gekennzeichnet.
Der Artikel 14 der Datenschutz-Grundverordnung (DS-GVO) ist eine Rechtsvorschrift zur Informationspflicht, wenn Daten der betroffenen Person nicht bei der betroffenen Person erhoben wurden. Das ist insbesondere auch für Whistleblower relevant und spielte in einem Verfahren gegen WhatsApp eine Rolle.
Gesetzestext
(1) Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) die Kategorien personenbezogener Daten, die verarbeitet werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie von ihnen zu erhalten, oder wo sie verfügbar sind.
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person die folgenden Informationen zur Verfügung, die erforderlich sind, um der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten:
a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
c) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung und eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
e) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
f) aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen;
g) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
(3) Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2
a) unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats,
b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie, oder,
c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.
(4) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erlangt wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.
(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit
a) die betroffene Person bereits über die Informationen verfügt,
b) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; dies gilt insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke vorbehaltlich der in Artikel 89 Absatz 1 genannten Bedingungen und Garantien oder soweit die in Absatz 1 des vorliegenden Artikels genannte Pflicht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt. In diesen Fällen ergreift der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit,
c) die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder
d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.
Häufige Begriffe (normiert): personenbezogen(14), Daten(14), Verarbeitung(11), betroffen(10), Person(10), Verantwortlicher(10), Information(9), Zweck(4).
Bemerkungen
Das Bundesarbeitsgericht hatte wegen Art. 14 DSGVO einem Bewerber einen Schadenersatz in Höhe von 1000 Euro zugesprochen, weil der potentielle Arbeitgeber insgeheim eine Google-Recherche über den Bewerber durchgeführt hatte, ohne den Bewerber darüber zu informieren (Urteil des BAG vom 05.06.2025, Az. 8 AZR 117/24).
Der Art. 14 Abs. 3 a bedeutet für Hinweisgeber (Whistleblower), dass die beschuldigte Person über die Identität des Hinweisgebers zu informieren ist. Dies sollte dem Hinweisgeber mitgeteilt werden, wenn dieser beabsichtigt, eine Meldung zu erstatten.
Anders sieht es aus, wenn ein Whistleblower eine Meldung über ein wahrgenommenes Fehlverhalten eines Unternehmens macht. Denn Unternehmen fallen, sofern keine natürlichen Personen, nicht unter den Schutz der DSGVO. Jedenfalls widmet sich das neue Hinweisgeberschutzgesetz (HinSchG) der Bundesregierung dieser Thematik.
Der Art. 14 Abs. 5 b gibt eine Ausnahme, wann betroffene Personen nicht zu informieren sind. Hierauf berief sich WhatsApp bei der Prüfung durch die irische Datenschutzaufsicht. WhatsApp übermittelt Daten eines neuen WhatsApp-Nutzers zu all seinen Kontakten im Smartphone-Adressbuch und informiert diese Kontakte und auch den Nutzer nicht darüber. Die Behörde entschied, dass die Informationen durch WhatsApp nicht öffentlich zugänglich gemacht wurden (Rn. 160ff ebd.), so wie es der e.g. Artikel fordert.
Auch interessant
- DSGVO allgemein
- Art. 5 DSGVO: Grundsätze für die Datenverarbeitung
- Art. 6 DSGVO: Rechtsgrundlagen der Verarbeitung
- Art. 7 DSGVO: Bedingungen für die Einwilligung
- Art. 12 DSGVO: Transparente Information
- Art. 13 DSGVO: Informationspflichten
- Art. 15 DSGVO: Auskunftsrecht
- Art. 26 DSGVO: Gemeinsame Verantwortlichkeit
Kernaussagen dieses Beitrags
Wenn deine Daten nicht direkt von dir stammen, musst du informiert werden, wer deine Daten hat, wofür sie verwendet werden und an wen sie weitergegeben werden.
Unternehmen müssen Menschen über die Verarbeitung ihrer Daten informieren, z.B. wofür die Daten genutzt werden, wie lange sie gespeichert werden und welche Rechte die Betroffenen haben.
Es gibt Ausnahmen, wann Betroffene über die Verarbeitung ihrer Daten informiert werden müssen, zum Beispiel wenn es gesetzlich vorgeschrieben ist oder die Daten vertraulich behandelt werden müssen.
