Diese Informationspflicht muss bereits zum Zeitpunkt der Erhebung der Daten bei der betroffenen Person selbst oder auch über Dritte erfüllt werden. Die gleiche Pflicht entsteht dann, wenn bereits erhobene Daten mit Personenbezug zu einem anderen Zweck verarbeitet werden sollen. Dies dient letztlich einer fairen und transparenten Datenverarbeitung. Von der Übermittlung der Pflichtinformationen kann lediglich dann abgesehen werden, wenn die betroffene Person bereits über diese Informationen verfügt. Es muss also beispielsweise jeder Neukunde oder auch jeder neue Vertragspartner entsprechend informiert werden, allerdings eben nur im Rahmen des ersten Kontakts. Bei einer fortgeführten Geschäfts- bzw. Vertragsbeziehung muss nicht erneut informiert werden – außer im Falle einer Zweckänderung.
Die Informationspflicht kann insbesondere durch die Datenschutzerklärung auf der eigenen Internetseite erfolgen. Allerdings gilt die Pflicht grundsätzlich auch offline. In Erwägungsgrund 58 wird jedoch ausdrücklich auf die besondere Situation der Datenverarbeitung im Internet hingewiesen: ‘‘Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist. Dies gilt insbesondere für Situationen, wo die große Zahl der Beteiligten und die Komplexität der dazu benötigten Technik es der betroffenen Person schwer machen, zu erkennen und nachzuvollziehen, ob, von wem und zu welchem Zweck sie betreffende personenbezogene Daten erfasst werden, wie etwa bei der Werbung im Internet.“
Es muss nun also im Rahmen der Onlinedatenschutzerklärung insbesondere auch erläutert werden, welche Daten von wem wie für welche Werbezwecke genutzt werden.
Außerdem bezieht sich die Informationspflicht nicht nur auf alle neuen, sondern auch auf bestehende und ab dem 25.05.2018 weitergeführte Datenverarbeitungen (Erwägungsgrund 171): „Verarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, sollten innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht werden.“
Hinsichtlich der Details der mitzuteilenden Informationen ist zwischen der Erhebung beim Betroffenen (Art. 13 DSGVO) und der über Dritte (Art. 14 DSGV) zu differenzieren.
Die Übermittlung der genannten Pflichtinformationen an den Betroffenen muss – im Falle einer Erhebung direkt beim Betroffenen – zum Zeitpunkt der Erhebung bzw. bei einer Zweckänderung vor der Weiterverarbeitung zu dem neuen Zweck erfolgen.
Bei der Erhebung personenbezogener Daten über Dritte sind die Pflichtinformationen: - in angemessener Frist (spätestens nach einem Monat), - spätestens zum Zeitpunkt der ersten Mitteilung (wenn die Daten zur Kommunikation mit dem Betroffenen genutzt werden sollen), - spätestens zum Zeitpunkt der ersten Offenlegung (falls die Offenlegung an andere Empfänger beabsichtigt ist) bzw. - im Falle einer Zweckänderung vor der Weiterverarbeitung mitzuteilen.
Die Informationspflicht entfällt unter folgenden Voraussetzungen:
- Betroffener verfügt bereits über die Informationen,
- Erteilung erweist sich als unmöglich oder erfordert unverhältnismäßigen Aufwand (insbesondere bei im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken bzw. statistischen Zwecken)
- Erlangung oder Offenlegung der Daten ist durch Rechtsvorschriften ausdrücklich geregelt
- Daten unterliegen einem Berufsgeheimnis.
Mit Ausnahme des ersten Punktes, wenn also der Betroffene bereits über die Informationen verfügt, beziehen sich die anderen Punkte allesamt auf die Datenerhebung über Dritte. Das bedeutet, dass die Informationspflicht aufgrund der Erhebung beim Betroffenen selbst auch nur im erstgenannten Fall entfällt, die anderen Aspekte spielen diesbezüglich dann keine Rolle.
Art. 12 DSGVO gibt die Form vor, wie die Pflichtinformationen aus Art. 13, 14 DSGVO gestaltet sein müssen:
- präzise
- transparent
- verständlich,
- leicht zugänglich
- in klarer und einfacher Sprache
Insbesondere bei Informationen, die sich speziell an Kinder richten, soll eine kindgerechte Sprache verwendet werden. Zugleich sollen die Informationen aber natürlich auch wahrheitsgetreu, vollständig und so beschaffen sein, dass der durchschnittlich informierte Betroffene sie auch verstehen kann. Insbesondere bei der Beschreibung von technischen Details, wie etwa Cookies, Social Plug-ins oder Analysesoftware, kann dies zu einem vergleichsweise schwierigen Spagat werden. Es gilt hier, den richtigen Mittelweg zu finden. Um dieses Ziel zu erreichen, können die Informationen in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um einen aussagekräftigen Überblick über die Verarbeitung zu vermitteln. Werden Bildsymbole in elektronischer Form dargestellt, dann sollten sie maschinenlesbar sein.
Die Übermittlung der Pflichtinformationen kann schriftlich oder elektronisch erfolgen. Die elektronische Übermittlung umfasst auch die Möglichkeit, für Betroffene einen Fernzugang zu einem sicheren System bereitzustellen (z. B. VPN-Zugriff auf ein Onlineinformationsportal), sofern dies möglich ist und keine Rechte Dritter verletzt oder Geschäftsgeheimnisse offenbart. Auch eine mündliche Übermittlung ist möglich, wenn dies vom Betroffenen so verlangt wird. Das setzt dann jedoch voraus, dass seine Identität verifiziert wird.
Kann dem Betroffenen nicht mitgeteilt werden, woher seine Daten stammen, weil diese beispielsweise aus verschiedenen Quellen stammen oder sich der Ursprung schlicht nicht mehr nachvollziehen lässt, kann und sollte die Unterrichtung allgemein gehalten werden.