Informationspflichten
Informationspflichten der Verantwortlichen Stelle gemäß Art. 13 DSGVO – einfach erklärt, umfänglich präsentiert.
Sprechen Sie uns an.
Wir beraten Sie gerne
+49 251 95 20 37 - 40
Ihr Ansprechpartner
Jörg ter Beek
+49 251 95 20 37 - 40
[email protected]
Ihr Ansprechpartner
Als TÜV zertifizierter externer Datenschutzbeauftragter steht er Ihnen Rede und Antwort zu den Anforderungen der DSGVO, u.a. zu diesen Themen:
- Audit & Konzept-Review
- Datenschutzschulungen
- Website-Check (Consent Management und Datenschutzerklärung)
Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.
Wer muss über die Erhebung und Verarbeitung der Daten informiert werden?
Ihre Informationspflichten bestehen gegenüber allen Personen, deren Daten Sie erheben/verarbeiten oder erheben/verarbeiten lassen. Typische Personengruppen im Geschäftsbetrieb sind beispielsweise
Wichtig ist, die Datenschutzinformationen für die jeweiligen Prozesse einzeln zu erstellen. Insbesondere in Hinblick auf die Speicherdauer, die Erhebungszwecke und die Übermittlung an Dritte dürften sich bedeutende Unterschiede beispielsweise zwischen Kunden und Bewerbern ergeben. Es lohnt sich, hier unterschiedliche Informationsinhalte aufzusetzen. Stellen Sie immer nur die erforderliche Information zur Verfügung, um die Angriffsfläche für Abmahnungen möglichst klein zu halten, beispielsweise durch „Deep-Links“ in den nicht per Navigation erreichbaren Bereich Ihrer Webseite (dieser darf jedoch nicht durch ein Login geschützt sein).
FAQ
Welche Informationspflichten müssen laut der DSGVO erfüllt werden?
Über folgende Aspekte muss vorab klar informiert werden, bevor die entsprechenden personenbezogenen Daten erhoben werden:
Sie müssen den Namen und die Kontaktdaten des oder der für die Datenerhebung Verantwortlichen und dessen Vertretung offen legen (Art.27 DSGVO). Außerdem müssen die Kontaktdaten des oder der zuständigen Datenschutzbeauftragten angegeben werden.
Hierbei müssen Sie über den Zweck der Datenverarbeitung sowie über deren Rechtsgrundlage (nach Art.6 DSGVO) sowie eventuelle berechtigte Interessen nach Art.6 Abs.1 lit.f DSGVO informieren. Hier kann auch auf die Verpflichtung zur Datenangabe (z. B. aufgrund vertraglicher oder gesetzlicher Verpflichtungen) sowie auf die Folgen einer Nichtangabe hingewiesen werden. Sollten die Daten (später) zu einem anderen Zweck genutzt werden als den, für den sie erhoben wurden, muss hierüber erneut informiert werden.
Sobald personenbezogene Daten übermittelt werden sollen, muss der/die Betroffene über die konkreten Empfänger, mindestens aber über die Kategorie der Empfänger informiert werden.
In diesem Fall müssen Sie mitteilen, wohin die Daten übertragen werden und welche Bedingungen für die Übermittlung gelten. Zudem muss er darstellen, durch welche Maßnahmen beim Datenempfänger ein angemessenes Datenschutzniveau hergestellt wurde (Art. 44 ff. DSGVO).
Insights from the outside: Welche Daten sammelt Ihre Website?
Nutzen Sie den # 1 Cookie-Scanner der COOKIEBOX GmbH für ein kostenlosen Website-Check Ihrer Domain! In 1 Minute erhalten Sie einen detallierten Datenschutz-Risikobericht – und sehen auf einem Blick, welche Cookies, Pixel, Tags, Third-Party-Services auf Ihrer Website im Einsatz sind.
Sie wollen den Scanner auf Ihrer eigenen Website einbauen? Wir stellen Ihnen das Quickcheck Widget kostenlos in Ihrem Wunschdesign zur Verfügung... Mehr erfahren
Sie können entweder eine konkrete Speicherzeit oder Kriterien für das Ende der Speicherung nennen, etwa nach Ablauf des Garantiezeitraums für die gelieferten Waren.
Sie müssen über die Rechte zu Auskunft, Berichtigung und Löschung der erhobenen Daten sowie zu Einspruchs- und Widerspruchsmöglichkeiten der Datennutzung informieren. Auch über das Beschwerderecht bei einer vermuteten missbräuchlichen Datennutzung muss informiert werden – und zwar unter Angabe der Wege, auf denen die Beschwerde erfolgen kann.
Sollen die erhobenen personenbezogenen Daten mit anderen Daten zur Erstellung eines Nutzerprofils zusammengeführt oder in einen automatisierten Entscheidungsprozess (KI) aufgenommen werden, müssen Sie den Datengeber hierüber ebenfalls informieren.
Wenn die personenbezogenen Daten nicht direkt beim Nutzer erhoben wurden, muss er nach Art. 14 Abs.2 lit. f DSGVO darüber informiert werden, aus welcher Quelle seine personenbezogenen Daten stammen und ob diese öffentlich zugänglich ist.
Wie erfülle ich als Verantwortlicher meine Informationspflichten?
Alle genannten Informationen müssen der Nutzerin bzw. dem Nutzer Ihrer Angebote zugänglich gemacht werden, bevor die entsprechenden Daten erfasst und verarbeitet werden. Dass Sie diese Informationen zum richtigen Zeitpunkt richtig und vollständig bekannt gemacht haben, müssen Sie dokumentieren und im Zweifelsfall nachweisen können.
Hierzu dient zum Beispiel eine Prozessdarstellung, wann und in welcher Form den Betroffenen die Information zur Verfügung gestellt wird. Sie müssen nur Zugang zu den entsprechenden Informationen gehabt haben, brauchen die Kenntnisnahme aber nicht zu quittieren. Eine Bekanntgabe der Regelungen für eine erwartbare, nicht überraschende Datenverarbeitung ist also auch in Form
möglich.
Die Link-Lösung
Experten halten es für annehmbar, wenn die Informationen zu einer erwartbaren Datenverarbeitung auf der Webseite hinterlegt und per Direktlink zugänglich gemacht werden („Link-Lösung“), so dass sie bereits zum Zeitpunkt der Datenerhebung zur Verfügung stehen.
Denkbar ist dieser Hinweis auch als Aufsteller oder Aushang im Eingangsbereich der Geschäftsräume. Dabei darf davon ausgegangen werden, dass die betreffenden Personen jederzeit Zugang zum Internet haben. Eine denkbare Formulierung ist beispielsweise „Informationen dazu, wie wir mit Ihren Daten umgehen, finden Sie unter www.xyz.de/DS“.
Bei für den Nutzer überraschenden Datenerhebungen oder wenn die zu informierenden Personen keinen Internetzugang haben, sollte ein Medienbruch hingegen vermieden werden. Werden die Daten also per Papierformular erhoben, sollte auch die Informationen zur Datennutzung in gedruckter Form beigelegt werden. Ihr Unternehmen sollte daher die Nutzerinformationen zusätzlich zur Internetfassung in gedruckter Form vorhalten, die bei Bedarf ausgegeben werden können. In E-Mails werden die Informationen als Link in der Signatur hinterlegt – und im Falle besonderer Wichtigkeit zusätzlich als PDF beigelegt.
Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?
Wir helfen Ihnen gerne:
Ihr Ansprechpartner
Jörg ter Beek
Datenschutzexperte