Navigation und Service

Logo der Deutschen Rentenversicherung (Link zur Startseite rvRecht)

rvRecht® - Rechtsportal der Deutschen Rentenversicherung
Drucken

GRA

Art. 14 DSGVO: Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Änderungsdienst
veröffentlicht am

12.11.2019

Änderung

Abschnitt 7 neu aufgenommen
Dokumentdaten
Stand08.07.2019
Erstellungsgrundlage in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018
Rechtsgrundlage

Art. 14 DSGVO

Version002.01

Inhalt der Regelung

Art. 14 DSGVO regelt, welche Informationen an die betroffene Person zu geben sind, wenn Daten nicht bei der betroffenen Person erhoben wurden.

Art. 14 Abs. 1 DSGVO enthält sechs verschiedene Kategorien von Informationen, die der Verantwortliche der betroffenen Person mitteilen muss.

Art. 14 Abs. 2 DSGVO enthält sieben weitere Kategorien von Informationen, die zur Verfügung zu stellen sind, wenn dies für eine faire und transparente Verarbeitung notwendig ist.

Art. 14 Abs. 3 DSGVO regelt, zu welchem Zeitpunkt die Informationen zu erteilen sind.

Die Informationspflichten bei einer Weiterverarbeitung der Daten zu einem anderen Zweck richten sich nach Art. 14 Abs. 4 DSGVO.

Art. 14 Abs. 5 DSGVO regelt, wann den Informationspflichten nicht nachzukommen ist.

nach oben

Ergänzende/korrespondierende Regelungen

Art. 14 DSGVO steht in engem Zusammenhang mit Art. 12 DSGVO. Art. 12 DSGVO stellt die Grundregeln für die Umsetzung der Informationspflichten des Art. 14 DSGVO fest.

Ergänzend zu Art. 14 DSGVO regelt Art. 13 DSGVO die Informationspflichten bei Erhebung von personenbezogenen Daten bei der betroffenen Person.

Weitere Erläuterungen und Auslegungshilfen finden sich in den Erwägungsgründen (ErwG 61 DSGVO und ErwG 62 DSGVO).

Aufgrund der Öffnungsklausel des Art. 6 Abs. 1 Buchst. c, Abs. 2 und Abs. 3 Buchst. b DSGVO sowie der Beschränkungen des Art. 23 DSGVO ergänzt die Vorschrift des § 82a Abs. 1 SGB X die Einschränkungen der Informationspflichten nach der DSGVO.

§ 82a SGB X regelt ergänzend zu Art. 14 Abs. 1, 2 und 4 DSGVO, in welchen Fällen über Art. 14 Abs. 5 DSGVO hinaus von einer Information abgesehen werden kann.

Nach § 67a Abs. 2 S. 1 SGB X sind Sozialdaten grundsätzlich bei der betroffenen Person zu erheben; und nur in den nach § 67a Abs. 2 S. 2 SGB X streng definierten Fällen ist eine Erhebung bei anderen Personen und Stellen zulässig. Somit werden die betroffenen Personen regelmäßig im Rahmen der Direkterhebung von Daten zu den Informationspflichten informiert.

Art. 14 Abs. 1 Buchst. a bis c, e und f DSGVO, Art. 14 Abs. 2 Buchst. a bis e DSGVO, Art. 14 Abs. 2 Buchst. g DSGVO und Art. 14 Abs. 4 DSGVO entsprechen im Wesentlichen dem Informationsgehalt des Art. 13 DSGVO.

nach oben

Grundsätzlich mitzuteilende Informationen (Art. 14 Abs. 1 DSGVO)

Nach Art. 14 Abs. 1 DSGVO bestehen bestimmte Unterrichtungspflichten gegenüber der betroffenen Person, wenn die Daten nicht bei ihr erhoben werden. Hierdurch soll diese in die Lage versetzt werden, ihre Betroffenenrechte ausüben zu können. Darüber hinaus soll eine Transparenz außerhalb der Direkterhebung der Daten bei der betroffenen Person hergestellt werden.

Die betroffene Person ist nach Art. 14 Abs. 1 DSGVO über den Namen und die Kontaktdaten des Verantwortlichen (Abschnitt 2.1), die Kontaktdaten des Datenschutzbeauftragten (Abschnitt 2.2), die Zwecke und die Rechtsgrundlage für die Verarbeitung (Abschnitt 2.3), die Kategorien personenbezogener Daten (Abschnitt 2.4), über mögliche Empfänger der Daten (Abschnitt 2.5) sowie über die gegebenenfalls vorgesehene Übermittlung der Daten an ein Drittland oder eine internationale Organisation (Abschnitt 2.6) zu unterrichten.

nach oben

Name und Kontaktdaten des Verantwortlichen (Art. 14 Abs. 1 Buchst. a DSGVO)

Der Ausdruck Verantwortlicher bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO). Zur Auftragsverarbeitung wird auf Art. 28 DSGVO verwiesen (GRA zu Art. 28 DSGVO).

Der Name des Verantwortlichen bezeichnet den Rentenversicherungsträger als Sozialleistungsträger in seiner Gesamtheit.

Kontaktdaten sind neben der Adresse die Telefonnummer und E-Mail-Adresse.

nach oben

Kontaktdaten des Datenschutzbeauftragten (Art. 14 Abs. 1 Buchst. b DSGVO)

Die Rentenversicherungsträger haben regelmäßig Datenschutzbeauftragte benannt. Hier sind die Kontaktdaten des Rentenversicherungsträgers mit dem Hinweis zu versehen, unter welchen abstrakten Kontaktdaten der Datenschutzbeauftragte zu erreichen ist, zum Beispiel zu Händen Datenschutzbeauftragter, darüber hinaus ist das E-Mail-Postfach zu benennen.

nach oben

Zweck und Rechtsgrundlage (Art. 14 Abs. 1 Buchst. c DSGVO)

Nach Art. 14 Abs. 1 Buchst. c DSGVO ist die betroffene Person über die Zweckbestimmung der Verarbeitung zu unterrichten (Begriffsdefinitionen enthält Art. 4 DSGVO, siehe GRA zu Art. 4 DSGVO).

Diese Verpflichtung umfasst nur die zum Zeitpunkt der Erhebung absehbaren Zwecke oder Zweckänderungen.

Gemäß Art. 14 Abs. 1 Buchst. c DSGVO ist die betroffene Person, wenn Sozialdaten nicht bei ihr erhoben werden, auf die Rechtsgrundlage der Verarbeitung hinzuweisen.

nach oben

Kategorien personenbezogener Daten (Art. 14 Abs. 1 Buchst. d DSGVO)

Nach Art. 14 Abs. 1 Buchst. d DSGVO ist die betroffene Person über die Kategorien personenbezogener Daten, die verarbeitet werden, zu informieren. Hintergrund dieser Informationspflicht ist die Tatsache, dass die betroffene Person, wenn die Daten nicht bei ihr erhoben werden, nicht wissen kann, welche Daten erhoben wurden. Eine grobe Umschreibung der Datenarten ist ausreichend.

nach oben

Empfänger und Kategorien von Empfängern (Art. 14 Abs. 1 Buchst. e DSGVO)

Die betroffene Person ist nach Art. 14 Abs. 1 Buchst. e DSGVO über die Empfänger und Kategorien von Empfängern der personenbezogenen Daten zu informieren.

nach oben

Hinweis auf Übermittlung an ein Drittland oder eine internationale Organisation (Art. 14 Abs. 1 Buchst. f DSGVO)

Nach Art. 14 Abs. 1 Buchst. f DSGVO ist die betroffene Person über die Absicht der Übermittlung der personenbezogenen Daten außerhalb des Anwendungsbereichs der DSGVO zu unterrichten. Dazu gehören auch Informationen zu Angemessenheitsbeschlüssen nach Art. 45 DSGVO und Verweise auf Garantien nach Art. 46 DSGVO, Art. 47 DSGVO oder Art. 49 Abs. 1 DSGVO.

Die Übermittlung von personenbezogenen Daten ins Ausland oder an internationale Organisationen ist ausdrücklich in § 77 SGB X geregelt.

nach oben

Zusätzliche Informationen (Art. 14 Abs. 2 DSGVO)

Art. 14 Abs. 2 DSGVO enthält weitere Unterrichtungspflichten gegenüber der betroffenen Person, die erforderlich sind, um eine faire und transparente Verarbeitung zu gewährleisten.

Die betroffene Person ist nach Art. 14 Abs. 2 DSGVO über die Speicherdauer (Abschnitt 3.1), die berechtigten Interessen des Verantwortlichen oder eines Dritten (Abschnitt 3.2), die Betroffenenrechte (Abschnitt 3.3), die Quelle der erhobenen Daten (Abschnitt 3.4) sowie über eine ggf. bestehende automatisierte Entscheidungsfindung (Abschnitt 3.4) zu unterrichten.

nach oben

Speicherdauer (Art. 14 Abs. 2 Buchst. a DSGVO)

Die betroffene Person ist nach Art. 14 Abs. 2 Buchst. a DSGVO über die Dauer, für die die personenbezogenen Daten gespeichert werden, beziehungsweise über die Kriterien für die Festlegung dieser Dauer zu unterrichten.

nach oben

Berechtigte Interessen (Art. 14 Abs. 2 Buchst. b DSGVO)

Nach Art. 14 Abs. 2 Buchst. b DSGVO sind die betroffenen Personen über die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, zu informieren. Dies gilt jedoch nur, wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO beruht. Art. 6 Abs. 1 S. 2 DSGVO legt jedoch fest, dass diese Bedingung nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung gilt.

Es besteht somit keine Informationspflicht bezüglich der berechtigten Interessen.

nach oben

Betroffenenrechte (Art. 14 Abs. 2 Buchst. c, d und e DSGVO)

Die Unterrichtungspflicht umfasst folgende Rechte:

Nach Art. 14 Abs. 2 Buchst. d DSGVO umfasst die Informationspflicht auch das Recht, die im Falle der Art. 6 Abs. 1 Buchst. a DSGVO oder Art. 9 Abs. 2 Buchst. a DSGVO gegebene Einwilligung der betroffenen Person nach Art. 7 DSGVO jederzeit ganz oder teilweise mit Wirkung für die Zukunft widerrufen zu können.

nach oben

Quelle der erhobenen Daten (Art. 14 Abs. 2 Buchst. f DSGVO)

Nach Art. 14 Abs. 2 Buchst. f DSGVO ist die betroffene Person darüber zu informieren, aus welcher Quelle die personenbezogenen Daten stammen. Dadurch ist sie in der Lage, die Rechtmäßigkeit der Daten zu überprüfen.

nach oben

Automatisierte Entscheidungsfindung (Art. 14 Abs. 2 Buchst. g DSGVO)

Das Bestehen einer automatisierten Entscheidungsfindung (einschließlich Profiling) nach Art. 22 Abs. 1 und 4 DSGVO unterliegt der Informationspflicht nach Art. 14 Abs. 2 Buchst. g DSGVO.

Nach Art. 22 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die sie erheblich beeinträchtigt.

Rein automatisierte beschwerende Entscheidungsfindungen werden bei den Rentenversicherungsträgern derzeit nicht angewendet.

nach oben

Zeitpunkt der Informationen (Art. 14 Abs. 3 DSGVO)

Art. 14 Abs. 3 DSGVO verpflichtet den Verantwortlichen zu einer nachgelagerten Information. Im Grundsatz erteilt der Verantwortliche die Informationen gem. Art. 14 Abs. 3 Buchst. a DSGVO innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats.

Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist die Mitteilung nach Art. 14 Abs. 3 Buchst. b DSGVO spätestens zum Zeitpunkt der ersten Kontaktaufnahme fällig. Sie kann dann gemeinsam mit der eigentlichen Kommunikation erfolgen. Wenn nur ein Teil der Daten zur Kommunikation benötigt wird, bezieht sich die Informationspflicht dennoch auf sämtliche erlangten Daten.

Falls die Offenlegung (Art. 4 Nr. 2 und 9 DSGVO) an einen anderen Empfänger beabsichtigt ist, muss die Informationspflicht gem. Art. 14 Abs. 3 Buchst. c DSGVO spätestens zum Zeitpunkt der ersten Offenlegung erfüllt werden.

nach oben

Zweckänderung (Art. 14 Abs. 4 DSGVO)

Ist beabsichtigt, personenbezogene Daten für einen anderen Zweck zu verarbeiten, so ist die betroffene Person vor dieser Weiterverarbeitung über den anderen Zweck und die anderen Informationen des Art. 14 Abs. 4 DSGVO zu informieren.

Personenbezogene Daten müssen nach Art. 5 Abs. 1 Buchst. b DSGVO grundsätzlich für festgelegte Zwecke erhoben werden und dürfen nicht für andere Zwecke weiterverarbeitet werden.

Aufgrund der Öffnungsklausel des Art. 6 Abs. 1 Buchst. c, Abs. 3 Buchst. b DSGVO gilt hier das spezifische Recht der §§ 67c ff SGB X. Eine Speicherung, Veränderung oder Nutzung der Sozialdaten für andere Zwecke ist ausschließlich nach Maßgabe des § 67c Abs. 2 bis 5 SGB X zulässig.

nach oben

Ausnahmen (Art. 14 Abs. 5 DSGVO)

In Art. 14 Abs. 5 DSGVO sind spezielle Ausnahmen zur Informationspflicht angeordnet, die über die in Art. 13 Abs. 4 DSGVO festgelegten Ausnahmen hinausgehen.

Die Unterrichtungspflicht entfällt nach Art. 14 Abs. 5 Buchst. a DSGVO, wenn die betroffene Person bereits auf andere Weise Kenntnis über die mitzuteilenden Informationen nach Art. 14 DSGVO hat.

Nach Art. 14 Abs. 5 Buchst. b DSGVO ist die Informationspflicht einerseits ausgeschlossen, wenn und soweit die Erteilung der Information sich als unmöglich erweisen oder einen unverhältnismäßigen Aufwand erfordern würde. Ist die Information danach ausgeschlossen, so ist der Verantwortliche verpflichtet, geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person sowie zur Bereitstellung der entsprechenden Informationen für die Öffentlichkeit sicherzustellen.

Nach Art. 14 Abs. 5 Buchst. c DSGVO entfallen die Informationspflichten, wenn eine Rechtsvorschrift die Erlangung oder Offenlegung ausdrücklich regelt. Diesem Ausschlusstatbestand liegt die Erwägung zugrunde, dass die betroffene Person anhand dieser Rechtsvorschrift einen ausreichenden Überblick über die Verarbeitung ihrer Daten erlangen kann. Anhand der Vorschrift muss die betroffene Person absehen können, mit welchen Datenerhebungen und Verarbeitungen sie zu rechnen hat. Darunter fallen die gesetzlichen Auskunfts- und Meldepflichten an Behörden.

Entsprechende Regelungen sind im Sozialleistungsbereich im SGB X enthalten. So regelt die Vorschrift des § 67a Abs. 2 S. 2 Nr. 1 Buchst. a bis c, Nr. 2 Buchst. a bis bb SGB X, wann und unter welchen - die schutzwürdigen Interessen wahrenden - Bedingungen Daten ohne Mitwirkung der betroffenen Person überhaupt erhoben werden dürfen.

Die Rentenversicherungsträger sind somit von den Informationspflichten aus Art. 14 DSGVO freigestellt.

Um eine besonders transparente Verarbeitung zu gewährleisten, hat sich die Deutsche Rentenversicherung jedoch dazu entschieden - über eine gesetzliche Verpflichtung hinaus - auf ihren Webseiten zum Art. 14 DSGVO zu informieren.

Darüber hinaus ergänzt die Vorschrift des § 82a Abs. 1 SGB X die Einschränkungen der Informationspflichten nach der DSGVO nochmals.

Art. 14 Abs. 5 Buchst. d DSGVO regelt eine Ausnahme für Daten, die dem sogenannten Berufsgeheimnis unterliegen. Da der Verantwortliche diese Daten vertraulich behandeln muss, ist er von der Informationspflicht befreit.

nach oben

Informationspflichten am Beispiel des Vergabeverfahrens bei Bieterfirmen und deren Mitarbeitern (AGGDS 2/2019, TOP 3)

Die Rentenversicherungsträger verarbeiten im Vergabeverfahren nach den Vorschriften der Vergabeverordnung (VgV) und der Unterschwellenvergabeordnung (UVgO) personenbezogene Daten, um Kontakte zu Bieterfirmen und deren Mitarbeitern zu unterhalten, um zum Beispiel Dienstleistungen auszuschreiben und Angebote auszuwerten.

Sofern Bieterfirmen und deren Mitarbeiter Kontaktdaten übermitteln, um Angebote abzugeben, unterliegen diese Daten gemäß Erwägungsgrund 14 DSGVO (ErwG 14 DSGVO) nicht der DSGVO, da sie sich ausschließlich auf die Firmen als juristische Personen beziehen, unabhängig davon, dass die Kontaktdaten auch personenbezogene Daten einer natürlichen Person (Name und Telefonnummer) enthalten.

Kontaktdaten

Die Übergabe der Kontaktdaten durch die betreffenden Bieterfirmen erfolgt ausschließlich zum Zweck der Kontaktaufnahme. Die Mitarbeiter dieser Firmen sind über diese Verfahrensweisen informiert. Es gehört ausdrücklich zu ihrem Aufgabenbereich, Kontakte zu halten.

Die Bieterfirmen müssen als Verantwortliche ihrerseits den Informationspflichten nachkommen. Dazu gehört auch die Information nach Art. 13 DSGVO und Art. 14 DSGVO über Empfänger oder Kategorien von Empfängern der personenbezogenen Daten der betroffenen Person. Den Mitarbeitern dieser Firmen ist bewusst, dass ihre Kontaktdaten von den Rentenversicherungsträgern zur Kontaktaufnahme genutzt werden.

Informationspflichten entstehen für die Rentenversicherungsträger nicht, da die Kontaktdaten nach ErwG 14 nicht der DSGVO unterliegen.

Dies gilt auch, sofern Einzelpersonen als Bieter eigeninitiativ Kontaktdaten übermitteln.

Über Kontaktdaten hinausgehende Daten

Die Erhebung weiterer, über die Kontaktdaten hinausgehender Daten (zum Beispiel spezielle Eignungsnachweise, Fortbildungen), erfolgt auf der Grundlage des Art. 6 Abs. 1 lit. b DSGVO, da das Vergabeverfahren eine vorvertragliche Maßnahme darstellt. Die Erhebung der personenbezogenen Daten ist für die Eignungs- und Angebotsauswertung erforderlich. Die Mitarbeiter der Bieterfirmen sind über diese Verfahrensweisen informiert.

Die Bieterfirmen müssen als Verantwortliche den Informationspflichten gegenüber ihren Mitarbeitern selbst nachkommen.

Informationspflichten nach Art. 14 DSGVO entstehen für die Rentenversicherungsträger nicht, da die Bewerberdaten aufgrund einer Rechtsvorschrift erhoben werden, die die Erlangung ausdrücklich regelt und konkret beschreibt, welche Daten für welchen Zweck erhoben werden (§ 46 Abs. 3 Nr. 2 VgV).

Die Vorschriften des Vergaberechts bewirken darüber hinaus umfassende Schutzmechanismen. Öffentliche Auftraggeber haben im Vergabeverfahren den Grundsatz der Vertraulichkeit zu wahren (§ 5 VgV). Es werden hohe Sicherheitsanforderungen an die im Vergabeverfahren eingesetzten elektronischen Verfahren gestellt (§§ 10, 11 VgV).

Die Vorschriften der UVgO sind an die der VgV angelehnt und decken sich inhaltlich mit diesen.

Die betroffenen Personen der Firmen können absehen, mit welchen Datenerhebungen und Verarbeitungen sie zu rechnen haben. Sie müssen grundsätzlich davon ausgehen, dass ihre personenbezogenen Daten zur Eignungs- und Angebotsauswertung erhoben werden.

Darüber hinaus würde es für die Rentenversicherungsträger einen organisatorisch und zeitlich hohen Aufwand bedeuten, sich an jede betroffene natürliche Person zu wenden. Die Information würde hier einen unverhältnismäßig hohen Aufwand erfordern. (AGGDS 2/2019, TOP 3)

Sofern Einzelpersonen als Bieter eigeninitiativ ihre Profile übermitteln um Angebote abzugeben, bestehen für die Rentenversicherungsträger keine Informationspflichten nach Art. 13 DSGVO und Art. 14 DSGVO, weil keine Datenerhebung vorliegt.

Werden nach der Datenübermittlung jedoch weitere Daten durch den Rentenversicherungsträger angefordert, muss er den Informationspflichten nach Art. 13 DSGVO nachkommen.

Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG

Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018

Quelle: Amtsblatt der Europäischen Union vom 04.Mai 2016 unter L 119/1

Die Datenschutzgrundverordnung (VO (EU) 2016/679) trat am 24.05.2016 in Kraft und gilt seit dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.

Zusatzinformationen

Rechtsgrundlage

Art. 14 DSGVO