Informationspflichten gemäß Artikel 13 und 14 der DSGVO

Rechtlich gesehen besteht eine Informationspflicht bei jeder wesentlichen Änderung der Verarbeitungsbedingungen. Wenn Sie lediglich einen Tippfehler korrigieren oder das Layout anpassen, ist eine erneute Information der Bestandskunden nicht erforderlich. Sobald Sie jedoch ein neues Analyse-Tool einführen, die Rechtsgrundlage von Einwilligung auf berechtigtes Interesse umstellen oder Daten an neue Kategorien von Empfängern (z. B. ein Partnerunternehmen im Ausland) weitergeben, müssen Sie Ihre Nutzer aktiv darüber informieren. Dies geschieht in der Regel über einen Hinweis im nächsten Newsletter oder eine dedizierte E-Mail-Benachrichtigung mit dem Hinweis auf die aktualisierten Bestimmungen.

Wichtig ist hierbei die Unterscheidung zwischen dem reinen Online-Auftritt und bestehenden Vertragsverhältnissen. Website-Besucher werden durch das aktualisierte Dokument auf der Seite informiert. Bei Bestandskunden, deren Daten Sie dauerhaft speichern, greift die proaktive Informationspflicht. Ein einfaches “Wir haben unsere AGB/Datenschutzerklärung geändert” ohne Benennung der konkreten inhaltlichen Änderungen reicht oft nicht aus, um dem Transparenzgebot gerecht zu werden. Empfehlenswert ist eine kurze Zusammenfassung der wichtigsten Neuerungen (z. B. “Wir nutzen jetzt Tool X zur Verbesserung unseres Service”), damit der Nutzer die Tragweite der Änderung sofort erfassen kann.

Ein Verstoß gegen Art. 14 DSGVO führt dazu, dass die gesamte darauf folgende Verarbeitung der Daten unrechtmäßig wird. Da die betroffene Person nicht über die Erhebung ihrer Daten informiert wurde, konnte sie auch ihre Rechte (z. B. Widerspruch oder Löschung) nicht effektiv ausüben. Dies ist besonders im Direktmarketing kritisch: Wenn Sie Adressdaten kaufen und die Personen nicht innerhalb eines Monats informieren, dürfen Sie diese Daten rechtlich gesehen gar nicht besitzen oder nutzen. Im Falle einer Beschwerde wird die Aufsichtsbehörde nicht nur die Löschung der Daten anordnen, sondern auch prüfen, ob ein systematischer Fehler im Compliance-Prozess vorliegt, was die Höhe eines möglichen Bußgeldes massiv beeinflusst.

Zusätzlich riskieren Sie zivilrechtliche Unterlassungsansprüche und Schadensersatzforderungen der Betroffenen nach Art. 82 DSGVO. In der juristischen Praxis wird das Fehlen der Information oft als “Eingriff in das allgemeine Persönlichkeitsrecht” gewertet. Besonders peinlich wird es, wenn Sie die Person kontaktieren und diese nach der Herkunft ihrer Daten fragt. Wenn Sie dann nicht sofort eine präzise Antwort gemäß Art. 14 Abs. 2 lit. f geben können (genaue Quelle der Daten), ist der Verstoß offensichtlich. Unternehmen sollten daher für alle zugekauften oder recherchierten Leads einen automatisierten Prozess zur Informationserteilung innerhalb der 30-Tage-Frist etablieren.

Ein Link in der Signatur ist ein guter begleitender Schritt, erfüllt aber allein oft nicht die strengen Anforderungen an die Informationserteilung “zum Zeitpunkt der Erhebung”. Wenn Sie zum ersten Mal mit einem potenziellen Kunden per E-Mail in Kontakt treten und dessen Daten (E-Mail-Adresse, Name) bereits in Ihrem CRM gespeichert haben (Dritterhebung), müssten Sie eigentlich sofort auf die Datenschutzerklärung hinweisen. Der bloße Link im Footer der Mail kann übersehen werden. Besser ist es, im Fließtext der ersten Kontaktaufnahme kurz darauf hinzuweisen, wo die Person Informationen über die Verarbeitung ihrer Daten findet (z. B. “Hinweise zur Verarbeitung Ihrer Daten finden Sie unter [Link]”).

Für Website-Formulare gilt: Der Link zur Datenschutzerklärung muss unmittelbar beim Absendebutton platziert sein. Der Nutzer darf nicht erst suchen müssen. In der Rechtsprechung hat sich durchgesetzt, dass die Information “leicht zugänglich” sein muss. Ein Link im Impressum oder tief im Footer der Website ohne klare Bezeichnung ist nicht ausreichend. Die Bezeichnung sollte “Datenschutz” oder “Datenschutzerklärung” lauten. Fantasiebezeichnungen wie “Privatsphäre-Einstellungen” können als Ergänzung dienen, ersetzen aber nicht den klaren rechtlichen Hinweis auf die Erfüllung der Informationspflichten nach Art. 13 und 14.

Die DSGVO verlangt die Angabe der “geplanten Dauer, für die die personenbezogenen Daten gespeichert werden” oder, falls dies nicht möglich ist, die “Kriterien für die Festlegung dieser Dauer”. Sie müssen also nicht zwingend für jeden Vornamen und jede Hausnummer eine separate Sekundenzahl angeben. Sinnvoller ist eine Gruppierung nach Verarbeitungszwecken oder Kategorien. So können Sie angeben, dass Daten aus Vertragsverhältnissen gemäß den steuerrechtlichen und handelsrechtlichen Aufbewahrungsfristen (in der Regel 6 oder 10 Jahre) gespeichert werden, während Daten aus Kontaktanfragen nach Erledigung des Anliegens gelöscht werden, sofern keine weitere Kommunikation erfolgt.

Kritisch wird es bei Marketing-Daten. Hier gibt es keine gesetzlich fixierte Aufbewahrungsfrist. Ein pauschales “wir speichern so lange wie nötig” ist jedoch unzulässig. Sie müssen Kriterien nennen, wie etwa “bis zum Widerruf der Einwilligung” oder “nach zwei Jahren Inaktivität im Kundenkonto”. Die Aufsichtsbehörden achten sehr genau darauf, ob Unternehmen ein funktionierendes Löschkonzept haben. Die Angaben in der Datenschutzerklärung müssen dieses Konzept widerspiegeln. Wenn Sie behaupten, Daten nach einem Jahr zu löschen, diese aber tatsächlich fünf Jahre vorhalten, ist dies nicht nur ein technischer Fehler, sondern eine Täuschung des Nutzers über die Informationspflichten.

Ausnahmen von der Informationspflicht sind extrem eng gefasst und finden sich primär in Art. 14 Abs. 5 DSGVO für die Dritterhebung. Eine Ausnahme besteht, wenn die betroffene Person bereits über die Informationen verfügt – was der Verantwortliche jedoch im Zweifel beweisen muss. Ein weiterer wichtiger Punkt ist der “unverhältnismäßig hohe Aufwand”, insbesondere bei Verarbeitungen für Archivzwecke, wissenschaftliche oder historische Forschungszwecke. Dies gilt jedoch fast nie für kommerzielle Marketing- oder Vertriebszwecke. “Zu hoher Aufwand” im Sinne von “wir haben zu viele Datensätze und das Porto ist zu teuer” wird von den Gerichten in der Regel nicht akzeptiert.

Eine weitere Ausnahme greift, wenn die Erteilung der Information die Verwirklichung der Ziele der Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen würde. Dies kann im Bereich der Strafverfolgung oder bei internen Revisionen der Fall sein (z. B. wenn ein Mitarbeiter des Betrugs verdächtigt wird und die Information über die Datenerhebung die Ermittlung gefährden würde). Für das normale operative Geschäft eines Unternehmens spielen diese Ausnahmen jedoch kaum eine Rolle. Hier gilt der Grundsatz: Transparenz geht vor Bequemlichkeit. Wer Daten von Dritten bezieht, muss das Budget für die Informationserteilung (z. B. via E-Mail oder Post) von vornherein einplanen.

Nein, die Informationspflicht bezieht sich auf “Empfänger oder Kategorien von Empfängern” außerhalb des Verantwortlichen. Innerhalb eines Unternehmens (einer juristischen Person) gilt die Datenweitergabe an verschiedene Abteilungen wie Buchhaltung, Vertrieb oder IT-Administration nicht als Weitergabe an Empfänger im Sinne der DSGVO. Sie müssen jedoch den Zweck der Verarbeitung angeben. Wenn Sie also Daten für “Vertriebs- und Abrechnungszwecke” erheben, ist damit implizit klar, dass diese Abteilungen Zugriff haben. Der Nutzer muss wissen, welche Organisationseinheit (der Verantwortliche) für seine Daten geradesteht.

Anders verhält es sich bei Konzernstrukturen. Wenn Daten an eine Mutter- oder Tochtergesellschaft weitergegeben werden, handelt es sich rechtlich gesehen um separate Empfänger. Hier müssen Sie den Nutzer darüber aufklären, dass eine Weitergabe innerhalb der Unternehmensgruppe erfolgt, und dies auf eine entsprechende Rechtsgrundlage stützen (z. B. berechtigtes Interesse an zentraler Administration nach Erwägungsgrund 48). In der Datenschutzerklärung sollten Sie solche Kategorien von Empfängern klar benennen, damit der Nutzer versteht, in welchem Radius seine Informationen zirkulieren. Ein Verweis auf “verbundene Unternehmen” reicht oft aus, sofern die Liste dieser Unternehmen auf Anfrage zugänglich ist.

Art. 13 Abs. 1 lit. d und Art. 14 Abs. 2 lit. b verlangen die Angabe der “berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden”. Das bedeutet, Sie dürfen nicht einfach nur “Art. 6 Abs. 1 lit. f” hinschreiben. Sie müssen konkret benennen, worin dieses Interesse besteht. Beispiele sind: “Abwehr von Betrugsversuchen”, “Gewährleistung der IT-Sicherheit”, “Direktwerbung bei Bestandskunden” oder “statistische Auswertung zur Produktverbesserung”. Die Beschreibung muss so präzise sein, dass der Nutzer beurteilen kann, ob er von seinem spezifischen Widerspruchsrecht nach Art. 21 DSGVO Gebrauch machen möchte.

In der juristischen Prüfung ist dies ein häufiger Knackpunkt. Ein berechtigtes Interesse setzt eine Interessenabwägung voraus. Die Aufsichtsbehörden verlangen zwar nicht, dass Sie die gesamte schriftliche Abwägung in die Datenschutzerklärung kopieren, aber der Kern der Argumentation muss ersichtlich sein. Wenn Sie beispielsweise die Kreditwürdigkeit prüfen, ist das berechtigte Interesse die “Minimierung von Zahlungsausfallrisiken”. Je belastender die Verarbeitung für den Nutzer ist, desto detaillierter sollte die Begründung ausfallen, um dem Transparenzgebot gerecht zu werden und die Akzeptanz beim Nutzer zu erhöhen.

Die Anforderung der “klaren und einfachen Sprache” (Art. 12 Abs. 1) bedeutet, dass ein durchschnittlicher Nutzer ohne juristisches Studium verstehen muss, was mit seinen Daten geschieht. Vermeiden Sie Schachtelsätze, übermäßiges Juristendeutsch und vage Modalverben (“könnte”, “eventuell”). Besonders wichtig ist dies, wenn sich Ihr Angebot an Kinder oder Jugendliche richtet; hier muss die Sprache dem Alter der Zielgruppe angepasst sein. Ein guter Test ist die Lesbarkeit: Könnte ein Laie nach der Lektüre erklären, an wen seine Daten weitergegeben werden und wie er die Löschung veranlassen kann?

Ein häufiges Problem ist die Struktur. Wenn eine Datenschutzerklärung 20 Seiten ohne Zwischenüberschriften umfasst, ist sie faktisch nicht mehr “verständlich” im Sinne der DSGVO. Nutzen Sie Aufzählungszeichen, Tabellen oder eben das erwähnte gestufte Modell (Layered Notice). Die Verwendung von Icons ist laut DSGVO ebenfalls vorgesehen, um die Transparenz zu erhöhen, hat sich aber in der Praxis bisher wenig durchgesetzt. Ziel sollte es sein, Informationen so aufzubereiten, dass sie “auf einen Blick” erfassbar sind. Transparenz ist kein Selbstzweck, sondern soll den Nutzer befähigen, eine informierte Entscheidung über seine Datenhoheit zu treffen.

Die DSGVO schreibt in Art. 12 Abs. 1 vor, dass die Information “schriftlich oder in anderer Form, gegebenenfalls auch elektronisch” erfolgen muss. In der digitalen Welt ist die elektronische Form (Website, E-Mail, App-Screen) der Standard. Es ist jedoch auch möglich, die Information mündlich zu erteilen, sofern die betroffene Person dies verlangt und ihre Identität nachgewiesen ist. In physischen Geschäften oder bei Telefonaten kann die Information auch über einen Aushang oder eine Bandansage mit Verweis auf eine Website erfolgen. Wichtig ist jedoch: Sie müssen im Streitfall beweisen können, dass die Information tatsächlich erteilt wurde.

Mündliche Informationen sind schwer beweisbar. Daher empfiehlt es sich, auch bei telefonischen Erstkontakten im Nachgang eine Bestätigungs-E-Mail mit dem Link zur Datenschutzerklärung zu senden. Bei physischen Veranstaltungen (Messen) sollte die Information auf dem Anmeldeformular oder an einem gut sichtbaren Aufsteller präsentiert werden. Die Form muss so gewählt sein, dass der Nutzer die Information tatsächlich wahrnehmen kann, bevor die Datenverarbeitung beginnt. Ein Hinweis, der erst nach dem Absenden eines Formulars erscheint, ist für die Erfüllung der Informationspflichten zu spät.

Wenn Daten in ein Land außerhalb der EU/des EWR (Drittland) übermittelt werden, müssen Sie darüber gesondert aufklären. Sie müssen angeben, ob ein Angemessenheitsbeschluss der EU-Kommission vorliegt (z. B. für die Schweiz oder das UK) oder auf welche geeigneten Garantien Sie den Transfer stützen (z. B. Standardvertragsklauseln). Zudem müssen Sie angeben, wie der Nutzer eine Kopie dieser Garantien erhalten kann. Ein bloßer Hinweis wie “Daten werden in die USA übertragen” reicht seit dem “Schrems II”-Urteil und den nachfolgenden Entwicklungen nicht mehr aus.

Sie müssen auch über das Risiko aufklären, falls weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen (was in Ausnahmefällen bei ausdrücklicher Einwilligung nach Art. 49 möglich ist). In der Praxis bedeutet das: Wenn Sie Tools wie Google Analytics oder Salesforce nutzen, müssen Sie explizit aufführen, dass eine Datenübermittlung in die USA stattfindet und welche Schutzmaßnahmen (z. B. Data Privacy Framework) greifen. Da sich die rechtliche Lage bei Drittlandtransfers häufig ändert, ist dieser Abschnitt der Datenschutzerklärung einer der wartungsintensivsten und sollte regelmäßig durch einen Experten geprüft werden.