese Vorgehensweise erleichtert in der Praxis so manche Informationserteilung enorm, sodass niemand nach einem einfachen Tankstellenbesuch (Videoüberwachung, Zahlungsvorgang) mit einem Leitz-Ordner an Datenschutzhinweisen nach Hause gehen muss.

Das prominenteste Beispiel, die allseits beliebte Datenschutzerklärung auf Websites, ist auch immer wieder Quell erfreulicher Informations-Orgien. Im Zusammenspiel mit den oben bereits angesprochenen Cookie-Bannern, sorgt sie immer wieder für ein hohes Maß an Datenverarbeitungstransparenz. In nicht zu seltenen Fällen sorgt eine gewisse „Über-Transparenz“ auch mal dafür, dass man vor lauter Transparenz seine Betroffenenrechte nicht mehr sieht. Ob ein Höchstmaß an Transparenz also auch wirklich immer zu mehr Datenkontrolle führt oder nur zu Frustration und Informationsmüdigkeit, ist dabei eine häufig aufgeworfene Frage. Umso wichtiger praxisnahe und betroffenenfreundliche Umsetzungen zu finden.

Was passiert, wenn ich nicht informiere?

Bußgeld, Abmahnung, Klage. Kein Spaß, alles schon passiert und passiert in der EU mittlerweile täglich. Vor allem die Instrumente der Abmahnung seitens Verbraucherschutzverbänden (noch strittig, ob die das überhaupt dürfen, EuGH wird bald ein Machtwort sprechen) oder Mitbewerbern sowie Klagen auf Schadensersatz bzw. Schmerzensgeld von betroffenen Personen erfreuen sich steigender Beliebtheit.

Als verantwortliche Stelle muss man sich klarmachen, dass fehlende und irreführende Informationen in bestimmten Fällen auch zur Rechtswidrigkeit der Datenverarbeitung führen können, so z.B. bei fehlenden Informationen vor Einholung einer Einwilligung (Stichwort: fehlendes oder intransparentes Cookie-Banner) oder bei Datenverarbeitungen auf Grundlage des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). In diesen Fällen hätte die verantwortliche Stelle u.U. einen doppelten Verstoß begangen. Nämlich Missachtung der Informationspflichten sowie Datenverarbeitung ohne Rechtsgrundlage. Beides ist gem. Art. 83 Abs. 5 DSGVO mit bis zu 20.000.000 € bzw. 4% des Konzern-Jahresumsatzes bußgeldbewehrt.

Das Thema hat also nicht nur einen sinnvollen Hintergrund, sondern auch noch schmerzhafte Konsequenzen bei Nichtbefolgung.

Immer noch unklar?

Sie fühlen sich jetzt daran erinnert, dass Sie ja schon seit Monaten nochmal über die Datenschutzerklärung oder das Informationsblatt für Mitarbeiter schauen wollten aber das Vorgaben und ihre Umsetzung ist Ihnen immer noch unklar? Dann besuchen Sie doch unser Webinar zum Thema Informationspflichten. Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet Best Practices für die Umsetzung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

5 Kommentare zu diesem Beitrag

  1. Hallo, Datenschutz ist tatsächlich ein Thema, das gefühlt jede Woche anders ist und wo es immer Neuigkeiten gibt. Wie oben erwähnt „Oh lord please help me“. Es gibt immer Kleinigkeiten, worauf man achten muss und als Person mit wenig Erfahrung sollte man sich immer jemanden holen, der uns unterstützen und beraten kann. Ich habe für meine Website consentmanager.de benutzt, da die mich tatsächlich helfen und immer auf meine Fragen geantwortet haben.
    Danke für die Tipps :)

  2. Worin liegt eigentlich der Unterschied zwischen Absatz 1 und Absatz 2 der Artikel 13 und 14? Wann muss man die Informationen des Absatzes 2 erklären? Nur auf Nachfrage?

    • Es ist zwar durchaus umstritten, ob zwischen den Informationen aus Absatz 1 und Absatz 2 ein qualitativer Unterschied besteht und die Informationen aus Absatz 2 ggf. erst später (auf zweiter Stufe) zu erteilen sind. Genau das war wohl bei Konzeption der DSGVO auch mal geplant, wurde aber im Prozess irgendwann aufgegeben. Geblieben ist trotz allem die Aufteilung in zwei Absätze. Es hat sich mittlerweile die Rechtsansicht (zumindest vorläufig) durchgesetzt, dass zwischen den zu erteilenden Informationen der verschiedenen Absätze nicht unterschieden werden sollte. Es besteht also kein qualitativer Unterschied zwischen den Absätzen. Alle Informationen sind grundsätzlich zusammen zu erteilen. Von diesem Grundsatz kann in vielen Fällen abgewichen werden und eine abgestufte Informationserteilung erfolgen (siehe Artikel). Für die Entscheidung welche Infos auf einer ersten Stufe und welche erst auf der zweiten Stufe erteilt werden, sollte dann die Einteilung in Absatz 1 und Absatz 2 jedoch keine Rolle spielen.

  3. Hallo ich hätte eine Frage zu Art. 14 DSGVO, muss auch informiert werden wenn ich die durch einen dritten erhaltenen Daten ein Tag später wieder löschte? Oder muss ich selbst dann nach spätestens einem Monat den Betroffenen informieren? Vielen Dank
    Mit freundlichen Grüßen
    Bastian

    • Ganz grundsätzlich müsste auch in einem solchen Fall informiert werden, denn die Daten wurden ja verarbeitet. Es erscheint aber durchaus möglich, dass ein Ausnahmetatbestand greifen könnte (z.B. Art. 14 Abs. 5 lit. b DSGVO), der die Notwendigkeit einer Information entfallen lassen würde. Das ist letzten Endes von den Besonderheiten des Einzelfalls abhängig, die wir im Rahmen dieses Blogs jedoch nicht bewerten können, da wir hier keine Rechtsberatung anbieten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.