Die Informationspflichten nach Art 13 DSGVO sind umfangreich. Als Unternehmer hat man die Pflicht jeden Betroffenen zum Zeitpunkt der Erhebung der Daten (also z.B. wenn ein Vertrag geschlossen wird) zu Informieren und über seine Rechte aufzuklären.
In diesem Artikel erfahren Sie:
- Was die Pflichtbestandteile einer Information gem. Art 13 DSGVO sind.
- Was Sie speziell beachten müssen, wenn die Daten nicht direkt erhoben werden.
- Wer überhaupt informiert werden muss.
- Wann Sie informieren müssen und welche Fristen gelten.
- Eine Vorlage im Word Format, sowie Links zu den großen Branchenverbänden und ihren Mustern.
- Die häufigsten Fragen zu den Informationspflichten kurz beantwortet.
Inhalte
- Die Pflichtbestandteile für eine Datenschutzinformation nach Art. 13 DSGVO
- Informationspflichten, wenn die Daten nicht beim Betroffenen erhoben wurden gem. Art. 14 DSGVO
- Wer muss nach Art 13 und 14 DSGVO normalerweise informiert werden?
- Einhaltung der Informationspflichten und Zeitpunkt der Information
- Vorlagen von Branchenverbänden, die Sie übernehmen können
- Was eine Information von einer Einwilligungserklärung unterscheidet
- Häufige Fragen zu den Informationspflichten nach DSGVO
- Muss ich auch meine Bestandskunden informieren?
- Erfüllt meine Datenschutzerklärung auf der Website die Informationspflichten nach DSGVO?
- Muss ich mir die Datenschutzinformation unterschreiben lassen?
- Muss ich die Informationen in unterschiedlichen Sprachen zur Verfügung stellen?
- Was umfasst die Transparenzpflicht nach DSGVO?
- Wann ist die Herausgabe einer Information zur Verarbeitung personenbezogener Daten (gem. Artikel 13 und 14 EU-DSGVO) an die Betroffene Person erforderlich?
- Was ist eine Datenschutzinformation?
- Fazit: Informationspflichten unbedingt einhalten und nachweisbar dokumentieren
- Download Muster Datenschutzinformation nach Art. 13 DSGVO
- Quellen
Die Pflichtbestandteile für eine Datenschutzinformation nach Art. 13 DSGVO
Ein Datenschutz Disclaimer, wie er auch manchmal genannt wird, hat bestimmte Pflichtbestandteile nach EU-DSGVO. Ähnlich einer Datenschutzerklärung auf einer Website soll er Ihren Kunden, Interessenten oder Besuchern eine Möglichkeit geben, sich über die Datenverarbeitung zu informieren. Weiter unten finden Sie ein Art 13 DSGVO Muster für die Einhaltung der Informationspflichten nach DSGVO.
Die Informationen müssen auch allgemein verständlich und spezifisch sein, es reicht also nicht, einfach alles von einer Vorlage zu kopieren, die Informationen müssen genau auf den jeweiligen Zweck passen.
Die Pflichtbestandteile sind:
- Den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
- Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
- Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
- Gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
- Geplante Übermittlung in Drittländer oder an internationale Organisation und dortige Maßnahmen zum Schutz der Daten und wo man diese nachvollziehen kann,
- Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- Aufklärung über die Rechte des Betroffenen und Hinweis auf das Beschwerderecht;
- Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
- Aufklärung über das Einsetzen von Profiling und wenn ja, welche Logik angewendet wurde.
Ein grobes Art 13 DSGVO Muster können Sie hier herunterladen. Ein vorausgefülltes Muster mit ausführlichen Beispielen finden Sie in unseren Paketen.
Informationspflichten, wenn die Daten nicht beim Betroffenen erhoben wurden gem. Art. 14 DSGVO
Ein spezieller Fall ist, wenn die Daten nicht direkt beim Betroffenen erhoben wurden, also z.B. von Adresshändlern eingekauft wurden oder auf andere Weise nicht direkt vom Betroffenen stammen. Dann müssen auch die o.g. Informationen bereitgestellt werden, darüber hinaus müssen allerdings auch die Quellen konkret benannt werden, aus denen die Daten stammen.
Sollten Artikel 13 und 14 zur Anwendung kommen, kann die Information gesammelt erfolgen. Ggf. ist auch eine Einwilligung zur Datenverarbeitung einzuholen.
Wer muss nach Art 13 und 14 DSGVO normalerweise informiert werden?
Grundsätzlich müssen alle die informiert werden, deren personenbezogene Daten erhoben wurden. Dies umfasst regelmäßig folgende Personengruppen:
- Kunden / Interessenten (z.B. zum Zeitpunkt des Vertragsschlusses oder Abwicklung des Kaufs via Datenschutzerklärung auf der Website)
- Mitarbeiter (z.B. bei Neueinstellung oder generell in regelmäßigen Abständen)
- Websitebesucher (z.B. via Datenschutzerklärung oder Cookie-Banner)
- Allgemeine Besucher Ihrer Firma (z.B. bei der Aufnahme der Daten in das Besucherprotokoll)
- Bewerber (z.B. direkt auf Ihrer Job-Website)
Je nach dem, welche Personengruppe hier angesprochen werden, muss die Information gem. Art. 13 angepasst werden.
Einhaltung der Informationspflichten und Zeitpunkt der Information
Sollten die Daten direkt beim Betroffenen erhoben werden, z.B. wenn ein Vertrag geschlossen wird, bei dem personenbezogene Daten aufgenommen werden, muss die Information vor der Erhebung erfolgen. Am besten sollte die Information direkt an den Vertrag geheftet werden und als Bestandteil mit abgelegt werden.
Wenn die Daten nicht direkt beim Betroffenen erhoben werden, muss dieser innerhalb einer angemessenen Frist, spätestens jedoch innerhalb eines Monat, informiert werden.
Denkbar wären folgende Methoden, um den Informationspflichten nach Datenschutzgesetzgebung nachzukommen:
- Per Aushang im Ladengeschäft,
- Als Vertragsanlage zur Unterschrift,
- Ausgelegt z.B. auf dem Empfangstresen zum Mitnehmen,
- Als Link angelegt auf der Webseite.
Denken Sie nur immer daran, dass Sie in der Pflicht sind nachzuweisen, dass die Information erfolgt ist.
Vorlagen von Branchenverbänden, die Sie übernehmen können
Viele Branchenverbände haben bereits vorformulierte Informationen für Anwälte, Ärzte Handwerker usw. herausgegeben. Hier finden Sie eine Zusammenfassung der Quellen:
- Muster der Kassenärztlichen Bundesvereinigung für Praxen: https://www.kbv.de/media/sp/Praxisinformation_Datenschutz_Patienteninformation_Muster.docx
- Muster des Deutschen Anwaltsvereins für Kanzleien: https://anwaltverein.de/de/praxis/datenschutz
- Datenschutzhinweise von Steuerberatungskanzleien an Mandanten von der Bundessteuerberaterkammer: https://www.bstbk.de/de/themen/brennpunktthemen/datenschutz
- Muster zur Informationserhebung beim Kunden von der Handwerkskammer Chemnitz: https://www.hwk-chemnitz.de/betriebsfuehrung/digitalisierung-im-handwerk/datenschutz-im-handwerk/
- Der Landessportbund Sachsen hat gute Handreichung für die Information von Mitgliedern und Mitarbeitern von Vereinen: https://www.sport-fuer-sachsen.de/fuer-mitglieder/downloads/?tx_news_pi1%5Bnews%5D=177&tx_news_pi1%5Bcontroller%5D=News&tx_news_pi1%5Baction%5D=detail&cHash=f2c61eb704b01adc1a5b7a7c533fa0dc
- Allgemeines Art. 13 Muster vom Ministerium des Innern des Landes Nordrhein-Westfalen: https://www.im.nrw/themen/verwaltung/datenschutz/formulare-und-muster
Was eine Information von einer Einwilligungserklärung unterscheidet
Oft wird behauptet eine Verarbeitung personenbezogener Daten wäre nur noch mit der Einwilligung des Betroffenen möglich. Dies ist grundsätzlich falsch, das Gesetz kennt insgesamt 6 Tatbestände, die eine Verarbeitung rechtfertigen, nur eine davon ist die Einwilligung.
Das Problem mit Einwilligungen ist, dass Sie jederzeit widerrufen werden können und oft nicht wirksam sind, weil z.B. das Kopplungsverbot nicht beachtet wurde.
Folgende Möglichkeiten gibt es, personenbezogenen Daten auch ohne Einwilligung, aber mit Information zu verarbeiten:
- Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen (z.B. klassischer Kaufvertrag),
- Die Verarbeitung ist notwendig, um einer rechtlichen Verpflichtung nachzukommen, der Sie unterliegen (z.B. Geldwäschegesetz),
- Es gibt lebenswichtige Interessen, die überwiegen (z.B. im Gesundheitsbereich),
- Öffentliches Interesse,
- Berechtigtes Interesse (z.B. Ihr Interesse Umsatz zu generieren oder einen normalen Geschäftsbetrieb zu garantieren). Achtung, hier muss ausführlich begründet werden, welches Interesse besteht und wieso dies die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht wesentlich einschränkt.
Häufige Fragen zu den Informationspflichten nach DSGVO
Muss ich auch meine Bestandskunden informieren?
Wenn die Daten vor dem 25.05.2018 erhoben wurden, müssen Sie dies nicht. Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) geht in ihrer “GDD-Praxishilfe DS-GVO VII” davon aus, dass es keinen Transparenz-Reset gibt. Da die Erhebung vor dem Inkrafttreten der DSGVO geschehen ist, besteht auch keine Notwendigkeit der Information.
Erfüllt meine Datenschutzerklärung auf der Website die Informationspflichten nach DSGVO?
Grundsätzlich können Sie die Informationspflichten in Ihrer Webseiten-Datenschutzerklärung für alle Gruppen von Betroffenen abhandeln.
Beachten Sie hierbei aber das Transparenzgebot, d.h. ein Betroffener muss schnell erkennen können, wie seine Daten verarbeitet werden. Es bietet sich also hier an, die einzelnen Bereiche klar abzugrenzen.
Muss ich mir die Datenschutzinformation unterschreiben lassen?
Nein, die Behörden weisen des Öfteren darauf hin, dass diese Informationen zur Verfügung gestellt werden müssen, aber dass Sie nicht dokumentieren müssen, ob sie auch gelesen wurde.
Diese Vorgehen ist nicht mit einer Einwilligung zu verwechseln. Wenn diese genutzt wird bedarf es einer Unterschrift bzw. einer eindeutigen Willenserklärung.
Muss ich die Informationen in unterschiedlichen Sprachen zur Verfügung stellen?
Das kommt auf den Kreis der Betroffenen an. Sollten Sie viele nicht deutschsprachige Betroffene haben, so müssen Sie diese so informieren, dass es für sie verständlich ist, also in ihrer Sprache.
Was umfasst die Transparenzpflicht nach DSGVO?
Ein Betroffener muss nach dem Transparenzgrundsatz der DS-GVO jederzeit Einblicke erhalten können, wie genau und von wem seine personenbezogenen Daten verarbeitet werden. Art. 12 DSGVO regelt die transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person.
Wann ist die Herausgabe einer Information zur Verarbeitung personenbezogener Daten (gem. Artikel 13 und 14 EU-DSGVO) an die Betroffene Person erforderlich?
Sie ist zum Zeitpunkt der Erhebung der personenbezogenen Daten erforderlich. D.h. wenn Sie beginnen Daten über eine Person zu sammeln, müssen Sie die Informationspflichten sofort einhalten.
Was ist eine Datenschutzinformation?
Eine Datenschutzinformation umfasst die nach Art. 13 DSGVO gesetzlich verlangten Informationen, die der betroffenen Person zum Zeitpunkt der Datenerhebung zur Verfügung gestellt werden müssen.
Fazit: Informationspflichten unbedingt einhalten und nachweisbar dokumentieren
Wie in allen Bereichen der DSGVO sind auch hier hohe Bußgelder bei Nichteinhaltung fällig. Arbeiten Sie deshalb sorgfältig und arbeiten Sie Ihre Informationen sauber aus. Darüber hinaus müssen Sie sicherstellen, dass Sie Ihren Informationspflichten lückenlos nach kommen und alles nachweisbar dokumentieren.
Download Muster Datenschutzinformation nach Art. 13 DSGVO
Das Muster können Sie hier downloaden.