Muster Informationspflichten nach Art. 13 und 14 DSGVO mit Pflichtangaben

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Die Informationspflichten nach DSGVO sind umfangreich. Als Unternehmer hat man die Pflicht jeden Betroffenen zum Zeitpunkt der Erhebung der Daten (also z.B. wenn ein Vertrag geschlossen wird) zu Informieren und über seine Rechte aufzuklären.

In diesem Artikel erfahren Sie:

  • Was die Pflichtbestandteile einer Information gem. Art 13 DSGVO sind.
  • Was Sie speziell beachten müssen, wenn die Daten nicht direkt erhoben werden.
  • Wer überhaupt informiert werden muss.
  • Wann Sie informieren müssen und welche Fristen gelten.
  • Eine Vorlage im Word Format, sowie Links zu den großen Branchenverbänden und ihren Mustern.
  • Die häufigsten Fragen zu den Informationspflichten kurz beantwortet.

Die Pflichtbestandteile für eine Datenschutzinformation nach Art. 13 DSGVO

Ein Datenschutz Disclaimer, wie er auch manchmal genannt wird, hat bestimmte Pflichtbestandteile nach DSGVO. Ähnlich einer Datenschutzerklärung auf einer Website soll er Ihren Kunden, Interessenten oder Besuchern eine Möglichkeit geben, sich über die Datenverarbeitung zu informieren. Weiter unten finden Sie ein Muster für die Einhaltung der Informationspflichten nach DSGVO.

Die Informationen müssen auch allgemein verständlich und spezifisch sein, es reicht also nicht, einfach alles von einer Vorlage zu kopieren, die Informationen müssen genau auf den jeweiligen Zweck passen.

Die Pflichtbestandteile sind:

  1. Den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. Wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. Gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  6. Geplante Übermittlung in Drittländer oder an internationale Organisation und dortige Maßnahmen zum Schutz der Daten und wo man diese nachvollziehen kann,
  7. Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  8. Aufklärung über die Rechte des Betroffenen und Hinweis auf das Beschwerderecht;
  9. Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
  10. Aufklärung über das Einsetzen von Profiling und wenn ja, welche Logik angewendet wurde.

Ein grobes Muster können Sie hier herunterladen. Ein vorausgefülltes Muster mit ausführlichen Beispielen finden Sie in unseren Paketen.

Informationspflichten, wenn die Daten nicht beim Betroffenen erhoben wurden gem. Art. 14 DSGVO

Ein spezieller Fall ist, wenn die Daten nicht direkt beim Betroffenen erhoben wurden, also z.B. von Adresshändlern eingekauft wurden oder auf andere Weise nicht direkt vom Betroffenen stammen. Dann müssen auch die o.g. Informationen bereitgestellt werden, darüber hinaus müssen allerdings auch die Quellen konkret benannt werden, aus denen die Daten stammen
Sollten Artikel 13 und 14 zur Anwendung kommen, kann die Information gesammelt erfolgen.

Clipboard mit PC Informationspflichten nach DSGVO

Wer muss nach Art 13 und 14 DSGVO normalerweise informiert werden?

Grundsätzlich müssen alle die informiert werden, deren personenbezogene Daten erhoben wurden. Dies umfasst regelmäßig folgende Personengruppen:

  • Kunden / Interessenten (z.B. zum Zeitpunkt des Vertragsschlusses oder Abwicklung des Kaufs via Datenschutzerklärung auf der Website)
  • Mitarbeiter (z.B. bei Neueinstellung oder generell in regelmäßigen Abständen)
  • Websitebesucher (z.B. via Datenschutzerklärung oder Cookie-Banner)
  • Allgemeine Besucher Ihrer Firma (z.B. bei der Aufnahme der Daten in das Besucherprotokoll)
  • Bewerber (z.B. direkt auf Ihrer Job-Website)

Je nach dem, welche Personengruppe hier angesprochen werden, muss die Information gem. Art. 13 angepasst werden.

Einhaltung der Informationspflichten und Zeitpunkt der Information

Sollten die Daten direkt beim Betroffenen erhoben werden, z.B. wenn ein Vertrag geschlossen wird, bei dem personenbezogene Daten aufgenommen werden, muss die Information vor der Erhebung erfolgen. Am besten sollte die Information direkt an den Vertrag geheftet werden und als Bestandteil mit abgelegt werden.
Wenn die Daten nicht direkt beim Betroffenen erhoben werden, muss dieser innerhalb einer angemessenen Frist, spätestens jedoch innerhalb eines Monat, informiert werden.

Denkbar wären folgende Methoden, um den Informationspflichten nach DSGVO nachzukommen:

  • Per Aushang im Ladengeschäft
  • Als Vertragsanlage zur Unterschrift
  • Ausgelegt z.B. auf dem Empfangstresen zum Mitnehmen
  • Als Link angelegt auf der Webseite

Denken Sie nur immer daran, dass Sie in der Pflicht sind nachzuweisen, dass die Information erfolgt ist.

Datei - auch dort müssen die Informationspflichten eingehalten werden

Vorlagen von Branchenverbänden, die Sie übernehmen können

Viele Branchenverbände haben bereits vorformulierte Informationen für Anwälte, Ärzte Handwerker usw. herausgegeben. Hier finden Sie eine Zusammenfassung der Quellen:

Was eine Information von einer Einwilligungserklärung unterscheidet

Oft wird behauptet eine Verarbeitung personenbezogener Daten wäre nur noch mit der Einwilligung des Betroffenen möglich. Dies ist grundsätzlich falsch, das Gesetz kennt insgesamt 6 Tatbestände, die eine Verarbeitung rechtfertigen, nur eine davon ist die Einwilligung.

Das Problem mit Einwilligungen ist, dass Sie jederzeit widerrufen werden können und oft nicht wirksam sind, weil z.b. das Kopplungsverbot nicht beachtet wurde.

Folgende Möglichkeiten gibt es, personenbezogenen Daten auch ohne Einwilligung, aber mit Information zu verarbeiten:

  • Vertragserfüllung oder Durchführung vorvertraglicher Maßnahmen (z.B. klassischer Kaufvertrag),
  • Die Verarbeitung ist notwendig, um einer rechtlichen Verpflichtung nachzukommen, der Sie unterliegen (z.B. Geldwäschegesetz),
  • Es gibt lebenswichtige Interessen, die überwiegen (z.B. im Gesundheitsbereich),
  • Öffentliches Interesse,
  • Berechtigtes Interesse (z.B. Ihr Interesse Umsatz zu generieren oder einen normalen Geschäftsbetrieb zu garantieren). Achtung, hier muss ausführlich begründet werden, welches Interesse besteht und wieso dies die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht wesentlich einschränkt.

Aus diesem Grund wird hier auch kein Muster zur Einwilligung angeboten.

Vier häufige Fragen zu den Informationspflichten nach DSGVO

Muss ich auch meine Bestandskunden informieren?

Wenn die Daten vor dem 25.05.2018 erhoben wurden, müssen Sie dies nicht. Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) geht in ihrer “GDD-Praxishilfe DS-GVO VII” davon aus, dass es keinen Transparenz-Reset gibt. Da die Erhebung vor dem Inkrafttreten der DSGVO geschehen ist, besteht auch keine Notwendigkeit der Information.

Erfüllt meine Datenschutzerklärung auf der Website die Informationspflichten nach DSGVO?

Grundsätzlich können Sie die Informationspflichten in Ihrer Webseiten-Datenschutzerklärung für alle Gruppen von Betroffenen abhandeln.

Beachten Sie hierbei aber das Transparenzgebot, d.h. ein Betroffener muss schnell erkennen können, wie seine Daten verarbeitet werden. Es bietet sich also hier an, die einzelnen Bereiche klar abzugrenzen.

Muss ich mir die Datenschutzinformation unterschreiben lassen?

Nein, die Behörden weisen des öfteren darauf hin, dass diese Informationen zur Verfügung gestellt werden müssen, aber dass Sie nicht dokumentieren müssen, ob sie auch gelesen wurde.

Diese Vorgehen ist nicht mit einer Einwilligung zu verwechseln. Wenn diese genutzt wird bedarf es einer Unterschrift bzw. einer eindeutigen Willenserklärung.

Muss ich die Informationen in unterschiedlichen Sprachen zur Verfügung stellen?

Das kommt auf den Kreis der Betroffenen an. Sollten Sie viele nicht deutschsprachige Betroffene haben, so müssen Sie diese so informieren, dass es für sie verständlich ist, also in ihrer Sprache.

Fazit: Informationspflichten unbedingt einhalten und nachweisbar dokumentieren

Wie in allen Bereichen der DSGVO sind auch hier hohe Bußgelder bei Nichteinhaltung fällig. Arbeiten Sie deshalb sorgfältig und arbeiten Sie Ihre Informationen sauber aus. Darüber hinaus müssen Sie sicherstellen, dass Sie Ihren Informationspflichten lückenlos nach kommen und alles nachweisbar dokumentieren.

Download Muster Datenschutzinformation nach Art. 13 DSGVO

Das Muster können Sie hier downloaden.

Screenshot der Datei.
Kostenloser Download Datenschutzhinweise Art 13 & 14 DSGVO.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-13-dsgvo/

https://dsgvo-gesetz.de/art-14-dsgvo/