Wissen

Was hat es mit dem Artikel 13 DSGVO der EU auf sich?

27.01.2023

Unsere digitalisierte Welt bietet der Gesellschaft viele Vorteile, aber natürlich müssen auch viele Aspekte beachtet werden, wenn man digitale Angebote wahrnimmt. Besonders die Internetnutzung hat in unserem Alltag einen sehr hohen Stellenwert erlangt und ist aus dem Arbeitsleben und auch aus dem privaten Bereich nicht mehr wegzudenken.

Nutzt man das Medium Internet, so werden bei vielen Aktionen Daten erhoben, wobei in vielen Fällen der Nutzer sich über eine Datenerhebung nicht im Klaren ist und diese eher unsichtbar verläuft. Diese Datenerhebungen sind einer der Gründe, warum die Datenschutzgrundverordnung (DSGVO) überhaupt existiert. Um für Betroffene gewisse Informationsrechte abzusichern, ist hier besonders der Artikel 13 der DSGVO zu beachten, da dieser die gegebenen Informationsrechte, wenn eine Erhebung von personenbezogenen Daten stattfindet, regelt.

Die Intention hinter dem Artikel 13 DSGVO

Spricht man von Artikel 13 der DSGVO, so beschäftigt man sich mit der wichtigsten Verpflichtung, welche aus datenschutzrechtlicher Sicht besteht. Der Artikel behandelt die Thematik der Informationspflichten, die derjenige, der eine Erhebung und Verarbeitung personenbezogener Daten durchführt, gewährleisten muss. Die Absicht des Artikels 13 ist, dass für den Betroffenen eine größtmögliche Transparenz geschaffen wird, in welcher Form mit seinen personenbezogenen Daten umgegangen wird. Der Artikel zielt somit in den meisten Fällen auf die Gruppe der Endverbraucher ab. Diese sollen durch die Umsetzung des Artikels die Möglichkeit bekommen, jederzeit einen Überblick zu erhalten, ob Daten erhoben wurden, welche Daten erhoben wurden und was mit den Daten und Informationen geschieht oder geschehen ist. Generell sollte auch die Frage beantwortet werden, aus welchem Grund die Daten überhaupt erfasst worden sind.

Die Beachtung des Artikels 13 ist für Unternehmen von großer Bedeutung, da eine Beachtung der Vorschriften eine hohe Transparenz einfordert und somit dem Kunden ein wichtiges Sicherheitsgefühl vermittelt wird. Auf der anderen Seite schützt sich das Unternehmen vor hohen Bußgeldern, die bei einer Missachtung verhängt werden können. Wird eine Missachtung der Informationspflichten in den Medien publik, so bedeutet dies für ein Unternehmen einen bedeutsamen Imageverlust, der mit großen finanziellen Einbußen einhergehen kann. Somit ist der Artikel 13 der DSGVO für Betroffene und für Unternehmen gleichermaßen bedeutsam.

Wie verhält es sich mit der Umsetzung von Artikel 13DSGVO?

Der Artikel 13 der DSGVO beschreibt die Umsetzung nicht eindeutig, aber der Zeitpunkt der Umsetzung wurde klardefiniert – werden Daten und Informationen einer Person erhoben, so müssen die Daten und Informationen zum Zeitpunkt der Erhebung auf Anfrage mitgeteilt werden können. Ein wichtiger Punkt hierbei ist, dass alle relevanten Informationen aktiv übermittelt werden müssen. Werden die Daten nur an einembeliebigen Platz auf der Webseite veröffentlicht, so ist dies nicht ausreichend. Ein direkter Hinweis auf die erhobenen Informationen ist somit vorgeschrieben.

Um diese Informationspflicht genau bewerten zu können, sollte auch der Artikel 12 Abs. 1 der DSGVO beachtet werden. Dieser behandelt die Inhalte und deren Übermittlungsform, welche präzise,verständlich, transparent, leicht zugänglich und in einer klaren und einfachen Sprache zu halten ist. Insbesondere wird hier auf Aussagen geachtet, welche sich auf Kinder beziehen.

Natürlich sind diese Vorgaben nicht eindeutig formuliert, aber die Zielsetzung wird so definiert, dass die Auskünfte und Informationen möglichst einfach gehalten werden sollen, damit auch ein Normalbürger die gewünschten Daten in verständlicher Form erhält. Gleichzeitig ist darauf zu achten, dass die Informationen leicht abrufbar sind. Artikel 12 Abs. 1 der DSGVO bestimmt für diesen Vorgang die Schriftform, erlaubt aber auch andere Übermittlungswege und genehmigt, auf Wunsch des Betroffenen, sogar die mündliche Form der Weitergabe.

Beachtet man diese Vorgaben, so ist man in der weiteren Gestaltung der Auskünfte frei und kann diese individuell anpassen. Wie man sieht, sind die Vorgaben auch hier sehr allgemein gehalten und somit ist es nicht einfach eine klare Linie zu ziehen, was erlaubt ist und was nicht.

Welche Pflichtangaben werden nach Art. 13 der DSGVO verlangt?

Möchte eine betroffene Person eine Auskunft nach Artikel 13 DSGVO erlangen, so ist die Mitteilung klar geregelt. Grundsätzlich gibt es einige Angaben, die nach der Gesetzgebung zwingend angegeben werden müssen.

Wann muss man sich nach Artikel 13 DSGVO richten?

  • Name des Betroffenen
  • Kontaktdaten
  • den Zweck der Verarbeitung der personenbezogenen Daten
  • die Rechtsgrundlage, auf der die Verarbeitung basiert
  • den Zeitraum, in dem die personenbezogenen Daten gespeichert werden
  • Falls eine Angabe der Dauer nicht möglich ist – die Kriterien der Festlegung der Speicherdauer
  • ein Hinweis des Verantwortlichen auf das Recht der Auskunft der personenbezogenen Daten
  • ein Hinweis auf das Recht auf Löschung oder Berichtigung der personenbezogenen Daten
  • ein Hinweis auf die Möglichkeit der Einschränkung der Verarbeitung der personenbezogenen Daten
  • ein Hinweis auf das Widerspruchsrecht gegen die Verarbeitung der personenbezogenen Daten
  • ein Hinweis auf das Recht der Datenübertragbarkeit
  • ein Hinweis auf das gültige Beschwerderecht bei einer Aufsichtsbehörde

Gleichzeitig ist vom Verantwortlichen anzugeben, ob die Bereitstellung der personenbezogenen Daten einen gesetzlichen oder vertraglichen Hintergrund vorweisen können. Weiterhin ist anzugeben, ob die Bereitstellung der Daten für einen Vertragsabschluss notwendig sind und ob die betroffene Person verpflichtet ist, die personenbezogenen Daten mitzuteilen. Auch die Folgen einer Nichtbereitstellung der personenbezogenen Daten müssen aufgeführt werden. Besteht eine automatisierte Entscheidungsfindung, in welche ein Profiling integriert ist, müssen aussagekräftige Informationen bezüglich der verwendeten Logik, deren Tragweite und deren Auswirkungen angegeben werden.

In Artikel 13 DSGVO werden auch Auskünfte behandelt, welche nur in einigen Situationen vom Verantwortlichen angegeben werden müssen. Diese werden im Artikel 13 DSGVO mit dem Wort „gegebenenfalls“ gekennzeichnet:

  • der Name des Vertreters des Verantwortlichen
  • die Kontaktdaten des Vertreters des Verantwortlichen
  • die Kontaktdaten des Datenschutzbeauftragten
  • die Empfänger der personenbezogenen Daten
  • die Kategorien des Empfänger der personenbezogenen Daten
  • eine Absichtserklärung Daten an ein Drittland oder eine internationale Organisatin zu übermitteln
  • das Fehlen oder das Innehaben eines Angemessenheitsbeschlusses der Kommission
  • Bei Übermittlungen – ein Verweis aufgeeignete oder angemessene Garantien
  • die Möglichkeit eine Kopie oder einen Verfügbarkeitsort der Kopien zu erhalten

Außerdem müssen noch zwei Fälle genannt werden, bei denen eine Auskunft nur abgegeben werden muss, wenn die Datenerhebung sich auf einen anderen Artikel der Datenschutzgrundverordnung bezieht. Diese werden im Einleitungssatz mit dem Wort „wenn“ gekennzeichnet:

  • Wenn die Verarbeitung der Daten sich auf Artikel 6 Abs. 1 lit. F beziehen. Dies bedeutet, dass das Interesse des Verantwortlichen gegen dem Anspruch des Betroffenen überwiegen

Wann muss man sich nach Artikel 13 DSGVO richten?

Eine wichtige Frage, die sich beim Umgang mit Artikel 13 DSGVO stellt ist, wann man sich nach dessen Vorgaben richten muss und wann man die Vorgaben nicht beachten muss. Diese Fragestellung ist leicht zu erläutern, da der Artikel klar definiert, dass der Artikel nur dann greift, wenn personenbezogene Daten von betroffenen Personen erhoben werden. Der Kern sind hierbei die Begriffe „betroffene Person“ und „personenbezogeneDaten“, welche in der Verordnung klar definiert werden.

Studiert man den Artikel 13 der DSGVO, so wird man erkennen, dass eine „betroffene Person“ eine Person ist, die auf irgendeine Art und Weise zu identifizieren ist. Spricht man von „personenbezogenen Daten“, so sind Informationen beschrieben, welche sich auf einen Namen, einen Standort, eine Kennnummer beziehen. Gleichzeitig sind eine oder mehrere Merkmale zu nennen, die sich auf die physische, genetische, physiologische, psychische, kulturelle, wirtschaftliche oder die soziale Identität der betroffenen Person beziehen.

Als Beispiele können hier genannt werden:

  • die Steuernummer
  • die Ausweisnummer
  • eine religiöse Einstellung
  • die E-Mail-Adresse
  • Kontodaten
  • die politische Gesinnung
  • die sexuelle Orientierung
  • Gesundheitsdaten

Diese Beispiele decken nicht die ganze Bandbreite ab, da es sehr viele Anwendungsmöglichkeiten gibt. Aber als Beispiele der gegebenen Intention bieten diese eine gute Grundlage, um über weitere Anwendungsfälle nachzudenken. Grundsätzlich greift der Artikel 13 der DSGVO dann, wenn vergleichbare Daten von identifizierbaren Personen erhoben werden. 

Konsequenzen bei Verstößen gegen Artikel 13 DSGVO

Für alle Betroffenen stellt sich natürlich grundsätzlich die Frage, welche Konsequenzen drohen, wenn gegen den Artikel 13 der DSGVO verstoßen wird. Schaut man sich die Regelungen nach den Artikeln 77-84 der DSGVO an, so wird man feststellen, dass verschiedenste Konsequenzen greifen können.

Betrachtet man ein gängiges Szenario, so ist eine möglich Beschwerde gegen einen Verstoß bei einer zuständigen Aufsichtsbehörde einzureichen. Nach Artikel 77 der DSGVO kann dieses Recht jede betroffene Person in Anspruch nehmen. Die Beschwerde wird von der Aufsichtsbehörde bewertet. Grundsätzlich haben die Aufsichtsbehörden die Befugnis ein Bußgeld zu verhängen. Diese Befugnis wird im Artikel 83 der DSGVO behandelt und erteilt. Die Bußgelder werden von den Aufsichtsbehörden verhängt und von Einzelfall zu Einzelfall individuell festgelegt. In die Bewertung fließen verschiedene Merkmale und Faktoren ein, die beispielsweise die Art des Verstoßes, die Schwere und den Zeitrahmen des Verstoßes, einen Vorsatz, eine Fahrlässigkeit und frühere Verstöße beinhalten. Weitere Arten der möglichen Verstöße können unter Artikel 83 Abs. 2 eingesehen werden. Die Bußgelder werden von der Aufsichtsbehörde in die Kategorien wirksam, abschreckend und verhältnismäßig eingeordnet.

Bußgelder stellen für Unternehmen oft ein finanzielles Risiko dar, da Verstöße gegen den Artikel 13 DSGVO nach Abs. 2 lit b. mit bis zu 20.000.000 Euro geahndet werden können. Eine weitere Möglichkeit ist, ein Bußgeld in der Höhe von vier Prozent des weltweiten Jahresumsatzes (vergangenes Geschäftsjahr) zu verhängen. Für viele Unternehmen ist also nicht nur der Imageschaden zu beachten, sondern auch eine hohe finanzielle Belastungstellt für die Unternehmen ein hohes finanzielles Risiko dar.

Gemäß Artikel 82 der DSGVO ist auch ein einfacher Schadenersatzanspruch eine weitere Möglichkeit den Verstoß gegen Artikel 13 DSGVO zu ahnden, wenn einer Person ein immaterieller oder materieller Schaden entsteht. Der Art und Umfang eines Schadensersatzes lässt sich nach § 249 ff. BGB definieren.

Generell ist der Artikel 13 der DSGVO für Unternehmen ein entscheidender Artikel, da Verstöße hohe Bußgelder beinhalten und diese empfindlich geahndet werden. Grundsätzlich sollte in der Betrachtung des Artikels aber auch immer ein möglicher Imageschaden beachtet werden, der zusätzlich zu den Bußgeldern auch weiterführende finanzielle Risiken vorweisen kann.


Über den Autor

Weitere Artikel

Datenschutz im Homeoffice

Datenschutz im Homeoffice

Datenschutz im Homeoffice. Alles was man zum Thema wissen muss in unserem Beitrag.

Mehr erfahren
Die 5 wichtigsten Compliance-Trends und -Herausforderungen

Die 5 wichtigsten Compliance-Trends und -Herausforderungen für 2022

Trends und Überlegungen für die top Compliance Trends in 2022

Mehr erfahren
Personenbezogene Daten

Personenbezogene Daten und die DSGVO

Was sind personenbezogene Daten und wie geht man datenschutzkonform mit diesen um?

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen