Informationspflichten gegenüber betroffenen Personen
Alle drei Entwürfe der DS-GVO sehen in Art. 14 gewisse Informations- bzw. Unterrichtungspflichten des für die Verarbeitung Verantwortlichen vor, die bei der Erhebung personenbezogener Daten zu erfüllen sind. Insgesamt lässt sich feststellen, dass die zu erteilenden Informationen weitaus genauer und auch umfangreicher geregelt sind, als dies derzeit der Fall ist. Zu den verpflichten zu erteilenden Informationen (im Internet oder in einer App etwa in der Form einer Datenschutzerklärung) gehören unter anderem:
Name und Kontaktdaten des für die Verarbeitung Verantwortlichen und auch des Datenschutzbeauftragten; die Zwecke, für die Daten verarbeitet werden; die jeweilige Rechtsgrundlage der Datenverarbeitung (dies kann bedeuten, dass in einer Datenschutzerklärung zu verschiedenen Datenverarbeitungsprozessen auch Informationen zu unterschiedlichen Rechtsgrundlagen erteilt werden müssen).
Parlament und Kommission möchten zudem verpflichtend vorsehen, dass noch unter anderem folgende Informationen erteilt werden: die Dauer, für die die personenbezogenen Daten gespeichert werden bzw. die Kriterien für die Festlegung der Dauer; das Bestehen eines Rechts auf Auskunft sowie Berichtigung oder Löschung; das Bestehen eines Beschwerderechts bei der Datenschutzbehörde; die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten. Das Parlament verlangt in seinem Entwurf zudem, dass aussagekräftige Informationen über die Logik einer automatisierten Datenverarbeitung erteilt werden.
Der Entwurf des Rates geht einen etwas anderen Weg. Zum einen bestehen verpflichtend zu erteilende Informationen. Zudem ist je nach Einzelfall abhängig, ob der für die Datenverarbeitung Verantwortliche eventuell weitere Informationen erteilen muss (Art. 14 Abs. 1a DS-GVO). Diese sollen dann erteilt werden, wenn sie unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, „notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten“. Zu diesen Informationen gehören unter anderem: die Benennung der berechtigten Interessen, die von dem für die Verarbeitung Verantwortlichen verfolgt werden, wenn er seine Datenverarbeitung auf Art. 6 Abs. 1 f) DS-GVO stützt; die Empfänger oder Kategorien von Empfängern; die Absicht, personenbezogene Daten an einen Empfänger in einem Drittland zu übermitteln; wenn die Verarbeitung auf eine Einwilligung beruht, die Information über das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen; das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde.
Insgesamt dürfte also der Katalog an zu erteilenden Informationen weitaus umfangreicher und detaillierter ausfallen, als dies bei vielen Datenschutzerklärungen derzeit der Fall ist. Daneben bestehen zudem Informationspflichten, wenn die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben werden.