Praxishandbuch DSGVO

d) Weitere Informationen, die nicht in Art. 14 Abs. 1 und Abs. 2 DSGVO genannt werden

122

Nach hier vertretener Ansicht müssen der betroffenen Person, wenn die Daten nicht von ihr selbst erhoben werden, über die in Art. 14 Abs. 1 und Abs. 2 DSGVO genannten Punkte hinaus nur dann weitere Informationen zur Verfügung gestellt werden, wenn eine andere (datenschutzrechtliche) Vorschrift dies verlangt. Allerdings gibt es hierzu auch andere Ansichten, z.B. von der Artikel-29-Datenschutzgruppe und teilweise in der datenschutzrechtlichen Literatur. Insoweit gelten die Ausführungen zu Art. 13 DSGVO unter Rn. 68ff. entsprechend.

Nationale Regelungen in Deutschland

123

Für Verbraucherkredite hat der deutsche Gesetzgeber z.B. in § 30 Abs. 2 S. 1 BDSG eine gesonderte Informationspflicht für den Fall vorgesehen, dass der Verantwortliche den Abschluss eines Verbraucherdarlehensvertrages i.S.d. § 491 BGB oder eines Vertrages über eine entgeltliche Finanzierungshilfe i.S.d. § 506 BGB infolge einer Auskunft über die Kreditwürdigkeit des betroffenen Verbrauchers ablehnt.

e) Zeitpunkt der Informationserteilung nach Art. 14 Abs. 3 DSGVO

124

Der Verantwortliche muss die betroffene Person nach Maßgabe von Art. 14 Abs. 3 lit. a DSGVO grundsätzlich innerhalb einer angemessenen Frist129

nach Erlangung der personenbezogenen Daten gem. Art. 14 Abs. 1 und 2 DSGVO informieren, wobei die spezifischen Umstände der Verarbeitung der personenbezogenen Daten zu berücksichtigen sind.130 In jedem Fall muss die Information aber innerhalb eines Monats nach Erlangung der Daten erfolgen.

125

Von diesem Grundsatz statuiert Art. 14 Abs. 3 DSGVO allerdings zwei Ausnahmen für besondere Verarbeitungssituationen:

 – Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, muss die Information spätestens zum Zeitpunkt der ersten Mitteilung an sie erfolgen (Art. 14 Abs. 3 lit. b DSGVO), also ggf. im Rahmen dieser Kommunikation.

 – Falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, muss die Information spätestens zum Zeitpunkt der ersten Offenlegung erfolgen (Art. 14 Abs. 3 lit. c DSGVO).131

126

Allerdings muss auch in diesen beiden Verarbeitungssituationen die Information auf jeden Fall innerhalb eines Monats nach Erlangung der Daten erfolgen – und zwar auch dann, wenn bis dahin noch keine Kommunikation mit der betroffenen Person erfolgt ist oder dem Empfänger die Daten gegenüber noch nicht offengelegt wurden –, da Art. 14 Abs. 3 lit. a DSGVO nach hier vertretener Ansicht insoweit eine Maximalfrist festlegt.132

f) Information im Fall der Zweckänderung (Art. 14 Abs. 4 DSGVO) und im Fall der Änderung der Datenverarbeitung

127

Beabsichtigt der Verantwortliche, bereits erhobene Daten zu einem anderen Zweck zu verarbeiten, über den er die betroffene Person noch nicht informiert hat, muss er dieser nach Art. 14 Abs. 4 DSGVO vor der Weiterverarbeitung Informationen über den anderen Zweck sowie – zumindest – alle anderen maßgeblichen Informationen gemäß Art. 14 Abs. 2 DSGVO und ggf. – je nach vertretener Ansicht – auch weitere Informationen nach Art. 14 Abs. 1 DSGVO zur Verfügung stellen. Insoweit gelten die Ausführungen zu den Informationspflichten nach Art. 13 Abs. 3 DSGVO im Fall einer Zweckänderung unter Rn. 76ff. entsprechend.

128

Abgesehen vom Fall der Zweckänderung enthält die DSGVO nach hier vertretener Ansicht im Übrigen keine Verpflichtung des Verantwortlichen, die betroffene Person zu informieren, wenn sich im Laufe der Verarbeitung ein Umstand ändert, über den er die betroffene Person nach Art. 14 Abs. 1 und 2 DSGVO informiert hat.

129

Allerdings vertreten die Artikel-29-Datenschutzgruppe, die deutschen Datenschutzaufsichtsbehörden und Teile der datenschutzrechtlichen Literatur insoweit abweichende Ansichten, so dass Unternehmen betroffene Personen aus Gründen der Haftungsvermeidung unter Umständen auch dann proaktiv (erneut) informieren sollten, wenn sich (nur) die Datenverarbeitung ändert – siehe hierzu ausführlich oben Rn. 83ff.

g) Ausnahmen von der Informationspflicht nach Art. 14 DSGVO

130

Ausnahmen von der Informationspflicht nach Art. 14 Abs. 1–4 DSGVO sind zum einen in der DSGVO selbst enthalten. Darüber hinaus können auch die EU und die EU-Mitgliedstaaten noch weitere Ausnahmen hiervon vorsehen. Im Folgenden werden zunächst die Ausnahmen gem. Art. 14 Abs. 5 DSGVO erläutert, bevor dann unter Rn. 142 im nationalen deutschen Recht enthaltene Ausnahmen aufgezeigt werden.

aa) Ausnahmen gem. Art. 14 Abs. 5 DSGVO

131

Die Ausnahmen von der Informationspflicht nach Art. 14 Abs. 1–4 DSGVO sind in Art. 14 Abs. 5 DSGVO geregelt.133 Diese sind gegenüber den Ausnahmen von der Informationspflicht nach Art. 13 Abs. 1–3 DSGVO erheblich weiter gefasst. Demnach besteht keine Pflicht zur Information nach Art. 14 Abs. 1–4 DSGVO, wenn

 – die betroffene Person bereits über die Informationen verfügt,

 – die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde [...],

 – die Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder

 – die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

aaa) Betroffene Person verfügt bereits über die Information (Art. 14 Abs. 5 lit. a DSGVO)

132

Wie bei Art. 13 Abs. 4 DSGVO muss der Verantwortliche die betroffene Person nicht nach Art. 14 Abs. 1–4 DSGVO informieren, wenn und soweit die betroffene Person bereits über die Informationen verfügt (Art. 14 Abs. 5 lit. a DSGVO). In diesem Fall verkäme die Informationspflicht zu einem reinen Formalismus. Insoweit gelten die Ausführungen unter Rn. 95 entsprechend.

bbb) Unmöglichkeit bzw. unverhältnismäßiger Aufwand (Art. 14 Abs. 5 lit. b DSGVO)

133

Nach Art. 14 Abs. 5 lit. b DSGVO besteht eine Ausnahme von der Informationspflicht nach Art. 14 Abs. 1–4 DSGVO, wenn

 1. die Erteilung dieser Informationen sich als unmöglich erweist,134 z.B. weil der Verantwortliche die betroffene Person trotz des Personenbezugs der Daten nicht kontaktieren kann (vgl. auch Art. 11 Abs. 1 DSGVO),135

 2. sie einen unverhältnismäßigen Aufwand erfordern würde136 (siehe hierzu unten Rn. 135) oder

 3. die Informationspflicht nach Art. 14 Abs. 1 DSGVO voraussichtlich die Verwirklichung der Ziele der Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt.137 Dies kann z.B. der Fall sein, wenn eine Versicherung einen Versicherungsnehmer im Fall des Verdachts einer vorsätzlichen Verletzung des Versicherungsvertrags verdeckt observiert138 oder eine Bank einer anderen Bank einen Verdacht auf Geldwäsche durch einen ihrer Kunden mitteilt.139

134

Die in Art. 14 Abs. 5 lit. b DSGVO enthaltene Auflistung an Beispielen (Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke), bei denen die Informationserteilung unmöglich oder unverhältnismäßig sein kann, ist nicht abschließend.140 Auch in anderen Fällen, in denen sich die Erteilung der

Information als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde, ist der Verantwortliche von den Informationspflichten nach Art. 14 Abs. 1–4 DSGVO befreit.141 Als rechtliche Schranken kommen insbesondere Rechtsvorschriften wie § 203 StGB in Betracht, die die Geheimhaltung von Daten anordnen.142

135

Im Hinblick auf die Frage, wann ein unverhältnismäßiger Aufwand vorliegt, muss man in Anlehnung an § 275 Abs. 2 BGB wohl davon ausgehen, dass ein unverhältnismäßiger Aufwand dann vorliegt, wenn der Aufwand, den ein Verantwortlicher für die Informationserteilung nach Art. 14 Abs. 1–4 DSGVO zu erbringen hätte, in einem groben Missverhältnis zu dem Interesse der betroffenen Personen am Erhalt der Information steht.143 Hierbei sollten (u.a.) die in Erwägungsgrund 62 DSGVO genannten Kriterien berücksichtigt werden: die Zahl der betroffenen Personen, das Alter der Daten und etwaige geeignete Garantien.144

Praxishinweis

Verantwortliche sollten davon ausgehen, dass Datenschutzaufsichtsbehörden und Gerichte bei der Beurteilung der Unmöglichkeit und des unverhältnismäßigen Aufwands strenge Maßstäbe ansetzen werden, damit die Informationspflicht nach Art. 14 Abs. 1–4 DSGVO, die für eine transparente und faire Verarbeitung von hoher Bedeutung ist, nicht unterlaufen wird.145

136

Sieht ein Verantwortlicher auf Basis von Art. 14 Abs. 5 lit. b DSGVO von einer Information der betroffenen Person ab, ist er gem. Art. 14 Abs. 5 lit. b S. 2 DSGVO dazu verpflichtet, – quasi als Ausgleich – geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person zu ergreifen, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit. Andere geeignete Maßnahmen können z.B. die Durchführung einer Datenschutz-Folgenabschätzung, die Pseudonymisierung von Daten sowie besonders strenge technische und organisatorische Maßnahmen sein.146 Die Verpflichtung, geeignete Maßnahmen zum Schutz der Rechte

und Freiheiten sowie der berechtigten Interessen der betroffenen Person zu ergreifen, besteht nach hier vertretener Ansicht in jedem Fall, wenn ein Verantwortlicher die betroffene Person auf Basis von Art. 14 Abs. 5 lit. b DSGVO nicht informiert.147

ccc) Rechtsvorschriften der EU oder der Mitgliedstaaten (Art. 14 Abs. 5 lit. c DSGVO)

137

Nach Art. 14 Abs. 5 lit. c DSGVO besteht ausnahmsweise keine Informationspflicht nach Art. 14 Abs. 1–4 DSGVO, wenn die Erlangung oder Offenlegung der Daten durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist.148 Hierbei muss die Datenerhebung bzw. -offenlegung gerade als Pflicht ausgestaltet sein – die bloße Befugnis zur Datenerhebung bzw. -offenlegung in einer Rechtsvorschrift reicht nicht aus, um die Informationspflicht auf Basis von Art. 14 Abs. 5 lit. c DSGVO entfallen zu lassen.149 So kann die betroffene Person

die Informationen über die Verarbeitung ihrer Daten im Fall, dass der Verantwortliche zu einer Datenerhebung bzw. -offenlegung verpflichtet ist, direkt aus der jeweiligen Rechtsvorschrift entnehmen und ist nicht auf eine entsprechende Information durch den Verantwortlichen angewiesen.150 Derartige Rechtsvorschriften können z.B. im Steuerrecht existieren. Ggf. können diese Rechtsvorschriften die Informationspflichten auch (nur) einschränken.

ddd) Berufsgeheimnis (Art. 14 Abs. 5 lit. d DSGVO)

138

Art. 14 Abs. 5 lit. d DSGVO sieht eine Ausnahme von den Informationspflichten nach Art. 14 Abs. 1–4 DSGVO vor, wenn die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.151

139

Demnach müssen Berufsgeheimnisträger, wie z.B. Ärzte, Rechtsanwälte und Wirtschaftsprüfer, die betroffenen Personen nicht nach Art. 14 Abs. 1–4 DSGVO informieren, soweit die Daten von dem jeweiligen Berufsgeheimnis geschützt werden. Hierdurch soll das Vertrauen in die geheimhaltungspflichtigen Berufsgruppen geschützt werden.152 Diese Ausnahme kann z.B. bei Drittgeheimnissen

gegeben sein, also der Patient einem Arzt z.B. Informationen über eine Krankheit anvertraut, die (auch) enge Familienmitglieder betrifft – in diesem Fall muss der Arzt die Familienmitglieder ggf. nicht gem. Art. 14 DSGVO informieren.153

140

Satzungsmäßige Geheimhaltungspflichten können nach hier vertretener Ansicht nur dann eine Ausnahme von der Informationspflicht nach Art. 14 Abs. 5 lit. d DSGVO rechtfertigen, wenn in dieser Satzung die Geheimhaltungspflicht eines Berufsgeheimnisträgers geregelt ist (z.B. im Fall einer Berufsordnung, die als Satzung zu qualifizieren ist, wie der Berufsordnung für Rechtsanwälte oder der Berufsordnung für die Ärzte). Somit kann auf Basis von satzungsmäßigen Geheimhaltungspflichten von Gesellschaften oder dem Bankgeheimnis nicht nach Art. 14 Abs. 5 lit. d DSGVO von einer Information der betroffenen Personen abgesehen werden.154

eee) Umfang der Ausnahme von der Informationspflicht

141

In jedem Fall scheidet eine Informationspflicht auf Grundlage von Art. 14 Abs. 5 DSGVO nur im Hinblick auf die Daten aus, für die der jeweilige Ausnahmetatbestand erfüllt ist. Ist die Information z.B. für einen Teil der Daten möglich, muss der Verantwortliche die betroffene Person im Hinblick auf diese Daten „ganz normal“ nach den Vorgaben des Art. 14 Abs. 1–4 DSGVO informieren.

bb) Weitere Ausnahmen von der Informationspflicht gem. Art. 14 DSGVO durch Regelungen der EU oder der EU-Mitgliedstaaten

142

Darüber hinaus können die EU und die Mitgliedstaaten die Informationspflichten nach Art. 14 Abs. 1–4 DSGVO auch noch nach Maßgabe von Art. 23 Abs. 1 DSGVO und Art. 85 Abs. 2 DSGVO (weiter) beschränken.155

Nationale Regelungen in Deutschland

Von der Öffnungsklausel des Art. 23 Abs. 1 DSGVO hat der deutsche Gesetzgeber Gebrauch gemacht und in § 29 Abs. 1 S. 1 und § 33 BDSG Ausnahmen von der Informationspflicht nach Art. 14 DSGVO vorgesehen, die auf nationaler Ebene zusätzlich zu den in Art. 14 Abs. 5 DSGVO aufgeführten Ausnahmen gelten.156

1. § 29 Abs. 1 S. 1 BDSG

Nach § 29 Abs. 1 S. 1 BDSG besteht keine Pflicht zur Information der betroffenen Person gem. Art. 14 Abs. 1 bis 4 DSGVO – also auch im Fall der Zweckänderung –, soweit hierdurch Informationen offenbart würden, die ihrem Wesen nach geheim gehalten werden müssen, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten.157 Im Unterschied zu Art. 14 Abs. 5 lit. d DSGVO muss in diesem Fall die Geheimhaltung nach hier vertretener Ansicht nicht durch eine Rechtsvorschrift angeordnet sein.158

Aus dem Wortlaut dieser Vorschrift folgt, dass nur die berechtigten Interessen eines Dritten zur Einschränkung der Informationspflicht nach § 29 Abs. 1 S. 1 BDSG führen können, nicht aber die Interessen des Verantwortlichen selbst. Als berechtigte Interessen des Dritten kommen nach hier vertretener Auffassung Interessen rechtlicher, wirtschaftlicher oder ideeller Art in Betracht, so dass z.B. auch vertragliche Verschwiegenheitsverpflichtungen insoweit relevant sein können.159 So kann z.B. ein rechtliches Interesse eines Informanten/Whistleblowers darin bestehen, dass der (von ihm) Beschuldigte nicht seine Identität erfährt.160 Auch Interessen eines Dritten im Hinblick auf den Schutz seiner geistigen Eigentumsrechte (wie z.B. seiner Urheberrechte) und seiner Geschäftsgeheimnisse können berechtigte Interessen eines Dritten i.S.d. § 29 Abs. 1 S. 1 BDSG sein.161 Diese berechtigten Interessen sind dann im Einzelfall mit den Interessen der betroffenen Person am Erhalt der Information abzuwägen. Hierbei ist ein strenger Maßstab anzulegen, da das berechtigte Interesse des Dritten die Geheimhaltung – dem Wortlaut der Norm zufolge – erfordern muss.162

Bestehen keine überwiegenden Interessen eines Dritten am Ausschluss der Information, kann der Verantwortliche die Information auf Basis von § 29 Abs. 1 S. 1 BDSG auch dann verweigern, wenn die Daten ihrem Wesen nach geheim gehalten werden müssen. Ihrem Wesen nach geheim sind Daten, wenn der mit der Geheimhaltung verfolgte Zweck von der Rechtsordnung als schutzbedürftig anerkannt ist und er durch die Informationserteilung schwerwiegend beeinträchtigt würde.163 Eventuell kann vor diesem Hintergrund argumentiert werden, dass z.B. Daten im Zusammenhang mit einer due diligence – wenn die Unternehmensveräußerung geheim bleiben muss, damit sie nicht gefährdet wird – oder unter bestimmten Umständen auch Daten zur Kontrolle der Compliance ihrem Wesen nach geheimhaltungsbedürftig sein können.164 Medizinische Daten und Kreditinformationen sind per se grundsätzlich keine geheimhaltungsbedürftigen Daten.165

Nach § 29 Abs. 1 S. 1 BDSG entfällt die Informationspflicht aber nur, „soweit“ die zuvor genannten Ausnahmetatbestände einschlägig sind. Soweit die nach Art. 14 Abs. 1–4 DSGVO zu erteilenden Informationen keiner Geheimhaltungspflicht i.S.d. § 29 Abs. 1 S. 1 BDSG unterliegen, muss der Verantwortliche die betroffene Person entsprechend informieren.166

2. § 33 Abs. 1 Nr. 2, Abs. 2 BDSG

Für Unternehmen enthält § 33 Abs. 1 Nr. 2 BDSG zudem weitere Ausnahmen von der Informationspflicht nach Art. 14 Abs. 1, 2 und 4 DSGVO:167

 – Nach § 33 Abs. 1 Nr. 2 lit. a Alt. 1 BDSG entfällt die Informationspflicht, wenn die Erteilung der Information die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche beeinträchtigen würde.168

 – Nach § 33 Abs. 1 Nr. 2 lit. a Alt. 2 BDSG entfällt die Informationspflicht, wenn die Verarbeitung Daten aus zivilrechtlichen Verträgen beinhaltet und der Verhütung von Schäden durch Straftaten dient. Von dieser Ausnahme sind insbesondere Betrugspräventionsdateien der Wirtschaft erfasst.169

Bei Vorliegen dieser Voraussetzungen entfällt die Informationspflicht aber bei beiden Alternativen des § 33 Abs. 1 Nr. 2 lit. a BDSG nur dann, wenn das berechtigte Interesse der betroffenen Person an der Informationserteilung nicht überwiegt.170

Nach § 33 Abs. 1 Nr. 2 lit. b BDSG entfällt die Informationspflicht, wenn:

 – die zuständige öffentliche Stelle gegenüber dem Verantwortlichen festgestellt hat, dass das Bekanntwerden der Daten die öffentliche Sicherheit oder Ordnung gefährden oder sonst dem Wohl des Bundes oder Landes Nachteile bereiten würde oder

 – die Datenverarbeitung für Zwecke der Strafverfolgung erfolgt.171

Sieht ein Unternehmen auf Grundlage von § 33 Abs. 1 Nr. 2 lit. a oder lit. b BDSG von der Information der betroffenen Person ab, muss es nach § 33 Abs. 2 BDSG geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person ergreifen, zu denen eine Information über die Verarbeitung der Daten gem. Art. 14 Abs. 1 und 2 DSGVO in allgemein zugänglicher Form – i.d.R. auf der Website des Unternehmens – sowie die Dokumentation der Gründe gehört, wegen derer es die betroffene Person nicht informiert hat.172

h) „Nachinformation“ und keine Zulässigkeitsvoraussetzung

143

Hat ein Verantwortlicher personenbezogene Daten bereits vor Anwendbarkeit der DSGVO erhoben und die zu diesem Zeitpunkt geltenden Informationspflichten erfüllt, darf er diese Daten nach hier vertretener Ansicht auch weiter verarbeiten, ohne die betroffenen Personen nach Art. 14 Abs. 1 bis 3 DSGVO erneut informieren zu müssen.173 Nur im Fall der Verarbeitung für andere Zwecke bestehen die entsprechenden Informationspflichten gem. Art. 14 Abs. 4 DSGVO. Gegebenenfalls können Informationspflichten – je nach vertretener Ansicht – auch dann erwachsen, wenn sich (nur) die Datenverarbeitung ändert.174

144

Wie bei der Informationspflicht nach Art. 13 DSGVO, handelt es sich auch bei der Erfüllung der Informationspflichten gem. Art. 14 DSGVO nach hier vertretener Auffassung um keine Zulässigkeitsvoraussetzung.175