Bevor ein Unternehmen Ihre Daten verarbeitet, muss es Sie umfassend informieren. Diese Informationspflichten sind die Grundlage für alle weiteren Betroffenenrechte, denn nur wer weiß, dass seine Daten verarbeitet werden, kann seine Rechte ausüben.
Bei Direkterhebung (Art. 13 DSGVO) - Sie geben Ihre Daten selbst an:
Zum Zeitpunkt der Erhebung muss mitgeteilt werden:
- Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters
- Kontaktdaten des Datenschutzbeauftragten
- Zwecke und Rechtsgrundlage der Verarbeitung
- Bei berechtigtem Interesse: welche konkreten berechtigten Interessen verfolgt werden
- Empfänger oder Kategorien von Empfängern
- Absicht einer Drittlandsübermittlung und geeignete Garantien
- Speicherdauer oder Kriterien für deren Festlegung
- Alle Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenportabilität)
- Widerrufsrecht bei Einwilligung
- Beschwerderecht bei der Aufsichtsbehörde
- Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist
- Informationen zur automatisierten Entscheidungsfindung einschließlich Profiling
Bei Dritterhebung (Art. 14 DSGVO) - die Daten stammen aus anderer Quelle:
Zusätzlich: Angabe der Datenkategorien und der Datenquelle. Frist: innerhalb angemessener Frist, maximal ein Monat.
Einschränkungen (Paragraphen 32-33 BDSG):
Das BDSG sieht für bestimmte Situationen Einschränkungen der Informationspflicht vor, etwa wenn die Information die öffentliche Sicherheit gefährden oder die Geltendmachung rechtlicher Ansprüche beeinträchtigen würde. In diesen Fällen muss der Verantwortliche die Gründe dokumentieren und geeignete Schutzmassnahmen ergreifen.
Praxistipp: Die Datenschutzerklärung auf einer Website oder in einem Vertrag ist die typische Umsetzung der Informationspflichten. Fehlt sie oder ist sie unvollständig, kann dies ein Bußgeld nach Art. 83 Abs. 5 lit. b DSGVO auslösen.