Art. 13 DSGVO

Datenschutz VerstehenArt. 13 DSGVO

Kurze Einleitung

Datenschutz wird immer wichtiger in unserer sich ständig weiter digitalisierenden Welt. Dabei werden vor allem im Internet sehr viele Daten erhoben, wovon man im Zweifel als betroffene Person nicht allzu viel mitbekommt. Um dem Entgegenzuwirken wurde die Datenschutzgrundverordnung (DSGVO) entworfen, welche sich mit diesem Thema auseinandersetzt. Einer der spannendsten Artikel aus dieser Verordnung ist der Art. 13 DSGVO, welcher die Informationsrechte der Betroffenen regelt, sobald personenbezogene Daten erhoben werden.

Inhalt:

Art. 13 DSGVO
 

Art. 13 DSGVO (Volltext)

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Mehr anzeigenWeniger anzeigen
 

Art. 13 DSGVO Erklärung

Art. 13 DSGVO ist eine der wichtigsten datenschutzrechtlichen Verpflichtungen. Dieser regelt die Informationspflichten desjenigen, der die personenbezogenen Daten erhebt und somit verarbeitet und nach der DSGVO als Verantwortlicher im Sinne des Art. 4 Nr. 7 bezeichnet wird. Die Intention des Art. 13 DSGVO ist dabei, eine möglichst große Transparenz für den Betroffenen, also meist den Verbraucher zu schaffen. Er soll jederzeit wissen, ob überhaupt Daten erhoben werden, was für Daten erhoben werden, was mit diesen Daten gemacht wird und optimalerweise auch warum diese Daten generell erhoben werden.

Dadurch ist Art. 13 DSGVO, vor allem die korrekte Umsetzung, sehr wichtig für Unternehmer, einerseits weil die Verbraucher Transparenz gerade im Datenschutzbereich stets zu schätzen wissen, andererseits weil bei Verstoß auch überaus empfindliche Strafen drohen.

 

Wie muss Art. 13 DSGVO umgesetzt werden?

Dazu gibt es im Art. 13 DSGVO keine eindeutige Antwort für die Umsetzung, lediglich der Zeitpunkt ist vorgeschrieben, nämlich müssen der betroffenen Person gemäß Art. 13 DSGVO zum Zeitpunkt der Erhebung der Daten auch alle relevanten Informationen mitgeteilt werden. Wichtig ist auch, dass die Informationen aktiv mitgeteilt werden müssen, wenn sie irgendwo auf der Website stehen reicht das nicht aus, ein direktes Hinweisen auf die Informationen ist notwendig.

Ebenfalls wesentlich ist hier Art. 12 Abs. 1 DSGVO, dieser schreibt vor, dass die Inhalte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind, was insbesondere für an Kinder gerichtete Aussagen gilt.

Dies ist wieder keine eindeutige Aussage, man muss aber offensichtlich stark darauf achten, die Auskünfte so simpel wie möglich zu halten, sodass jeder, der von Recht nichts versteht, diese einfach verstehen kann. Außerdem ist es wichtig, dass die Auskünfte für jeden leicht zugänglich sind. Art. 12 Abs. 1 DSGVO sieht die Schriftform vor, erlaubt allerdings auch jede andere Form, sogar die mündliche (auf Wunsch der betroffenen Person).

Abgesehen von diesen Vorgaben kann man die Auskünfte so gestalten wie man möchte und an die individuellen Vorlieben bzw. Ansprüche anpassen. Man kann diese Vorgaben allerdings sehr weit auslegen, und es kann sehr schwierig sein die Grenze zu ziehen zwischen dem was noch erlaubt ist und was nicht. Deswegen empfehlen wir, sich in der Richtung von unseren Experten bei Keyed beraten zu lassen, um definitiv auf der sicheren Seite zu sein.

Datenschutz-Managementsystem
Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

+0

Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

0%

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

Anfrage stellen
externer Datenschutzbeauftragter - Termin buchen
 

Pflichtangaben nach Art. 13 DSGVO

Was in der Mitteilung dem Betroffenen gegenüber gemäß Art. 13 DSGVO angegeben werden muss und was nicht, regelt der Art. 13 DSGVO sogar recht explizit. Dabei gibt es aber einige Unterschiede. Einige Angaben müssen laut Gesetz jederzeit angegeben sein, darunter fallen:

  •   Namen und Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 lit. a) DSGVO)
  •   Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Art. 13 Abs. 1 lit. c) DSGVO)
  •   Die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls nicht möglich, die Kriterien für die Festlegung dieser Dauer (Art. 13 Abs. 2 lit. a) DSGVO)
  •   Das Hinweisen auf das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Art. 13 Abs. 2 lit. b) DSGVO)
  •   Das Hinweisen auf das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Art. 13 Abs. 2 lit. d) DSGVO)
  •   Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Art. 13 Abs. 2 lit. e) DSGVO)
  •   Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 bis 4 DSGVO und zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 13 Abs. 2 lit. f) DSGVO)

Weiterhin schreibt Art. 13 DSGVO Auskünfte vor, welche aber nur in gewissen Situationen getroffen angegeben werden müssen (leicht erkennbar an dem Wort „gegebenenfalls“). Dazu zählen:

  •   Namen und Kontaktdaten des Vertreters des Verantwortlichen (Art. 13 Abs. 1 Nr. 1 DSGVO)
  •   Kontaktdaten des Datenschutzbeauftragten (Art. 13 Abs. 1 Nr. 2 DSGVO)
  •   Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 Nr. 5 DSGVO)
  •   Die Absicht, Daten an ein Drittland oder internationale Organisation zu vermitteln, das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind (Art. 13 Abs. 1 Nr. 6 DSGVO)

Letztlich gibt es noch zwei Fälle, bei denen eine Auskunft nur erforderlich ist wenn die Datenerhebung auf anderen Artikeln der DSGVO beruht (leicht zu erkennen an dem einleitenden Wort „Wenn“):

  •   Wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO (regelt die Rechtmäßigkeit der Verarbeitung von Daten, Absatz 1 lit. f) speziell wiegt die Interessen des Verantwortlichen gegen die der zu erhebenden Person ab) beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  •   Wenn die Verarbeitung auf Art. 6 Abs. 1 lit. a) DSGVO (Person hat Einwilligung zur Erhebung der Daten gegeben) oder Art. 9 Abs. 2 lit. a) DSGVO (regelt, was für personenbezogene Daten erhoben werden dürfen und welche nicht, Absatz 2 lit. a)) regelt den Fall, dass die zu erhebende Person ihre Einwilligung gegeben hat) das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, berührt wird.
 

Wann ist Artikel 13 DSGVO erforderlich?

Eine der wichtigsten Fragen bezüglich Art, 13 DSGVO ist natürlich, wann man sich nach diesem richten muss und wann nicht. Dies gibt der erste Satz des Artikels vor, nämlich immer dann, wenn personenbezogene Daten von der betroffenen Person erhoben werden. Dabei sind zwei Begriffe zu klären, den der betroffenen Person sowie den der personenbezogenen Daten.

Zum Glück schafft hier die Verordnung Abhilfe und liefert eine Definition. Vereinfacht gesagt ist gemäß Art. 13 DSGVO mit „betroffene Person“ jede Person gemeint, die in irgendeiner Art und Weise identifiziert werden kann. Personenbezogene Daten sind alle Informationen, die sich auf den Namen, eine Kennnummer, Standortdaten oder auf eines oder mehrere Merkmale, welche Ausdruck der physische, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer betroffenen Person beziehen. Weil das immer noch eine sehr breit gefasste Definition ist, nennen wir hier einige Beispiele:

  •   Demographische Daten
  •   Jegliche Identifikationsnummern (Steuernummer, Ausweisnummer)
  •   Gesundheitsinformationen
  •   Lebensweise (sexuelle Orientierung, ledig/geschieden/verheiratet)
  •   Religiöse Einstellung
  •   Politische Ansichten
  •   Ethnie
  •   Standortdaten
  •   E-Mail-Adresse
  •   Bankdaten

Das sind nur einige Beispiele, der Begriff ist sehr vielseitig auslegbar und es wird immer neue Anwendungsfälle geben. Trotzdem vermittelt dies einen guten Überblick was alles unter den Begriff personenbezogene Daten gemäß Art. 13 DSGVO fallen kann.

Zusammengefasst ist also die Anwendung des Art. 13 DSGVO notwendig, wenn solche Daten von identifizierbaren Menschen erhoben werden sollen.

 

Verstöße gegen Art. 13 DSGVO

Letztlich ist eine der größten und wichtigsten Fragen, wie die Konsequenzen aussehen, wenn man gegen Art. 13 DSGVO verstößt. Diese können verschieden aussehen und sind in den Artt. 77-84 DSGVO geregelt, wobei wir uns hier auf zwei Möglichkeiten konzentrieren.

Eine Möglichkeit ist eine Beschwerde bei einer entsprechenden Aufsichtsbehörde, auf die gemäß Art. 77 DSGVO jede betroffene Person ein Recht hat. Diese Aufsichtsbehörden sind befugt, Bußgelder zu verhängen nach Art. 83 DSGVO. Diese sind von Einzelfall zu Einzelfall unterschiedlich zu verhängen, wobei viele verschiedene Faktoren in die Bewertung der Höhe mit einfließen (z.B. Art, Schwere und Dauer des Verstoßes, ob dieser vorsätzlich oder fahrlässig begangen wurde, einschlägige frühere Verstöße und viele mehr, benannt unter Art. 83 Abs. 2 DSGVO). Die Verordnung schreibt ebenfalls vor, dass Geldbußen wirksam, verhältnismäßig und abschreckend sein sollen.

Bei Verstößen gegen Art. 13 DSGVO können nach Abs. 2 lit. b) Strafen von bis zu 20.000.000 EUR oder 4% des weltweiten Jahresumsatzes aus dem vorangegangenen Geschäftsjahr verhängt werden.

Eine andere Möglichkeit ist ein einfacher Schadensersatzanspruch gemäß Art. 82 DSGVO, der schon entsteht, sobald einer Person wegen eines Verstoßes ein materieller oder immaterieller Schaden entstanden ist, weitere Regelungen zu Art und Umfang des Schadensersatzes lassen sich in § 249 ff. BGB finden.

Es zeigt sich, dass Verstöße gegen die DSGVO sehr empfindlich geahndet werden können, deshalb ist es sehr wichtig, darauf zu achten entsprechend der Richtlinien zu handeln, damit solche unnötigen Strafen einfach vermieden werden zu können.

 

Art. 13 und 14 DSGVO Checkliste

Von enormer Wichtigkeit ist darüber hinaus die klare Unterscheidung, bei welchen Sachverhalten Art. 13 DSGVO und in welchen Situationen Art. 14 DSGVO Anwendung findet. Hier bestehen oft Unsicherheiten, da sich beide Rechtsnormen sehr stark ähneln. Art. 13 DSGVO umfasst den Fall der Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person selbst. Im Gegensatz dazu enthält Art. 14 DSGVO jene Informationspflicht, die sich daraus ergibt, dass der Verarbeiter die personenbezogenen Daten nicht direkt bei dem Betroffenen erhoben hat. Damit meint der Gesetzgeber jene Fälle, in welchen der Verantwortliche z.B. von einem anderen Verantwortlichen oder aus öffentlichen Quellen Daten erlangt. Beide Artikel beinhalten jedoch die gleiche, sich wiederholende Formulierung, dass die Informationspflicht nur besteht, wenn der Betroffene nicht bereits über diese Informationen verfügt (vgl. Art. 13 Abs. 4 und Art. 14 Abs. 5 lit. a) DSGVO). Darüber hinaus enthält Art. 14 Abs. 5 DSGVO eine Aufzählung weiterer Fälle, in welchen eine Informationspflicht im Rahmen des Art. 14 DSGVO entfällt. Hierzu gehört beispielsweise nach Art. 14 Abs. 5 lit. d) DSGVO ein Wegfall der Informationspflicht, sofern die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsgemäßen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

Anforderungen Art. 13 DSGVO

  • Name und die Kontaktdaten Ihrer Organisation
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Rechtsgrundlagen der Verarbeitung
  • Die berechtigten Interessen (im Falle der Anwendung des Art. 6 Abs.1 lit. f DSGVO)
  • Die Kategorien der erhobenen personenbezogenen Daten (auch wenn dies hier nicht verpflichtend ist, wird empfohlen, die Kategorien, wenn möglich zu bezeichnen.)
  • Empfänger der Daten im Falle der Weitergabe der Daten
  • Detaillierte Angaben im Falle der Weitergabe der
    Daten in einen Drittstaat oder eine internationale Organisation
  • Angaben zur Dauer der Verarbeitung bzw. Zeitpunkt
    der Löschung der Daten
  • Rechte der Betroffenen
  • Im Falle einer Einwilligung die Möglichkeit des
    jederzeitigen Widerspruchs
  • Das Recht auf Beschwerde bei der
    Datenschutzaufsichtsbehörde
  • Ob die Bereitstellung der personenbezogenen Daten
    gesetzlich oder vertraglich vorgeschrieben oder für einen
    Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte
  • Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling

Anforderungen Art. 14 DSGVO

  • Name und die Kontaktdaten Ihrer Organisation
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Rechtsgrundlagen der Verarbeitung
  • Die berechtigten Interessen (im Falle der Anwendung des Art. 6 Abs.1 lit. f DSGVO)
  • Die Kategorien der erhobenen personenbezogenen Daten (auch wenn dies hier nicht verpflichtend ist, wird empfohlen, die Kategorien, wenn möglich zu bezeichnen.)
  • Empfänger der Daten im Falle der Weitergabe der Daten
  • Detaillierte Angaben im Falle der Weitergabe der
    Daten in einen Drittstaat oder eine internationale Organisation
  • Angaben zur Dauer der Verarbeitung bzw. Zeitpunkt
    der Löschung der Daten
  • Rechte der Betroffenen
  • Im Falle einer Einwilligung die Möglichkeit des
    jederzeitigen Widerspruchs
  • Das Recht auf Beschwerde bei der
    Datenschutzaufsichtsbehörde
  • Die Quelle, aus der die Daten stammen, die nicht
    direkt bei der betroffenen Person erhoben werden
  • Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
Menü