Praxishandbuch DSGVO
Tekst- Rozmiar: 2210 str. 43 ilustracje
- Kategoria: adwokaturaEdytuj
Kapitel 6 Umgang mit Betroffenen
Übersicht
| Rn. | |
| I. Einführung | 1 |
| II. Systematischer Überblick über die Betroffenenrechte gem. Art. 12–23 DSGVO und Art. 77ff. DSGVO | 8 |
| III. Informationspflichten (Art. 13 und 14 DSGVO) | 17 |
| 1. Informationspflichten bei der Direkterhebung von Daten von der betroffenen Person (Art. 13 DSGVO) | 23 |
| a) Voraussetzungen der Informationspflicht nach Art. 13 DSGVO | 23 |
| b) Systematik von Art. 13 DSGVO | 24 |
| c) Inhalte der Informationspflichten nach Art. 13 Abs. 1 DSGVO | 29 |
| d) Inhalte der Informationspflichten nach Art. 13 Abs. 2 DSGVO | 47 |
| e) Zeitpunkt der Information | 73 |
| f) Information im Fall der Zweckänderung (Art. 13 Abs. 3 DSGVO) | 76 |
| g) Information im Fall der Änderung der Datenverarbeitung | 83 |
| h) Ausnahmen von der Informationspflicht (Art. 13 Abs. 4 DSGVO) | 95 |
| i) Keine Pflicht zur „Nachinformation“ im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 108 |
| j) Erfüllung der Informationspflichten als Zulässigkeitsvoraussetzung? | 109 |
| 2. Informationspflichten bei der Erhebung von Daten aus anderen Quellen als von der betroffenen Person (Art. 14) | 112 |
| a) Voraussetzungen der Informationspflicht nach Art. 14 DSGVO | 112 |
| b) Inhalte der Informationspflichten nach Art. 14 Abs. 1 DSGVO | 113 |
| c) Inhalte der Informationspflichten nach Art. 14 Abs. 2 DSGVO | 116 |
| d) Weitere Informationen, die nicht in Art. 14 Abs. 1 und Abs. 2 DSGVO genannt werden | 122 |
| e) Zeitpunkt der Informationserteilung nach Art. 14 Abs. 3 DSGVO | 124 |
| f) Information im Fall der Zweckänderung (Art. 14 Abs. 4 DSGVO) und im Fall der Änderung der Datenverarbeitung | 127 |
| g) Ausnahmen von der Informationspflicht nach Art. 14 DSGVO | 130 |
| h) „Nachinformation“ und keine Zulässigkeitsvoraussetzung | 143 |
| 3. Modalitäten der Information der betroffenen Personen (Art. 12 DSGVO) | 145 |
| a) Formulierung der Information | 146 |
| b) Information in leicht zugänglicher Form | 149 |
| c) Form | 150 |
| d) Unentgeltlichkeit | 161 |
| e) Kombination mit standardisierten Bildsymbolen | 162 |
| 4. Rechenschaftspflicht | 163 |
| 5. Beispiele für Möglichkeiten zur Darstellung der Informationen | 164 |
| a) Gestaltung als Checkliste | 167 |
| b) Gruppierung von Informationen | 170 |
| c) Gestaltung als „Story“/nach dem geschichtlichen Ablauf der Datenverarbeitung | 172 |
| d) Gestaltung unter Einsatz von Tabellen | 174 |
| e) Multilayered notice/Mehrebenenansatz | 177 |
| IV. Recht auf Auskunft (Art. 15 DSGVO) | 181 |
| 1. Auskunftsrecht nach Art. 15 Abs. 1 und 2 DSGVO | 184 |
| a) Voraussetzungen des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO | 184 |
| b) Inhalte des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO | 186 |
| c) Umfang des Auskunftsrechts nach Art. 15 Abs. 1 und 2 DSGVO | 204 |
| 2. Ausnahmen vom Auskunftsrecht | 209 |
| a) Ausnahmen vom Auskunftsrecht gem. Art. 15 Abs. 1 und Abs. 2 DSGVO in der DSGVO | 214 |
| b) Ausnahmen vom Auskunftsrecht gem. Art. 15 Abs. 1 und Abs. 2 DSGVO im nationalen Recht | 240 |
| 3. Modalitäten der Auskunftserteilung (Art. 12 DSGVO) | 244 |
| a) Antragserfordernis | 245 |
| b) Erleichterung der Rechtsausübung (Art. 12 Abs. 2 S. 1 DSGVO) | 248 |
| c) Identifizierung des Antragstellers (Art. 12 Abs. 6 DSGVO) | 252 |
| d) Formulierung der Auskunft (Art. 12 Abs. 1 DSGVO) | 266 |
| e) Form der Auskunft | 274 |
| f) Unentgeltlichkeit (Art. 12 Abs. 5 S. 2 lit. a DSGVO) | 276a |
| g) Frist zur Erteilung der Auskunft sowie von Informationen über das Auskunftsverlangen und ggf. über dessen Ablehnung (Art. 12 Abs. 3 und Abs. 4 DSGVO) | 276a |
| h) Zweckbindung von Daten im Zusammenhang mit der Auskunftserteilung | 285a |
| 4. Recht der betroffenen Person, eine Kopie ihrer Daten zu erhalten (Art. 15 Abs. 3 und 4 DSGVO) | 286 |
| a) Inhalte und Umfang der Kopie nach Art. 15 Abs. 3 DSGVO | 288 |
| b) Ausnahmen vom Recht auf Erhalt einer Kopie in der DSGVO | 312 |
| c) Modalitäten im Hinblick auf die Aushändigung der Kopie gem. Art. 15 Abs. 3 DSGVO | 328 |
| d) Praktischer Umgang mit Anträgen auf Erhalt einer Kopie | 338 |
| 5. Auskunft im Hinblick auf Daten bzw. Erhalt von Kopien von Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 342 |
| V. Recht auf Berichtigung (Art. 16 DSGVO) | 343 |
| 1. Inhalte des Berichtigungsrechts nach Art. 16 DSGVO | 345 |
| a) Berichtigung unrichtiger personenbezogener Daten (S. 1) | 346 |
| b) Vervollständigung unvollständiger personenbezogener Daten (S. 2) | 349 |
| c) Darlegungs- und Beweislast | 352 |
| 2. Ausnahmen vom Berichtigungsrecht | 356 |
| 3. Modalitäten des Berichtigungs- bzw. Vervollständigungsanspruchs (Art. 12 DSGVO) | 359 |
| 4. Mitteilungspflicht nach Art. 19 DSGVO | 365 |
| 5. Berichtigung/Vervollständigung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 366 |
| VI. Recht auf Löschung/Recht auf Vergessenwerden (Art. 17 DSGVO) | 367 |
| 1. Voraussetzungen des Rechts der betroffenen Person auf Löschung sowie der Löschpflicht des Verantwortlichen (Art. 17 Abs. 1 DSGVO) | 371 |
| a) Recht der betroffenen Person auf Löschung ihrer Daten | 371 |
| b) Pflicht des Verantwortlichen zur Datenlöschung | 373 |
| c) Löschungsgründe: Tatbestandsalternativen des Art. 17 Abs. 1 DSGVO | 487 |
| 2. Rechtsfolge: Löschen i.S.d. Art. 17 Abs. 1 DSGVO | 410 |
| 3. Informationspflichten im Fall der Öffentlichmachung der Daten (Art. 17 Abs. 2 DSGVO) | 414 |
| a) Voraussetzungen des Rechts auf Vergessenwerden | 418 |
| b) Vom Verantwortlichen zur Erfüllung des Rechts auf Vergessenwerden zu ergreifende Maßnahmen | 420 |
| 4. Ausnahmen vom Recht auf Löschung gem. Art. 17 Abs. 1 DSGVO und von den Informationspflichten gem. Art. 17 Abs. 2 DSGVO (Art. 17 Abs. 3, Art. 12 DSGVO) | 425 |
| a) Ausnahmen nach Art. 17 Abs. 3 DSGVO | 425 |
| b) Weitere Ausnahmen in der DSGVO | 428 |
| c) Ausnahmen im nationalen Recht | 430 |
| 5. Modalitäten des Löschungsanspruchs (Art. 12 DSGVO) | 434 |
| a) Frist bei Löschung aufgrund der in Art. 17 Abs. 1 DSGVO enthaltenen Löschungspflicht | 448 |
| b) Frist bei Löschung gem. Art. 17 Abs. 1 DSGVO infolge eines Antrags der betroffenen Person | 449 |
| c) Frist für die Information nach Art. 17 Abs. 2 DSGVO | 453 |
| 6. Mitteilungspflicht nach Art. 19 DSGVO/Verhältnis zu Art. 17 Abs. 2 DSGVO | 455 |
| 7. Recht auf Löschung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 459 |
| VII. Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) | 460 |
| 1. Inhalte des Rechts auf Einschränkung der Datenverarbeitung | 462 |
| a) Voraussetzungen (Art. 18 Abs. 1 DSGVO) | 462 |
| b) Rechtsfolge: Einschränkung der Datenverarbeitung | 576 |
| c) Bedingungen für die Weiterverarbeitung der Daten (Art. 18 Abs. 2 DSGVO, Erwägungsgrund 67 DSGVO) | 580 |
| d) Informationspflichten für den Fall, dass die Daten wieder uneingeschränkt verarbeitet werden (Art. 18 Abs. 3 DSGVO) | 581 |
| 2. Ausnahmen vom Recht auf Einschränkung der Datenverarbeitung | 483 |
| 3. Modalitäten des Rechts auf Einschränkung der Datenverarbeitung (Art. 12 DSGVO) | 486 |
| 4. Mitteilungspflicht nach Art. 19 DSGVO | 490 |
| 5. Recht auf Einschränkung der Datenverarbeitung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 491 |
| VIII. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO) | 492 |
| 1. Voraussetzungen der Mitteilungspflicht | 494 |
| 2. Mitteilung der Berichtigung, Löschung oder Einschränkung der Verarbeitung | 496 |
| 3. Unterrichtungspflicht gegenüber der betroffenen Person (Art. 19 S. 2 DSGVO) | 500 |
| 4. Weitere Ausnahmen von der Mitteilungspflicht | 508 |
| 5. Modalitäten der Mitteilungspflicht (Art. 12 DSGVO) | 511 |
| 6. Mitteilungspflicht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 515 |
| IX. Recht auf Datenübertragbarkeit (Art. 20 DSGVO) | 516 |
| 1. Inhalte des Rechts auf Datenübertragbarkeit | 519 |
| a) Voraussetzungen des Rechts auf Datenübertragbarkeit (Art. 20 Abs. 1 DSGVO) | 519 |
| b) Rechtsfolgen: Bereitstellung (Abs. 1) bzw. Übermittlung (Abs. 2) von Daten durch den Verantwortlichen | 528 |
| c) Verhältnis zu Art. 17 DSGVO (Art. 20 Abs. 3 S. 1 DSGVO) | 538 |
| 2. Ausnahmen vom Recht auf Datenübertragbarkeit (Art. 20 Abs. 4, Art. 12 DSGVO) | 541 |
| a) Beeinträchtigung von Rechten und Freiheiten anderer Personen (Art. 20 Abs. 4 DSGVO) | 542 |
| b) Weitere Ausnahmen | 558 |
| 3. Modalitäten des Rechts auf Datenübertragbarkeit | 562 |
| 4. Recht auf Datenübertragbarkeit im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 567 |
| X. Widerspruchsrecht (Art. 21 DSGVO) | 568 |
| 1. Inhalte des Widerspruchsrechts | 569 |
| a) Allgemeines Widerspruchsrecht gem. Art. 21 Abs. 1 DSGVO | 570 |
| b) Widerspruchsrecht bei der Datenverarbeitung zu Zwecken der Direktwerbung gem. Art. 21 Abs. 2 und 3 DSGVO | 587 |
| c) Informationspflichten nach Art. 21 Abs. 4 DSGVO | 596 |
| 2. Weitere Ausnahmen vom Widerspruchsrecht | 604 |
| 3. Modalitäten des Widerspruchsrechts | 607 |
| 4. Widerspruchsrecht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 612 |
| XI. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO) | 613 |
| 1. Inhalte des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden | 617 |
| a) Voraussetzungen des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden | 617 |
| b) Rechtsfolgen aus Art. 22 Abs. 1 DSGVO | 637 |
| c) Ausnahmen vom Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden (Art. 22 Abs. 2 und 3 DSGVO) | 638 |
| d) Sonderfall: Verarbeitung besonderer Kategorien personenbezogener Daten | 639 |
| 2. Modalitäten des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden | 663 |
| 3. Das Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden, im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 664 |
| XII. Sanktionierung | 665 |
I. Einführung
1
Ein Bereich, dessen Bedeutung in der Praxis infolge der DSGVO stark zugenommen hat, ist der Bereich der Betroffenenrechte, also den Rechten, die Personen, deren personenbezogene Daten Gegenstand einer Datenverarbeitung sind, gegenüber dem für diese Datenverarbeitung Verantwortlichen zustehen.
2
Dies scheint insbesondere eine Folge der gesteigerten Aufmerksamkeit und Sensibilität der Bevölkerung für den Datenschutz zu sein, welche nicht zuletzt auch durch die DSGVO und die damit verbundene Berichterstattung in den Medien gefördert wurden. Denn auch nach der alten Rechtslage, also bevor die DSGVO wirksam wurde, bestanden weitgehende Betroffenenrechte. Diese wurden durch die DSGVO allerdings ausgeweitet, formalisiert und präzisiert.
3
So wurden durch die DSGVO zwei neue Betroffenenrechte eingeführt, die nach der alten Rechtslage auf Basis der Datenschutzrichtlinie 95/46/EG nicht vorgesehen waren: das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO und das Recht auf Vergessenwerden nach Art. 17 Abs. 2 DSGVO.1
4
Außerdem wurden einige bestehende Betroffenenrechte, wie z.B. das Recht auf Auskunft und die Informationspflichten des Verantwortlichen, durch die DSGVO erheblich erweitert und präzisiert.
5
Für Unternehmen, die personenbezogene Daten verarbeiten, haben die Betroffenenrechte in der Praxis eine sehr wichtige Bedeutung. Diese erschöpft sich nicht allein darin, dass die Unternehmen die jeweiligen Rechte der betroffenen Person im Einzelfall – ggf. auf deren Antrag hin – erfüllen müssen. Vielmehr ist es erforderlich, dass Unternehmen bereits im Vorfeld entsprechende Prozesse konzipiert und implementiert haben, um die einzelnen Betroffenenrechte – ggf. auf Antrag der betroffenen Person – überhaupt erfüllen zu können. Ebenso sind diese Prozesse grundsätzlich zu dokumentieren, um der Rechenschaftspflicht zu genügen. Somit hat auch im Bereich der Betroffenenrechte das Thema der Datenschutzorganisation und des Datenschutzmanagements erheblich an Bedeutung gewonnen.
6
Dies ist umso wichtiger, als dass betroffene Personen ihre Rechte seit der DSGVO viel häufiger wahrnehmen und ggf. auch gerichtlich durchzusetzen versuchen als zuvor, was sich alleine schon an der erheblich gestiegenen Anzahl an Gerichtsentscheidungen in diesem Bereich zeigt.
7
Auch für die Datenschutzaufsichtsbehörden scheinen die im Unternehmen vorgesehenen Prozesse zur Erfüllung der Betroffenenrechte eine immer wichtigere Rolle zu spielen, z.B. im Fall von Verstößen im Rahmen der Bußgeldbemessung. Gerade im Fall von Verstößen gegen die Betroffenenrechte ist zudem auch der Reputationsschaden durch eine negative Medienberichterstattung nicht zu unterschätzen. Vor diesem Hintergrund sollte die Bedeutung der Betroffenenrechte auf keinen Fall unterschätzt werden. Vielmehr empfiehlt es sich, (i) regelmäßige Auditierungen im Unternehmen und Übungen durchzuführen, um zu überprüfen, inwiefern das Unternehmen den Anforderungen in diesem Bereich genügt, und (ii) bei der Gestaltung neuer Datenverarbeitungsprozesse die entsprechenden (organisatorischen und technischen) Prozesse zur Einhaltung der Betroffenenrechte frühzeitig zu berücksichtigen.
1 Ein Recht dieses Namens bestand zuvor „nur“ in der vom EuGH im Rahmen der Entscheidung „Google/Mario Costeja Gonzales“ beschriebenen Form, die sich von Art. 17 Abs. 2 DSGVO unterscheidet, siehe EuGH, Urt. v. 13.5.2014 – Rs. C-131/12, CR 2014, 460. Siehe hierzu Arning/Moos/Schefzig, CR 2014, 447.
II. Systematischer Überblick über die Betroffenenrechte gem. Art. 12–23 DSGVO und Art. 77ff. DSGVO
8
Vor diesem Hintergrund soll im Folgenden zum besseren Verständnis ein kurzer Überblick über die Systematik gegeben werden, wie die Betroffenenrechte in der DSGVO geregelt sind, bevor sie dann unter Rn. 17ff. im Einzelnen erläutert werden.
9
Die Betroffenenrechte sind vor allem im dritten Kapitel der DSGVO in Art. 12–23 DSGVO geregelt. Art. 12 DSGVO enthält generelle Anforderungen an die transparente Information von betroffenen Personen, an die Kommunikation mit betroffenen Personen sowie an die Modalitäten für die Ausübung ihrer Rechte. Mithin regelt Art. 12 DSGVO vor allem die Art und Weise bzw. die Verfahren, wie die einzelnen Betroffenenrechte zu erfüllen sind, so z.B., wie betroffene Personen über die Verarbeitung ihrer Daten zu informieren sind.
10
In den Art. 13–22 DSGVO sind sodann die (Inhalte der) einzelnen Betroffenenrechte geregelt. Art. 13 und 14 DSGVO enthalten die Informationspflichten, nach denen der Verantwortliche verpflichtet ist, die betroffenen Personen proaktiv bei der Erhebung ihrer personenbezogenen Daten über die Datenverarbeitung zu informieren. Art. 13 DSGVO ist anwendbar, wenn der Verantwortliche die Daten direkt bei der betroffenen Person erhebt, wohingegen Art. 14 DSGVO einschlägig ist, wenn die Daten aus einer anderen Quelle erhoben werden. Art. 15 DSGVO enthält die Bestimmungen zum Auskunftsrecht der betroffenen Person, also dem Recht, von dem Verantwortlichen (auf Verlangen nach Beginn der Datenverarbeitung) Auskunft über die Verarbeitung ihrer Daten zu erhalten.
11
Art. 16 DSGVO gibt der betroffenen Person das Recht, vom Verantwortlichen die Berichtigung von unrichtigen Daten bzw. die Vervollständigung unvollständiger Daten, die sie betreffen, zu verlangen. Art. 17 DSGVO enthält sodann die Voraussetzungen, unter denen eine betroffene Person die Löschung der sie betreffenden Daten verlangen bzw. ihr Recht auf Vergessenwerden geltend machen kann sowie – nach hier vertretener Ansicht – die Pflicht des Verantwortlichen, personenbezogene Daten unter bestimmten Voraussetzungen automatisch zu löschen. Nach Art. 18 DSGVO kann die betroffene Person die Einschränkung der Verarbeitung von sie betreffenden personenbezogenen Daten verlangen. Sollte der Verantwortliche personenbezogene Daten, die er nach Art. 16 DSGVO berichtigen oder nach Art. 17 Abs. 1 DSGVO löschen muss oder bezüglich derer ein Recht der betroffenen Person auf Einschränkung der Verarbeitung nach Art. 18 Abs. 1 DSGVO besteht, an andere Stellen übermittelt haben, verpflichtet ihn Art. 19 DSGVO sodann, grundsätzlich auch die Empfänger der Daten über diesen Fakt zu informieren, damit die(selben) Daten ggf. auch beim Empfänger berichtigt, gelöscht oder nur noch eingeschränkt verarbeitet werden.
12
Art. 20 DSGVO enthält das durch die DSGVO neu eingeführte Recht der betroffenen Person auf Datenübertragbarkeit, also das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, von diesem zu erhalten, um sie einem anderen Verantwortlichen zur Verfügung stellen zu können. Hierdurch soll z.B. der Wechsel von einem sozialen Netzwerk in ein anderes vereinfacht werden.2
13
Art. 21 DSGVO statuiert die Bedingungen, unter denen eine betroffene Person der Verarbeitung ihrer Daten widersprechen kann.
14
Art. 22 DSGVO regelt – obwohl als Betroffenenrecht ausgestaltet – faktisch die Zulässigkeit von automatisierten Entscheidungen im Einzelfall einschließlich Profiling.
15
Schließlich enthält Art. 23 DSGVO noch Voraussetzungen, unter denen die EU oder die EU-Mitgliedstaaten die Betroffenenrechte einschränken können, z.B. zu Zwecken der nationalen Sicherheit oder der Verhütung, Aufdeckung, Ermittlung und Verfolgung von Verstößen gegen die berufsständischen Regeln reglementierter Berufe.
16
Außerhalb dieses dritten Kapitels der DSGVO sind Rechte der betroffenen Person noch in Kapitel VIII der DSGVO enthalten. So gibt Art. 77 DSGVO der betroffenen Person das Recht auf Beschwerde bei einer Aufsichtsbehörde. Art. 78 DSGVO gewährleistet das Recht der betroffenen Person auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde. Art. 79 DSGVO statuiert das Recht der betroffenen Person auf wirksamen Rechtsbehelf gegen Verantwortliche und Auftragsverarbeiter und Art. 82 DSGVO enthält das Recht auf Schadensersatz. Die Rechte der betroffenen Person aus dem achten Kapitel der DSGVO werden in Kapitel 16 dieses Buches unter Rn. 17 und 152ff. näher erläutert.
2 Siehe z.B. Plath/Kamlah, Art. 20 DSGVO Rn. 1 m.w.N.; Paal/Pauly/Paal, Art. 20 DSGVO Rn. 6 m.w.N.
III. Informationspflichten (Art. 13 und 14 DSGVO)
17
Eines der wesentlichen Ziele der DSGVO besteht darin, dass die Verarbeitung personenbezogener Daten transparent, also auf für die betroffene Person nachvollziehbare Art und Weise zu erfolgen hat (Art. 5 Abs. 1 lit. a DSGVO). Hierfür ist es erforderlich, dass der Verantwortliche die betroffene Person umfassend über die Verarbeitung der sie betreffenden Daten informiert. Vor diesem Hintergrund statuieren Art. 13 und 14 DSGVO dann auch entsprechende Informationspflichten seitens des Verantwortlichen. Die Informationspflichten nach der DSGVO sind umfassender als nach der Datenschutzrichtlinie 95/46/EG bzw. als nach den allgemeinen Regelungen des BDSG a.F. Zudem enthält Art. 12 DSGVO erstmalig detaillierte Vorgaben zur Art und Weise, wie die betroffene Person zu informieren ist.
18
Vor diesem Hintergrund wird im Folgenden zunächst dargestellt, welche inhaltlichen Informationspflichten nach Art. 13 DSGVO bestehen, wenn der Verantwortliche personenbezogene Daten direkt bei der betroffenen Person erhebt (Rn. 23ff.) – was auch im Wege der Beobachtung, z.B. durch Kameras oder Wifi-Tracker, RFID etc. erfolgen kann.3 Hiervon sind die Informationspflichten nach Art. 14 DSGVO zu unterscheiden, die ein Verantwortlicher erfüllen muss, wenn er personenbezogene Daten aus anderen Quellen erhebt, also nicht direkt von der betroffenen Person, die unter Rn. 112ff. erläutert werden.4 Anschließend werden unter Rn. 145ff. die Anforderungen an die Art und Weise der Information nach Art. 12 DSGVO – also an das Wie der Informationsvermittlung – dargestellt.
Leitlinien der Artikel-29-Datenschutzgruppe
19
Die Artikel-29-Datenschutzgruppe hat „Leitlinien für Transparenz gemäß der Verordnung 2016/679“ veröffentlicht.5 Diese wurden vom Europäischen Datenschutzausschuss – dem „Nachfolger“ der Artikel-29-Datenschutzgruppe – bestätigt,6 so dass sie auch weiterhin Geltung haben. Die Leitlinien beschäftigen sich vor allem mit den Anforderungen der Art. 13 und Art. 14 DSGVO im Hinblick auf den Inhalt der Informationspflichten sowie von Art. 12 DSGVO in Bezug auf die Modalitäten der Informationserteilung.
20
Auch wenn die Artikel-29-Datenschutzgruppe bzw. der Europäische Datenschutzausschuss die DSGVO nicht rechtsverbindlich auslegen können – dies verbleibt in der Kompetenz der Gerichte und in letzter Instanz des EuGH –, sollten Unternehmen, soweit wie möglich, die in diesen Leitlinien enthaltenen Vorgaben einhalten, da mit großer Sicherheit davon auszugehen ist, dass die jeweils zuständige Datenschutzaufsichtsbehörde bei der Auslegung der DSGVO – und den sich daraus ergebenden Anforderungen – den dortigen Ausführungen folgen wird, zumal diese Leitlinien eine gewisse Bindungswirkung gegenüber den nationalen Datenschutzaufsichtsbehörden entfalten.7 Somit besteht eine beträchtliche Rechtssicherheit, dass zumindest die Datenschutzaufsichtsbehörden eine Datenverarbeitung nicht beanstanden werden, wenn sich das verantwortliche Unternehmen dabei an die genannten Leitlinien gehalten hat. Da diese Ausführungen – wie bereits erläutert – nicht rechtsverbindlich sind, kann es (im Einzelfall) aber durchaus zulässig oder gar erforderlich sein, von ihnen abzuweichen. Allerdings sollten diese Fälle gut geprüft und – dem Accountability-Prinzip folgend – mit Begründung der Abweichung dokumentiert werden.
21
Im folgenden Abschnitt zu den Informationspflichten des Verantwortlichen kann an der entsprechenden Stelle nur auf die wesentlichsten in den Leitlinien der Artikel-29-Datenschutzgruppe enthaltenen Punkte eingegangen werden, da sie mehr als fünfzig Seiten umfassen.
22
Außerdem haben auch die deutschen Datenschutzaufsichtsbehörden in einem Kurzpapier der Datenschutzkonferenz Hinweise zu den Informationspflichten gem. Art. 13 und 14 DSGVO sowie zu den Modalitäten der Informationserteilung gem. Art. 12 DSGVO veröffentlicht.8 Datenverarbeitende Unternehmen sollten auch dieses eher einen generellen Überblick vermittelnde Dokument unbedingt durcharbeiten und die darin enthaltenen Vorgaben – wenn möglich – einhalten. Insoweit gelten die Hinweise zu den Leitlinien der Artikel-29-Datenschutzgruppe entsprechend.