Informationspflichten der DSGVO: Verantwortliche müssen künftig deutlich mehr Informationen über die Details der Datenverarbeitungstätigkeiten bereithalten.
Die Informationsrechte der Art. 12-14 der Datenschutz-Grundverordnung (DSGVO) sind Teil der Betroffenenrechte. Sie stehen noch vor dem Recht auf Vergessenwerden oder dem Recht auf Auskunft. Der Verordnungsgeber rückt mit diesen Individualrechten die betroffenen Personen weiter in den Fokus: Sie sollen autonom über das Schicksal ihrer Daten entscheiden können.
Dafür bedarf es zunächst einer transparenten Information über die einzelnen Umstände der Verarbeitungstätigkeiten. Hierauf aufbauend können Betroffene eine informierte Entscheidung über die Ausübung ihrer Rechte treffen. Die Informationsrechte sind also zu Recht der erste Pfeiler der Betroffenenrechte.
Weiter Anwendungsbereich der Informationspflichten
Die Informationspflichten gelten umfassend bei Datenverarbeitungsvorgängen. Deshalb werden sie einen weiten Anwendungsbereich haben: Von Datenschutzerklärungen auf Internetseiten über Datenschutzinformationen bei einem Online-Gewinnspiel bis hin zur Information von Arbeitnehmern über die Verarbeitung ihrer Daten am Arbeitsplatz – sämtliche Informationen müssen die Vorgaben der DSGVO beachten.
Eine Unterscheidung hinsichtlich des Anwendungsbereichs betrifft die Frage, ob der Verantwortliche die Daten beim Betroffenen selbst oder bei einem Dritten erhebt. Erhält der Verantwortliche die Daten vom Nutzer selbst, so ist Art. 13 DSGVO zu beachten. Werden die Daten allerdings bei einer anderen Person erhoben, so richten sich die Informationspflichten nach Art. 14 DSGVO. Die Regelungen sind weitgehend gleichlautend. Allerdings hat der Verantwortliche, wenn er die Daten bei einem Dritten erhebt, auch über die Quelle der Daten zu informieren.
Inhalt der Informationspflichten
Die Bestimmungen zu den Informationspflichten enthalten umfangreiche Kataloge über die notwendigen Einzelangaben. Zu den Inhalten der Informationspflichten zählen unter anderem die Angaben zu Namen und Kontaktdaten des Verantwortlichen und zu den Kontaktdaten des Datenschutzbeauftragten. Auch die Zwecke der Datenverarbeitung, die Empfänger der Daten und die Dauer der Datenspeicherung sind anzuführen. Eine weitere Pflichtinformation ist die Angabe über beabsichtigte Datentransfers ins Ausland und deren datenschutzrechtliche Absicherung.
Eine wichtige Neuerung zum Inhalt der Informationspflichten betrifft die Angabe der Betroffenenrechte wie beispielsweise die Rechte auf Auskunft und Löschung sowie das Widerspruchsrecht. Zudem muss der Verantwortliche auf die Möglichkeit der Beschwerde zur Aufsichtsbehörde hinweisen.
In Abweichung von der bisherigen Rechtslage müssen Verantwortliche künftig auch die Rechtsgrundlage der Datenverarbeitung nennen. Stützt der Verantwortliche beispielsweise im Fall von Online-Werbung die Datenverarbeitung auf ein „berechtigtes Interesse“, so muss er dieses Interesse näher darlegen. Die Betroffenen sind auch über eine beabsichtigte Änderung des Verarbeitungszwecks zu unterrichten. Schließlich ist anzugeben, ob eine automatisierte Entscheidungsfindung einschließlich eines Profilings stattfindet.
Durchsetzung der Informationspflichten mittels Geldbußen
Die DSGVO gilt ab dem 25. Mai 2018. Das scharfe Schwert der Geldbußen ist mittlerweile vielleicht der bekannteste Teil der DSGVO. Auch zu den Informationspflichten darf ein Hinweis auf die möglichen Rechtsfolgen eines Verstoßes nicht fehlen: Die DSGVO sanktioniert den Verstoß mit Geldbußen bis zu 20 Millionen Euro oder mit bis zu 4% des gesamten weltweit erzielten Jahresumsatzes. Damit verdeutlicht die DSGVO, dass die Einhaltung der Informationspflichten von großer Bedeutung ist.
Transparenz oder „Information Overload“
Der Transparenz im Datenschutzrecht kommt zu Recht ein hoher Stellenwert zu. Allerdings werden die Informationspflichten wegen ihrer Komplexität kritisiert. Es bestünde die Gefahr, dass Betroffene sich in der Fülle der Informationen verlieren. Im schlimmsten Fall würden sie ihre Rechte dann nicht mehr geltend machen, weil sie mit Informationen überflutet seien.
Dem Vorwurf einer Überfrachtung der Informationen wirkt die DSGVO indes selbst entgegen: Der Verantwortliche muss die Informationen präzise, leicht zugänglich und in klarer und einfacher Sprache abfassen. In der Praxis wird es auf eine auf das Wesentliche verdichtete Information ankommen.