Rz. 4
Art. 14 DSGVO enthält die unmittelbar geltenden Informationspflichten bei der sog. Dritterhebung, also wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden (Rz. 5 ff.).
§ 33 BDSG enthält Ausnahmen von diesen Informationspflichten (Rz. 19 ff.).
§ 82a sieht für die Dritterhebung von Sozialdaten in bestimmten Fällen weitere Ausnahmen von diesen Informationspflichten des Art. 14 DSGVO vor und fordert dafür konkret zu ergreifende Schutzmaßnahmen (Rz. 23 ff.).
Art. 12 DSGVO enthält Anforderungen an transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person, die auch die Informationspflichten nach Art. 14 DSGVO betreffen (Rz. 14 ff.).
2.1 Informationspflichten gemäß Art. 14 DSGVO
Rz. 5
Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten (Erwägungsgrund [EG] 60 DSGVO).
Art. 14 DSGVO setzt diese Erwägungen um, in dem er mit Abs. 1 konkrete Forderungen stellt, welche Informationen der betroffenen Person bei einer Dritterhebung mitzuteilen sind (Rz. 7 und 8) und welche Informationen nach Abs. 2 darüber hinaus zur Verfügung zu stellen sind (Rz. 9 und 10). Abs. 3 bestimmt Näheres zum Zeitpunkt der Informationserteilung. Nach Abs. 4 sind besondere Anforderungen vor einer Weiterverarbeitung zu anderen Zwecken zu erfüllen (Rz. 10). Eine Ausnahme von der Informationspflicht enthält Abs. 5 (Rz. 11 ff.).
2.1.1 Mitzuteilende Informationen nach Art. 14 Abs. 1 DSGVO
Rz. 6
Der Verantwortliche teilt der betroffenen Person nach Art. 14 Abs. 1 DSGVO Folgendes mit:
- den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters (Buchst. a);
- die Kontaktdaten des Datenschutzbeauftragten (Buchst. b);
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Buchst. c);
- die Kategorien personenbezogener Daten, die verarbeitet werden (Buchst. d);
- ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Buchst. e); wenn die personenbezogenen Daten rechtmäßig einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten für diesen Empfänger darüber aufgeklärt werden (EG 61 DSGVO);
- ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind (Buchst. f).
Die Informationspflicht nach Art. 14 Abs. 1 Buchst. a, c und d DSGVO entspricht im Wesentlichen § 67a Abs. 5 a. F. bis 24.5.2018.
2.1.2 Zur Verfügung zu stellende Informationen nach Art. 14 Abs. 2 DSGVO
Rz. 7
Der Verantwortliche stellt der betroffenen Person nach Art. 14 Abs. 2 DSGVO folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Buchst. a);
- wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden (Buchst. b);
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie auf Berichtigung oder Löschung (Art. 16 und Art. 17 DSGVO) oder auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und eines Widerspruchsrechts gegen die Verarbeitung (Art. 21 DSGVO) sowie des Rechts auf Datenübertragbarkeit nach Art. 20 DSGVO (Buchst. c);
- wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. a oder Art. 9 Abs. 2 Buchst. a DSGVO beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird (Buchst. d);
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Buchst. e);
- aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen (Buchst. f), sofern der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden (EG 61 DSGVO);
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen...