Recht auf Information
Home » DSGVO » Rechte der betroffenen Person » Recht auf Information

Auf der Grundlage von Artikel 12 DSGVO sind die Verantwortlichen verpflichtet, die betroffenen Personen über ihre beabsichtigte Verarbeitung zu informieren. Das Recht auf Information ist daher mit dem in Abschnitt 3.1.1.4 und Erwägungsgrund 39 der Datenschutz-Grundverordnung beschriebenen Transparenzgrundsatz verknüpft.

Das Recht auf Information erfordert kein Tätigwerden der betroffenen Person, sondern muss von dem Verantwortlichen proaktiv erfüllt werden. Wie sollten diese Informationen aussehen? Wie bereits erwähnt, sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. Die Auskünfte werden unverzüglich und ohne übermäßige Kosten erteilt (Artikel 12 der Datenschutz-Grundverordnung).

Die Informationen sollten effizient und kurz sein, sodass die betroffene Person damit nicht überfordert ist und den Umfang und die Folgen der Verarbeitung abschätzen kann.[1] Um diese Ziele zu erreichen, müssen bestimmte Aspekte berücksichtigt werden. Erstens sollten die Informationen zunächst auf das „durchschnittliche Mitglied der vorgesehenen Zielgruppe zugeschnitten sein“[2], was im Falle einer Forschungsarbeit der durchschnittliche Teilnehmer wäre. Im Zweifelsfall könnten die Datenschutzbehörden oder andere relevante Interessengruppen (z. B. Interessenvertretungen) Rückmeldung geben, wie die durchschnittliche Person aussieht. Alternativ können Entwürfe von Informationstexten vor Testpersonen validiert werden, bevor ein Forschungsprojekt gestartet wird und die Datenerhebung stattfindet[3].

Zweitens sollten die Informationen für die betroffene Person sofort verfügbar sein, da keine aktive Anstrengung von ihr verlangt wird. Der Verantwortliche kann sie also so bereitstellen, wie es dem Kontext am besten entspricht: direkt, über einen Link oder einen Wegweiser oder als Antwort auf eine natürlichsprachliche Frage.

Drittens sollte die vom Verantwortlichen verwendete Sprache so einfach wie möglich sein. Zu diesem Zweck könnte die Veröffentlichung der EU-Kommission „Claire’s Clear Writing Tips“ und „How to Write Clearly“[4] Instrumente zur Vereinfachung der zu vermittelnden Botschaft bieten. Zu den Dingen, die bei der Abfassung eines Informationsvermerks zu vermeiden sind, gehören:

  • komplexe Sätze,
  • Passivformen,
  • Fachjargon,
  • Modalverben und
  • abstrakte Begriffe, die alle zu unterschiedlichen Interpretationen führen können.

Kinder und andere schutzbedürftige Gruppen müssen zusätzlich berücksichtigt werden. Auch hier ist viel geschrieben worden, um dieses heikle Themaz zu behandeln[5]. In Artikel 12 heißt es, dass die Informationen, die der betroffenen Person zustehen, speziell auf Kinder – als Beispiel für eine schutzbedürftige Gruppe – zugeschnitten sein müssen, wenn die Datenverarbeitung auf sie ausgerichtet ist. Die Sprache ist von grundlegender Bedeutung, wenn es um schutzbedürftige Personen geht, wie die spanische Aufsichtsbehörde hervorhebt[6], da die Schutzbedürftigkeit noch verstärkt werden könnte, wenn die Person nicht über die nötigen Kenntnisse verfügt, um die Informationen zu verstehen.

Viertens: Um die Zugänglichkeit zu verbessern, sollten alle schriftlichen Informationen an einem einzigen Ort oder in einem vollständigen Dokument (in digitaler Form oder in Papierform) bereitgestellt werden. Neben dem Papierformat kann der Verantwortliche auch andere elektronische und nichtelektronische Mittel einsetzen, auf die weiter unten eingegangen wird, z. B. eine mehrschichtige Datenschutzerklärung, Pop-up-Hinweise, Infografiken, Flussdiagramme, Videos, Sprachmeldungen, Animationen usw. Im Gegensatz dazu können Informationen auch mündlich, entweder von Person zu Person oder durch automatisierte Mittel erteilt werden, sofern die Identität der betroffenen Person auf andere Weise nachgewiesen wird.

In den Artikeln 13 und 14 DSGVO wird festgelegt, welche Informationen zu erteilen sind, je nachdem, ob die personenbezogenen Daten direkt bei der betroffenen Person erhoben wurden oder nicht.

Wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden (Artikel 13 DSGVO), muss der Verantwortliche zum Zeitpunkt der Erhebung folgende Informationen bereitstellen:

  • Namen und Kontaktdaten des Verantwortlichen (d. h. der Forschungseinrichtung) sowie die Kontaktdaten des Datenschutzbeauftragten;
  • Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie ggf. die Rechtsgrundlage für die Verarbeitung;
  • Die Identität der Empfänger (oder Kategorien von Empfängern) von personenbezogenen Daten, falls vorhanden;
  • Ob die Daten in Länder außerhalb der EU übermittelt werden, sowie die Einzelheiten über die Rechtsgrundlage und die Garantien für die Verarbeitung im Ausland;
  • Die Dauer der Datenspeicherung. Ist die Festlegung eines solchen Zeitraums nicht möglich, müssen die Kriterien für seine Bestimmung festgelegt werden;
  • Alle Rechte der betroffenen Person, einschließlich des Rechts, eine Beschwerde bei einer Aufsichtsbehörde einzureichen. Beruht die Verarbeitung auf der Einwilligung der betroffenen Person, muss außerdem das Recht auf Widerruf der Einwilligung angegeben werden;
  • Ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgesehen ist und ob die betroffene Person die personenbezogenen Daten bereitstellen muss, sowie die möglichen Folgen, die sich aus der Nichtbereitstellung ergeben;
  • Das Vorhandensein einer automatisierten Entscheidungsfindung, d. h. Entscheidungen, die auf der Grundlage personenbezogener Daten getroffen werden, die ausschließlich automatisch und ohne menschliches Zutun verarbeitet werden.

Darüber hinaus empfiehlt der Europäische Datenschutzausschuss in seinerAntwort auf das Ersuchen der Europäischen Kommission um Klarstellungen zur einheitlichen Anwendung der DSGVO mit Schwerpunkt auf der Gesundheitsforschung (2021), dass ein Verantwortlicher, der beabsichtigt, von betroffenen Personen erhaltene Daten auch für andere Zwecke zu verwenden, zum Zeitpunkt der Datenerhebung geeignete Maßnahmen ergreifen sollte, um den Informationspflichten im Zusammenhang mit einer solchen Weiterverarbeitung nachkommen zu können.[7]

Artikel 13 DSGVO entbindet den Verantwortlichen von seiner Verpflichtung, wenn die betroffene Person diese Informationen bereits erhalten hat. Zwar muss der Verantwortliche diese Umstände nachweisen (z. B. wie und wann diese Informationen bereitgestellt wurden und inwieweit sie sich in der Zwischenzeit nicht geändert haben), aber es besteht dennoch die Verpflichtung, die Kenntnis der betroffenen Person möglicherweise zu vervollständigen.

Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben (Artikel 14 DSGVO), muss der Verantwortliche die Person auch über die Quelle der personenbezogenen Daten und die spezifischen Datenkategorien, die er zu verarbeiten beabsichtigt, informieren. Alle Informationen müssen innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats, bereitgestellt werden, wobei die besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden, zu berücksichtigen sind.

Schließlich sieht Artikel 14 Absatz 5 Buchstabe b DSGVO drei Ausnahmen für Forschungseinrichtungen von der Verpflichtung des Verantwortlichen vor, diebetroffenen Personen über die Verarbeitung von personenbezogenen Daten zu informieren, die nicht bei ihnen erhoben wurden:

  • Falls eine solche Erteilungsich als unmöglich erweist
  • oder einen unverhältnismäßigen Aufwand erfordern würde
  • […] oder soweit die […] Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.

Dies bedeutet zunächst, dass die Verantwortlichen darlegen müssen, was sie daran gehindert hat, die Informationen zur Verfügung zu stellen, wobei auch zu berücksichtigen ist, dass die Erteilung der Informationen so schnell wie möglich erfolgen muss, wenn ein Hindernis vorübergehend ist[8]. Ein Beispiel: Forscher erhalten Daten von einem sozialen Netzwerk über eine Anwendungsprogrammierschnittstelle, und bevor sie Artikel 14 DSGVO nachkommen können, erleidet das soziale Netzwerk einen Denial-of-Service-Angriff, der jegliche Kommunikation mit den betroffenen Personen unmöglich macht.

Hinsichtlich des unverhältnismäßigen Aufwands verweist Erwägungsgrund 62 DSGVO auf die Anzahl der betroffenen Personen, das Alter der Daten und das Vorhandensein von Schutzmaßnahmen. Auch hier muss der unverhältnismäßige Aufwand bewertet und nachgewiesen werden, indem Kosten und Nutzen gegeneinander abgewogen werden. In jedem Fall muss der Verantwortliche geeignete Maßnahmen ergreifen, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu schützen, wozu auch gehört, dass die Informationen öffentlich zugänglich gemacht werden. Die öffentliche Zugänglichkeit kann z. B. durch das Hochladen der Informationen auf eine Website und/oder ihre Veröffentlichung in einer Zeitung erfolgen. Weitere geeignete Maßnahmen sind die Durchführung einer Folgenabschätzung, die Pseudonymisierung und Anonymisierung der personenbezogenen Daten (siehe „Identifizierung, Pseudonymisierung und Anonymisierung“ in Teil II Abschnitt „Hauptbegriffe“ dieser Leitlinien), die Annahme organisatorischer und technischer Maßnahmen zur Verbesserung des Sicherheitsniveaus usw.

Letztlich erfordert die schwerwiegende Beeinträchtigung der Ziele einer solchen Verarbeitung den Nachweis, dass die Bereitstellung der in Artikel 14 Absatz 1 DSGVO genannten Informationen diese Ziele zunichte machen würde. So kann beispielsweise eine Untersuchung darüber, wie die menschliche Interaktion in sozialen Netzwerken während eines Abriegelungsszenarios infolge einer globalen Pandemie beeinflusst wird, erfordern, dass die Forscher ihre Analyse so geheim wie möglich durchführen, um diese Interaktionen nicht zu stören. In solchen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten und der berechtigten Interessen der betroffenen Person, einschließlich der Veröffentlichung der Informationen gemäß Artikel 14 Absatz 5 Buchstabe b DSGVO.

Ungeachtet der Quelle der personenbezogenen Daten müssen die Verantwortlichen die betroffene Person vor der Weiterverarbeitung über ihre Absicht informieren, die personenbezogenen Daten für einen anderen Zweck als den, für den sie erhoben wurden, weiterzuverarbeiten. Alles in allem sieht der Grundsatz der Zweckbindung (siehe „Grundsatz der Zweckbindung“ in Teil II Abschnitt „Grundsätze“ dieser Leitlinien) vor, dass personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke verarbeitet werden müssen, sodass jede weitere Verarbeitung, die damit nicht vereinbar ist, untersagt werden muss. Gemäß Artikel 5 Absatz 1 Buchstabe b der Datenschutz-Grundverordnung ist jedoch eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken nicht als unvereinbar mit dem ursprünglichen Zweck anzusehen. In jedem Fall beinhaltet die Verpflichtung des Verantwortlichen, die betroffene Person über die Weiterverarbeitung zu informieren, die Prüfung der Vereinbarkeit (siehe „Datenschutz und wissenschaftliche Forschung“ in Teil II Abschnitt „Hauptkonzepte“ dieser Leitlinien), die auf der Grundlage von Artikel 6 Absatz 4 DSGVO durchgeführt wird, um zu erklären, warum die Verarbeitung für zusätzliche Zwecke mit den ursprünglichen Zwecken vereinbar ist. Wie die Artikel-29-Datenschutzgruppe (2013) betont, ist die Durchführung der Vereinbarkeitsprüfung von größter Bedeutung, um Transparenz und Zweckbindung zu gewährleisten.[9] Bei der Berufung auf die in Artikel 5 Absatz 1 Buchstabe b DSGVO verankerte Vereinbarkeitsvermutung für die Weiterverarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken sollte jedoch berücksichtigt werden, dass diese Vermutung nur unter der Voraussetzung verwendet werden kann, dass bei der Weiterverarbeitung angemessene Garantien gemäß Artikel 89 Absatz 1 DSGVO eingehalten werden.[10]

Auf der Grundlage dieser Bestimmungen können die Forschungseinrichtungen alle Maßnahmen ergreifen, die sie für geeignet halten, um dieser Verpflichtung nachzukommen. Die Datenschutz-Grundverordnung schreibt in der Tat keine Form vor, wie die Informationen zu erteilen sind. Im Allgemeinen wird das Recht auf Information durch die Annahme vonDatenschutzvorkehrungen, einer Datenschutzerklärung oder einer Mitteilung über die Verarbeitung nach Treu und Glauben erfüllt; ihre Wirksamkeit hat jedoch zu einer polarisierten Debatte unter Wissenschaftlern und politischen Entscheidungsträgern geführt[11]. Dementsprechend wurden neue Methoden entwickelt, die eingesetzt werden könnten, um die betroffenen Personen auf klare und zugängliche Weise zu informieren, wie z. B:

  • Ein mehrstufiger Ansatz: Anstatt alle erforderlichen Informationen in einem einzigen Hinweis zu geben und damit das Risiko einzugehen, die betroffene Person zu überfordern, kann ein erster Datenschutzhinweis mit den anderen Informationskategorien verknüpft werden, sodass der Detaillierungsgrad schrittweise zunimmt. In diesem Zusammenhang sollte die erste Ebene die Identität des Verantwortlichen, den Zweck der Verarbeitung und die Rechte[12] der betroffenen Person sowie die möglichen Folgen der Verarbeitung enthalten[13]. Es ist wichtig zu betonen, dass der mehrstufige Ansatz sowohl in Online- als auch in Offline-Szenarien angewandt werden kann. Im letzteren Fall könnte die erste Stufe mündlich mitgeteilt werden, während später eine Kopie der Datenschutzvorkehrungen versandt und/oder ein Link zur Online-Datenschutzerklärung angegeben wird[14].
  • Ein Datenschutz-Dashboard: Diese Benutzeroberfläche ermöglicht es der betroffenen Person, ihre Präferenzen für die Verarbeitung der personenbezogenen Daten manuell zu verwalten;
  • Icons, Pop-ups, QR-Codes und Sprachmeldungen, die auf eine bestimmte Art der Verarbeitung personenbezogener Daten hinweisen;
  • Informationsblätter, Infografiken, Flussdiagramme, in Verträge eingebettete Informationen.

Zusätzlich zu den von der Artikel-29-Datenschutzgruppe angenommenen Leitlinien zur Transparenz im Rahmen der Verordnung (EU) 2016/679 wird derzeit in mehreren Forschungsprojekten untersucht, wie Informationen für die betroffenen Personen besser zugänglich gemacht werden können, z. B. im Rahmen des GDPR by Legal Design Project [15]und des PROTECT ITN[16].

Zu guter Letzt untersucht der Europäische Datenschutzbeauftragte in seiner vorläufigen Stellungnahme 2020 die Überschneidung zwischen Täuschung, Einwilligung nach Aufklärung und dem Recht auf Information. Im Allgemeinen kann Täuschung darin bestehen, dass den Forschungsteilnehmern in den Anweisungen Informationen vorenthalten werden, dass nur begrenzte Informationen über den Zweck der Forschung gegeben werden oder dass die Teilnehmer sogar in die Irre geführt werden, indem eine „Tarngeschichte“ für die Studie geliefert wird, um das eigentliche Thema der Studie zu verschleiern. Bei einigen psychologischen Experimenten, die als verdeckte Forschung bekannt sind, werden die Versuchspersonen darüber getäuscht, was getestet wird, und dies wird als entscheidender Erfolgsfaktor angeführt, da das Bewusstsein über die genaue Art der Forschung das Verhalten der Menschen verändern würde. […] [D]ie Einweisung der Forschungsteilnehmer und die nachträgliche Einwilligung nach Aufklärung sowie eine spezielle Ethikgenehmigung vor Beginn der Forschung gehören zu den Maßnahmen, die die Einhaltung der ethischen Anforderungen gewährleisten. Es ist jedoch der Fall, dass solche Praktiken offensichtlich mit dem Recht auf Information kollidieren, wenn die Daten gemäß Artikel 13 DSGVO direkt bei der betroffenen Person erhoben werden[17].

Checkliste zur Einhaltung des Rechts auf Information

Was ist bereitzustellen:

☐ Wenn die personenbezogenen Daten direkt von der betroffenen Person zur Verfügung gestellt wurden, sind alle in Artikel 13 Absatz 1 DSGVO aufgeführten Informationen bereitzustellen.

☐ Wenn die personenbezogenen Daten nicht von der betroffenen Person zur Verfügung gestellt wurden, sind alle in Artikel 14 Absatz 1bis 2 DSGVO aufgeführten Informationen zur Verfügung zu stellen.

☐ Wenn die Informationen der betroffenen Person bereits vollständig zur Verfügung gestellt wurden, muss dieser Verpflichtung nicht mehr nachgekommen werden.

Wann ist bereitzustellen:

☐ zu dem Zeitpunkt, zu dem die Informationen von der betroffenen Person erhoben wurden;

☐ wenn die Daten nicht bei der betroffenen Person erhoben werden:

☐ innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, spätestens jedoch innerhalb eines Monats;

☐ wenn die personenbezogenen Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Kommunikation mit dieser Person;

☐ wenn eine Offenlegung an eine andere Person beabsichtigt ist, spätestens bei der ersten Offenlegung der personenbezogenen Daten.

Wie ist bereitzustellen:

☐ kurz und bündig;

☐ transparent;

☐ verständlich;

☐ leicht zugänglich;

☐ in einer klaren und einfachen Sprache.

Ausnahmen:

☐ wenn die betroffene Person bereits über alle relevanten Informationen verfügt;

☐ wenn die personenbezogenen Daten nicht von der betroffenen Person bereitgestellt wurden:

☐ wenn die Bereitstellung von Informationen unmöglich oder unverhältnismäßig ist.

 

Quellenangaben

1

2Artikel-29-Datenschutzgruppe (Hrsg.), Guidelines on Transparency under Regulation no. 2016/679, 2018, WP260 rev.01, S. 7

3 Ebd.

4Wie der Titel schon andeutet, geben beide Dokumente dem Leser einige Tipps, um klarer zu schreiben. Sie sind verfügbar unter:https://ec.europa.eu/info/sites/info/files/clear_writing_tips_en.pdf; https://op.europa.eu/en/publication-detail/-/publication/725b7eb0-d92e-11e5-8fea-01aa75ed71a1/language-en [letzter Zugriff: 30.10.2020]

5SiehezumBeispiel I. Milkaite& E. Lievens, Child-Friendly Transparency of Data Processing in the EU: From Legal Requirements to Platform Policies, Journal of Children and Media, 2020, Vol. 14, No. 1, Seiten 5–21.

6Agencia Española de Protección de Datos Personales, El deber de informar y otras medidas de responsabilidad proactiva en apps para dispositivos móviles, S. 2. Unter: https://www.aepd.es/sites/default/files/2019-11/nota-tecnica-apps-moviles.pdf (Zugriff am 6. Nov. 2020)

7Europäischer Datenschutzausschuss, Antwort des EDSA auf das Ersuchen der Europäischen Kommission um Klarstellungen zur einheitlichen Anwendung der DSGVO mit Schwerpunkt auf der Gesundheitsforschung, angenommen am 2. Februar 2021, S. 9, verfügbar unter: https://edpb.europa.eu/sites/default/files/files/file1/edpb_replyec_questionnaireresearch_final.pdf [letzter Zugriff: 28.06.2021]

8Artikel-29-Datenschutzgruppe, Guidelines on Transparency under Regulation no. 2016/679, op. cit., S. 29

9Für weitere Einzelheiten zur Vereinbarkeitsprüfung siehe Artikel-29-Datenschutzgruppe (Hrsg.), Stellungnahme 03/2013 zur Zweckbindung, 2013, S. 13 WP 203 00569/13/EN

10Europäischer Datenschutzausschuss, op. cit., S. 6

11M. Arcand, J. Nantel, M. Arles-Dufour & A. Vincent, The Impact of Reading a Web Site’s Privacy Statement on Perceived Control over Privacy and Perceived Trust, Online Information Review, 2007, Vol. 31, No. 5, Seiten 661–681; J. A. Obar & A. Oeldorf-Hirsch, The Clickwrap: A Political Economic Mechanism for Manufacturing Consent on Social Media, Social Media + Society, 2018, Vol. 4, No. 3, Seiten 1–14; Y. Pan & G. M. Zinkhan, Exploring the Impact of Online Privacy Disclosures on Consumer Trust, Journal of Retailing, 2006, Vol. 82, No. 4, Seiten 331–338; B. Custers, S. van der Hof & B. Schermer, Privacy Expectations of Social Media Users: The Role of Informed Consent in Privacy Policies: Privacy Expectations of Social Media Users, Policy & Internet, 2014, Vol. 6, No. 3, Seiten 268–295

12Erwägungsgrund 39, DSGVO

13Artikel-29-Datenschutzgruppe (Hrsg.), Guidelines on Transparency under Regulation no. 2016/679, op. cit. , S. 19

14 Ebd.,. S. 20

15Für weitere Informationen: http://gdprydesign.cirsfid.unibo.it/

16Für weitere Informationen: https://protect-network.eu/research/

17Europäischer Datenschutzbeauftragter, Vorläufige Stellungnahme zum Datenschutz und zur wissenschaftlichen Forschung, 2020 verfügbar unter: https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf [letzter Zugriff: 30.10.2020]

 

Skip to content