Unternehmensberatung, Buchhaltung und Informationstechnologie, Fachgruppe

Datenschutzerklärungen nach Artikel 13 und Artikel 14

Um eine faire und transparente Verarbeitung personenbezogener Daten zu gewährleisten, sieht die DSGVO umfangreiche Informationspflichten gegenüber Betroffenen vor.

Lesedauer: 2 Minuten

Die verpflichtenden Inhalte dieser Informationen unterscheiden sich in manchen Punkten abhängig davon, ob die Daten bei der Person selbst erhoben wurden (Artikel 13 DSGVO), oder nicht (Artikel 14 DSGVO).

Haben Sie sich auch schon gefragt, was es bedeutet, dass die Erhebung von personenbezogenen Daten bei der betroffenen Person erfolgt? Die DSGVO definiert das nicht näher, aber aufgrund der unterschiedlichen Inhalte, die den Betroffenen zur Verfügung gestellt werden müssen ergibt sich, dass Daten nur dann als bei der betroffenen Person erhoben gelten können, wenn sich die Person der Erhebung bewusst ist. Also vor allem dann, wenn die Person die Daten selber zur Verfügung stellt.

Wenn wir unsicher sind ob wir den Informationspflichten nach Artikel 13 oder 14 unterliegen, können wir uns die Kontrollfrage stellen: Sind sich die betroffenen Personen bewusst welche Daten wir von ihnen erheben? Lautet die Antwort Ja, unterliegen wir Artikel 13, ansonsten kommt Artikel 14 zur Anwendung.

Sehen wir uns die unterschiedlichen Informationspflichten nach diesen beiden Artikel näher an. Nur der Artikel 14, also wenn die Informationen nicht bei den Betroffenen erhoben werden, sieht vor darüber zu Informieren welche Datenkategorien verarbeitet werden. Das macht durchaus Sinn, denn Website Besucher darüber zu informieren, dass ihre E-Mail Adresse übermittelt wird, wenn sie sich damit zum Newsletter anmelden, ist wenig hilfreich. Wenn hingegen das Klick-Verhalten der Empfänger des Newsletters analysiert und gespeichert wird, ist das für die Empfänger aber nicht offensichtlich. Deshalb verzichtet die DSGVO im Falle der Erhebung der Daten bei den Betroffenen auf die Information welche Datenkategorien erhoben werden (Artikel 13) und verlangt diese nur im Falle dass die Daten nicht bei den Betroffenen erhoben werden. Umgekehrt macht es keinen Sinn jemanden darüber zu informieren ob die Bereitstellung von Daten zur Erfüllung eines Vertrages notwendig ist, wenn die Daten garnicht von der betroffenen Person selber bereitgestellt werden, weshalb diese Informationspflicht nur im Artikel 13 vorgesehen ist. Über die Quelle der Daten zu informieren, wenn die Quelle die betroffene Person selber ist, ist ebenfalls Sinn befreit und daher nur verpflichtend wenn die Informationen aus anderen Quellen stammen (Artikel 14).

Neben den unterschiedlichen Informationen, die den Betroffenen zur Verfügung gestellt werden müssen, hat die Frage ob die Daten bei der betroffenen Person erhoben wurden oder nicht auch praktische Auswirkungen darauf, ob diese Informationen überhaupt zur Verfügung gestellt werden müssen.

In beiden Fällen kann die Information entfallen, wenn die Betroffenen bereits über die Informationen verfügen. Wenn die Daten nicht bei den Betroffenen erhoben werden kommen noch weitere Ausnahmen von der Informationspflicht in Betracht:

  • Wenn die Information unmöglich ist oder einen unverhältnismäßig großen Aufwand bedeuten würde;
  • Wenn die Erfüllung der Informationspflicht die Verwirklichung der Ziele die mit der Verarbeitung verfolgt werden verhindern würden;
  • Wenn die Erhebung oder Offenlegung durch ein Gesetz geregelt ist;
  • Wenn die Informationen dem Berufsgeheimnis und der Schweigepflicht unterliegen;

In einem Bescheid in Folge eines  amtswegigen Prüfverfahrens hat die Datenschutzbehörde festgestellt, dass gegen die Informationspflichten verstoßen wurde, weil die Datenschutzerklärung "[…] nicht deutlich unterscheidet, ob die Informationen nach Art. 13 oder nach Art. 14 DSGVO erteilt werden".

Eine kurze Recherche bei der Datenschutzerklärung der österreichischen Datenschutzbehörde zeigt, dass dort tatsächlich zwei Datenschutzerklärungen nach Artikel 13 und und Artikel 14 zu finden sind. Allerdings dürften das nicht alle Datenschutzbehörden so sehen. Die Datenschutzerklärungen der Aufsichtsbehörden von Nordreihn-Westfalen und Bayern machen diese explizite Unterscheidung nicht.


Der Tipp wurde zur Verfügung gestellt von Christian Wally, don‘t panic it-services og,  https://dont.panic.at

Stand: 14.04.2019

Weitere interessante Artikel