In der DSGVO wird unterschieden, ob die Daten bei der betroffenen Person erhoben wurden (Art. 13 DSGVO) oder an dritter Stelle (Art. 14 DSGVO). Die Vorschriften sind für beide Fälle aber beinahe identisch. Immer notwendig sind der Name und die Kontaktdaten des Verantwortlichen, seines Vertreters, sowie die für Kundenanfagen betreffend Internet zuständige Person oder der Datenschutzbeauftragten. Weiter muss man über die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung informieren, sowie über die Datenempfänger oder Kategorien von Empfängern.
4.1 Faire und transparente Verarbeitung
Zusätzlich sind folgende weitere Informationen vorgeschrieben, mit denen man eine faire und transparente Verarbeitung gewährleisten soll (Art. 13 Abs. 2 DSGVO, Art. 14 Abs. 1 DSGVO.):
- die Dauer, für die die personenbezogenen Daten gespeichert werden bzw. die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen, sowie auf Berichtigung, Löschung, Einschränkung der Verarbeitung und des Widerspruchsrechts sowie des Rechts auf Datenübertragbarkeit;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wie weit die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO, sowie aussagekräftige Informationen über deren Logik, Tragweite und Auswirkungen für die betroffene Person.
4.2 Verwendung von Analyse- und Tracking-Tools
Zur Information über Analyse- und Tracking-Tools werden folgende Formulierungen empfohlen:
"Die im Folgenden aufgeführten und von uns eingesetzten Tracking-Maßnahmen werden auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f DSGVO durchgeführt. Mit den zum Einsatz kommenden Tracking-Maßnahmen wollen wir eine bedarfsgerechte Gestaltung und die fortlaufende Optimierung unserer Webseite sicherstellen. Zum anderen setzen wir die Tracking-Maßnahmen ein, um die Nutzung unserer Webseite statistisch zu erfassen und zum Zwecke der Optimierung unseres Angebotes für Sie auszuwerten. Diese Interessen sind als berechtigt im Sinne der vorgenannten Vorschrift anzusehen."
4.3 Verarbeitung von Daten zur Wahrung berechtigter Interessen
Werden Daten zur Wahrung berechtigter Interessen verarbeitet sind folgende Informationen nötig:
"Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:
Sie können die Erlaubnis zur Datenverarbeitung jederzeit widerrufen (Art. 7 Abs. 3 DSGVO). Damit wird die Rechtmäßigkeit bisherigen Verarbeitung nicht berührt (Art. 13 Abs. 2 DSGVO, Art. 14 Abs. 2 DSGVO). Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt."
Die Informationspflicht über das Widerrufsrecht besteht speziell auch bei sensiblen Daten nach Art. 9 Abs. 2 DSGVO.
Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung (Art. 13 Abs. 3 DSGVO, Art. 14 Abs. 4 DSGVO).
Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, so besteht die Pflicht zur Information der betroffenen Person über die Verarbeitung gemäß den Art. 13 und Art. 14 DSGVO (§ 4 Abs. 4 BDSG).
Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen publiziert werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln (Art. 12 Abs. 7 DSGVO). Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
4.4 Information über Betroffenenrechte
Wichtig sind auch Informationen über die Betroffenenrechte:
"Sie haben das Recht:
- gemäß Art. 15 DSGVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, g...