Antwort: Zum Zeitpunkt der Erhebung ihrer Daten müssen Personen mindestens über Folgendes in klarer Weise informiert werden:
- wer Ihr Unternehmen/Ihre Organisation ist (Ihre Kontaktdaten und die Kontaktdaten Ihres Datenschutzbeauftragten, falls zutreffend);
- warum Ihr Unternehmen/Ihre Organisation die personenbezogenen Daten nutzen wird (Zwecke);
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Rechtsgrundlage für die Verarbeitung ihrer Daten;
- wie lange die Daten aufbewahrt werden;
- welche weiteren Empfänger die Daten erhalten könnten;
- ob die personenbezogenen Daten in ein Land ausserhalb der EU übermittelt werden;
- dass sie das Recht auf eine Kopie der Daten (Auskunftsrecht) sowie weitere grundlegende Rechte im Bereich des Datenschutzes (siehe vollständige Liste der Rechte) haben;
- das Bestehen ihres Beschwerderechts bei einer Datenschutzbehörde;
- ihr Recht, die Einwilligung jederzeit zurückzuziehen;
- sofern zutreffend, das Bestehen einer automatisierten Entscheidungsfindung, nach welcher Logik die entsprechende Verarbeitung erfolgt und welche Auswirkungen sie hat.
Siehe die vollständige Liste der bereitzustellenden Informationen.
Die Informationen können schriftlich oder mündlich auf Antrag der Person, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde, oder gegebenenfalls auf elektronischem Weg erteilt werden. Ihr Unternehmen/Ihre Organisation muss diese in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache sowie unentgeltlich übermitteln.
Falls Daten durch ein anderes Unternehmen/eine andere Organisation erhoben werden, sollte Ihr Unternehmen/Ihre Organisation der betroffenen Person die oben genannten Informationen spätestens innerhalb eines Monats nach Erhebung der personenbezogenen Daten erteilen; oder sofern Ihr Unternehmen/Ihre Organisation mit der Person kommuniziert, zum Zeitpunkt, zu dem die Daten zur Kommunikation mit der betroffenen Person verwendet werden; oder falls die Offenlegung an ein anderes Unternehmen beabsichtigt ist, zum Zeitpunkt der ersten Offenlegung der personenbezogenen Daten.
Ihr Unternehmen/Ihre Organisation ist ebenso verpflichtet, die Person über die Kategorien von Daten und darüber zu unterrichten, aus welcher Quelle die personenbezogenen Daten stammen, einschliesslich der Information, ob die Daten aus öffentlich zugänglichen Quellen stammen. Unter bestimmten, in Artikel 13 Absatz 4 und Artikel 14 Absatz 5 der Datenschutz-Grundverordnung aufgeführten Umständen kann Ihr Unternehmen/Ihre Organisation von der Pflicht, die Person zu unterrichten, befreit werden. Prüfen Sie, ob eine solche Befreiung auf Ihr Unternehmen/Ihre Organisation zutrifft.
Europäische Kommission; BOW; 30.01.2018
https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/principles-gdpr/transparency/what-information-must-be-given-individuals-whose-data-collected_de