Worüber muss der Betroffene informiert werden?

Nach der DSGVO sind den Betroffenen durch den Verantwortlichen gewisse Informationen über die Datenanwendungen zur Verfügung zu stellen.

Die Informationspflichten nach der DSGVO trennen sich in eine Auflistung von Informationen, welche zu erteilen sind, wenn die Daten bei Betroffenen direkt erhoben wurden und für den Fall, dass die Daten nicht bei Betroffenen selbst erhoben wurden.

Daten werden bei der betroffenen Person selbst erhoben:

  • Namen und Kontaktdaten des Verantwortlichen (und ggf. seiner Vertreter),
  • Kontaktdaten des Datenschutzbeauftragten,
  • Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung,
  • im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw. eines Dritten sind die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, auszuweisen,
  • Empfänger der Daten,
  • falls die Absicht besteht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss auch darüber informiert werden, ebenso wie über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission. Weiters ist im Falle von Datenübermittlung vorbehaltlich geeigneter Garantien oder aufgrund von verbindlichen internen Datenschutzvorschriften, bzw. generell aufgrund von besonderen Ausnahmebestimmungen eben auf diese geeigneten oder angemessenen Garantien zu verweisen oder zumindest, wo eine Kopie erhältlich wäre,
  • Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer,
  • Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,
  • die Möglichkeit des Widerrufs der Einwilligung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte,
  • über das Bestehen automatisierter Entscheidungsfindung, inkl. aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (z.B. Profiling).

Zeitpunkt:

Die Informationen sind den Betroffenen zum Zeitpunkt der Erhebung der Daten zur Verfügung zu stellen.

Ausnahme:

Die Daten müssen nicht zur Verfügung gestellt werden, wenn die betroffene Person bereits über die Informationen verfügt.

Daten werden nicht bei der betroffenen Person selbst erhoben:

  • den Namen und die Kontaktdaten des Verantwortlichen (und ggf. seiner Vertreter),
  • die Kontaktdaten des Datenschutzbeauftragten,
  • Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung,
  • die Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger der Daten,
  • falls die Absicht besteht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss auch darüber informiert werden, ebenso wie über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission. Weiters ist im Falle von Datenübermittlung vorbehaltlich geeigneter Garantien oder aufgrund von verbindlichen internen Datenschutzvorschriften, bzw. generell aufgrund von besonderen Ausnahmebestimmungen eben auf diese geeigneten oder angemessenen Garantien zu verweisen oder zumindest, wo eine Kopie erhältlich wäre,
  • Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer,
  • im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw. eines Dritten sind die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, auszuweisen,
  • Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,
  • die Möglichkeit des Widerrufs der Einwilligung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • aus welcher Quelle die personenbezogenen Daten stammen (z.B. öffentlich zugängliche Quelle),
  • über das Bestehen automatisierter Entscheidungsfindung, inkl. aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (z.B. Profiling).

Zeitpunkt:

Der Verantwortliche erteilt die Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, spätestens innerhalb eines Monats. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an die Person, oder falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

Ausnahmen:

Wenn

  • die betroffene Person bereits über die Informationen verfügt,
  • die Erteilung dieser Informationen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert (z.B. bei Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke) oder falls die Verwirklichung der Ziele der Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt werden würde,
  • die Erlangung oder Offenlegung durch Rechtsvorschriften der Europäischen Union oder der Mitgliedstaaten ausdrücklich geregelt ist,
  • die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis oder einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

Transparente Information, Kommunikation und Modalitäten

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen und alle Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Die Übermittlung der Informationen erfolgt schriftlich, elektronisch oder in einer anderen Form. Die Informationen können nach den Erwägungsgründen beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist, bereitgestellt werden.

Geldstrafen

Die Verletzung der Informationspflicht ist mit bis zu EUR 20 Mio oder 4% des letztjährigen weltweiten Jahresumsatzes sanktioniert.