Betroffene müssen über die Verarbeitung der sie betreffenden personenbezogenen Daten informiert werden, was regelmäßig in einer Datenschutzerklärung erfolgt (Art. 13 und 14 DSGVO).
Was ist Sinn und Zweck einer Datenschutzerklärung?
Datenschutzerklärungen sollen die Datenerhebung für den Betroffenen transparent machen. In einem leicht ereichbaren und möglichst verständlichen Text soll der Verantwortliche den Betroffenen über Art und Umfang der Erhebung seiner personenbezogenen Daten aufklären und erläutern, ob und welche Daten gespeichert werden und inwiefern Dritte in die Verarbeitung eingebunden sind.
Welche Angaben muss eine Datenschutzerklärung enthalten?
Zunächst müssen Angaben zum Verantwortlichen gemacht werden, also der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters mitgeteilt werden sowie gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten (Art. 13 Abs. 1 lit. a) und b) und Art. 14 Abs. 1 lit. a) und b) DSGVO).
Sodann sind dem Betroffenen sind die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung mitzuteilen (Art. 13 Abs. 1 lit. c) und Art. 14 Abs. 1 lit. c) DSGVO).
Wenn die personenbezogenen Daten bei der betroffenen Person erhoben werden und Rechtsgrundlage der Verarbeitung berechtigte Interessen gem. Art. 6 Abs. 1 lit. f) DSGVO sind, müssen diese berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden in der Datenschutzerklärung angegeben werden (Art. 13 Abs. 1 lit. d) DSGVO).
Werden die personenbezogenen Daten nicht bei der betroffenen Person erhoben, müssen der betroffenen Person die Kategorien der personenbezogener Daten mitgeteilt werden, die verarbeitet werden (Art. 14 Abs. 1 lit. d) DSGVO).
Gegebenenfalls sind die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten anzugeben (Art. 13 Abs. 1 lit. e) und Art. 14 Abs. 1 lit. e) DSGVO).
Falls die Absicht des Verantwortlichen besteht, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, ist dies dem Betroffenen ebenso mitzuteilen wie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabs. 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind (Art. 13 Abs. 1 lit. f) und Art. 14 Abs. 1 lit. f) DSGVO).
Welche Informationen müssen in der Datenschutzerklärung zusätzlich enthalten sein?
Zusätzlich zu den o.g. Angaben muss der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung stellen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:
Mitgeteilt werden muss die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Art. 13 Abs. 2 lit. a) und Art. 14 Abs. 2 lit. a) DSGVO).
Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden und Rechtsgrundlage der Verarbeitung berechtigte Interessen gem. Art. 6 Abs. 1 lit. f) DSGVO sind, müssen diese berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden in der Datenschutzerklärung angegeben werden (Art. 14 Abs. 2 lit. a) DSGVO).
Informieren muss die Datenschutzerklärung auch über das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Art. 13 Abs. 2 lit. b) und Art. 14 Abs. 2 lit. c) DSGVO).
Wenn die personenbezogenen Daten bei der betroffenen Person erhoben werden und wenn die Verarbeitung auf Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 lit. a) DSGVO, also der Einwilligung des Betroffenen beruht, muss die Datenschutzerklärung ihn über das Bestehen eines Rechts informieren, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird (Art. 13 Abs. 2 lit. c) DSGVO).
Mitgeteilt werden muss auch das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Art. 13 Abs. 2 lit. e) DSGVO).
Wenn die personenbezogenen Daten bei der betroffenen Person erhoben werden muss mitgeteilt werden, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte (Art. 13 Abs. 2 lit. e) DSGVO).
Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden muss mitgeteilt werden, aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen (Art. 14 Abs. 2 lit. f) DSGVO).
Gegebenenfalls muss das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO mitgeteilt werden und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 13 Abs. 2 lit. f) und Art. 14 Abs. 2 lit. g) DSGVO).
Was gilt, wenn sich der Zweck der Verarbeitung ändert?
Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Art. 13 Abs. 2 bzw. Art. 14 Abs. 2 DSGVO zur Verfügung (Art. 13 Abs. 3 und Art. 14 Abs. 4 DSGVO).
Muss eine Datenschutzerklärung auch erfolgen, wenn der Betroffene bereits informiert ist?
Die Art. 13 Abs. 1, 2 und 3 bzw. Art. 14 Abs. 1 bis 4 DSGVO finden keine Anwendung, d.h. die Informationspflicht entfällt, wenn und soweit die betroffene Person bereits über die Informationen verfügt (Art. 13 Abs. 4 und Art. 14 Abs. 5 DSGVO).