Czytaj książkę: «DSGVO - BDSG - TTDSG», strona 34

Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten

(1) Personenbezogene Daten müssen

1 a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

2 b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

3 c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

4 d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

5 e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

6 f)in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Mit der Norm korrespondiert der Erwägungsgrund 39.

Literatur: Çalışkan, Auswirkungen der DS-GVO auf Kommunikationsprozesse – Hindernisse für die Kontaktaufnahme durch die neuen Informationspflichten?, ZD-Aktuell 2018, 04327; Jung, Datenschutz-(Compliance-)Management-Systeme – Nachweis- und Rechenschaftspflichten nach der DS-GVO, ZD 2018, 208; Jungkind/Raspé/Schramm, Risikoanalyse und zusätzliche Maßnahmen – Konzerninterner US-Datentransfer nach „Schrems II“, NZG 2020, 1056; Keppeler/Berning, Technische und rechtliche Probleme bei der Umsetzung der DS-GVO-Löschpflichten, ZD 2017, 314; Kuner/Bygrave/Docksey (Hrsg.), The EU General Data Protection Regulation (GDPR), Oxford 2018; Veil, Accountability – Wie weit reicht die Rechenschaftspflicht der DS-GVO?, ZD 2018, 9; Voigt, Praxisprobleme im Zusammenhang mit den EU-Standardvertragsklauseln zur Auftragsverarbeitung – mehr als „nur“ Schrems II..., CR 2020, 513; Voigt, IT-Sicherheitsrecht, Köln 2018; von dem Bussche/Voigt, Konzerndatenschutz, 2. Aufl., München 2019; Wächter, Datenschutz im Unternehmen, 5. Aufl., München 2017.

Übersicht

I. Allgemeines
1. Zweck der Vorschrift

1

Die DSGVO enthält in Art. 5 Abs. 1 Grundsätze für die Verarbeitung personenbezogener Daten, an denen sich jeder Datenverarbeitungsvorgang im Anwendungsbereich der Verordnung messen lassen muss.1 Gegenüber den bereits im BDSG a.F. angelegten Verarbeitungsgrundsätzen,2 die eher als abstrakte Leitmotive formuliert waren und deren Missachtung keine Ordnungswidrigkeit gem. § 43 Abs. 1, 2 BDSG a.F. darstellte, erwachsen aus den Prinzipien des Art. 5 Abs. 1 DSGVO nunmehr auch konkrete Verpflichtungen. Zwar ordnet Art. 5 Abs. 1 DSGVO keine unmittelbare Rechtsfolge an; ein Verstoß gegen die dort aufgezählten allgemeinen Strukturprinzipien3 kann gleichwohl gem. Art. 83 Abs. 5 lit. a DSGVO (siehe Art. 83 Rn. 139) mit einer Geldbuße i.H.v. bis zu 20 Mio. EUR oder im Fall eines Unternehmens i.H.v. bis zu 4 % seines weltweit erzielten Jahresumsatzes geahndet werden (vgl. dazu Rn. 7). Insofern haben die Verarbeitungsgrundsätze im Rahmen der DSGVO eine deutliche Aufwertung erfahren und erheblich an Bedeutung gewonnen.

2

Nach Maßgabe des Art. 5 Abs. 2 DSGVO muss der Verantwortliche im Rahmen seiner Rechenschaftspflicht die Einhaltung der Verarbeitungsgrundsätze des Abs. 1 nachweisen können. Gelingt dieser Nachweis nicht, droht ebenfalls eine Geldbuße nach Art. 83 Abs. 5 lit. a DSGVO.

2. Entstehungsgeschichte

3

Die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben sowie der Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung waren in ähnlicher Form bereits in Art. 6 Abs. 1 lit. a bis e der Richtlinie 95/46/EG4 normiert. Das Transparenzgebot i.S.d. Art. 5 Abs. 1 lit. a DSGVO war der DSRl hingegen unbekannt und stellt insofern einen neuen Datenverarbeitungsgrundsatz dar.5 Überdies sind auch das Gebot der Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f DSGVO sowie die in Art. 5 Abs. 2 DSGVO normierte Rechenschaftspflicht als Neuerungen gegenüber der DSRl anzusehen.6

4

Im Vergleich zu den Entwurfsfassungen der DSGVO weist Art. 5 in seiner konsolidierten Fassung zwar einige inhaltliche Unterschiede auf. Von diesen gehen jedoch nur wenige über bloße Umformulierungen hinaus.7

3. Verhältnis zu anderen Vorschriften

5

Da die in Art. 5 Abs. 1 DSGVO niedergelegten Grundsätze für die Verarbeitung personenbezogener Daten die gesamte Verordnung durchziehen,8 ist davon auszugehen, dass sie künftig bei der Auslegung der anderen Vorschriften eine wesentliche Rolle spielen werden.9 Die übrigen Vorschriften der DSGVO sind so auszulegen, dass die Grundsätze des Art. 5 Abs. 1 DSGVO bestmöglich verwirklicht werden.10 Die Verarbeitungsgrundsätze des Art. 5 Abs. 1 DSGVO werden durch eine Reihe von Vorschriften konkretisiert:

 – Die Art. 6 bis 10 DSGVO (materielle Rechtmäßigkeit der Datenverarbeitung) sowie die Art. 44ff. DSGVO (Datenübermittlung in Drittländer) enthalten spezielle Regelungen betreffend die Rechtmäßigkeit der Verarbeitung personenbezogener Daten.

 – Der Transparenzgrundsatz wird durch die Art. 13, 14, 15 DSGVO (Informationspflicht des Verantwortlichen/Auskunftsrecht der betroffenen Person) näher ausgestaltet.

 – Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) ist – jedenfalls auch – eine konkrete Ausprägung des Grundsatzes der Datenminimierung.

 – Der Richtigkeitsgrundsatz wird durch Art. 16 DSGVO (Recht auf Berichtigung) ausgeformt.

 – Der Grundsatz der Integrität und Vertraulichkeit bildet die Grundlage für die Regelungen in Art. 32 Abs. 1 Hs. 2 lit. b, 28 Abs. 3 Satz 2 lit. b DSGVO (technische und organisatorische Maßnahmen).

6

Art. 5 DSGVO ist im Rahmen der Öffnungsklausel des Art. 23 DSGVO beschränkbar, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zur Sicherstellung der Rechtsgüter des Art. 23 Abs. 1 lit. a bis j DSGVO (siehe Art. 23 Rn. 14ff.) darstellt. Der deutsche Gesetzgeber hat von dieser Möglichkeit Gebrauch gemacht und in den §§ 4 Abs. 3 Satz 3,11 23, 24, 32–36 BDSG Ausnahmen vom Zweckbindungsgrundsatz des Art. 5 Abs. 1 lit. b DSGVO (Rn. 22–26) sowie Beschränkungen der Betroffenenrechte vorgesehen.12 So dürfen beispielsweise öffentliche Stellen personenbezogene Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, verarbeiten, wenn dies zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person erforderlich ist, § 23 Abs. 1 Nr. 5 BDSG.

4. Sanktionierung

7

Die Nichtbeachtung der oben genannten Konkretisierungsvorschriften ist bereits für sich genommen bußgeldbewehrt. Dennoch sind Konstellationen denkbar, in denen der Verantwortliche ausschließlich und unmittelbar aufgrund eines Verstoßes gegen Art. 5 Abs. 1 DSGVO sanktioniert werden könnte: Beispielsweise stellt die Verarbeitung sachlich unrichtiger Daten einen gem. Art. 83 Abs. 5 lit. a DSGVO ahndbaren Verstoß gegen den Richtigkeitsgrundsatz dar, ohne dass es hierfür auf ein Berichtigungsbegehren des Betroffenen nach Art. 16 DSGVO ankäme. Auch eine über das notwendige Maß hinausgehende Verarbeitung personenbezogener Daten könnte eine unmittelbare Sanktionierung eines Verstoßes gegen den Grundsatz der Datenminimierung gem. Art. 5 Abs. 1 lit. c DSGVO (vgl. Rn. 27) nach sich ziehen. Problematisch erscheint in solchen Fällen jedoch die vage Formulierung der Verarbeitungsgrundsätze. Die Verhängung einer ausschließlich auf Art. 5 Abs. 1 DSGVO i.V.m. Art. 83 Abs. 5 lit. a DSGVO gestützten Geldbuße dürfte mit dem Bestimmtheitsgrundsatz kaum in Einklang zu bringen sein.13 Auch in Anbetracht des enorm hohen Bußgeldrahmens scheint es schwierig, allein auf Grundlage eines Verstoßes gegen Verarbeitungsprinzipien Sanktionen zu verhängen. Allerdings wurde eines der bisher höchsten in Deutschland verhängten Bußgelder gerade wegen eines Verstoßes gegen Art. 5 DSGVO verhängt. Im Oktober 2019 erließ die Berliner Datenschutzbeauftragte unter Berufung auf Verstöße gegen Art. 5 und 25 DSGVO ein Bußgeld in Höhe von 14,5 Mio. EUR gegen ein Unternehmen, dessen Archivsystem keine Möglichkeit vorsah, personenbezogene Daten zu löschen.14 Zwar wurde das Bußgeld erstinstanzlich aufgehoben, allerdings lediglich aufgrund der im Bescheid nicht hinreichend dargelegten Zurechnung des Datenschutzverstoßes zu einem Organmitglied des Unternehmens nach §§ 30, 130 OWiG.15

II. Verarbeitungsgrundsätze (Abs. 1)
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (lit. a)

8

Gemäß Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

a) Rechtmäßigkeit

9

Die Anforderung, dass personenbezogene Daten „auf rechtmäßige Weise“ verarbeitet werden müssen, kann in zweifacher Hinsicht ausgelegt werden: Einerseits kann diese Formulierung dahingehend verstanden werden, dass ein Datenverarbeitungsvorgang sämtlichen Voraussetzungen der DSGVO bzw. der zulässigen nationalen Rechtsakte entsprechen muss, um dem Grundsatz der Rechtmäßigkeit gerecht zu werden.16 Ein Verstoß gegen diesen Grundsatz wäre bei Zugrundelegung eines solchen weiten Begriffsverständnisses bereits dann anzunehmen, wenn die Datenverarbeitung zwar grundsätzlich durch einen Erlaubnistatbestand des Art. 6 Abs. 1 Satz 1 DSGVO gerechtfertigt wäre, der Verantwortliche jedoch beispielsweise seiner Informationspflicht gem. Art. 13 DSGVO nicht nachkäme.17 Gegen diese extensive Auslegung spricht jedoch, dass der Bußgeldtatbestand des Art. 83 Abs. 5 lit. a DSGVO in diesem Fall mittelbar sämtliche Verstöße gegen die Verordnung blankettartig pönalisieren würde, was im Lichte des Bestimmtheitsgrundsatzes höchst bedenklich erscheint.18

10

Es ist vielmehr davon auszugehen, dass ein Datenverarbeitungsvorgang „auf rechtmäßige Weise“ i.S.d. Art. 5 Abs. 1 lit. a DSGVO erfolgt, sofern er von einer der Rechtsgrundlagen des Art. 6 Abs. 1, Abs. 4 Satz 1 DSGVO gedeckt ist19 und die Verarbeitung auch den übrigen materiellen Rechtmäßigkeitsvoraussetzungen – die Rechtmäßigkeit der Einwilligung, die Verarbeitung besonderer Kategorien personenbezogener Daten und die Übermittlung in Drittländer betreffend – entspricht.20 Für dieses engere Begriffsverständnis spricht nicht zuletzt auch ErwG 41, der für die Beurteilung der Rechtmäßigkeit einer Verarbeitung personenbezogener Daten an das Vorliegen einer Einwilligung oder das Vorhandensein einer sonstigen Rechtsgrundlage anknüpft.21

11

Ausgehend vom engeren Begriffsverständnis (vgl. oben Rn. 10) wird der Grundsatz der Rechtmäßigkeit insbesondere durch die folgenden Normen konkretisiert:

 – Art. 6 Abs. 1 Satz 1 DSGVO legt die grundsätzlichen Bedingungen für die Rechtmäßigkeit einer Datenverarbeitung fest. Eine Verarbeitung ist demgemäß rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat (lit. a; siehe Art. 6 Rn. 24ff.) oder die Verarbeitung für die Erfüllung eines Vertrags (lit. b; siehe Art. 6 Rn. 54ff.), zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt (lit. c; siehe Art. 6 Rn. 73ff.), zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person (lit. d; siehe Art. 6 Rn. 90ff.), für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt (lit. e; siehe Art. 6 Rn. 93ff.) oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist (lit. f; siehe Art. 6 Rn. 105ff.).

 – Sofern der Verantwortliche die Rechtmäßigkeit der Verarbeitung auf eine Einwilligung der betroffenen Person stützt, enthält Art. 7 DSGVO Bedingungen hierfür und Art. 8 DSGVO regelt den Sonderfall der Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft.

 – Die Art. 9 und 10 DSGVO enthalten besondere Voraussetzungen für die Verarbeitung besonderer Kategorien personenbezogener Daten sowie für die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.

 – Werden personenbezogene Daten in ein Drittland übermittelt, müssen darüber hinaus die besonderen Rechtmäßigkeitsvoraussetzungen der Art. 44ff. DSGVO erfüllt werden. Eine solche Drittlandsübermittlung ist gerechtfertigt, wenn ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt (Art. 45 DSGVO), geeignete Garantien – wie beispielsweise verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln – vorgesehen sind (Art. 46 DSGVO) oder ein Ausnahmetatbestand des Art. 49 DSGVO einschlägig ist. Insbesondere beim Einsatz von Standarddatenschutzklauseln wird dabei künftig auch die EuGH-Entscheidung „Schrems II“ zu berücksichtigen sein.22

12

Der bereits nach altem Recht häufig praktizierte Ansatz, dass Unternehmen ihre Verarbeitungsvorgänge auf mehrere Erlaubnistatbestände stützen, kann nach hier vertretener Ansicht auch unter der DSGVO beibehalten werden (siehe auch Art. 6 Rn. 21).23 Diese präventive Herangehensweise ermöglicht es, den Datenverarbeitungsvorgang auch bei Wegfall einer der verwendeten Erlaubnistatbestände in rechtmäßiger Weise fortzuführen.24 Sofern sich der Verantwortliche mehrerer Rechtsgrundlagen bedient, muss die betroffene Person aufgrund des Transparenzgrundsatzes (Rn. 16ff.) sowie des Gebots der Verarbeitung nach Treu und Glauben (Rn. 13ff.) hierüber informiert werden. Gleichwohl ist es ratsam, eine primäre Rechtsgrundlage für den jeweiligen Verarbeitungsvorgang festzulegen.25 Diese Festlegung sollte möglichst gewissenhaft erfolgen, damit der Verantwortliche im Rahmen seiner Rechenschaftspflicht (Rn. 40ff.) das Vorliegen der jeweiligen Voraussetzungen nachweisen kann.26 Zu berücksichtigen ist außerdem, dass sich aus den jeweiligen Erlaubnistatbeständen unterschiedliche Rechtsfolgen ergeben können, etwa zur Datenportabilität (vgl. Art. 20 Abs. 1 lit. a DSGVO), zum Widerspruchsrecht des Betroffenen (vgl. Art. 21 Abs. 1 Satz 1 DSGVO) oder in Hinblick auf den Widerruf der Einwilligung (vgl. Art. 7 Abs. 3 Satz 1 DSGVO).

b) Verarbeitung nach Treu und Glauben

13

Die deutsche Sprachfassung, gemäß der personenbezogene Daten nach Treu und Glauben verarbeitet werden müssen, ist insofern unglücklich, als es sich bei „Treu und Glauben“ um eines der schillerndsten Begriffspaare des deutschen Zivilrechts handelt.27 Gleichwohl verbietet sich aufgrund des Gebots der autonomen Auslegung europarechtlicher Begriffe jedweder Rückgriff auf die von der Rechtsprechung und Literatur entwickelten Grundsätze zu § 242 BGB.28 Vielmehr wird bei einem Vergleich mit der englischen Sprachfassung29 deutlich, dass im Rahmen des Art. 5 Abs. 1 lit. a Alt. 2 DSGVO die Gewährleistung einer „fairen“ Datenverarbeitung gemeint ist.30 Nichtsdestotrotz ist dieser Grundsatz vergleichsweise konturlos und nur schwer greifbar.31

14

Ein Verarbeitungsvorgang ist „fair“, wenn durch den Verantwortlichen oder Auftragsverarbeiter keine unzulässige Rechtsausübung zum Nachteil der betroffenen Person erfolgt.32 Ein Verstoß gegen das Fairnessgebot ist etwa anzunehmen, wenn der Umfang der Verarbeitung personenbezogener Daten den durch den Verantwortlichen geweckten Erwartungen der betroffenen Person nicht entspricht.33 Überdies sollten Wertungen der Europäischen Grundrechtecharta Eingang in den Beurteilungsprozess finden.34 Konkret hat dies etwa zur Folge, dass der Betroffene im Falle seiner Einwilligung über das Vorliegen etwaiger weiterer Erlaubnistatbestände informiert werden muss.35 Andernfalls könnte bei ihm der Eindruck entstehen, dass die Verarbeitung aufgrund der freien Widerruflichkeit der Einwilligung seiner alleinigen Entscheidungsgewalt unterstünde, obwohl sie in Wirklichkeit durch einen anderen Erlaubnistatbestand legitimiert werden könnte (siehe auch Art. 6 Rn. 39ff.).36

15

Der Grundsatz von Treu und Glauben bzw. einer „fairen“ Datenverarbeitung kommt zudem darin zum Ausdruck, dass im Rahmen der Abwägung nach Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO die „vernünftigen Erwartungen“37 der betroffenen Personen berücksichtigt werden müssen.38 Insbesondere die Frage, ob die betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung für diesen Zweck erfolgen wird, muss sorgfältig beleuchtet und in die Abwägung eingestellt werden.39 Weiterhin findet der Fairnessgrundsatz im Kopplungsverbot des Art. 7 Abs. 4 DSGVO (siehe Art. 7 Rn. 85ff.) sowie in den Art. 13 Abs. 2, 14 Abs. 2 DSGVO, welche ausdrücklich an die Gewährleistung einer fairen Verarbeitung anknüpfen (vgl. auch Rn. 18), seinen konkreten Niederschlag. Darüber hinaus ist auch das Erfordernis der Berücksichtigung der im Beschäftigungsverhältnis bestehenden Abhängigkeit im Rahmen einer Einwilligung gem. § 26 Abs. 2 BDSG als Ausprägung des Fairnessgrundsatzes anzusehen.

c) Transparenz

16

In der Formulierung, dass personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen, kommt vorrangig die retrospektive Komponente des Transparenzgrundsatzes zum Ausdruck.40 Der betroffenen Person muss es folglich möglich sein, dem bereits stattfindenden Datenverarbeitungsvorgang Schritt für Schritt zu folgen.41 Durch ErwG 39 Satz 2 DSGVO, der ausdrücklich auch auf noch bevorstehende Verarbeitungen Bezug nimmt, wird eine hinzutretende prospektive Zielrichtung des Transparenzgebotes deutlich.42 Diese soll den betroffenen Personen eine möglichst umfassende Kontrolle über ihre personenbezogenen Daten ermöglichen.43

17

Nach Maßgabe des ErwG 39 Satz 3 DSGVO müssen alle Informationen und Mitteilungen zur Verarbeitung der personenbezogenen Daten leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sein. Die der betroffenen Person zur Verfügung zu stellenden Informationen umfassen insbesondere:44

 – die Identität des Verantwortlichen,

 – die Zwecke der Verarbeitung,

 – einen Hinweis auf das Recht der Betroffenen, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffenden personenbezogenen Daten verarbeitet werden,

 – die Information über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten sowie eine Aufklärung, wie diesbezügliche Rechte geltend gemacht werden können.

18

Eine Konkretisierung der sich aus dem Transparenzgebot ergebenden Informations- und Auskunftspflichten enthalten insbesondere die Art. 13, 14, 15 DSGVO:45

 – Gemäß Art. 13 Abs. 1 DSGVO muss der Verantwortliche, der personenbezogene Daten bei der betroffenen Person erhebt, dieser zum Zeitpunkt der Erhebung eine Reihe von Informationen zur Verfügung stellen (siehe Art. 13 Rn. 7ff.). Nach Maßgabe des Art. 13 Abs. 2 DSGVO ist der Verantwortliche insbesondere auch zur Bereitstellung solcher Informationen verpflichtet, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten (siehe Art. 13 Rn. 17ff.). Dies umfasst beispielsweise die Dauer, für die die personenbezogenen Daten gespeichert werden (lit. a), oder das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (lit. d).

 – Gemäß Art. 14 Abs. 1, 2 DSGVO trifft den Verantwortlichen eine entsprechende Verpflichtung auch dann, wenn er die personenbezogenen Daten nicht bei der betroffenen Person erhebt.

 – Als Spiegelbild zu den Informationspflichten des Verantwortlichen ist auch das Auskunftsrecht der betroffenen Person gem. Art. 15 Abs. 1 DSGVO eine Ausprägung des Transparenzgrundsatzes.

19

Ebenso wie im Rahmen des Berichtigungsanspruchs (dazu Rn. 32) werfen die Informationspflichten des Verantwortlichen eine Reihe praktischer Probleme auf. Gerade Verantwortliche, die eine Vielzahl personenbezogener Daten verarbeiten, werden sich fragen müssen, auf welche Art und Weise sie ihren Informationspflichten Genüge tun wollen. Problematisch erscheint in diesem Zusammenhang auch, dass bereits vergleichsweise triviale und alltägliche Vorgänge – wie beispielsweise der Austausch von Visitenkarten46 – die umfangreiche Informationspflicht auslösen können.

20

Die individuelle Informierung jeder betroffenen Person im Zusammenhang mit der konkreten Datenerhebung (bspw. durch Zurverfügungstellung von Formblättern im konkreten Fall) ist unter Compliance-Gesichtspunkten zwar der sicherste Weg, jedoch erweist sich eine solche Vorgehensweise häufig als unpraktisch. Eine – in der Praxis vermehrt vorkommende – Sammlung aller Datenschutzinformationen in der Webseitendatenschutzerklärung kann sich aus Sicht des Verantwortlichen zwar als praktisch erweisen, genügt den Transparenzanforderungen der DSGVO jedoch ggf. nicht, da die betroffenen Personen in diesem Fall nicht proaktiv über die Datenerhebung informiert werden. Ein praxisnaher Kompromiss könnte darin bestehen, dass insbesondere bei umfang- oder risikoreichen Verarbeitungsvorgängen eine konkrete Information an die betroffenen Personen erfolgt, wohingegen im Übrigen an geeigneter Stelle – beispielsweise in einem Telefonat oder in der Fußzeile einer E-Mail – ein Hinweis auf die allgemeinere Darstellung in einer Webseitendatenschutzerklärung erfolgt.

21

In diesem Zusammenhang ist noch nicht abschließend geklärt, ob und inwieweit ein Medienbruch im Rahmen der Information der betroffenen Personen zulässig ist,47 ob also auch in Bezug auf Offline-Sachverhalte eine Online-Information erfolgen kann. Einige Stellungnahmen der Aufsichtsbehörden deuten jedoch darauf hin, dass der Verweis auf eine Website auch dann durchaus zulässig ist, wenn die Datenerhebung offline, bspw. telefonisch erfolgt ist.48