Dr. Stefan Drewes, Sebastian Wilfling
Rz. 98
Nach Art. 5 Abs. 1 lit. a DSGVO muss die Verarbeitung von personenbezogenen Daten in für die betroffene Person nachvollziehbarer Weise erfolgen. Dieser Grundsatz der Transparenz wird in Art. 13 und 14 DSGVO konkretisiert, indem dem Verantwortlichen aktive Informationspflichten auferlegt werden. Hierbei wird unterschieden, ob die Daten direkt vom Betroffenen erhoben werden (Art. 13 DSGVO) oder ob die Daten nicht von der betroffenen Person erhoben werden (Art. 14 DSGVO).
1. Form der Informationserteilung
Rz. 99
Nach Art. 12 Abs. 1 DSGVO sind die Informationen zur Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache zu übermitteln. Die Informationserteilung erfolgt zudem nach Art. 12 Abs. 5 DSGVO unentgeltlich.
Rz. 100
"In präziser, transparenter Form" bedeutet insbesondere, dass die Informationen klar von anderen Informationen, die sich nicht auf den Datenschutz beziehen – wie beispielsweise Allgemeine Geschäftsbedingungen oder Nutzungsbedingungen – getrennt werden und damit gesondert dargestellt werden. Zudem empfiehlt es sich, die Datenschutzhinweise nach Datensubjekten (Mitarbeiter, Kunde, Bewerber) oder besonderen Verarbeitungssituationen (Bsp.: Webseite) zu unterteilen. Eine einheitliche Datenschutzinformation für alle Datensubjekte und Verarbeitungssituationen dürfte in der Regel den Transparenzanforderungen der DSGVO nicht gerecht werden. Es sollten daher gesonderte Datenschutzhinweise je nach Datensubjekt und ggf. je nach Situation erstellt werden.
Rz. 101
Die Pflicht zur Verwendung einer klaren und einfachen Sprache soll zur Verständlichkeit beitragen. Hierbei kommt es maßgeblich darauf an, die Informationen so darzustellen, dass der Betroffene diese nachvollziehen kann. Er soll in die Lage versetzt werden, den Umfang und die Folgen der Datenverarbeitung zu verstehen und soll hiervon nicht überrascht werden. Zu berücksichtigen ist hierbei der Adressatenkreis, so dass ggf. unterschiedliche Darstellungsweisen zu wählen sind. Insbesondere bei der Verarbeitung von Daten von Kindern sind erhöhte Anforderungen an die Verständlichkeit zu stellen und es muss ggf. kindgerechte Sprache verwendet werden.
Rz. 102
Die Informationen müssen zudem leicht zugänglich sein und damit leicht auffindbar und sollen nicht versteckt sein. Der Betroffene soll nicht gezwungen sein, die Informationen selbst ausfindig zu machen. Es soll vielmehr sofort ersichtlich sein, wo und wie man auf diese Informationen zugreifen kann. Die Informationen können daher beispielsweise direkt übergeben werden. Es ist aber auch denkbar, dass die Informationen über einen entsprechenden Link zur Verfügung gestellt werden.
2. Informationspflichten im Fall der Erhebung der Daten direkt vom Betroffenen
Rz. 103
Art. 13 DSGVO erfasst den Fall, dass die Daten direkt beim Betroffenen erhoben werden. Gemeint ist damit, dass der Betroffene die unmittelbare Datenquelle darstellt. Dies kann entweder durch eine bewusste Übermittlung von Daten an einen Verantwortlichen durch den Betroffenen geschehen (Bsp.: Ausfüllen eines Formulars) oder durch das Beobachten des Betroffenen erfolgen (Bsp.: Videokamera).
a) Zeitpunkt der Informationserteilung
Rz. 104
Nach Art. 13 Abs. 1 DSGVO sind die Informationen dem Betroffen zum Zeitpunkt der Erhebung der Daten zu erteilen. Durch die Informationspflichten soll der Betroffene in die Lage versetzt werden, den Umfang und die Folgen der Datenverarbeitung zu überblicken. Aus diesem Grund muss die Erteilung der Informationen nach Art. 13 DSGVO vor oder zumindest spätestens gleichzeitig mit Erhebung der Daten erfolgen.
b) Informationspflichten nach Art. 13 Abs. 1 und 2 DSGVO
Rz. 105
Nach dem Wortlaut der DSGVO sind die in Art. 13 Abs. 1 DSGVO genannten Informationen dem Betroffenen immer mitzuteilen. Die in Abs. 2 genannten Informationen sind dem Betroffenen zur Verfügung zu stellen, da sie notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Unabhängig von dieser Aufteilung sind dem Betroffenen immer alle Informationen nach Abs. 1 und Abs. 2 zu erteilen.
aa) Name und Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 lit. a DSGVO)
Rz. 106
Dem Betroffenen ist Name und Kontaktdaten des Verantwortlichen zu nennen. Mit Namen ist der Name der natürlichen Person, der Name des Unternehmens im Falle einer juristischen...