Informationspflichten für Unternehmen

Sei es bei der Erstellung eines Angebotes, beim Abschluss eines Vertrages oder einem simplen Besuch einer Internetseite. In unserer digitalen Welt werden immer schneller und immer mehr Daten erhoben, wobei sich Betroffene dessen oft gar nicht bewusst sind.

Um hier eine größere Transparenz zu schaffen, beziehungsweise die Datenschutzrechte von Betroffenen zu stärken, trat 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft, in der unter anderem auch die Informationsrechte von Betroffenen geregelt sind und bestimmt wird, wer für die Erhebung und Verarbeitung personenbezogener Daten verantwortlich ist.

Unternehmen und deren verantwortliche Stellen sollten sich hierbei den Artikel 13 der Datenschutzgrundverordnung (DSGVO) ganz besonders gut ansehen, weil Informationsrechte für Betroffene gleichbedeutend mit Informationspflichten für Unternehmen sind.

Aber genau diese Informationspflichten für Unternehmen werfen viele Fragen auf:

Wer muss informiert werden?

Jedes Unternehmen ist laut Datenschutzgrundverordnung (DSGVO) verpflichtet, potentiell betroffenen Personen Auskunft zu erteilen:

Jeder Betroffene sollte zu jeder Zeit wissen,
ob und wenn ja, welche Daten von ihm erhoben
und gespeichert werden. Auch der Zweck der
Verarbeitung sollte dem Betroffenen bekannt sein.

Alle Unternehmen sollten somit für verschiedene Personenkreise jeweils ein spezielles Dokument erstellen, das den Anforderungen der Datenschutzgrundverordnung gerecht wird und welches bei einem Erstkontakt oder auf Nachfrage sofort an potentiell betroffene Personen ausgehändigt werden kann.

Mögliche Empfänger könnten unter anderem sein:

  • Kunden und Interessenten
  • Lieferanten
  • Mitarbeiterinnen und Mitarbeiter
  • Bewerberinnen und Bewerber
  • Besucherinnen und Besucher deren personenbezogene
  • Daten, z. B. zur Kontaktverfolgung während
  • einer Pandemie, festgehalten werden

Für die Erstellung dieser Dokumente sollte man sich Zeit nehmen. Zum einen, weil eine transparente Herangehensweise Vertrauen in der Zusammenarbeit schafft, zum anderen aber auch, weil bei Nichteinhaltung der Vorgaben schnell empfindliche Bußgelder drohen.

Welche Informationen müssen übermittelt werden?

Ein Dokument zur Erfüllung der Informationspflichten laut DSGVO sollte folgende Themenschwerpunkte berücksichtigen und ausformuliert für jeden Betroffenen transparent und verständlich darstellen:

  • Definition des potentiell betroffenen Personenkreises
  • Benennung des verantwortlichen Unternehmens
  • Benennung der zu Grunde liegenden Rechtsnormen
  • Optional der aktuelle Versionsstand (Empfehlung)
  • Eine einfache und verständliche Einleitung
  • Benennung des Verantwortlichen
    • Kontaktdaten (Firmendaten)
    • Vertreter der verantwortlichen Stelle
    • (Geschäftsführer/in, Vorstand, …)
    • Benennung des Datenschutzbeauftragten, falls vorhanden
  • Art, Zweck und Rechtsgrundlagen der Verarbeitung
  • Allgemeine Grundlagen zur Verarbeitung
  • Beschreibung der personenbezogenen Daten oder Daten-Kategorien
  • Beschreibung möglicher Datenquellen (z. B. wenn die Daten nicht direkt erhoben werden)
  • Wer Empfänger der pers. Daten sein kann?
  • Werden personenbezogene Daten ins nicht
  • europäische Ausland übermittelt?
  • Wie lange werden die Daten gespeichert, bzw. auf welcher Rechtsgrundlage müssen die Daten vorgehalten werden?
  • Benennung der Datenschutzrechte für Betroffene
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde (inkl. Kontaktdaten der Behörde)
  • Müssen pers. Daten bereitgestellt werden?
  • Werden Tools zur automatischen Entscheidungsfindung eingesetzt?

Wann sollten die Daten weitergegeben werden?

Die Frist, in der potentiell Betroffene über die Erhebung und Verarbeitung von pers. Daten informiert werden müssen, beträgt maximal einen Monat.

Falls ein direkter Kontakt zum Betroffenen besteht, z. B. beim Abschluss eines Vertrages, sollte die Übermittlung der Datenschutzinformationen am besten direkt erfolgen, z. B. durch eine Erweiterung des Vertrages, bzw. der Auftragsbestätigung. Falls dies nicht möglich ist, wäre eine fristgerechte Übermittlung per E-Mail zu empfehlen. So wäre auch die Nachweispflicht der Übermittlung zu 100% gegeben.

Übermittlung der Informationen

Um den Informationspflichten nachzukommen, empfehlen wir u. a. folgende Strategien anzuwenden:

  • Erweiterung der Angebots-, Bestell-, Bestätigungs- und Vertragsunterlagen
  • Erweiterung der E-Mail Signatur
  • Herausgabe von Unterlagen für Bewerber/innen
  • Erweiterung der Arbeitsverträge
  • Direkter Aushang der Datenschutzinformationen im Verkaufsraum, in der Praxis, im Sportstudio, im Hotel, in der Gaststätte, …
  • Als Handreichung am Empfang (z. B. als Info-Flyer)
  • Auf der Internetseite, u. v. m.

Wir helfen sehr gerne!

Falls auch Sie Dokumente zur Erfüllung der DSGVO erstellen möchten, unterstützen wir Sie sehr gerne. Profitieren Sie von unserem Know-how und von vielen Checklisten und Mustervorlagen, die wir gemeinsam mit Ihnen schnell und einfach an Ihre individuellen Anforderungen anpassen können!


Ihre Ansprechpartnerin (Dasax GmbH)