Informationspflicht gemäß Art. 13/14 Erhebung von personenbezogenen Daten bei der betroffenen Person

Die Umsetzung der Informationspflichten gehört zu einer Ihrer wichtigsten datenschutzrechtlichen Pflichten und besitzt eine vergleichsweise hohe Außenwirkung. Zudem stellen nicht bzw. nicht korrekt umgesetzten Informationspflichten einen Datenschutzverstoß dar, die mit einem Bußgeld geahndet werden können. Daher ist es umso wichtiger, dass die Betroffeneninformationen rechtlich korrekt umgesetzt werden – bei Fragen sprechen Sie uns gerne an! Eine umfangreiche Informationspflicht bedeutet, dass Unternehmen grundsätzlich in der Pflicht sind, betroffene Personen umfassend darüber zu informieren, wenn personenbezogene Daten wie etwa Namen oder Mail-Adressen von dem Betroffenen verarbeitet. Im Besonderen zählen zu den betroffenen Personen Bewerber, Mitarbeiter, Geschäftspartner, Kunden und Interessenten. Das ergibt sich aus Artikel 13 der Datenschutz-Grundverordnung (DS-GVO), wenn die Daten direkt bei den betroffenen Personen erhoben werden (Direkterhebung), und aus Artikel 14, wenn die Daten nicht direkt, sondern bei Dritten (Dritterhebung) oder aus öffentlich zugänglichen Quellen erhoben wurden. Beispiel Direkterhebung: Ein neues Vereinsmitglied füllt einen Mitgliedsantrag aus. Beispiel Dritterhebung: Ein Unternehmen kauft für Werbezwecke Datensätze von einem Adresshändler.


Sie müssen nach Art. 13 DS-GVO insbesondere Folgendes mitteilen:

  • Name und Kontaktdaten des Verantwortlichen (Beispiel: Name und Adresse der Behördenleitung oder des Geschäftsführers eines Unternehmens)

  • Kontaktdaten eines/einer vom Verantwortlichen bestellten Datenschutzbeauftragten (Der Name muss nicht angegeben werden, aber die Erreichbarkeit, z.B. über eine Telefonnummer oder Funktions-E-Mail-Adresse.)

  • Verarbeitungszwecke und Rechtsgrundlage (Beispiel: Abwicklung einer Bestellung, Nutzung der Daten für Werbezwecke; ggf. Beschreibung des berechtigten Interesses, falls die Datenverarbeitung auf einem berechtigten Interesse des Verantwortlichen oder von Dritten beruht.)

  • Hinweis auf die Widerrufbarkeit der Einwilligung, falls diese zuvor erteilt wurde

  • Empfänger der Daten bzw. Empfängerkategorien, falls die Daten weitergegeben werden (zum Beispiel an Paketversender)

  • Ggf. Absicht zur Übermittlung der Daten in ein Nicht-EU-Land (Beispiel: Verarbeitung der Daten durch einen Cloud-Anbieter mit Sitz in den USA)

  • Geplante Speicherdauer bzw. Kriterien für deren Festlegung (Beispiel: Aufbewahrungsfrist für Steuerzwecke, siehe auch Hilfestellung für den öffentlichen Bereich)

  • Betroffenenrechte (Recht auf Auskunft, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit)

  • Beschwerderecht bei Aufsichtsbehörde (Nennung der konkret zuständigen Aufsichtsbehörde)

  • Ggf. Information über die Verpflichtung zur Weitergabe der Daten an Dritte (Beispiel: Verpflichtung ergibt sich aus gesetzlicher Vorschrift wie etwa bei der Gewerbeanmeldung)

  • Ggf. Informationen über automatisierte Einzelfallentscheidung bzw. Profiling (Beispiel: Information über Scoring-Verfahren bei Wirtschaftsauskunfteien)

Nach Art. 14 DS-GVO sind zusätzliche Angaben zu machen:

  • Kategorien der verarbeiteten Daten (Beispiel: Adressdaten, Kontodaten)

  • Datenquelle (Beispiel: konkret benannter Adresshändler) Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Informationen verfügt. Das trifft zum Beispiel auf Patienten einer Arztpraxis zu, wenn sie dort mehrmals Termine wahrnehmen. Zudem entfällt die Informationspflicht bei gesetzlichen Meldepflichten an Behörden wie z.B. zur ordnungsgemäßen Berechnung von Steuern oder Sozialversicherungsbeiträgen.


Wie müssen Informationen erteilt werden?


Die Informationen können schriftlich oder in anderer Form (Beispiele: Informationsblatt, Flyer, Aushang, Schild, Bildsymbole, Fax), ggf. auch elektronisch erteilt werden. Falls es die betroffene Person verlangt, können Sie auch mündlich übermittelt werden. Für eine praxistaugliche Umsetzung können Sie die Informationen auch in mehreren Stufen und mithilfe verschiedener Medien erteilen. So können Sie sich beim ersten Kontakt auf Basisinformationen wie die genaue Bezeichnung des Verantwortlichen, die Einzelheiten der Verarbeitungszwecke und die Betroffenenrechte beschränken und die weiteren Informationen später ergänzen.


Ist die betroffene Person persönlich anwesend (zum Beispiel in der Arztpraxis oder im Bürgerbüro) kann die Informationspflicht dadurch erfüllt werden, dass aktiv auf einen Aushang oder einen ausliegenden Flyer mit einer Zusammenfassung der Basisinformationen hingewiesen wird. Für die weitergehenden Informationen kann dann auf eine Webseite verwiesen werden. Bei der Kontaktaufnahme am Telefon können Sie sich auf die Informationen zum Verantwortlichen, zu den Verarbeitungszwecken sowie den Betroffenenrechten beschränken. Bei den Betroffenenrechten genügt die exemplarische Nennung des Rechts auf Auskunft, sowie des Rechts auf Löschung. Die weitergehenden Informationen können dann im Anschluss schriftlich zugesandt werden oder es wird auf eine Webseite mit den vollständigen Informationen hingewiesen. So sollverhindert werden, dass die betroffene Person am Telefon mit den Informationen „überfrachtet“ wird. Eine Information am Telefon könnte zum Beispiel so lauten: „Sehr geehrter Kunde, sehr geehrte Kundin, wir [ Name der oder des Verantwortlichen ] verarbeiten Ihre personenbezogenen Daten zur [Erfüllung des mit Ihnen geschlossenen Kaufvertrages], [im Rahmen einer Auftragsverarbeitung], [für Werbezwecke]. Sie haben unter anderem das Recht, Auskunft über Ihre durch uns verarbeiteten Daten zu erhalten, sowie das Recht, dass diese Daten gelöscht werden, sofern sie zum Erreichen des genannten Zweckes nicht länger erforderlich sind. Weitere Informationen finden Sie auf unserer Homepage unter www.abcde.de.“ Sonderfall Terminvereinbarung am Telefon: Beschränkt sich der erste Kontakt mit der betroffenen Person auf eine Terminvereinbarung, müssen die Informationen noch nicht übermittelt werden (auch nicht die Basisinformationen). Wird der Termin dann wahrgenommen, sind die Informationen umgehend zu erteilen.


Bei einer Kommunikation per Brief kann ein Informationsblatt im ersten Schreiben an die betroffene Person mit versandt werden (z. B. als Anlage zur Empfangsbestätigung). Bei einer Kommunikation per E-Mail kann die Informationspflicht erfüllt werden, indem nach einer kurzen Darstellung der Basisinformationen ein Link auf eine Webseite mit den vollständigen Informationen verweist. Alternativ kann ein Informationsblatt als Anlage beigefügt werden.


In jedem Fall müssen die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden. Ergänzend muss das Unternehmen sicherstellen, dass – sofern die Daten bei der betroffenen Person selbst erhoben werden – die Betroffenen zum Zeitpunkt der Erhebung auch korrekte Betroffeneninformationen erhalten. Sofern die Daten nicht bei dem Betroffenen selbst erhoben werden, so muss der betroffenen Person spätestens innerhalb eines Monats die Betroffeneninformationen zugehen.


Die Betroffeneninformation am Beispiel des Bewerbungsverfahrens:


Reicht also beispielsweise ein Bewerber seine Bewerbungsunterlagen ein, so ist dieser Bewerber über die wesentlichen Rahmenbedingungen, wie seine Daten im Unternehmen verarbeitet werden, zu informieren. Diesen Vorgang haben wir unten am Beispiel des Bewerbers genau ausgeführt. Es handelt sich hierbei um ein grobes Beispiel, die Betroffeneninformationen sind stets auf die individuellen Gegebenheiten Ihres Unternehmens anzupassen. Ihr Unternehmen schreibt eine offene Stelle aus, wie gewünscht erhalten Sie daraufhin Bewerbungen via E-Mail. Diese Bewerbungen enthalten eine Vielzahl von personenbezogenen Daten, zum Beispiel:

  • den Namen und Vornamen des Bewerbers

  • die Anschrift - eine personalisierte E-Mail-Adresse

  • ein Geburtsdatum

  • ein Anschreiben sowie ein Lebenslauf

Es handelt sich hier um eine Direkterhebung personenbezogener Daten von Betroffenen. Der Anwendungsbereich der DSGVO (und des BDSG) ist somit eröffnet und Sie als Verantwortlicher müssen dem Bewerber eine Betroffeneninformation zukommen lassen. Auch der Zweck der Datenverarbeitung ist eindeutig: Sie benötigen die Daten, um eine Auswahl von geeigneten Beschäftigten treffen zu können – Ihr Zweck ist daher in erster Linie die Begründung eines Beschäftigungsverhältnisses. Die entsprechende Rechtsgrundlage ist Art. 88 DSGVO i. V. m. § 26 BDSG.


Die personenbezogenen Daten dürfen also zu diesem Zweck verarbeitet werden. Gleichsam definiert der Zweck grundsätzlich auch den Aufbewahrungszeitraum dieser Daten. Sobald der Auswahlprozess abgeschlossen ist und Sie sich gegen einen Bewerber entschieden haben, besteht auch kein Zweck mehr für die weitere Datenverarbeitung, weswegen die Daten grundsätzlich auch zu vernichten wären. Da sich aber möglicherweise aus dem Allgemeinen Gleichbehandlungsgesetz (AGG) Ansprüche gegen Sie ergeben können, haben Sie ein berechtigtes Interesse daran, die Bewerberunterlagen über die Absage hinaus aufzubewahren, da die Bewerberunterlagen wichtig sein können, um sich gegen etwaige Klagen zur Wehr setzen zu können. Deswegen ist es datenschutzrechtlich regelmäßig zulässig, die Bewerberunterlagen über den Auswahlprozess hinaus noch für sechs Monate aufzubewahren. Über diesen Zeitpunkt hinaus besteht regelmäßig kein Zweck für die weitere Datenspeicherung, weswegen die Daten zu löschen sind. Sofern Sie die Daten längerfristig speichern wollen, etwa weil Sie den Bewerber bei zukünftigen Stellenausschreibungen berücksichtigen wollen, benötigen Sie die aktive Einwilligung der betroffenen Person zur Speicherung in Ihrem Talentpool. Auch hierzu finden Sie einen passenden Textbaustein in unserem Muster. Haben Sie sodann unser Muster entsprechend den Gegebenheiten Ihres Unternehmens angepasst, müssen Sie diese dem Bewerber zusenden. Bei einer Direkterhebung wie im genannten Beispielfall müssen Sie die Betroffeneninformation der betroffenen Person zum Zeitpunkt der Erhebung (Art, 13 DSGVO, Erwägungsgrund 61), also spätestens ab Erhalt der Bewerbung mitteilen – eine praktikable Lösung wäre hierbei etwa der Einsatz einer Auto-Response-E-Mail.


Die Folgen der Nichteinhaltung


Die korrekte Zusendung der Betroffeneninformation ist und bleibt eine datenschutzrechtliche Pflicht. Bleibt die Information aus, so kann es sich um einen Datenschutzverstoß handeln. Dieser Datenschutzverstoß ist grundsätzlich auch bußgeldbewährt. Die korrekte Einhaltung der Informationspflichten ist daher eine elementare datenschutzrechtliche Anforderung, deren Erfüllung auch im Interesse Ihres Unternehmens ist.