Inhalt
Informationspflichten nach Art. 13 und Art. 14, DSGVO
a) Identität des Verantwortlichen
Es ist über den Namen und die Kontaktdaten des Verantwortlichen zu informieren.
Gleiches gilt ggf. für Namen und Kontaktdaten des Vertreters des Verantwortlichen
nach Art. 27 DSGVO, wenn der Verantwortliche selbst nicht in der EU niedergelassen ist.
b) Kontaktdaten des Datenschutzbeauftragten
Neu ist auch die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutz-
beauftragten des Verantwortlichen.
c) Verarbeitungszwecke und Rechtsgrundlage
Der Verantwortliche muss auch über die Zwecke der Datenverarbeitung sowie
über die Rechtsgrundlage der Verarbeitung informieren. Diese neue Anforderung
führt dazu, dass der Betroffene darüber aufgeklärt wird, auf welchen Erlaubnistat-
bestand (siehe Art. 6 DSGVO, z.B. Einwilligung oder Erfüllung eines Vertrages)
der Verantwortliche die Datenverarbeitung stützen möchte.
d) Berechtigtes Interesse
Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter
Interessen des Verantwortlichen nach Art. 6 Abs. 1 f) DSGVO erforderlich sein,
beziehen sich die Informationspflichten auch auf eine Aufklärung über diese Interessen.
e) Empfänger
In allen Fällen, in denen personenbezogene Daten übermittelt werden sollen,
sind die Betroffenen grundsätzlich über die konkreten Empfänger zu informieren.
Ausnahmsweise reicht auch eine Information über Kategorien von Empfängern,
wenn konkrete Unternehmen noch nicht bezeichnet werden können.
f) Übermittlung in Drittstaaten
Sollte der Verantwortliche eine Übermittlung personenbezogener Daten in
Drittstaaten beabsichtigen, ist darüber ebenfalls zu informieren. Um diese Pflicht
zu erfüllen, ist mitzuteilen, auf welcher besonderen Bedingung nach Art. 44 ff. DSGVO
die Übermittlung beruht und welche Maßnahmen ergriffen wurden, um beim Empfänger
ein angemessenes Datenschutzniveau herzustellen. Werden z.B. EU-Standardvertrags-
klauseln verwendet, ist dem Betroffenen eine Einsichtnahme in das entsprechende
Dokument zu ermöglichen.
Nach Art. 13 Abs. 2 DSGVO muss der Verantwortliche dem Betroffenen darüber hinaus
weitere Informationen mitteilen, die insbesondere notwendig sind, um eine faire und
transparente Verarbeitung zu gewährleisten:
a) Dauer der Speicherung
Es ist konkret anzugeben, für wie lange personenbezogene Daten gespeichert werden.
Nur ausnahmsweise, wenn die Angabe einer Konkreten Zeitspanne dem Verantwortlichen
nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung
b) Rechte der Betroffenen
Die Betroffenen sind über ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung
der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit hinzu-
weisen, die sich aus den Art. 15 – 21 DSGVO ergeben.
c) Widerrufbarkeit von Einwilligungen
Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist auch darauf
gesondert hinzuweisen. Die entsprechende Informationspflicht ist nur erfüllt, wenn gleich-
zeitig darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann und
die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.
d) Beschwerderecht bei der Aufsichtsbehörde
Der Betroffene ist darüber aufzuklären, dass er sich gemäß Art. 77 DSGVO bei einer
Aufsichtsbehörde beschweren kann, wenn er der Ansicht ist, dass die Verarbeitung
seiner personenbezogenen Daten rechtswidrig erfolgt.
e) Verpflichtung zur Bereitstellung personenbezogener Daten
Der Verantwortliche muss den Betroffenen darüber informieren, ob die Bereitstellung
seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen
Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche
Folgen eine Nichtbereitstellung hätte.
f) Automatisierte Entscheidungsfindung und Profiling
Sobald der Verantwortliche Verfahren der automatisierten Entscheidung nach Art. 22 DSGVO
oder andere Profiling-Maßnahmen nach Art. 4 Nr. DSGVO durchführt, muss der Betroffene
über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren informiert
Diese Informationspflicht erstreckt sich auf Angaben zu der dazu verwendeten Logik
oder des Algorithmus.