Art. 13 DSGVO: Informationspflicht nach DSGVO rechtssicher umsetzen
16.08.2021 | FMC – Online-Redaktion, Forum Verlag Herkert GmbH
Die Datenschutz-Grundverordnung (DSGVO) und deren Art. 13 im Speziellen legen die Informationspflichten fest, die bei einer Direkterhebung von personenbezogenen Daten zu erfüllen sind. Diese Informationen sind der betroffenen Person unverzüglich mitzuteilen. Doch was sind personenbezogene Daten nach DSGVO und welche Pflichtinformationen sind gemäß Art. 13 DSGVO bei der Erhebung zu machen?
Inhaltsverzeichnis
- Worum geht es in Art. 13 DSGVO?
- Art. 13 DSGVO: Personenbezogene Daten, Informationspflicht und Recht auf Information
- Informationspflicht nach Art. 13 DSGVO: Wie setzen Verantwortliche alle Vorgaben rechtssicher um?
Worum geht es in Art. 13 DSGVO?
Art. 13 DSGVO behandelt die Informationspflicht bei der Erhebung von personenbezogenen Daten gegenüber der betroffenen Person (Direkterhebung). Diese Informationen sind unmittelbar zum Zeitpunkt der Datenerhebung der betroffenen Person mitzuteilen. Der Verordnungstext definiert die inhaltlichen Punkte zu den Pflichtinformationen gemäß Art. 13 DSGVO in den Absätzen Eins bis Drei:
Art. 13 DSGVO, Absatz 1
Zum Zeitpunkt der Erhebung von personenbezogenen Daten nach DSGVO müssen der betroffenen Person folgende Informationen mitgeteilt werden:
- Namen und Kontaktinformationen des Verantwortlichen einschließlich deren Vertreter (sofern vorhanden) sowie Datenschutzbeauftragten
- Zweck und Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten
- Empfänger oder Kategorien von Empfängern, die die Daten erhalten
- gegebenenfalls Informationen zu Absichten und Nachweisen bei der Übermittlung der Daten in Drittländer oder internationale Organisationen
Art. 13 DSGVO, Absatz 2
Ergänzend zu den Pflichtinformationen gemäß Art. 13 Abs. 1 DSGVO soll die Kommunikation der folgenden Informationen eine transparente Datenverarbeitung sicherstellen:
- Dauer der Datenspeicherung beziehungsweise die Kriterien, die die Dauer der Speicherung bestimmen.
- Das Bestehen verschiedener Rechte der betroffenen Person. Dies umfasst:
- Recht auf Information, Auskunft und Einsicht der Daten sowie deren Berichtigung und Löschung
- Recht auf Einschränkung und Widerspruch zur Einwilligung der Datenverarbeitung
- Recht auf Datenübertragbarkeit und
- Recht auf Beschwerde bei einer zuständigen Aufsichtsbehörde
- Rahmenpunkte zur Bereitstellung der personenbezogenen Daten. Klarzustellen ist, ob die Angaben auf gesetzlichen oder vertraglichen Vorgaben beruhen, inwiefern sie für einen Vertragsabschluss notwendig sind und welche Folgen fehlende Angaben haben.
- Gegebenenfalls den Hinweis darauf, wenn automatisierte Entscheidungsfindungen einschließlich Profiling-Mechanismen mithilfe der Daten eingesetzt werden (siehe dazu auch Art. 22 DSGVO).
Im Rahmen der Eingabe und Erhebung von personenbezogenen Daten nach DSGVO unterliegen die Verantwortlichen der Informationspflicht. Sofern nicht bereits vorliegend, müssen sie bei der Direkterhebung sämtliche Pflichtinformationen gemäß Art. 13 DSGVO Absatz 2 zur Verfügung stellen. Bild: © WrightStudio – stock.adobe.com |
Art. 13 DSGVO, Absatz 3
Grundsätzlich dürfen personenbezogene Daten laut DSGVO nur zu dem Zweck gespeichert und verarbeitet werden, für den die Daten erhoben werden. Sollten die Daten für eine Weiterverarbeitung zu einem anderen Zweck genutzt werden, ist der Verantwortliche in der Pflicht, der betroffenen Person vor der entsprechenden Datenverarbeitung
- mitzuteilen, für welchen anderen, spezifischen Zweck die Daten verarbeitet werden, und
- dazu alle relevanten Informationen gemäß DSGVO (Art. 13 Abs. 2) zur Verfügung zu stellen.
Absatz 4 legt abschließend fest, wann die Absätze 1 bis 3 nicht anzuwenden sind. Dies ist der Fall, wenn die entsprechenden Informationen der betroffenen Person nachweislich bereits vorliegen. Werden die personenbezogenen Daten an anderen Stellen erhoben (Dritterhebung), findet Art. 14 DSGVO Anwendung.
Die in Art. 13 DSGVO erläuterten Informationspflichten sind der betroffenen Person unverzüglich mitzuteilen. Allerdings müssen die Verantwortlichen bei deren Umsetzung häufig folgende Fragen klären:
- Welche Informationen sind in welcher Form darzustellen, um die notwendige Vollständigkeit zu gewährleisten?
- Wie sind die Erhebung, Speicherung und Verarbeitung der personenbezogenen Daten zu dokumentieren, etwa im Verarbeitungsverzeichnis?
- Welche Anforderungen gelten bei weiteren Dokumenten wie der Datenschutz-Folgenabschätzung (Muster-Vorlagen empfohlen)?
- Wurde überprüft, ob in der Datenschutzerklärung alle nach der DSGVO erforderlichen Pflichtinformationen bzgl. Art. 13 DSGVO enthalten sind?
Art. 13 DSGVO: Personenbezogene Daten, Informationspflicht und Recht auf Information
Das Datenschutzrecht legt der Rechtsprechung und Umsetzung von Art. 13 DSGVO spezifische Definitionen zugrunde. Der folgende Abschnitt erläutert hierzu die wichtigsten Begriffe.
Was sind personenbezogene Daten?
Nach der DSGVO (Art. 4 Abs. 1 DSGVO) gehört jede Information, mit der eine natürliche Person identifiziert werden kann, zu den personenbezogenen Daten. Typische Kategorien personenbezogener Daten sind zum Beispiel:
- Vornamen, Zunamen, Usernamen
- Kundennummern, IDs, Online-Kennungen
- Daten zum Standort
- Informationen zur kulturellen, sozialen oder ethnischen Identität
- Merkmale zur genetischen, psychischen, physischen oder physiologischen Identität
Worin bestehen die Informationspflicht und das Recht auf Information?
Im Sinne der Informationspflicht nach DSGVO müssen Verantwortliche eine Reihe von Informationen offenlegen. Dazu gehören insbesondere:
- Identität
- Kontaktdaten von vorhandenen Datenschutzbeauftragten
- Zweck
- Rechtsgrundlagen
- Dauer der Datenerhebung, -verarbeitung und -speicherung
Hinzukommen die jeweiligen Rechte der Betroffenen, etwa das Recht auf Information, Auskunft, Berichtigung und Löschung, die Möglichkeit zum Widerruf der Einwilligung und zur Beschwerde.
Außerhalb der DSGVO ist das Recht auf Information als solches ein Menschenrecht und in Art. 19 der Allgemeinen Erklärung der Menschenrechte von 1948 verankert (PDF, Seite 4). Hinzu kommt das Gesetz zur Regelung des Zugangs zu Informationen des Bundes (Informationsfreiheitsgesetz – IFG). Hierin befasst sich Art. 5 IFG ausschließlich mit dem Schutz personenbezogener Daten.
Bei der Angabe von Login-Daten handelt es sich in der Regel um personenbezogene Daten nach DSGVO. Die Vorgaben nach Art. 13 DSGVO greifen zum Beispiel im Fall der Registrierung, da bei der betroffenen Person selbst die personenbezogenen Daten erhoben werden. Bild: © Gorodenkoff – stock.adobe.com |
Was fällt unter Pflichtinformationen gemäß Art. 13 DSGVO?
Art. 13 DSGVO legt die Pflichtinformationen im Fall einer Direkterhebung fest. Das heißt, dass die personenbezogenen Daten direkt bei der betroffenen Person erhoben werden. Den Vorgaben gemäß haben die Verantwortlichen der betroffenen Person unverzüglich folgende Daten aufzuzeigen:
- Alle verantwortlichen Stellen mit Kontaktdaten
- Sämtliche Rahmenpunkte zur Erhebung, Speicherung und Verarbeitung der Daten
- Rechte und Handlungsmöglichkeiten der betroffenen Person
- Informationen über angewandte Profiling- und ähnliche Mechanismen
Unterschiede greifen in den folgenden Fällen:
- Wenn die betroffene Person bereits sämtliche Pflichtinformationen vorliegen hat, entfällt diese Informationspflicht nach DSGVO.
- Die Pflicht entfällt auch, wenn § 32 Abs. 1 Nr. 1-5 BDSG greift. etwa wenn die öffentliche Sicherheit oder Ordnung durch die beabsichtigte Verarbeitung gefährdet wäre.
Wenn die Erhebung nicht direkt bei der betroffenen Person erfolgt, also eine Direkterhebung stattfindet, ist die Person innerhalb eines Monats darüber zu informieren.
Informationspflicht nach Art. 13 DSGVO: Wie setzen Verantwortliche alle Vorgaben rechtssicher um?
Die Vorgaben aus Art. 13 DSGVO stellen grundlegende Anforderungen an den Datenschutz und sind insbesondere seit Inkrafttreten der DSGVO im Mai 2018 in aller Munde. Gleichzeitig gibt es immer wieder Gesetzesänderungen und relevante Rechtsprechungen zum Datenschutz. Um hierbei auf dem neuesten zu bleiben, gibt es den „Infodienst Datenschutz für Praktiker“. In zehn Ausgaben pro Jahr bietet er in kompakter Form
- fortlaufend aktuelle Informationen,
- konkrete Handlungsempfehlungen und
- hilfreiche Unterlagen wie To-do-Listen und Musterformulierungen.
Jetzt ein kostenfreies Probeheft bestellen und absichern: So bleiben Verantwortliche in Sachen Datenschutz immer auf dem Laufenden!
Quellen: „Infodienst Datenschutz für Praktiker“ Ausgabe 11/2020, „Datenschutz 2020“, Art. 13 DSGVO, Art. 14 DSGVO, ohchr.org, Informationsfreiheitsgesetz (IFG), bmjv.de