Die DSGVO unterscheidet zwischen Informationspflichten bei Direkterhebung (Art. 13) und bei Dritterhebung (Art. 14).
Bei Direkterhebung (Art. 13 DSGVO)
Wenn Daten direkt bei der betroffenen Person erhoben werden (z.B. Kontaktformular, Vertragsabschluss), müßen ZUM ZEITPUNKT der Erhebung mitgeteilt werden:
Pflichtangaben Absatz 1: Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters, Kontaktdaten des DSB, Zwecke und Rechtsgrundlage, berechtigte Interessen (bei Art. 6 Abs. 1 lit. f), Empfänger oder Empfängerkategorien, Drittlandtransfer-Informationen.
Pflichtangaben Absatz 2: Speicherdauer oder Kriterien für die Festlegung, Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenportabilität), Widerrufsrecht bei Einwilligung, Beschwerderecht bei Aufsichtsbehörde, ob die Bereitstellung gesetzlich/vertraglich vorgeschrieben ist, Informationen über automatisierte Entscheidungsfindung einschließlich Profiling.
Bei Dritterhebung (Art. 14 DSGVO)
Wenn Daten nicht bei der betroffenen Person erhoben werden (z.B. Datenkauf, öffentliche Quellen, Empfänger von Datenübermittlungen), gelten die gleichen Pflichten plus: Kategorien der verarbeiteten Daten und Herkunft/Quelle der Daten. Frist: innerhalb angemessener Frist, maximal ein Monat nach Erhebung.
Form (Art. 12 Abs. 1 DSGVO)
Präzise, transparent, verständlich, leicht zugänglich, klare und einfache Sprache. Bei schriftlicher Korrespondenz darf NICHT pauschal auf das Internet verwiesen werden (DSK-Kurzpapier Nr. 10).
Bußgelder
Verstöße gegen die Informationspflichten: bis zu 20 Millionen Euro oder 4% des Jahresumsatzes (Art. 83 Abs. 5 lit. b DSGVO).