Navigation und Service

Logo der Deutschen Rentenversicherung (Link zur Startseite rvRecht)

rvRecht® - Rechtsportal der Deutschen Rentenversicherung
Drucken

GRA

Art. 13 DSGVO: Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Änderungsdienst
veröffentlicht am

12.11.2019

Änderung

Das Vergabeverfahren wurde als Beispiel aufgenommen

Dokumentdaten
Stand15.04.2019
Erstellungsgrundlage in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018
Rechtsgrundlage

Art. 13 DSGVO

Version002.01

Inhalt der Regelung

Art. 13 DSGVO regelt, welche Informationen an die betroffene Person zu geben sind, wenn Daten bei dieser erhoben werden.

Art. 13 Abs. 1 DSGVO enthält sechs verschiedene Kategorien von Informationen, die der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten mitteilen muss.

Art. 13 Abs. 2 DSGVO enthält sechs weitere Kategorien von Informationen, die zum Zeitpunkt der Erhebung dieser Daten zur Verfügung zu stellen sind, wenn dies für eine faire und transparente Verarbeitung notwendig ist.

Die Informationspflichten bei einer Weiterverarbeitung der Daten zu einem anderen Zweck richten sich nach Art. 13 Abs. 3 DSGVO.

Verfügt die betroffene Person bereits über die Informationen, richten sich die Informationspflichten nach Art. 13 Abs. 4 DSGVO.

nach oben

Ergänzende/korrespondierende Regelungen

Art. 13 DSGVO steht in engem Zusammenhang mit Art. 12 DSGVO. Art. 12 DSGVO stellt die Grundregeln für die Umsetzung der Informationspflichten des Art. 13 DSGVO fest.

Ergänzend zu Art. 13 DSGVO regelt Art. 14 DSGVO die Informationspflichten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.

Weitere Erläuterungen und Auslegungshilfen finden sich in den Erwägungsgründen (ErwG 61 DSGVO, ErwG 62 DSGVO).

Aufgrund der Öffnungsklausel des Art. 6 Abs. 1 Buchst. c, Abs. 2 und Abs. 3 Buchst. b DSGVO sowie der Beschränkungen des Art. 23 DSGVO wird die Rechtsgrundlage zu Empfängern oder Kategorien von Empfängern (Art. 13 Abs. 1 Buchst. e DSGVO) im Zusammenhang mit der Erhebung von Sozialdaten durch den deutschen Gesetzgeber spezifiziert. Rechtsgrundlagen sind hier § 82 SGB X sowie § 67a SGB X.

nach oben

Grundsätzlich mitzuteilende Informationen (Art. 13 Abs. 1 DSGVO)

Nach Art. 13 Abs. 1 DSGVO bestehen bestimmte Unterrichtungspflichten gegenüber der betroffenen Person. Hierdurch soll diese in die Lage versetzt werden, ihre Betroffenenrechte ausüben zu können.

Die betroffene Person ist nach Art. 13 Abs. 1 DSGVO über den Namen und die Kontaktdaten des Verantwortlichen (Abschnitt 2.1), gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten (Abschnitt 2.2), die Zwecke und die Rechtsgrundlage (Abschnitt 2.3), die berechtigten Interessen des Verantwortlichen oder eines Dritten (Abschnitt 2.4), über mögliche Empfänger der Daten (Abschnitt 2.5) sowie über die ggf. vorgesehene Übermittlung der Daten an ein Drittland oder eine internationale Organisation (Abschnitt 2.6) zu unterrichten.

Darüber hinaus regelt § 82 SGB X im Zusammenhang mit der Erhebung von Sozialdaten zu beachtende Einschränkungen zu den Unterrichtungspflichten gegenüber der betroffenen Person bezüglich Art. 13 Abs. 1 Buchst. e DSGVO.

nach oben

Name und Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 Buchst. a DSGVO)

Der Ausdruck Verantwortlicher bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Zur Auftragsverarbeitung wird auf Art. 28 DSGVO verwiesen (GRA zu Art. 28 DSGVO).

Der Name des Verantwortlichen bezeichnet den Rentenversicherungsträger als Sozialleistungsträger in seiner Gesamtheit.

Kontaktdaten sind neben der Adresse die Telefonnummer und E-Mail-Adresse.

nach oben

Kontaktdaten des Datenschutzbeauftragten (Art. 13 Abs. 1 Buchst. b DSGVO)

Die Rentenversicherungsträger haben regelmäßig Datenschutzbeauftragte benannt. Hier sind die Kontaktdaten des Rentenversicherungsträgers mit dem Hinweis zu versehen, unter welchen abstrakten Kontaktdaten der Datenschutzbeauftragte zu erreichen ist, zum Beispiel zu Händen Datenschutzbeauftragter; darüber hinaus ist das E-Mail-Postfach zu benennen.

nach oben

Zweck und Rechtsgrundlage (Art. 13 Abs. 1 Buchst. c DSGVO)

Nach Art. 13 Abs. 1 Buchst. c DSGVO sind die betroffenen Personen über die Zweckbestimmung der Verarbeitung zu unterrichten (Begriffsdefinitionen enthält Art. 4 DSGVO, siehe GRA zu Art. 4 DSGVO).

Diese Verpflichtung umfasst nur die zum Zeitpunkt der Erhebung absehbaren Zwecke oder Zweckänderungen.

Gemäß Art. 13 Abs. 1 Buchst. c DSGVO ist die betroffene Person, wenn Sozialdaten bei ihr erhoben werden, auf die Rechtsgrundlage der Verarbeitung hinzuweisen.

nach oben

Berechtigte Interessen des Verantwortlichen (Art. 13 Abs. 1 Buchst. d DSGVO)

Nach Art. 13 Abs. 1 Buchst. d DSGVO ist die betroffene Person über die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, zu informieren. Dies gilt jedoch nur, wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO beruht. Art. 6 Abs. 1 S. 2 DSGVO legt jedoch fest, dass diese Bedingung nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung gilt.

Es besteht somit keine Informationspflicht bezüglich der berechtigten Interessen.

nach oben

Empfänger und Kategorien von Empfängern (Art. 13 Abs. 1 Buchst. e DSGVO)

Die betroffene Person ist nach Art. 13 Abs. 1 Buchst. c DSGVO über Empfänger und Kategorien von Empfängern der personenbezogenen Daten zu informieren.

§ 82 Abs. 1 SGB X schränkt darüber hinaus die nach Art. 13 Abs. 1 Buchst. e DSGVO bestehende Informationspflicht auf der Grundlage des Art. 23 Abs. 1 Buchst. e DSGVO unter Berücksichtigung der Interessen der betroffenen Person im Hinblick auf die Funktionsfähigkeit der Verwaltung ein.

Über Empfänger und Kategorien von Empfängern (vergleiche § 82 Abs. 1 SGB X) ist die betroffene Person nur zu unterrichten, wenn

1.sie nach den Umständen des Einzelfalls nicht mit der Nutzung oder der Übermittlung von Sozialdaten an diese rechnen musste,
2.es sich nicht um eine interne Verarbeitung und Nutzung von Sozialdaten handelt oder
3.

es sich nicht um eine Kategorie von Leistungsträgern im Sinne des § 35 SGB I oder von Organisationseinheiten (§ 67 Abs. 4 S. 2 SGB X) handelt, die gesetzlich zur engen Zusammenarbeit verpflichtet sind. Die Leistungsträger im Sinne des § 35 SGB I und deren Verbände sind gemäß § 86 SGB X verpflichtet, bei der Erfüllung ihrer Aufgaben nach dem SGB eng zusammenzuarbeiten. Das Gleiche gilt gemäß § 12 SGB IX für die Rehabilitationsträger im Sinne des § 6 SGB IX. Die betroffene Person dürfte von der Übermittlung an andere Sozialleistungsträger in den allermeisten Fällen bereits unterrichtet sein. Sie muss in diesen Fällen jedenfalls mit einer Nutzung innerhalb des Sozialleistungsträgers und der Übermittlung an andere Träger rechnen.

Dies bedeutet, dass keine Unterrichtungspflicht hinsichtlich möglicher Datenempfänger nach § 69 Abs. 1 Nr. 1 SGB X (GRA zu § 69 SGB X) besteht.

nach oben

Hinweis auf Übermittlung an ein Drittland oder eine Internationale Organisation (Art. 13 Abs. 1 Buchst. f DSGVO)

Nach Art. 13 Abs. 1 Buchst. f DSGVO ist die betroffene Person über die Absicht der Übermittlung von personenbezogenen Daten außerhalb des Anwendungsbereichs der DSGVO zu unterrichten. Dazu gehören auch Informationen zu Angemessenheitsbeschlüssen nach Art. 45 DSGVO und Verweise auf Garantien nach Art. 46 DSGVO, Art. 47 DSGVO oder Art. 49 Abs. 1 DSGVO.

Die Übermittlung von personenbezogenen Daten ins Ausland oder an internationale Organisationen ist ausdrücklich in § 77 SGB X geregelt.

nach oben

Zusätzliche Informationen (Art. 13 Abs. 2 DSGVO)

Art. 13 Abs. 2 DSGVO enthält weitere Unterrichtungspflichten gegenüber der betroffenen Person, die erforderlich sind, um eine faire und transparente Verarbeitung zu gewährleisten.

Die betroffene Person ist nach Art. 13 Abs. 2 DSGVO über die Speicherdauer (Abschnitt 3.1), die Betroffenenrechte (Abschnitt 3.2), die Pflicht zur Bereitstellung der Daten (Abschnitt 3.3) sowie über eine ggf. bestehende automatisierte Entscheidungsfindung (Abschnitt 3.4) zu unterrichten.

nach oben

Speicherdauer (Art. 13 Abs. 2 Buchst. a DSGVO)

Die betroffene Person ist nach Art. 13 Abs. 2 Buchst. a DSGVO über die Dauer, für die die personenbezogenen Daten gespeichert werden, beziehungsweise über die Kriterien für die Festlegung dieser Dauer zu unterrichten.

nach oben

Betroffenenrechte (Art. 13 Abs. 2 Buchst. b bis d DSGVO)

Die Unterrichtungspflicht umfasst folgende Rechte:

Nach Art. 13 Abs. 2 Buchst. c DSGVO umfasst die Informationspflicht auch das Recht, die im Falle der Art. 6 Abs. 1 Buchst. a DSGVO oder Art. 9 Abs. 2 Buchst. a DSGVO gegebene Einwilligung der betroffenen Person nach Art. 7 DSGVO jederzeit ganz oder teilweise mit Wirkung für die Zukunft widerrufen zu können.

nach oben

Pflicht zur Bereitstellung der Daten (Art. 13 Abs. 2 Buchst. e DSGVO)

Gemäß Art. 13 Abs. 2 Buchst. e DSGVO sind die Betroffenen, wenn Sozialdaten bei ihnen erhoben werden, im Falle des Bestehens einer gesetzlichen Bereitstellungspflicht (zum Beispiel § 60 SGB I, § 149 Abs. 4 SGB VI) auf diese Rechtsvorschrift und auf die Folgen der Auskunftsverweigerung hinzuweisen.

In den Fällen, in denen eine Bereitstellungspflicht nicht besteht, aber die Gewährung staatlicher Leistungen und anderer Rechtsvorteile von der Erteilung einer Auskunft abhängig ist, sind die Betroffenen auf die Freiwilligkeit sowie auf die Folgen der Verweigerung von Angaben hinzuweisen.

Ist die Freiwilligkeit in einer Rechtsvorschrift festgelegt, sind die Betroffenen auch hierüber zu unterrichten.

Hinweis:

Die Betroffenen sind in analoger Anwendung von § 286e S. 1 Nr. 1 SGB VI berechtigt, in Unterlagen (zum Beispiel Einkommensteuerbescheid) alle Angaben unkenntlich zu machen, die nicht der Beantwortung der gestellten Fragen dienen (zum Beispiel Einkommensverhältnisse des Ehegatten). Anforderungen von Unterlagen bei den Betroffenen sind mit einem Hinweis auf dieses Recht zu versehen.

nach oben

Automatisierte Entscheidungsfindung (Art. 13 Abs. 2 Buchst. f DSGVO)

Das Bestehen einer automatisierten Entscheidungsfindung (einschließlich Profiling) nach Art. 22 Abs. 1 und 4 DSGVO unterliegt der Informationspflicht nach Art. 13 Abs. 2 Buchst. f DSGVO.

Nach Art. 22 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die sie erheblich beeinträchtigt.

Rein automatisierte beschwerende Entscheidungsfindungen werden bei den Rentenversicherungsträgern derzeit nicht angewendet.

nach oben

Zweckänderung (Art. 13 Abs. 3 DSGVO)

Ist beabsichtigt, personenbezogene Daten für einen anderen Zweck zu verarbeiten, so ist die betroffene Person vor dieser Weiterverarbeitung über den anderen Zweck und die anderen Informationen des Art. 13 Abs. 2 DSGVO zu informieren.

Personenbezogene Daten müssen nach Art. 5 Abs. 1 Buchst. b DSGVO grundsätzlich für festgelegte Zwecke erhoben werden und dürfen nicht für andere Zwecke weiterverarbeitet werden.

Die Weiterverarbeitung von personenbezogenen Daten zu Zwecken der im öffentlichen Interesse liegenden Archivierung, für wissenschaftliche oder historische Forschung oder für statistische Zwecke gilt nicht als mit diesem Zweck unvereinbar und ist zulässig, sofern eine entsprechende Rechtsgrundlage für die Verarbeitung vorhanden ist. (GRA zu Art. 5 DSGVO, Abschnitt 3.2.3).

Aufgrund der Öffnungsklausel des Art. 6 Abs. 1 Buchst. c, Abs. 3 Buchst. b DSGVO gilt über die DSGVO hinaus das spezifische Recht der §§ 67c ff SGB X. Eine Speicherung, Veränderung oder Nutzung der Sozialdaten für andere Zwecke ist ausschließlich nach Maßgabe des § 67c Abs. 2 bis 5 SGB X zulässig.

nach oben

Ausnahmen (Art. 13 Abs. 4 DSGVO)

Die Unterrichtungspflicht entfällt, wenn die Betroffenen bereits auf andere Weise Kenntnis über die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und die Identität der verantwortlichen Stelle erlangt haben.

nach oben

Form der Bereitstellung der Informationen

Gemäß Art. 12 Abs. 1 DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln und sind in klarer und einfacher Sprache abzufassen. Die Informationen sind schriftlich oder in anderer Form (ggf. elektronisch) zur Verfügung zu stellen. Wird auf eine elektronisch verfügbare Information Bezug genommen, muss diese leicht auffindbar sein.

Aufgrund der hohen Anzahl der betroffenen Personen, mit deren persönlichen Daten die Rentenversicherungsträger umgehen, hat sich die Deutsche Rentenversicherung entschieden, die allgemeinen Informationen in einer übersichtlichen Form in leichter und klarer Sprache im Internet auf den Webseiten der Rentenversicherungsträger zur Verfügung zu stellen. Auf Wunsch werden die Informationen auch in Papierform übersandt.

Den Informationspflichten kommen die Rentenversicherungsträger also grundsätzlich auf ihren Webseiten nach.

Über den konkreten Zweck und die jeweilige Rechtsgrundlage der Datenverarbeitung sowie über die Folgen der Nichtbereitstellung von notwendigen Daten werden die betroffenen Personen darüber hinaus zusätzlich im Zeitpunkt der Datenerhebung in den Antragsvordrucken informiert.

nach oben

Informationspflichten am Beispiel des Vergabeverfahrens bei Einzelpersonen als Bieter

Die Rentenversicherungsträger verarbeiten im Vergabeverfahren nach den Vorschriften der Vergabeverordnung (VgV) und der Unterschwellenvergabeverordnung (UVgO) personenbezogene Daten, um Kontakte zu Einzelpersonen als Bietern zu unterhalten, um zum Beispiel Dienstleistungen auszuschreiben und Angebote auszuwerten.

Sofern Einzelpersonen als Bieter eigeninitiativ Kontaktdaten übermitteln, um Angebote abzugeben, unterliegen diese Daten gemäß Erwägungsgrund 14 DSGVO nicht der DSGVO, da sie zu dem Unternehmen selbst gespeichert sind und damit Daten des als juristische Person gegründeten Unternehmens sind.

Darüber hinaus bestehen bei Einzelpersonen als Bieter, die eigeninitiativ ihre Profile übermitteln um Angebote abzugeben, keine Informationspflichten nach Art. 13 DSGVO, da hier keine Erhebung von Daten vorliegt. Das Erheben von personenbezogenen Daten setzt ein zielgerichtetes Beschaffen voraus. Den Informationspflichten ist mit dem Ziel nachzukommen, die betroffene Person in die Lage zu versetzen selbst zu entscheiden, ob sie die Erhebung erlaubt. Diese Entscheidung hat der Bieter jedoch bereits mit der Übermittlung der Daten zur Angebotsabgabe getroffen.

Werden nach den eigeninitiativ vorgenommenen Datenübermittlungen jedoch weitere Daten durch die Rentenversicherungsträger angefordert, müssen die Rentenversicherungsträger ihren Informationspflichten nach Art. 13 DSGVO nachkommen

Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG

Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018

Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1

Die Datenschutzgrundverordnung (VO (EU) 2016/679) trat am 24.05.2016 in Kraft und gilt seit dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.

Zusatzinformationen

Rechtsgrundlage

Art. 13 DSGVO