Die DSGVO betont die Notwendigkeit von Transparenz in der Art und Weise, wie ein Unternehmen die Daten des Einzelnen verwendet. In diesem Zusammenhang wird festgelegt, welche Informationen den betroffenen Personen zur Verfügung gestellt werden sollen, sowie wann und wie. Dies hängt davon ab, ob der Verantwortliche die Daten direkt von der betroffenen Person oder von einer anderen Stelle erhalten hat.
Informationen, die der Verantwortliche, zum Zeitpunkt der Erhebung von Daten direkt von einer betroffenen Person, übermitteln muss:
- Identität und Kontaktdaten des Verantwortlichen (gegebenenfalls: EU-Vertreter des Verantwortlichen)
- Kontaktdaten des DSB (Datenschutzbeauftrager)
- die Zwecke der Verarbeitung
- Rechtsgrundlage für die Verarbeitung
- berechtigtes Interesse (wenn die Verarbeitung auf einem berechtigten Interesse beruht)
- Empfänger der personenbezogenen Daten (oder Kategorien von Empfängern)
- die Absicht, Daten an ein Drittland oder ein internationales Unternehmen zu übermitteln, einschließlich des Vorhandenseins oder Fehlens einer Angemessenheitsentscheidung, oder den Hinweis auf die angemessenen oder geeigneten Garantien und die Mittel, mit denen eine Kopie davon angefordert werden kann oder wo sie zur Verfügung gestellt wurden
- Zeitraum der Datenspeicherung (falls nicht möglich: Kriterien zur Bestimmung dieses Zeitraums)
- Bestehen der Rechte der betroffenen Personen (Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung, Übertragbarkeit, Widerruf der Einwilligung, Einreichung einer Beschwerde bei einer Aufsichtsbehörde)
- ob die Bereitstellung personenbezogener Daten eine gesetzliche, vertragliche oder geforderte Anforderung ist, sowie mögliche Folgen der Nichtbereitstellung solcher Daten
- das Vorhandensein einer automatisierten Entscheidungsfindung (einschließlich Profilerstellung)
Wurden die Daten nicht direkt von einer betroffenen Person erhoben, muss der Verantwortliche die betroffenen Personen innerhalb einer angemessenen Frist über die Kategorien der betreffenden personenbezogenen Daten und die Quelle, aus der die personenbezogenen Daten stammen, informieren (gegebenenfalls: ob sie aus einer öffentlich zugänglichen Quelle stammen). Werden die personenbezogenen Daten für die Kommunikation mit den betroffenen Personen verwendet, so sind diese Informationen bei der ersten Übermittlung an diese Personen anzugeben.
Die Informationen müssen immer in prägnanter, transparenter, verständlicher und leicht zugänglicher Form, in klarer und einfacher Sprache übermittelt werden. In der Regel sollten sie schriftlich (auch auf elektronischem Wege) oder, wenn eine betroffene Person dies verlangt, mündlich erfolgen.