Moje książki
MojeКoszykListy
Wszystkie 345 kategorii

Praxishandbuch DSGVO

Tekst
Książka w języku niemieckim
Autorzy:, , , , , , , , , , , , , ,
Z serii: Kommunikation & Recht
0
Recenzje
Przeczytaj fragment
Oznacz jako przeczytane
Jak czytać książkę po zakupie
Smartfon,
tabletKomputer,
laptopE-czytnik
Czcionka:Mniejsze АаWiększe Aa

1. Informationspflichten bei der Direkterhebung von Daten von der betroffenen Person (Art. 13 DSGVO)
a) Voraussetzungen der Informationspflicht nach Art. 13 DSGVO

23

Erhebt ein Verantwortlicher personenbezogene Daten direkt von der betroffenen Person, ergeben sich die Inhalte der Informationspflicht – also die Punkte, über die der Verantwortliche die betroffenen Personen informieren muss – aus Art. 13 DSGVO sowie aus den korrespondierenden Erwägungsgründen 60–62.9 Es besteht aber nach der DSGVO – anders als noch nach § 4 Abs. 2 BDSG a.F. – keine ausdrückliche Pflicht für den Verantwortlichen, Daten grundsätzlich direkt bei der betroffenen Person zu erheben. Allerdings kann sich eine solche Pflicht im Einzelfall ggf. mittelbar aus dem Erforderlichkeitsgrundsatz10 bzw. aus dem Rechtmäßigkeitsgrundsatz gem. Art. 5 Abs. 1 lit. a DSGVO ergeben.11

b) Systematik von Art. 13 DSGVO

24

Systematisch gliedert sich Art. 13 DSGVO in vier Absätze. Art. 13 Abs. 1 DSGVO enthält die zwingenden Informationspflichten. Über diese Punkte muss der Verantwortliche – sofern sie im Einzelfall relevant sind – in jedem Fall informieren.

25

Umstritten ist, ob dies auch für die in Art. 13 Abs. 2 DSGVO aufgeführten Punkte gilt. So legt Art. 13 Abs. 2 DSGVO fest, dass der Verantwortliche der betroffenen Person zusätzlich zu den Informationen gemäß Art. 13 Abs. 1 DSGVO bestimmte weitere Informationen zur Verfügung stellen muss, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.

26

Die europäischen Datenschutzaufsichtsbehörden und die überwiegende Anzahl der Autoren in der datenschutzrechtlichen Literatur legen diese Vorschrift dahingehend aus, dass der Verantwortliche die betroffene Person auch zwingend über die in Art. 13 Abs. 2 DSGVO aufgeführten Punkte zu informieren hat – sofern diese im Einzelfall relevant sind.12 Andere Autoren entnehmen dem Wortlaut des Art. 13 Abs. 2 DSGVO hingegen eine einschränkende Bedingung, nach der die betroffene Person über die in Art. 13 Abs. 2 DSGVO aufgeführten Punkte nur dann zu informieren ist, wenn dies unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig ist, um eine faire und transparente Verarbeitung zu gewährleisten.13

Praxishinweis

Um etwaige Haftungsrisiken zu vermeiden, sollten Unternehmen die betroffenen Personen stets über die in Art. 13 Abs. 1 und Abs. 2 DSGVO genannten Punkte informieren (sofern diese im Einzelfall relevant sind), zumal die Information über sämtliche in Art. 13 Abs. 2 DSGVO aufgeführten Punkte ganz regelmäßig erforderlich ist, um eine faire und transparente Verarbeitung zu gewährleisten, so dass auch nach der zuletzt genannten Ansicht eine Informationspflicht besteht.

27

Die Unterscheidung zwischen Art. 13 Abs. 1 und Abs. 2 DSGVO spielt vor diesem Hintergrund nur eine sehr untergeordnete Rolle – und zwar für den Fall, dass die bereits erhobenen Daten zu einem anderen Zweck weiterverarbeitet werden. Für diesen Fall sind die Informationspflichten in Art. 13 Abs. 3 DSGVO geregelt, der – zumindest seinem Wortlaut nach – den Verantwortlichen lediglich dazu verpflichtet, die betroffene Person unter bestimmten Voraussetzungen über die in Art. 13 Abs. 2 DSGVO genannten Punkte zu informieren, nicht aber über die in Art. 13 Abs. 1 DSGVO aufgeführten Punkte. Allerdings wird auch in diesem Fall zum Teil eine extensive Auslegung von Art. 13 Abs. 3 DSGVO gefordert, so dass auch in diesem Zusammenhang die Unterschiede zwischen Art. 13 Abs. 1 und Abs. 2 DSGVO verschwimmen.14

28

Art. 13 Abs. 4 DSGVO enthält schließlich Ausnahmen von der Informationspflicht.

c) Inhalte der Informationspflichten nach Art. 13 Abs. 1 DSGVO

29

Erhebt ein Verantwortlicher also Daten direkt von der betroffenen Person, muss er diese gem. Art. 13 Abs. 1 DSGVO über die folgenden Punkte informieren:

 1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters,

 2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,

 3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung,

 4. wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO („infolge einer Interessenabwägung“) beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden,

 5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

 6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 DSGVO,15 Art. 47 DSGVO16 oder Art. 49 Abs. 1 UAbs. 2 DSGVO17 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

30

Diese Punkte werden im Folgenden ausführlich erläutert:

aa) Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters (Art. 13 Abs. 1 lit. a DSGVO)

31

Nach Art. 13 Abs. 1 lit. a DSGVO hat der Verantwortliche die betroffene Person über den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls – wenn der Verantwortliche keine Niederlassung in der EU hat (Art. 27, Art. 4 Abs. 17 DSGVO) – seines Vertreters zu informieren.

32

Der Sinn und Zweck dieser Information besteht darin, dass die betroffene Person den Verantwortlichen bzw. seinen Vertreter kontaktieren kann, z.B. um ihre Betroffenenrechte (z.B. auf Auskunft) gegenüber dem Verantwortlichen geltend machen zu können. Welche Kontaktdaten genau anzugeben sind, ist in der Literatur umstritten.18 Solange es an verlässlichen Konkretisierungen durch die Datenschutzaufsichtsbehörden bzw. Gerichte fehlt, sollten Verantwortliche betroffenen Personen zur Vermeidung etwaiger Haftungsrisiken mindestens – wenn es sich um ein Unternehmen oder eine andere juristische Person handelt – die exakte Firmierung einschließlich der Rechtsform, ansonsten ihren Vor- und Nachnamen sowie die ladungsfähige Anschrift (Straße, Hausnummer, Postleitzahl, Stadt und Land) sowie eine E-Mailadresse angeben.19

bb) Kontaktdaten des Datenschutzbeauftragten (Art. 13 Abs. 1 lit. b DSGVO)

33

Falls der Verantwortliche einen Datenschutzbeauftragten bestellt hat, muss der Verantwortliche die betroffene Person gem. Art. 13 Abs. 1 lit. b DSGVO auch über die Kontaktdaten des Datenschutzbeauftragten informieren.

34

Hierdurch soll es der betroffenen Person ermöglicht werden, sich ggf. mit Fragen und Hinweisen an diesen wenden zu können. Auch insoweit enthält die DSGVO keine ausdrücklichen Vorgaben, welche Kontaktdaten anzugeben sind. Es empfiehlt sich, zumindest eine ladungsfähige Anschrift (Straße, Postleitzahl, Stadt und Land) sowie eine E-Mailadresse anzugeben, mittels derer betroffene Personen direkt mit dem Datenschutzbeauftragten in Kontakt treten können.20

cc) Zwecke und Rechtsgrundlage der Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO)

35

Nach Art. 13 Abs. 1 lit. c DSGVO ist auch über die Zwecke, für welche die personenbezogenen Daten verarbeitet werden sollen, sowie über die Rechtsgrundlage für die Verarbeitung zu informieren.

36

Diese Information ist wohl am wichtigsten, damit eine betroffene Person die Verarbeitung ihrer Daten nachvollziehen kann. Hierbei sind nicht die rechtlichen Formulierungen eines etwa bestehenden gesetzlichen Erlaubnistatbestands anzugeben (z.B. „zu Zwecken der Erfüllung einer rechtlichen Verpflichtung“, Art. 6 Abs. 1 lit. c DSGVO). Vielmehr muss der Verantwortliche den faktischen Grund angeben, warum die Daten im konkreten Einzelfall verarbeitet werden (z.B. „um die Pflichten zur Aufbewahrung von Unterlagen nach § 257 HGB und § 147 AO zu erfüllen“).21 Dabei sind die Zwecke so konkret anzugeben, dass sich die betroffene Person ein Bild von der Datenverarbeitung machen und deren Umfang verstehen kann.22

37

Außerdem muss der Verantwortliche gem. Art. 13 Abs. 1 lit. c DSGVO auch die jeweilige Rechtsgrundlage angeben, auf die er die Datenverarbeitung im konkreten Einzelfall stützt, also die Rechtsgrundlage, die die Datenverarbeitung zu dem angegebenen Zweck zu rechtfertigen vermag. Diese muss konkret bezeichnet werden – also mit Angabe des jeweiligen Absatzes, der Nummer, des Buchstabens etc. (z.B. Art. 6 Abs. 1 lit. c DSGVO i.V.m. § XY Abs. 1 Nr. 1 lit. z GWG) –, da eine betroffene Person nur so in die Lage versetzt wird, die Rechtmäßigkeit der jeweiligen Datenverarbeitung überprüfen zu können.23

38

Zu den Informationspflichten im Fall eines Profilings i.S.d. Art. 4 Nr. 4 DSGVO siehe die Ausführungen unter Rn. 64.

Praxishinweis

Auch hier gilt: Sofern die Verarbeitung zu einem bestimmten Zweck möglich erscheint und die Verarbeitung zu dem Zweck rechtmäßig ist, empfiehlt es sich, eher einen Zweck mit der entsprechenden Rechtsgrundlage mehr anzugeben als einen zu wenig. Andernfalls könnte es erforderlich sein, die betroffene Person zu einem späteren Zeitpunkt neu (und aufwändig) über weitere Zwecke der Datenverarbeitung zu informieren.

 

dd) Information über die berechtigten Interessen i.S.d. Art. 6 Abs. 1 lit. f DSGVO (Art. 13 Abs. 1 lit. d DSGVO)

39

Wenn die Verarbeitung der Daten auf Art. 6 Abs. 1 lit. f DSGVO (Verarbeitung von Daten infolge einer Interessenabwägung)24 beruht, muss der Verantwortliche nach Art. 13 Abs. 1 lit. d DSGVO auch die berechtigten Interessen angeben, die hierbei von dem Verantwortlichen oder einem Dritten verfolgt werden (z.B. Direktwerbung oder Verarbeitung personenbezogener Daten innerhalb einer Unternehmensgruppe für interne Verwaltungszwecke).

40

Hierdurch soll es der betroffenen Person ermöglicht werden, die berechtigten Interessen nachzuvollziehen und diese ggf. zu überprüfen. Über die Interessenabwägung an sich oder deren Ergebnisse muss der Verantwortliche die betroffene Person aber nach hier vertretener Ansicht nicht informieren.25 Dies hält wohl auch die Artikel-29-Datenschutzgruppe nicht für zwingend erforderlich, sondern nur für empfehlenswert. Allerdings vertritt sie in diesem Zusammenhang den Standpunkt, dass die betroffene Person zumindest auf Anfrage Angaben zu der Abwägungsprüfung erhalten und sie über diese Möglichkeit im Rahmen der Information nach Art. 13 Abs. 1 lit. d DSGVO klar unterrichtet werden müsse.26 Für diese Forderung findet sich nach hier vertretener Ansicht aber weder in Art. 13 DSGVO noch in Art. 15 DSGVO im Rahmen der Regelungen zum Auskunftsrecht der betroffenen Person eine Grundlage, zumal diese Information nach hiesiger Auffassung nicht erforderlich ist, damit die betroffene Person die Rechtmäßigkeit der Datenverarbeitung überprüfen kann.

Praxishinweis

Möchte ein Unternehmen in diesem Zusammenhang jegliche rechtlichen Risiken vermeiden, sollte es die betroffene Person auch über die Interessenabwägung und das Ergebnis dieser Abwägung informieren.

ee) Empfänger bzw. Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO)

41

Sofern Daten weitergeleitet werden, muss der Verantwortliche gem. Art. 13 Abs. 1 lit. e DSGVO zudem entweder über die Empfänger oder über die Kategorien von Empfängern (z.B. Konzernunternehmen) der personenbezogenen Daten informieren.

42

Hierbei ist zu beachten, dass es sich auch bei Auftragsverarbeitern und gemeinsam Verantwortlichen um Empfänger i.S.d. Art. 4 Nr. 9 DSGVO handelt.27 Keine Empfänger i.S.d. Art. 4 Nr. 9 DSGVO sind nach hier vertretener Ansicht hingegen Personen und Stellen innerhalb (der Organisation) des Verantwortlichen, wie z.B. Mitarbeiter, Abteilungen und Funktionseinheiten,28 und somit auch nicht gem. Art. 13 Abs. 1 lit. e DSGVO der betroffenen Person offenzulegen.29

43

Im Wortlaut von Art. 13 Abs. 1 lit. e DSGVO stehen die Begriffe „Empfänger“ und „Kategorien von Empfängern“ gleichberechtigt und alternativ nebeneinander.30 Somit suggeriert der Wortlaut der Norm ein Wahlrecht des Verantwortlichen, ob er der betroffenen Person die konkreten Empfänger oder (nur) die Kategorien von Empfängern mitteilen möchte. Allerdings vertreten die europäischen und die deutschen Datenschutzaufsichtsbehörden sowie die Mehrheit der Autoren in der datenschutzrechtlichen Literatur eine strengere Auslegung der Norm und lehnen ein solches Wahlrecht ab. Vor diesem Hintergrund sollten Verantwortliche – dieser strengeren Auslegung folgend – die Empfänger – dem Grundsatz von Treu und Glauben folgend – wenn möglich konkret benennen.31 Nur soweit die konkreten Empfänger zum Zeitpunkt der Informationserteilung noch nicht feststehen/absehbar sind, sollte sich der Verantwortliche mit der Angabe der Empfängerkategorien begnügen.32 In diesem Fall sollte der Verantwortliche die Empfängerkategorien aber möglichst konkret beschreiben (u.a. soweit möglich die von der jeweiligen Empfängerkategorie durchgeführten Aktivitäten, die Industrie, den Sektor und Teilsektor sowie die Standorte der Empfänger),33 damit die betroffene Person das damit verbundene Risiko abschätzen kann.34

ff) Übermittlung in ein Drittland oder an eine internationale Organisation (Art. 13 Abs. 1 lit. f DSGVO)

44

Sofern Daten in ein Drittland i.S.d. Art. 44 DSGVO, also ein Land außerhalb des EWR,35 übermittelt werden, muss der Verantwortliche die betroffene Person nach Art. 13 Abs. 1 lit. f DSGVO über die folgenden Punkte informieren:

 – über seine Absicht, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln,

 – über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder

 – im Falle von Übermittlungen gemäß Art. 46 DSGVO („Datenübermittlung vorbehaltlich geeigneter Garantien“, wie z.B. der von der Kommission genehmigten Standardvertragsklauseln)36 oder Art. 47 DSGVO („Verbindliche interne Datenschutzvorschriften“, insbesondere Binding Corporate Rules) oder Art. 49 Abs. 1 UAbs. 2 DSGVO („Datenübermittlung zur Wahrung der zwingenden berechtigten Interessen des Verantwortlichen unter Vorsehung geeigneter Garantien“) über einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist oder wo sie verfügbar sind.

45

Die Artikel-29-Datenschutzgruppe verlangt in diesem Zusammenhang, dass der betroffenen Person die genaue Rechtsgrundlage mitgeteilt wird, auf welche die Drittstaatenübermittlung gestützt wird, sowie i.d.R. die Angabe des Drittlandes/der Drittländer, in das/die Daten übermittelt werden.37

46

Auch wenn die DSGVO nach hier vertretener Ansicht insoweit nicht eindeutig ist, ist wohl davon auszugehen, dass der betroffenen Person die Möglichkeit eröffnet werden muss, eine Kopie der konkreten Garantie zu erhalten bzw. die konkrete Garantie einzusehen, also z.B. die konkreten Binding Corporate Rules. Die abgeschlossenen Garantien können damit gegebenenfalls faktisch öffentlich werden.38

d) Inhalte der Informationspflichten nach Art. 13 Abs. 2 DSGVO

47

Darüber hinaus hat der Verantwortliche die betroffenen Personen nach Maßgabe von Art. 13 Abs. 2 DSGVO auch noch über weitere Umstände zu informieren, die unten näher ausgeführt werden. Wie oben unter Rn. 25ff. bereits ausführlich erläutert, ist es allerdings umstritten, ob diese Informationen zwingend zu erteilen sind (sofern sie im Einzelfall relevant sind) oder ob diese Pflicht (einschränkend) nur dann besteht, wenn dies – dem Wortlaut der Norm folgend – erforderlich ist, um eine faire und transparente Verarbeitung zu gewährleisten. Wie oben bereits dargestellt, sollten Unternehmen aus Gründen der Haftungsvermeidung der erstgenannten Ansicht folgen und die betroffenen Personen stets auch über die in Art. 13 Abs. 2 DSGVO genannten Punkte informieren (sofern diese im Einzelfall relevant sind), zumal die Voraussetzungen der ggf. einschränkenden Bedingung („erforderlich ist, um eine faire und transparente Verarbeitung zu gewährleisten“) in den meisten Fällen ohnehin erfüllt sein werden und beide Ansichten dann zu demselben Ergebnis führen.

48

Die Punkte, über die der Verantwortliche die betroffenen Personen nach Maßgabe von Art. 13 Abs. 2 DSGVO zu informieren hat, sind:39

 1. Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

 2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

 3. wenn die Verarbeitung auf Art. 6 Abs. 1 lit. a DSGVO (Einwilligung in die Verarbeitung „normaler“ personenbezogener Daten) oder Art. 9 Abs. 2 lit. a DSGVO (Einwilligung in die Verarbeitung „sensibler“ personenbezogener Daten) beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

 4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

 5. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte;

 6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

aa) Dauer der Speicherung (Art. 13 Abs. 2 lit. a DSGVO)

49

Nach Art. 13 Abs. 2 lit. a DSGVO hat der Verantwortliche über die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, über die Kriterien für die Festlegung dieser Dauer zu informieren.

50

Grundsätzlich ist der Verantwortliche hiernach verpflichtet, die betroffene Person über die konkrete Speicherdauer der jeweiligen Daten zu informieren. Hierbei sollte es i.d.R. ausreichen, die Speicherdauer in Monaten anzugeben.40

51

Nur wenn eine solch konkrete Angabe objektiv aus Sicht des Verantwortlichen nicht möglich ist (z.B. weil die Daten für die Dauer eines Vertrages verarbeitet werden und diese Dauer sich zum Zeitpunkt der Informationserteilung noch nicht vorhersehen lässt), darf der Verantwortliche die Kriterien für die Festlegung der Dauer benennen, mittels derer die betroffene Person die Speicherdauer so konkret wie möglich selbst bestimmen kann.41 Ggf. kann es erforderlich sein, für die einzelnen Verarbeitungszwecke/Datenarten unterschiedliche Speicherdauern anzugeben.42

Praxishinweis

Es empfiehlt sich, dass der Verantwortliche die Angabe der Speicherdauer gem. Art. 13 Abs. 2 lit. a DSGVO – soweit vorhanden – aus seinem Lösch- und Sperrkonzept entnimmt, in dem auch schon die verschiedenen gesetzlichen und vertraglichen Aufbewahrungspflichten berücksichtigt sein sollten.43 So lassen sich unnötiger Aufwand und etwaige Fehlinformationen gegenüber der betroffenen Person bzw. Widersprüche zwischen der Information der betroffenen Personen und dem Lösch- und Sperrkonzept vermeiden.