Hauptinhalt

Informationspflichten

Informationspflichten zielen auf Angaben, die einer betroffenen Person hinsichtlich Verarbeitung und Nutzung ihrer Daten unaufgefordert mitgeteilt werden müssen. Durch Informationspflichten soll eine Transparenz geschaffen werden, die für den Einzelnen erkennbar macht, wer was wann und bei welcher Gelegenheit über ihn erhebt, verarbeitet oder speichert.

Die bisher geltende entsprechende Norm ist § 12 Absatz 6 Sächsisches Datenschutzgesetz, wonach der Betroffene über die Erhebung von Daten bei ihm ohne seine Kenntnis oder bei Dritten unter Mitteilung von Bezeichnung und Anschrift der erhebenden Stelle, der Rechtsgrundlage und des Erhebungszwecks sowie bei einer beabsichtigten Übermittlung auch der Empfänger der Daten grundsätzlich zu benachrichtigen ist. Daneben gelten zahlreiche bereichsspezifische Benachrichtigungspflichten, z. B. im Bereich der Gefahrenabwehr und der Strafverfolgung.

Die Datenschutz-Grundverordnung sieht nun in den Artikeln 13 und 14 erweiterte, teilweise über die bisherigen Pflichten des Sächsischen Datenschutzgesetzes erheblich hinausgehende Informationspflichten vor. Dabei definiert die Datenschutz-Grundverordnung je nachdem, ob die Daten direkt bei der betroffenen Person oder bei einem Dritten erhoben werden, unterschiedliche Informationspflichten.

Ähnlich wie im Sächsischen Datenschutzgesetz bestehen jedoch auch in der Datenschutz-Grundverordnung Ausnahmen von den Informationspflichten.

So kann von der Information der betroffenen Person insbesondere abgesehen werden, wenn sie bereits über die Informationen verfügt. Davon kann ausgegangen werden, wenn der Informationsstand in Ausmaß, Klarheit und Genauigkeit den Informationen entspricht, die der Verantwortliche der betroffenen Person zur Verfügung stellen muss. Darüber hinaus müssen die Informationen ohne weiteres zur Kenntnis genommen werden können. So kann beispielsweise eine Dienstvereinbarung zur Arbeitszeiterfassung, die alle erforderlichen Informationen nach Artikel 13 Datenschutz-Grundverordnung enthält und im Intranet einer Behörde dauerhaft zur Verfügung steht, die Voraussetzungen dieser Ausnahme erfüllen.

Weitere Einschränkungen der Informationsflicht ergeben sich aus § 8 Sächsisches Datenschutzdurchführungsgesetz. So sieht etwa der Verantwortliche bei der Erhebung personenbezogener Daten von der Information nach Artikel 14 Absatz 1 und 2 Datenschutz-Grundverordnung ab, soweit und solange die Weitergabe der Information die öffentliche Sicherheit gefährden würde oder dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten notwendig ist. Der Verantwortliche hat jedoch die Gründe zu dokumentieren, wenn er (zunächst) von einer Information absieht. Wenn sich die Informationserteilung auf die Übermittlung von Daten an Strafverfolgungsbehörden oder nachrichtendienstliche Behörden bezieht, ist diesen vorab Gelegenheit zur Stellungnahme zu geben.

Um die Betroffenen informieren zu können, müssen in der öffentlichen Stelle die Sachverhalte ermittelt werden, bei denen Informationspflichten bestehen.  Dabei ist nicht nur an Informationspflichten gegenüber Dritten zu denken. Informationspflichten können auch behördenintern entstehen.

Im Gegensatz zur bisherigen Rechtslage sind bei der Information des Betroffenen zusätzlich auch Fristen und Formvorschriften zu beachten. Die Informationen sind den Betroffenen im Regelfall bei Erhebung der Daten zugänglich zu machen.

Werden die Daten direkt bei den betroffenen Personen erhoben, so sind diesen bereits zum Zeitpunkt der Erhebung im Wesentlichen folgende Angaben zu übermitteln:

  1. der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  2. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  3. die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt;
  4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  5. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  6. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  7. wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  8. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte.

In Sonderfällen sind weitere Angaben erforderlich, beispielsweise bei Datenübermittlungen in Drittländer.

Sollen personenbezogene Daten für einen anderen Zweck weiterverarbeitet werden als den, für den die Daten erhoben wurden, so sind den betroffenen Personen vor der Weiterverarbeitung die Informationen über diesen anderen Zweck und nach den Nummern 5 bis 8 zur Verfügung zu stellen (Artikel 13 Absatz 3 Datenschutz-Grundverordnung).

Wenn die Daten nicht direkt bei der betroffenen Person erhoben wurden, richten sich die Informationspflichten nach Artikel 14 Datenschutz-Grundverordnung. Danach sind der betroffenen Person folgende Informationen mitzuteilen:

  1. der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters und gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  2. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  3. die zugrunde liegenden berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern die Verarbeitung aufgrund dieser Interessen erfolgt;
  4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
  5. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  6. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  7. wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird sowie das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  8. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte,
  9. welche Daten oder Datenkategorien verarbeitet werden, sowie
  10. aus welcher Quelle die personenbezogenen Daten stammen.

Ist beabsichtigt, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, sind die Informationen über den anderen Zweck sowie nach den Nummern 5 bis 8 und 10 vor der Weiterverarbeitung zur Verfügung zu stellen.

Erstmals werden in der Datenschutz-Grundverordnung Fristen für die Informationspflichten benannt. Bei der Erhebung bei der betroffenen Person müssen die Informationspflichten bereits bei der Erhebung der Daten erfüllt werden. Werden die Informationen aus dritter Quelle erhoben, muss der für die Verarbeitung Verantwortliche seiner Informationenpflicht unter Berücksichtigung der spezifischen Umstände der Verarbeitung der Daten innerhalb einer angemessenen Frist nach Erlangung der Daten, längstens jedoch innerhalb eines Monats, nachkommen. Falls die Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist der Informationspflicht spätestens zum Zeitpunkt der ersten Mitteilung nachzukommen. Ist eine Weitergabe an einen anderen Empfänger beabsichtigt, ist die betroffene Person spätestens bei Weitergabe in Kenntnis zu setzen.

Auch die Form der Informationspflichten ist nun in der Datenschutz-Grundverordnung vorgeschrieben. Die Übermittlung der Informationen hat unentgeltlich und schriftlich oder in anderer Form, ggf. in elektronischer Form, zu erfolgen. Die Information kann z. B. auf einer Website bereitgestellt werden, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für bestimmte Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden (vgl. Erwägungsgrund 60). Zum Beispiel ist dies bei der Videoüberwachung der Fall. Die Grundverordnung schlägt unter anderem vor, dass die Informationen auch in Kombination mit standardisierten Bildsymbolen bereitgestellt werden können, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie nach der Datenschutz-Grundverordnung jedoch maschinell lesbar sein.

Es empfiehlt sich z. B. bei der Antragsbearbeitung, den betroffenen Personen ein standardisiertes Merkblatt mit den Informationen auszuhändigen. Des Weiteren können die Informationen auch mündlich erteilt werden, sofern die betroffene Person dies verlangt und die Identität der betroffenen Person in anderer Form nachgewiesen wurde. Der Verantwortliche hat sicherzustellen, dass die Information nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Als datenschutzfreundlichste Variante wird in Erwägungsgrund 63 Satz 4 ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System bezeichnet.

Merkblatt und Musterformulare zur Erfüllung der Informationspflichten nach den Artikeln 13 und 14 der Datenschutz-Grundverordnung

Das nachfolgende Merkblatt des SMI gibt praktische Hinweise zur Erfüllung der Informationspflichten nach den Artikeln 13 und 14 der Datenschutz-Grundverordnung und enthält Musterformulare für verschiedene Fallkonstellationen mit entsprechenden Ausfüllhinweisen. Die Formulare stehen auch einzeln als Word-Dokumente zum Download bereit.

zurück zum Seitenanfang