Art. 13 DSGVO

Datenschutz VerstehenArt. 13 DSGVO

Kurze Einleitung

Datenschutz wird immer wichtiger in unserer sich ständig weiter digitalisierenden Welt. Dabei werden vor allem im Internet sehr viele Daten erhoben, wovon man im Zweifel als betroffene Person nicht allzu viel mitbekommt. Um dem Entgegenzuwirken wurde die Datenschutzgrundverordnung (DSGVO) entworfen, welche sich mit diesem Thema auseinandersetzt. Einer der spannendsten Artikel aus dieser Verordnung ist der Art. 13 DSGVO, welcher die Informationsrechte der Betroffenen regelt, sobald personenbezogene Daten erhoben werden.

 

Was ist der Art. 13 DSGVO?

Art. 13 DSGVO ist eine der wichtigsten datenschutzrechtlichen Verpflichtungen. Dieser regelt die Informationspflichten desjenigen, der die personenbezogenen Daten erhebt und somit verarbeitet und nach der DSGVO als Verantwortlicher im Sinne des Art. 4 Nr. 7 bezeichnet wird. Die Intention des Art. 13 DSGVO ist dabei, eine möglichst große Transparenz für den Betroffenen also meist den Verbraucher zu schaffen. Er soll jederzeit wissen, ob überhaupt Daten erhoben werden, was für Daten erhoben werden, was mit diesen Daten gemacht wird und optimalerweise auch warum diese Daten generell erhoben werden.

Dadurch ist Art. 13 DSGVO, vor allem die korrekte Umsetzung, sehr wichtig für Unternehmer, einerseits weil die Verbraucher Transparenz gerade im Datenschutzbereich stets zu schätzen wissen, andererseits weil bei Verstoß auch überaus empfindliche Strafen drohen.

 

Wie muss Art. 13 DSGVO umgesetzt werden?

Dazu gibt es im Art. 13 DSGVO keine eindeutige Antwort für die Umsetzung, lediglich der Zeitpunkt ist vorgeschrieben, nämlich müssen der betroffenen Person gemäß Art. 13 DSGVO zum Zeitpunkt der Erhebung der Daten auch alle relevanten Informationen mitgeteilt werden. Wichtig ist auch, dass die Informationen aktiv mitgeteilt werden müssen, wenn sie irgendwo auf der Website stehen reicht das nicht aus, ein direktes Hinweisen auf die Informationen ist notwendig.

Ebenfalls wesentlich ist hier Art. 12 Abs. 1 DSGVO, dieser schreibt vor, dass die Inhalte in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln sind, was insbesondere für an Kinder gerichtete Aussagen gilt.

Dies ist wieder keine eindeutige Aussage, man muss aber offensichtlich stark darauf achten, die Auskünfte so simpel wie möglich zu halten, sodass jeder, der von Recht nichts versteht, diese einfach verstehen kann. Außerdem ist es wichtig, dass die Auskünfte für jeden leicht zugänglich sind. Art. 12 Abs. 1 DSGVO sieht die Schriftform vor, erlaubt allerdings auch jede andere Form, sogar die mündliche (auf Wunsch der betroffenen Person).

Abgesehen von diesen Vorgaben kann man die Auskünfte so gestalten wie man möchte und an die individuellen Vorlieben bzw. Ansprüche anpassen. Man kann diese Vorgaben allerdings sehr weit auslegen, und es kann sehr schwierig sein die Grenze zu ziehen zwischen dem was noch erlaubt ist und was nicht. Deswegen empfehlen wir, sich in der Richtung von unseren Experten bei Keyed beraten zu lassen, um definitiv auf der sicheren Seite zu sein.

 

Pflichtangaben nach Art. 13 DSGVO

Was in der Mitteilung dem Betroffenen gegenüber gemäß Art. 13 DSGVO angegeben werden muss und was nicht, regelt der Art. 13 DSGVO sogar recht explizit. Dabei gibt es aber einige Unterschiede. Einige Angaben müssen laut Gesetz jederzeit angegeben sein, darunter fallen:

  •   Namen und Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 lit. a) DSGVO)
  •   Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Art. 13 Abs. 1 lit. c) DSGVO)
  •   Die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls nicht möglich, die Kriterien für die Festlegung dieser Dauer (Art. 13 Abs. 2 lit. a) DSGVO)
  •   Das Hinweisen auf das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit (Art. 13 Abs. 2 lit. b) DSGVO)
  •   Das Hinweisen auf das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Art. 13 Abs. 2 lit. d) DSGVO)
  •   Ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte (Art. 13 Abs. 2 lit. e) DSGVO)
  •   Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 bis 4 DSGVO und zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person (Art. 13 Abs. 2 lit. f) DSGVO)

Weiterhin schreibt Art. 13 DSGVO Auskünfte vor, welche aber nur in gewissen Situationen getroffen angegeben werden müssen (leicht erkennbar an dem Wort „gegebenenfalls“). Dazu zählen:

  •   Namen und Kontaktdaten des Vertreters des Verantwortlichen (Art. 13 Abs. 1 Nr. 1 DSGVO)
  •   Kontaktdaten des Datenschutzbeauftragten (Art. 13 Abs. 1 Nr. 2 DSGVO)
  •   Die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 Nr. 5 DSGVO)
  •   Die Absicht, Daten an ein Drittland oder internationale Organisation zu vermitteln, das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind (Art. 13 Abs. 1 Nr. 6 DSGVO)

Letztlich gibt es noch zwei Fälle, bei denen eine Auskunft nur erforderlich ist wenn die Datenerhebung auf anderen Artikeln der DSGVO beruht (leicht zu erkennen an dem einleitenden Wort „Wenn“):

  •   Wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO (regelt die Rechtmäßigkeit der Verarbeitung von Daten, Absatz 1 lit. f) speziell wiegt die Interessen des Verantwortlichen gegen die der zu erhebenden Person ab) beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden
  •   Wenn die Verarbeitung auf Art. 6 Abs. 1 lit. a) DSGVO (Person hat Einwilligung zur Erhebung der Daten gegeben) oder Art. 9 Abs. 2 lit. a) DSGVO (regelt was für personenbezogene Daten erhoben werden dürfen und welche nicht, Absatz 2 lit. a)) regelt den Fall, dass die zu erhebende Person ihre Einwilligung gegeben hat) das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung, berührt wird.
 

Wann ist Artikel 13 DSGVO erforderlich?

Eine der wichtigsten Fragen bezüglich Art, 13 DSGVO ist natürlich, wann man sich nach diesem richten muss und wann nicht. Dies gibt der erste Satz des Artikels vor, nämlich immer dann, wenn personenbezogene Daten von der betroffenen Person erhoben werden. Dabei sind zwei Begriffe zu klären, den der betroffenen Person sowie den der personenbezogenen Daten.

Zum Glück schafft hier die Verordnung Abhilfe und liefert eine Definition. Vereinfacht gesagt ist gemäß Art. 13 DSGVO mit „betroffene Person“ jede Person gemeint, die in irgendeiner Art und Weise identifiziert werden kann. Personenbezogene Daten sind alle Informationen, die sich auf den Namen, eine Kennnummer, Standortdaten oder auf eines oder mehrere Merkmale, welche Ausdruck der physische, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität einer betroffenen Person beziehen. Weil das immer noch eine sehr breit gefasste Definition ist, nennen wir hier einige Beispiele:

  •   Demographische Daten
  •   Jegliche Identifikationsnummern (Steuernummer, Ausweisnummer)
  •   Gesundheitsinformationen
  •   Lebensweise (sexuelle Orientierung, ledig/geschieden/verheiratet)
  •   Religiöse Einstellung
  •   Politische Ansichten
  •   Ethnie
  •   Standortdaten
  •   E-Mail-Adresse
  •   Bankdaten

Das sind nur einige Beispiele, der Begriff ist sehr vielseitig auslegbar und es wird immer neue Anwendungsfälle geben. Trotzdem vermittelt dies einen guten Überblick was alles unter den Begriff personenbezogene Daten gemäß Art. 13 DSGVO fallen kann.

Zusammengefasst ist also die Anwendung des Art. 13 DSGVO notwendig, wenn solche Daten von identifizierbaren Menschen erhoben werden sollen.

 

Verstöße gegen Art. 13 DSGVO

Letztlich ist eine der größten und wichtigsten Fragen, wie die Konsequenzen aussehen, wenn man gegen Art. 13 DSGVO verstößt. Diese können verschieden aussehen und sind in den Artt. 77-84 DSGVO geregelt, wobei wir uns hier auf zwei Möglichkeiten konzentrieren.

Eine Möglichkeit ist eine Beschwerde bei einer entsprechenden Aufsichtsbehörde, auf die gemäß Art. 77 DSGVO jede betroffene Person ein Recht hat. Diese Aufsichtsbehörden sind befugt, Bußgelder zu verhängen nach Art. 83 DSGVO. Diese sind von Einzelfall zu Einzelfall unterschiedlich zu verhängen, wobei viele verschiedene Faktoren in die Bewertung der Höhe mit einfließen (z.B. Art, Schwere und Dauer des Verstoßes, ob dieser vorsätzlich oder fahrlässig begangen wurde, einschlägige frühere Verstöße und viele mehr, benannt unter Art. 83 Abs. 2 DSGVO). Die Verordnung schreibt ebenfalls vor, dass Geldbußen wirksam, verhältnismäßig und abschreckend sein sollen.

Bei Verstößen gegen Art. 13 DSGVO können nach Abs. 2 lit. b) Strafen von bis zu 20.000.000 EUR oder 4% des weltweiten Jahresumsatzes aus dem vorangegangenen Geschäftsjahr verhängt werden.

Eine andere Möglichkeit ist ein einfacher Schadensersatzanspruch gemäß Art. 82 DSGVO, der schon entsteht, sobald einer Person wegen eines Verstoßes ein materieller oder immaterieller Schaden entstanden ist, weitere Regelungen zu Art und Umfang des Schadensersatzes lassen sich in § 249 ff. BGB finden.

Es zeigt sich, dass Verstöße gegen die DSGVO sehr empfindlich geahndet werden können, deshalb ist es sehr wichtig, darauf zu achten entsprechend der Richtlinien zu handeln, damit solche unnötigen Strafen einfach vermieden werden zu können.

 

Art. 13 DSGVO (Volltext)

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN