§ 12 Datenschutzrecht / E. Informationspflichten bei Datenerhebung

I. Typischer Sachverhalt

Rz. 97

Der Geschäftsführer eines Unternehmens wünscht eine Beratung, inwiefern sein Unternehmen von den Informationspflichten der DSGVO betroffen ist und wie er insbesondere Bewerber oder Kunden nach der DSGVO zu informieren hat.

II. Rechtliche Grundlagen

Rz. 98

Nach Art. 5 Abs. 1 lit. a DSGVO muss die Verarbeitung von personenbezogenen Daten in für die betroffene Person nachvollziehbarer Weise erfolgen. Dieser Grundsatz der Transparenz wird in Art. 13 und 14 DSGVO konkretisiert, indem dem Verantwortlichen aktive Informationspflichten auferlegt werden. Hierbei wird unterschieden, ob die Daten direkt vom Betroffenen erhoben werden (Art. 13 DSGVO) oder ob die Daten nicht von der betroffenen Person erhoben werden (Art. 14 DSGVO).

1. Form der Informationserteilung

Rz. 99

Nach Art. 12 Abs. 1 DSGVO sind die Informationen zur Datenverarbeitung in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache zu übermitteln. Die Informationserteilung erfolgt zudem nach Art. 12 Abs. 5 DSGVO unentgeltlich.

Rz. 100

"In präziser, transparenter Form" bedeutet insbesondere, dass die Informationen klar von anderen Informationen, die sich nicht auf den Datenschutz beziehen – wie beispielsweise Allgemeine Geschäftsbedingungen oder Nutzungsbedingungen – getrennt werden und damit gesondert dargestellt werden.^[36] Zudem empfiehlt es sich, die Datenschutzhinweise nach Datensubjekten (Mitarbeiter, Kunde, Bewerber) oder besonderen Verarbeitungssituationen (Bsp.: Webseite) zu unterteilen. Eine einheitliche Datenschutzinformation für alle Datensubjekte und Verarbeitungssituationen dürfte in der Regel den Transparenzanforderungen der DSGVO nicht gerecht werden. Es sollten daher gesonderte Datenschutzhinweise je nach Datensubjekt und ggf. je nach Situation erstellt werden.

Rz. 101

Die Pflicht zur Verwendung einer klaren und einfachen Sprache soll zur Verständlichkeit beitragen. Hierbei kommt es maßgeblich darauf an, die Informationen so darzustellen, dass der Betroffene diese nachvollziehen kann. Er soll in die Lage versetzt werden, den Umfang und die Folgen der Datenverarbeitung zu verstehen und soll hiervon nicht überrascht werden.^[37] Zu berücksichtigen ist hierbei der Adressatenkreis, so dass ggf. unterschiedliche Darstellungsweisen zu wählen sind. Insbesondere bei der Verarbeitung von Daten von Kindern sind erhöhte Anforderungen an die Verständlichkeit zu stellen und es muss ggf. kindgerechte Sprache verwendet werden.^[38]

Rz. 102

Die Informationen müssen zudem leicht zugänglich sein und damit leicht auffindbar und sollen nicht versteckt sein. Der Betroffene soll nicht gezwungen sein, die Informationen selbst ausfindig zu machen. Es soll vielmehr sofort ersichtlich sein, wo und wie man auf diese Informationen zugreifen kann.^[39] Die Informationen können daher beispielsweise direkt übergeben werden. Es ist aber auch denkbar, dass die Informationen über einen entsprechenden Link zur Verfügung gestellt werden.

[36] Vgl. Art.-29-Gruppe, WP 260 rev.01 Rn 8; Ehmann/Selmayr/Knyrim, Art. 13 Rn 15.

[37] Vgl. Art.-29-Gruppe, WP 260 rev.01 Rn 10.

[38] Vgl. Simitis/Hornung/Spiecker/Dix, Art. 12 Rn 16; Kühling/Buchner/Bäcker, Art. 12 DSGVO Rn 11.

[39] Vgl. Ehmann/Selmayr/Heckmann/Paschke, Art. 12 Rn 14; Art.-29-Gruppe, WP 260 rev.01 Rn 11.

2. Informationspflichten im Fall der Erhebung der Daten direkt vom Betroffenen

Rz. 103

Art. 13 DSGVO erfasst den Fall, dass die Daten direkt beim Betroffenen erhoben werden. Gemeint ist damit, dass der Betroffene die unmittelbare Datenquelle darstellt. Dies kann entweder durch eine bewusste Übermittlung von Daten an einen Verantwortlichen durch den Betroffenen geschehen (Bsp.: Ausfüllen eines Formulars) oder durch das Beobachten des Betroffenen erfolgen (Bsp.: Videokamera).^[40]

[40] Vgl. Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn 13; Simitis/Hornung/Spiecker/Dix, Art. 13 Rn 6; Art.-29-Gruppe, WP 260 rev.01 Rn 26.

a) Zeitpunkt der Informationserteilung

Rz. 104

Nach Art. 13 Abs. 1 DSGVO sind die Informationen dem Betroffen zum Zeitpunkt der Erhebung der Daten zu erteilen. Durch die Informationspflichten soll der Betroffene in die Lage versetzt werden, den Umfang und die Folgen der Datenverarbeitung zu überblicken. Aus diesem Grund muss die Erteilung der Informationen nach Art. 13 DSGVO vor oder zumindest spätestens gleichzeitig mit Erhebung der Daten erfolgen.^[41]

[41] Vgl. Ehmann/Selmayr/Knyrim, Art. 13 Rn 11. Teilweise wird eine strengere Ansicht vertreten, wonach die Informationserteilung zwingend vor Beginn der Erhebung erfolgen muss, vgl. Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn 56.

b) Informationspflichten nach Art. 13 Abs. 1 und 2 DSGVO

Rz. 105

Nach dem Wortlaut der DSGVO sind die in Art. 13 Abs. 1 DSGVO genannten Informationen dem Betroffenen immer mitzuteilen. Die in Abs. 2 genannten Informationen sind dem Betroffenen zur Verfügung zu stellen, da sie notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Unabhängig von dieser Aufteilung sind dem Betroffenen immer alle Informationen nach Abs. 1 und Abs. 2 zu erteilen.^[42]

[42] Vgl. Simitis/Hornung/Spiecker/Dix, Art. 13 Rn 13; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn 20; Art.-29-Gruppe, WP 260 rev.01 Rn 23; a.A. Gola/Franck, Art. ...