Informationspflichten
Informationspflicht bei Verarbeitung personenbezogener Daten
Bereits zum Zeitpunkt der Erhebung personenbezogener Daten sind Betroffene über die konkrete Verarbeitung personenbezogener Daten zu informieren. Eine Mitteilung pauschaler Informationen ohne konkreten Bezug zur jeweiligen Datenverarbeitung erfüllt nicht die datenschutzrechtlichen Anforderungen an die Einhaltung der Informationspflicht. Diese Informationspflicht ergibt sich unmittelbar aus den Vorschriften der DSGVO, vgl. Art. 13 ff. DSGVO. Werden personenbezogene Daten direkt bei den Betroffenen erhoben, sind diese gemäß Art. 13 DSGVO zu informieren über:
- die/den Verantwortliche/n für die Datenverarbeitung samt Kontaktdaten (Hochschule, vertreten durch den/die Vorsitzenden des Leitungsgremiums)
- die/den Datenschutzbeauftragte/n des/der Verantwortlichen samt Kontaktdaten
- den Zweck und die Rechtsgrundlage der Datenverarbeitung
- ggf. die Empfänger der personenbezogenen Daten
- ggf. die Übermittlung personenbezogener Daten an ein Drittland
- die Dauer der Speicherung, oder jedenfalls die Kriterien für die Speicherdauer/ Überprüfungsfristen
- die Betroffenenrechte
- das Beschwerderecht bei einer Aufsichtsbehörde.
Werden personenbezogene Daten nicht direkt bei den Betroffenen selbst erhoben, handelt es sich um eine Erhebung der Daten bei einer dritten Stelle, vgl. Art. 14 Abs. 1 DSGVO. Hierbei sind im Wesentlichen die gleichen Informationen wie im Fall einer Erhebung von Daten direkt bei der betroffenen Person zu erteilen. Darüber hinaus ist der/die Betroffene zudem darüber zu informieren, aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen.
Die DSGVO selbst nennt eine Beschränkung der Informationspflicht nach Art. 13 Abs. 4 DSGVO für den Fall der Direkterhebung sowie nach Art. 14 Abs. 5 lit. a) DSGVO für den Fall der Dritterhebung, wenn die betroffene Person bereits über die entsprechenden Informationen verfügt. Kennt die betroffene Person die wesentlichen Informationen über die Datenverarbeitung also bereits, kann auf eine gesonderte Mitteilung der Informationen verzichtet werden. Wann ein solcher Fall vorliegt ist stets für den einzelnen Fall genauestens zu prüfen.
Weitergehende Hinweise zur Informationspflicht
- Der Bayerische Landesbeauftragte für den Datenschutz stellt in seiner Orientierungshilfe weitere Erläuterungen zur Informationspflicht nach Art. 13 und 14 DSGVO bereit.
- Auf dem ZENDAS-Portal finden Sie ebenfalls weitere Hinweise sowie einen Überblick über die Informationspflichten nach der DSGVO bei Datenerhebung.