Informationspflichten bei der Erhebung personenbezogener Daten

Die Grundlage eines fairen Umgangs mit personenbezogenen Daten bildet das Wissen der betroffenen Person darüber, was mit ihren Daten passiert. Gerade wenn die Datenverarbeitung von einer Einwilligung der betroffenen Person abhängt, ist deren Informiertheit unerlässlich. Eine freie und eigenverantwortliche Entscheidung kann nur treffen, wem auch alle für die Entscheidungsfindung erheblichen Informationen vorliegen.
Für die Erhebung personenbezogener Daten verpflichten Art. 13 f. DSGVO den Verantwortlichen daher zur Bereitstellung bestimmter Informationen gegenüber der betroffenen Person. Was Sie dabei beachten müssen und was die Informationspflichten im Einzelnen umfassen, finden Sie in der folgenden Übersicht.

Name und Kontaktdaten des Verantwortlichen

„Verantwortlicher“ ist, wer über Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Jede natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle kann Verantwortlicher sein. 
Als Kontaktinformationen sollten mindestens der Name, eine Anschrift sowie ein praktischer Kommunikationsweg (z.B.: E-Mail-Adresse, Postfachanschrift) angegeben werden.
Bei wissenschaftlicher Forschung ist zu unterscheiden, ob die forschende Person selbst (z.B.: Studierende, Professoren, wissenschaftliche Mitarbeiter) oder eine übergeordnete Einrichtung (z.B.: Universität, Lehrstuhl) über die Zwecke und Mittel der Verarbeitung entscheidet. Dies hängt insbesondere vom Bestehen eines konkreten Weisungsrechts ab. Ist die forschende Person zwecks ihres Anstellungsverhältnisses weisungsgebunden, ist der Weisungsgeber in letzter Instanz befugt, über die Datenverarbeitung zu entscheiden und somit Verantwortlicher.

Kontaktdaten des Datenschutzbeauftragten

Falls Sie einer Einrichtung angehören, die einen Datenschutzbeauftragten bestellt hat, sind dessen Kontaktdaten (z.B.: E-Mailadresse, Postfach) anzugeben.
Beispiel:
Datenschutzbeauftragte der Universität Mannheim
L 1,1
68131 Mannheim

E-Mail: datenschutzbeauftragte@uni-mannheim.de
Tel.: +49 621 181–1126

Zweckbestimmung

Der betroffenen Person ist darzulegen, welche Daten verarbeitet werden, auf welche Weise diese verarbeitet werden und zu welchem Zweck die Verarbeitung stattfindet. Daraus muss die betroffene Person Umfang und Ausmaß der Verarbeitung ausreichend erkennen können.
Die betroffene Person muss sich anhand der bereitgestellten Informationen ein konkretes Bild machen können, wie die sie betreffenden Daten im konkreten Fall verwendet werden.

Bestimmung der Daten
Der betroffenen Person muss klar, verständlich und vollständig dargelegt werden, welche personenbezogenen Daten verarbeitet werden.
Beispiele: 
Adress- oder Kontaktdaten für die Datenerhebung wie E-Mail-Adresse, IP-Adresse, Name oder Telefonnummer, Daten über den soziodemografischen Hintergrund wie Beruf, Alter, Herkunft, Wohnort oder inhaltliche Befragungsdaten wie Vorlieben, Interessen, Einschätzungen, Bewertungen oder Verhaltensweisen

Art und Weise der Verarbeitung
Die betroffene Person muss anhand der bereitgestellten Informationen einschätzen können, welche Aktionen mit den Daten auf Grundlage der Einwilligung unternommen werden.
Bei der Beschreibung der Art und Weise der Verarbeitung kann sich an den Verarbeitungsformen der DSGVO orientiert werden: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassung, Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung, Übermittlung, Verbreitung, Bereitstellung, Abgleich, Verknüpfung, Einschränkung, Löschung, Vernichtung

Zweck der Verarbeitung
Anhand der bereitgestellten Informationen muss die betroffene Person erkennen können, welchem konkreten Zweck die Datenverarbeitung dient, um ihr Einverständnis hiervon abhängig machen zu können.
Für die Datenverarbeitung zu wissenschaftlichen Forschungszwecken besteht die Möglichkeit zur Erteilung eines „broad consent“. Konkret bedeutet dies, dass die Anforderungen an die Informationen bezüglich der Zweckbestimmung für wissenschaftliche Forschungszwecke bereits gewahrt sind, wenn ein ausreichend bestimmter Forschungsbereich genannt wird.

Rechtsgrundlage der Datenverarbeitung

Die Rechtsgrundlage, auf die sich die Datenverarbeitung stützt, ist zu nennen. Die konkrete Norm, hier Art. 6 I lit. a) DSGVO, muss zumindest genannt und ihr Wortlaut zitiert werden.

Notwendigkeit/Pflicht der Datenbereitstellung

Sie müssen auf die Freiwilligkeit der Datenbereitstellung durch den Betroffenen hinweisen.
Sollte eine Pflicht zur Datenbereitstellung bestehen oder sich durch die Nichtbereitstellung Nachteile für die betroffene Person ergeben, so müssen Sie auch auf diese hinweisen.

Datenempfänger

Sollte der Verarbeitungszweck die Weitergabe der Daten an Dritte erfordern, müssen sie diese benennen. Empfänger kann jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, sein, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.
Der Begriff ist umfassend zu verstehen und schließt auch Auftragsdatenverarbeiter, Mitarbeiter und Unterorganisationen mit ein.
Eine abstrakte Beschreibung der Empfängerkategorien genügt der Informationspflicht. Im Ergebnis muss die betroffene Person abschätzen können, wer Zugang zu den sie betreffenden Daten hat.

Übermittlung an ein Drittland

Wenn Sie beabsichtigen, die Daten an einen Staat außerhalb der Europäischen Union oder eine internationale Organisation zu übermitteln, müssen Sie die betroffene Person hierüber informieren. Außerdem sollten Sie den Rat der zuständigen Datenschutzbeauftragten einholen.

Speicherdauer

Sofern bereits zum Zeitpunkt der Informationserteilung die Dauer der Datenspeicherung feststeht, ist diese mitzuteilen. Ist diese noch nicht absehbar, sind die Kriterien zur Entscheidung über die Speicherdauer mitzuteilen.
Im Bereich der wissenschaftlichen Forschung wird durch die Anforderungen einer guten wissenschaftlichen Praxis regelmäßig die Archivierung der Forschungsdaten gefordert, wodurch sich eine ausgesprochen lange Speicherdauer ergeben kann. Hierbei ist von der Möglichkeit der baldmöglichsten Anonymisierung Gebrauch zu machen.  

Rechte der betroffenen Person

Die betroffene Person ist auf ihre Rechte aus Art. 15 – 21 DSGVO hinzuweisen. Ihr stehen grundsätzlich folgende Rechte zu:

•    Recht auf Auskunft nach Art. 15 DSGVO
•    Recht auf Berichtigung nach Art. 16 DSGVO
•    Recht auf Löschung nach Art. 17 DSGVO
•    Recht auf Einschränkung der Verarbeitung nach Art. 18 DSGVO
•    Recht auf Datenübertragbarkeit aus Art. 20 DSGVO
•    Widerspruchsrecht aus Art. 21 DSGVO
•    Recht auf Beschwerde bei einer Aufsichtsbehörde aus Art. 77 DSGVO

Eine standardisierte Rechtsbelehrung genügt.

Widerrufsinformationen

Sie müssen die betroffene Person darauf hinweisen, dass eine erteilte Einwilligung jederzeit widerrufen werden kann ohne, dass die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs hiervon berührt wird. 

Neben der Bereitstellung der Widerrufsinformation muss auch die tatsächliche Widerrufsmöglichkeit gegeben sein. Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein. Dementsprechend muss ein Kommunikationsweg für den Widerruf bereitgestellt werden, der dem der Einwilligungserteilung entspricht.

Für weitere Fragen zum Thema Datenschutz können Sie gerne iVA und für eine individuelle Beratung die zuständigen Datenschutzbeauftragten kontaktieren.