Der Lan­des­be­auf­trag­te für den Daten­schutz Bran­den­burg hat eine Hand­rei­chung zur Infor­ma­ti­ons­pflicht des Ver­ant­wort­li­chen nach Art. 13 und 14 DSGVO ver­öf­fent­licht. Es lohnt sich, die gan­ze Hand­rei­chung zu lesen, aber ins­be­son­de­re die fol­gen­den Hin­wei­se sind rele­vant:

  • Die Infor­ma­ti­on soll­te grund­sätz­lich mit dem glei­chen Medi­um über­mit­telt wer­den, mit dem die Kom­mu­ni­ka­ti­on mit der betrof­fe­nen Per­son geführt wird (Ver­mei­dung eines Medi­en­bruchs). Bei Off­line-Kom­mu­ni­ka­ti­on wür­de dies aller­dings dazu füh­ren, dass jeweils mehr­sei­ti­ge Infor­ma­ti­ons­blät­ter mit­zu­schicken wären. Es ist des­halb zuläs­sig, per Brief (oder am Tele­fon, etwa bei einem Anruf beim Kun­den­dienst) nur die wich­tig­sten Infor­ma­tio­nen zu über­mit­teln und durch Anga­be eines Links oder durch einen QR-Code auf eine Web­site zu ver­wei­sen, wo die wei­te­ren Infor­ma­tio­nen zu fin­den sind. Inso­fern darf – im Sin­ne eines “layered”-Ansatzes – ein Medi­en­bruch in Kauf genom­men wer­den. Die erste „Infor­ma­ti­ons­schicht“ soll­te fol­gen­de Punk­te ent­hal­ten:
    • Ver­ar­bei­tungs­zwecke
    • Iden­ti­tät des Ver­ant­wort­li­chen
    • Beschrei­bung der Rech­te der betrof­fe­nen Per­son
    • Ver­ar­bei­tun­gen, die sich am stärk­sten auf die betrof­fe­ne Per­so­nen aus­wir­ken und/oder über­ra­schend wäre.
  • Ent­spre­chend ist es zuläs­sig, bei phy­si­schen Kon­tak­ten mit der betrof­fe­nen Per­son (z.B. bei einem Bera­tungs­ge­spräch) die wich­tig­sten Infor­ma­tio­nen (sie­he oben) auf einem (idea­ler­wei­se sepa­ra­ten) gedruck­ten Fly­er bereit­zu­hal­ten, der wie­der­um auf eine Web­site mit wei­te­ren Infor­ma­tio­nen ver­weist, sofern es der betrof­fe­nen Per­son vor Ort auch ohne Inter­net­zu­gang mög­lich ist, die voll­stän­di­gen Infor­ma­tio­nen zu erhal­ten (zum Bei­spiel indem ein aus­führ­li­ches Infor­ma­ti­ons­blatt bereit­ge­hal­ten wird).
  • Bei tele­fo­ni­schen Ter­min­ver­ein­ba­run­gen muss die Infor­ma­ti­on noch nicht erfol­gen; es genügt, wenn die Infor­ma­tio­nen erst am Ter­min selbst über­mit­telt wer­den.
  • Im E-Mail-Ver­kehr kann die Infor­ma­ti­ons­pflicht dadurch erfüllt wer­den, dass die E-Mail einen Link auf die Web­site ent­hält, auf der die voll­stän­di­gen Infor­ma­tio­nen bereit­ge­hal­ten wer­den.
  • Zur Erfül­lung der Doku­men­ta­ti­ons­pflicht muss die Über­mitt­lung der Infor­ma­ti­on nach­weis­bar sein, z.B. durch einen Ein­trag in einem elek­tro­ni­schen Erfas­sungs­sy­stem. Offen bleibt in der Hand­rei­chung, ob es zum Nach­weis genügt, dass ent­spre­chen­de Pro­zes­se instal­liert sind und geschult wer­den.

Eine gute Über­sicht über Ver­öf­fent­li­chun­gen der Deut­schen Daten­schutz-Auf­sichts­be­hör­den fin­det sich auf der Web­site der Stif­tung Daten­schutz.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.