Der Landesbeauftragte für den Datenschutz Brandenburg hat eine Handreichung zur Informationspflicht des Verantwortlichen nach Art. 13 und 14 DSGVO veröffentlicht. Es lohnt sich, die ganze Handreichung zu lesen, aber insbesondere die folgenden Hinweise sind relevant:
- Die Information sollte grundsätzlich mit dem gleichen Medium übermittelt werden, mit dem die Kommunikation mit der betroffenen Person geführt wird (Vermeidung eines Medienbruchs). Bei Offline-Kommunikation würde dies allerdings dazu führen, dass jeweils mehrseitige Informationsblätter mitzuschicken wären. Es ist deshalb zulässig, per Brief (oder am Telefon, etwa bei einem Anruf beim Kundendienst) nur die wichtigsten Informationen zu übermitteln und durch Angabe eines Links oder durch einen QR-Code auf eine Website zu verweisen, wo die weiteren Informationen zu finden sind. Insofern darf – im Sinne eines “layered”-Ansatzes – ein Medienbruch in Kauf genommen werden. Die erste „Informationsschicht“ sollte folgende Punkte enthalten:
- Verarbeitungszwecke
- Identität des Verantwortlichen
- Beschreibung der Rechte der betroffenen Person
- Verarbeitungen, die sich am stärksten auf die betroffene Personen auswirken und/oder überraschend wäre.
- Entsprechend ist es zulässig, bei physischen Kontakten mit der betroffenen Person (z.B. bei einem Beratungsgespräch) die wichtigsten Informationen (siehe oben) auf einem (idealerweise separaten) gedruckten Flyer bereitzuhalten, der wiederum auf eine Website mit weiteren Informationen verweist, sofern es der betroffenen Person vor Ort auch ohne Internetzugang möglich ist, die vollständigen Informationen zu erhalten (zum Beispiel indem ein ausführliches Informationsblatt bereitgehalten wird).
- Bei telefonischen Terminvereinbarungen muss die Information noch nicht erfolgen; es genügt, wenn die Informationen erst am Termin selbst übermittelt werden.
- Im E‑Mail-Verkehr kann die Informationspflicht dadurch erfüllt werden, dass die E‑Mail einen Link auf die Website enthält, auf der die vollständigen Informationen bereitgehalten werden.
- Zur Erfüllung der Dokumentationspflicht muss die Übermittlung der Information nachweisbar sein, z.B. durch einen Eintrag in einem elektronischen Erfassungssystem. Offen bleibt in der Handreichung, ob es zum Nachweis genügt, dass entsprechende Prozesse installiert sind und geschult werden.
Eine gute Übersicht über Veröffentlichungen der Deutschen Datenschutz-Aufsichtsbehörden findet sich auf der Website der Stiftung Datenschutz.