Informationspflichten

Informationspflichten sind die zentrale Ausprägung des datenschutzrechtlichen Transparenzgrundsatzes nach Art. 5 Abs. 1 lit. a DSGVO. Sie verlangen, dass der Verantwortliche betroffene Personen proaktiv, in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache darüber informiert, wer ihre personenbezogenen Daten zu welchen Zwecken, auf welcher Rechtsgrundlage und für wie lange verarbeitet. Die Information muss von sich aus erfolgen und darf nicht von einem Auskunftsverlangen der betroffenen Person abhängig gemacht werden.

Die DSGVO unterscheidet danach, woher die Daten stammen. Art. 13 DSGVO regelt die Direkterhebung, also den Fall, dass die Daten unmittelbar bei der betroffenen Person erhoben werden; hier ist die Information bereits im Zeitpunkt der Erhebung zu erteilen. Art. 14 DSGVO betrifft die Dritterhebung, bei der die Daten aus anderen Quellen stammen (etwa von Auskunfteien, öffentlichen Registern oder Geschäftspartnern); hier gelten gestaffelte Fristen, regelmäßig innerhalb eines Monats, spätestens jedoch bei der ersten Kommunikation mit der betroffenen Person oder bei einer Offenlegung gegenüber Dritten. Bei der Dritterhebung ist zusätzlich die Datenquelle anzugeben.

Zu den Pflichtangaben zählen unter anderem Identität und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten, die Verarbeitungszwecke und die jeweilige Rechtsgrundlage, bei berechtigtem Interesse dessen Benennung, die Empfänger oder Kategorien von Empfängern, eine etwaige Drittlandübermittlung samt Garantien, die Speicherdauer, die Betroffenenrechte einschließlich Widerrufs- und Beschwerderecht sowie Informationen zu automatisierter Entscheidungsfindung. Verstöße gegen die Informationspflichten zählen zu den am häufigsten beanstandeten Mängeln und können nach Art. 83 Abs. 5 DSGVO mit Bußgeldern bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.