Art. 13 und 14 DSGVO sehen für Unternehmen umfangreiche Informationspflichten vor, wenn Daten beim Betroffenen oder bei Dritten (wie etwa der Schufa) erhoben werden. Diese erweiterten Pflichten sollen den Datenschutz im Vergleich zu den aktuell geltenden Regelungen des BDSG stärken. Im Wesentlichen müssen folgende Informationen mitgeteilt werden:
- Name und Kontaktdaten des Verantwortlichen,
- ggf. Kontaktdaten des Datenschutzbeauftragten (DSB),
- Zwecke und Rechtsgrundlage der Datenverarbeitung,
- Darstellung der berechtigten Interessen (wenn die Datenverarbeitung auf dem Tatbestand der Interessenabwägung gem. Art. 6 Abs. 1 f) BDSG beruht),
- ggf. Empfänger oder Kategorien von Empfängern der Daten,
- ggf. Informationen zur Datenübermittlung in Drittländer,
- Dauer der Datenspeicherung,
- Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde),
- Grundlage der Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und Folgen der Nichtbereitstellung,
- Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling (z.B. das Erstellen eines umfassenden Nutzerprofils oder die Bildung von sog. Scorewerten durch Verknüpfen, Speichern, Auswerten und Zusammenlegen von verschiedenen Daten zu einer Person.)
Bei der Erhebung der Daten beim Betroffenen müssen die Unternehmen nach Art. 13 DSGVO sofort bei Erhebung der Daten, z. B. bei der Bestellung eines Newsletters, entsprechend informieren. Dies sollte nach Art. 12 Abs. DSGVO schriftlich, aber auch in anderer Form (elektronisch, unter Umständen auch mündlich) geschehen. Dabei ist auf eine präzise, transparente, verständliche und leicht zugängliche Form sowie eine klare und einfache Sprache zu achten. Bei der Erhebung der Daten bei Dritten kann die Information nach Art. 14 DSGVO auch später erfolgen.
Von den Informationspflichten gelten allerdings einige Ausnahmen. So hat der Betroffene etwa keinen Informationsanspruch, wenn er bereits über diese Informationen verfügt. Der Anspruch ist auch dann ausgeschlossen, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand erfordert oder gar unmöglich ist. In diesem Fall ist allerdings eine öffentliche Bekanntmachung dieser Information, z.B. auf einer Webseite, erforderlich. Auch gilt diese Ausnahme nur, im Fall der Datenerhebung bei Dritten, nicht jedoch wenn die Daten beim Betroffenen erhoben werden.
Wurden den Betroffenen diese Daten einmal mitgeteilt, haben sie nach Art. 19 DSGVO einen weiteren Informationsanspruch, wenn diese Daten wieder berichtigt, gelöscht oder deren Verarbeitung eingeschränkt wurden.
