Wie und wo müssen Informationspflichten umgesetzt werden?

Datenschutz im Unternehmen richtig umsetzen

Wenn personenbezogene Daten von Betroffenen verarbeitet werden, weisen wir ja schon öfter auf die Informationspflichten hin, welche Verantwortliche in Unternehmen umsetzen müssen. In diesem Blog soll es diesmal um die konkreten Zeitpunkte und auch die Art und Weise gehen, wie Informationspflichten umgesetzt werden müssen.

Informationspflichten als Grundpflicht

Betroffene haben das Recht darauf, bei der Erfassung von personenbezogenen Daten über deren Verarbeitung informiert zu werden. Das ist eine Grundpflicht, die jeder Verantwortliche umsetzen muss.

Wer die Informationspflichten nicht umsetzt, verstößt gegen die Vorgaben im Datenschutz. Aber wann, wie und wo muss der Betroffene über die Verarbeitung der eigenen personenbezogenen Daten informiert werden?

Informationspflichten im Datenschutz: Wo und wie Verantwortliche sie umsetzen müssen

Die Informationspflichten gemäß der Datenschutz-Grundverordnung (DSGVO) sind ein zentrales Element des europäischen Datenschutzrechts. Warum sind Informationspflichten so wichtig?

Transparenz ist das Herzstück eines wirksamen Datenschutzes. Nur wenn Betroffene wissen, was mit ihren Daten geschieht, können sie ihre Rechte wahrnehmen und selbstbestimmt entscheiden. Die DS-GVO stärkt dieses Prinzip, indem sie Verantwortliche verpflichtet, umfassend und verständlich zu informieren.

BLOG-TIPP: SYSTEMUPDATES: UNVERZICHTBAR FÜR DATENSCHUTZ

Wo müssen Informationspflichten umgesetzt werden?

Direkt bei der Datenerhebung

Immer dann, wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden, muss der Verantwortliche die Informationspflichten unmittelbar erfüllen. Typische Beispiele sind:

• Online-Formulare (z. B. Kontaktformulare, Newsletter-Anmeldungen)
• Bestell- und Registrierungsprozesse im E-Commerce
• Bewerbungsverfahren
• Vertragsabschlüsse im stationären Handel oder Dienstleistungsbereich

Die Informationen müssen dem Betroffenen spätestens im Moment der Datenerhebung zur Verfügung gestellt werden – etwa durch einen klar sichtbaren Link auf die Datenschutzerklärung, einen Hinweistext am Formular oder ein separates Informationsblatt.

BLOG-TIPP: DATENSCHUTZ IN HOTEL UND GASTRONOMIE

Nachträglich bei indirekter Datenerhebung

Werden personenbezogene Daten nicht direkt bei der betroffenen Person, sondern über Dritte oder aus öffentlichen Quellen erhoben, gilt eine nachträgliche Informationspflicht. Das betrifft beispielsweise:

• Datenübernahmen aus öffentlichen Registern
• Adressdaten von Geschäftspartnern
• Informationen, die im Rahmen von Recherchen oder Analysen gewonnen werden

In diesen Fällen muss die Information in der Regel innerhalb eines Monats, spätestens jedoch bei der ersten Kommunikation mit der betroffenen Person oder bei der erstmaligen Weitergabe der Daten an Dritte erfolgen.

Wie müssen Informationspflichten umgesetzt werden?

Die DS-GVO stellt hohe Anforderungen an die Form der Information. Im Mittelpunkt stehen die Prinzipien Präzision, Verständlichkeit und Zugänglichkeit. Die Informationspflichten müssen präzise sein und vollständige Angaben enthalten. Die Informationen müssen alle Pflichtinhalte gemäß Art. 13 und 14 DSGVO abdecken. Dazu gehören unter anderem:

• Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
• Zwecke und Rechtsgrundlagen der Datenverarbeitung
• Empfänger oder Kategorien von Empfängern
• Speicherdauer oder Kriterien für die Festlegung der Dauer
• Hinweise auf Betroffenenrechte (z. B. Auskunft, Löschung, Widerspruch)
• Informationsquelle bei indirekter Erhebung
• Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde
• Verständlichkeit und Zielgruppenorientierung

Die Sprache muss klar, einfach und frei von juristischen oder technischen Fachbegriffen sein. Ziel ist, dass auch Laien die Informationen nachvollziehen können. Besonders bei Online-Angeboten ist auf eine übersichtliche Gliederung und eine gut lesbare Gestaltung zu achten.

BLOG-TIPP: DAS AUSKUNFTSERSUCHEN – RECHT AUF AUSKUNFT IM DATENSCHUTZ

Leichte Zugänglichkeit

Die Informationen müssen für Betroffene jederzeit leicht auffindbar sein. Das bedeutet, dass die Datenschutzerklärung als eigenständige und direkt verlinkte Seite auf Websites (idealerweise auf der Startseite und bei jedem Formular) oder als Beilage von Informationsblättern zu Verträgen, Anträgen oder anderen Papierdokumenten, Hinweise in E-Mails, Newslettern oder Apps, wo die vollständigen Informationen abrufbar sind

Aktualität und Nachvollziehbarkeit

Die Informationspflicht ist keine einmalige Aufgabe: Verantwortliche müssen ihre Datenschutzhinweise regelmäßig überprüfen und bei Änderungen der Datenverarbeitung anpassen. Auch sollte dokumentiert werden, wann und wie die Informationen bereitgestellt wurden.

Informationspflichten prüfen und umsetzen

Die Umsetzung der Informationspflichten ist für Verantwortliche kein bürokratischer Selbstzweck, sondern ein zentrales Element des Datenschutzes und seiner Umsetzung. Wer die gesetzlichen Vorgaben ernst nimmt und transparent kommuniziert, stellt einen sicheren Datenschutz sicher.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.