Laptop, Tablet und Smartphone aufeinander gelegt
© Valeri Luzina | stock.adobe.com

EU-Datenschutz-Grundverordnung (DSGVO): Datenschutzerklärung / Informationspflichten

Worüber muss die betroffene Person informiert werden?

Lesedauer: 5 Minuten

Überblick

Nach der DSGVO müssen Verantwortliche den betroffenen Personen einige Informationen über die Datenanwendungen zur Verfügung stellen (siehe auch WKO Online Ratgeber DSGVO). Diese Informationspflichten erfüllt der Verantwortliche üblicherweise in einer „Datenschutzerklärung“ (oder auch „Privacy Policy“ o.Ä. genannt).

Die Informationspflichten nach der DSGVO trennen sich in eine Auflistung von Informationen, welche zu erteilen sind,

  1. wenn die personenbezogenen Daten bei Betroffenen direkt erhoben wurden und 
  2. für den Fall, dass die Daten nicht bei Betroffenen selbst erhoben wurden (z.B. aus dem Firmenbuch, Grundbuch, Internetquellen o.Ä.). Der Einfachheit halber werden diese Informationen üblicherweise zusammen in einer Erklärung dargestellt.

Tipp: Datenschutzerklärung des Unternehmens auf der eigenen Webseite übersichtlich unter eigenem Button veröffentlichen (z.B. muster.at/datenschutzerklärung) und im Alltag einbinden (z.B. Verweis im E-Mail-Impressum und auf Geschäftspapier durch „Unsere Datenschutzerklärung finden Sie unter…“). 

Inhalt der Datenschutzerklärung

  • Namen und Kontaktdaten des Verantwortlichen (und gegebenenfalls (ggf.) seiner Vertreter) und
  • Kontaktdaten des Datenschutzbeauftragten, wenn einer bestellt wurde (Näheres s. EU-Datenschutz-Grundverordnung (DSGVO): Der Datenschutzbeauftragte),
  • die Kategorien personenbezogener Daten, die verarbeitet werden,
  • wenn die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben wurden: aus welcher Quelle die personenbezogenen Daten stammen (z.B. aus öffentlich zugänglichen Quellen wie Firmenbuch oder Internet),
  • Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung (im Falle einer Datenverarbeitung „aufgrund berechtigter Interessen des Verantwortlichen bzw. eines Dritten“ sind die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, auszuweisen (s. EU-Datenschutz-Grundverordnung (DSGVO): Grundsätze und Rechtmäßigkeit der Verarbeitung),
  • im Falle einer Datenverarbeitung „aufgrund berechtigter Interessen des Verantwortlichen bzw. eines Dritten“ sind die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, auszuweisen (s. EU-Datenschutz-Grundverordnung (DSGVO): Grundsätze und Rechtmäßigkeit der Verarbeitung),
  • im Falle einer Datenverarbeitung aufgrund einer Einwilligung ist auf die Möglichkeit des Widerrufs der Einwilligung und dass im Falle eines Widerrufs die Rechtmäßigkeit der Datenverarbeitung bis zum Zeitpunkt des Widerrufs nicht berührt wird, hinzuweisen,
  • Empfänger, an die die Daten weitergegeben worden sind oder noch weitergegeben werden (inkl. Auftragsverarbeiter); oder die Kategorien von Empfängern, wenn der konkrete Empfänger noch nicht bekannt ist (z.B. „IT-Dienstleister“, „Banken“, „Versicherungen“),

Tipp: Aufgrund aktueller Entscheidungen der Datenschutz-Aufsichtsbehörden ist es sinnvoll, die Informationen so zu gliedern, dass pro Daten-Empfänger auch die übermittelten Datenkategorien, Rechtsgrundlage(n) und Zweck der Weitergabe angeführt werden. Bei entsprechender Komplexität bietet sich eine tabellarische Darstellung an. Bei Empfängern außerhalb der EU/des EWR ist auch der Empfängerstaat anzugeben. 

  • falls die Absicht besteht, die Daten in ein Drittland oder an eine internationale Organisation  zu übermitteln, muss auch darüber informiert werden, ebenso wie
    über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission,
  • im Falle einer Datenübermittlung aufgrund geeigneter Garantien / verbindlicher internen Datenschutzvorschriften / besonderer Ausnahmebestimmungen für internationale Übermittlungen ist auf diese Garantien / Vorschriften / Ausnahmebestimmungen direkt zu verweisen und anzugeben, wo eine Kopie erhältlich wäre (Näheres s. EU-Datenschutz-Grundverordnung (DSGVO): Prüfschema internationaler Datenverkehr),
  • Dauer der Datenspeicherung bzw., wenn das nicht möglich ist, die Kriterien für die Festlegung der Dauer,
  • Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte,
  • ggf. über das Bestehen automatisierter Entscheidungsfindung, inkl. aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (z.B. Profiling).

Zeitpunkt

Daten werden von der betroffenen Person direkt erhoben:

Die Informationen sind den Betroffenen zum Zeitpunkt der Erhebung der Daten zur Verfügung zu stellen.

Beispiel: Bei einem Online-Kontaktformular wird die Datenschutzerklärung vor Absenden des Formulars eingebunden z.B. durch „Hier finden Sie unsere Datenschutzerklärung …“.

Daten werden aus anderen Quellen als von der betroffenen Person erhoben:

Der Verantwortliche erteilt die Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, spätestens innerhalb eines Monats. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an die Person, oder falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

Beispiel: Bei einer großen Onlinebestellung werden vor Abschluss des Kaufvertrags Bonitätsdaten des Bestellers von einer Kreditauskunftei ausgehoben. Spätestens bei der Kommunikation mit dem Besteller muss über diese Tatsache informiert werden.

Ausnahme

Daten werden von der betroffenen Person direkt erhoben:

Die Daten müssen nicht zur Verfügung gestellt werden, wenn die betroffene Person bereits über die Informationen verfügt.

Daten werden aus anderen Quellen als von der betroffenen Person erhoben:

Wenn

  • die betroffene Person bereits über die Informationen verfügt,
  • die Erteilung dieser Informationen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert (z.B. bei Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke) oder falls die Verwirklichung der Ziele der Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt werden würde,
  • die Erlangung oder Offenlegung durch Rechtsvorschriften der Europäischen Union oder der Mitgliedstaaten ausdrücklich geregelt ist,
  • die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis oder einer satzungsmäßigen Geheimhaltungspflicht unterliegen und daher vertraulich behandelt werden müssen.

Beispiel: Ein Adressverlag erfasst personenbezogene Daten über eine Person aus Kunden- und Interessentendateisystemen Dritter oder aus Marketingdateisystemen anderer Adressverlage und Direktmarketingunternehmen. Die Information darf unterbleiben, da sie in der gewerberechtlichen Rahmenbedingungen des Adressverlages (vgl. § 151 GewO) ohnehin ausdrücklich geregelt ist.

Transparente Information, Kommunikation und Modalitäten

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen und alle Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Die Übermittlung der Informationen erfolgt schriftlich, elektronisch oder in einer anderen Form. Die Informationen können nach den Erwägungsgründen beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist, bereitgestellt werden.

Achtung:  Da es sich bei der Datenschutzerklärung um eine reine Information für betroffene Personen handelt, kann in diese - anders als in eine Einwilligungserklärung - nicht eingewilligt werden. Tatsächlich sollten die datenschutzrechtlichen Informationen von weiteren Vertragsinhalten und Einwilligungserklärungen getrennt sein.

Beispiel: In einem Onlineshop müssen vor Abschluss der Bestellung noch die AGB bestätigt werden. Die AGB wurden verlinkt und müssen mittels Checkbox abgehakt werden. Die Datenschutzerklärung für diese Bestellung sollte als Information ohne Checkbox angeboten werden („Unsere Datenschutzinformationen finden Sie hier …). 

Geldstrafen

Die Verletzung der Informationspflicht ist mit bis zu 20 Mio. EUR oder 4% des letztjährigen weltweiten Jahresumsatzes sanktioniert.

Relevante Artikel der DSGVO: Art 13, Art 14
Relevante Erwägungsgründe: 39, 58 – 62 

Stand: 01.04.2024

Weitere interessante Artikel
  • Drei Holzwürfel mit Aufdruck schwarzer Icons zum Thema Datenschutz, private Daten vor einem blauen Hintergrund
    EU-Datenschutz-Grundverordnung (DSGVO): Datensicherheits­maßnahmen
    Weiterlesen
  • Person mit Brillen sitzt an Tisch und blickt auf Formulare vor ihr liegend, am Tisch aufgeklapptes Notebook, Tasse und Smartphone
    EU-Datenschutz-Grundverordnung (DSGVO): Einwilligungs­erklärung
    Weiterlesen