Informationspflichten nach EU-DSGVO

Eine neue Pflicht, die die EU-DSGVO eingeführt hat, ist die Informationspflicht. Hierbei müssen die Betroffenen, über die personenbezogene Daten verarbeitet werden, vom Verantwortlichen (der fachlich Verantwortliche, der die Daten verarbeitet) über einige Sachverhalte informiert werden.

Wirken die Betroffenen bei der Datenerhebung mit (Direkterhebung) ist nach Art. 13 DSGVO zu informieren. Werden die Daten nicht direkt bei den betroffenen Personen erhoben (Dritterhebung), sind die Informationen nach Art. 14 DSGVO bereit zu stellen.

Wer muss informieren?

Bei Direkterhebung:

  • Der/Die Verantwortliche

Bei Dritterhebung:

  • Der/Die Verantwortliche der Direkterhebung, falls diese Information nicht schon bei der Erhebung mitgeteilt wurde.
  • Der/Die Verantwortliche für die Dritterhebung, falls die Informationen den Betroffenen nicht schon bekannt sind.

Wann muss informiert werden?

Bei Direkterhebung:

  • Bei Erhebung
  • Bei Zweckänderung (Art. 13 Abs. 3 DSGVO)

Bei Dritterhebung:

  • Nachträglich innerhalb einer angemessenen Frist (längstens innerhalb eines Monats ), spätestens beim ersten Kontakt mit den Betroffenen.
  • Bei nachträglicher Zweckänderung – also wenn die Daten zu einem anderen Zweck weiterverarbeitet werden sollen, als ursprünglich bei der Übermittlung mitgeteilt – muss vor der Verarbeitung mit dem neuen Zweck informiert werden. (Art. 14 Abs. 4 DSGVO)

Worüber muss informiert werden?

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke und Rechtsgrundlage der Verarbeitung
  • Kategorien personenbezogener Daten (nur Dritterhebung)
  • Quelle der personenbezogenen Daten (nur Dritterhebung)
  • Empfänger personenbezogener Daten (extern wie intern)
  • Übermittlung in ein Drittland oder an eine internationale Organisation
  • Speicherdauer
  • Rechte der Betroffenen
  • Widerrufsrecht bei einer Einwilligung
  • Beschwerderecht bei einer Aufsichtsbehörde
  • Bereitstellungspflicht (nur Direkterhebung)

Beispiele für Auslöser der Informationspflicht

Sie müssen z.B. informieren:

  • bei Anmeldung zu einer Veranstaltung über ein Online-Formular[1]
  • bei Anmeldung zum Newsletter
  • bei Ausschreibung einer Stelle (Sie informieren vorab den/die Bewerber*Innen)[2]
  • bei Veröffentlichen einer Webseite (hier erheben Sie ebenfalls Daten – Protokolldaten, Cookies,…)[3]

Formulierungsbeispiele und ausführliche Informationen

Das Bayerische Staatsministerium des Innern, für Sport und Integration hat Erläuterungen und Formulierungsbeispiele zur Verfügung gestellt. Diese finden Sie im Datenschutz-Wiki der TUM unter Unterstützung > Webseiten > "Beispiel Informationspflichten/Datenschutzerklärung Erläuterungen"

Der Bayerische Landesbeauftragte für den Datenschutz stellt eine Orientierungshilfe zum Thema Informationspflichten des Verantwortlichen zur Verfügung. Dort finden Sie ebenfalls Formulierungsbeispiele, aber auch weitere wichtige Hinweise.


[1] Falls Sie eine Einwilligungserklärung einholen, informieren Sie im Rahmen der Einwilligungserklärung, siehe Unterstützung > Einwilligungserklärung

[2] Für die TUM stellt diese Information die ZA2-Personal zur Verfügung, Sie müssen lediglich darauf verweisen.