DSGVO - BDSG - TTDSG

2. Entstehungsgeschichte

4

Die Norm hat im Laufe des Gesetzgebungsprozesses mehrere Änderungen und Anpassungen erfahren.6 Während das EU-Parlament die Regelung neben „weder direkt noch indirekt“ bestimmbaren Daten auch auf Datensätze erstrecken wollte, die allein aus „pseudonymisierten Daten“ bestehen, und ein Hinzuspeichern von Informationen in diesen Fällen explizit untersagen wollte, enthält die endgültige Fassung diese Erweiterung nicht.7

3. Verhältnis von Abs. 1 und Abs. 2

5

Durch Abs. 1 wird der Verantwortliche von der Pflicht entbunden, Daten zur bloßen Identifikation betroffener Personen einzuholen, nur um verordnungskonform handeln zu können. Abs. 2 regelt, unter welchen Voraussetzungen der Verantwortliche von der Einhaltung bestimmter Betroffenenrechte befreit wird.

4. Verhältnis zu anderen Vorschriften

6

Art. 11 DSGVO bezieht sich auf personenbezogene Daten, bei denen die betroffenen Personen grundsätzlich identifizierbar sind, der Verantwortliche jedoch den Bezug zu einer konkreten Person selbst nicht herstellen kann und für die konkrete Datenverarbeitung auch nicht benötigt. Die Regelung ergänzt den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).

7

Darüber hinaus greift Art. 12 Abs. 2 Satz 2 DSGVO die Ausgangslage von Art. 11 DSGVO auf und erstreckt die Ausnahme von den Betroffenenrechten auf die Art. 21 bis 22 DSGVO. Nicht zu verwechseln ist Art. 11 DSGVO jedoch mit der von Art. 12 Abs. 6 DSGVO beschriebenen Situation, in der der Verantwortliche zwar die von der Verarbeitung betroffene Person identifizieren kann, jedoch Zweifel an der Identität des Antragstellers hat und dementsprechend das Recht hat, weitere Informationen einzufordern. Art. 11 DSGVO setzt dagegen voraus, dass der Verantwortliche die durch ihn verarbeiteten Daten keinen Betroffenen zuordnen kann, eine Identifizierung ihm daher unmöglich ist.

II. Regelungsgehalt des Art. 11
1. Normadressat

8

Dem Wortlaut nach ist Adressat der Regelung allein der Verantwortliche. Der Auftragsverarbeiter ist hier, anders als im Rahmen anderer Artikel der DSGVO, nicht explizit erwähnt. Da die ratio dieser Regelung jedoch grundsätzlich auch für Auftragsverarbeiter zutrifft, sofern diese eigene Pflichten treffen, könnte eine analoge Anwendung der Regelung auf Auftragsverarbeiter in Betracht kommen.8

9

Dies würde jedoch verkennen, dass der Auftragsverarbeiter, bedingt durch seine Stellung, allein personenbezogene Daten gemäß dem jeweiligen Auftrag und nach Weisung des Auftraggebers verarbeiten kann. Der Verantwortliche ist allein für die Einhaltung und Beantwortung von Betroffenenrechten und -anfragen zuständig. Eine über den Auftrag hinausgehende Verarbeitung von Daten durch den Auftragsverarbeiter, um beispielsweise Betroffenenrechte zu erfüllen oder angeblichen Dokumentationspflichten nachzukommen, ist dem Auftragsverarbeiter aufgrund seiner Stellung bereits versagt und auch rechtlich nicht gefordert.

10

Folglich kann der Auftragsverarbeiter bereits aufgrund des Auftragsverhältnisses nicht einseitig bestimmen, mehr personenbezogene Daten zu verarbeiten als vom Auftragsverhältnis vorgesehen. Verarbeitet er auftragswidrig personenbezogene Daten, schwingt er sich gem. Art. 28 Abs. 10 DSGVO zum Verantwortlichen auf, sodass in diesem Fall auch die Regelung des Art. 11 DSGVO für ihn greifen würde. Dementsprechend fehlt es an der Notwendigkeit einer Erstreckung dieser Regelung auf den Auftragsverarbeiter. Eine analoge Anwendung der Vorschrift auf den Auftragsverarbeiter ist daher abzulehnen.

2. Regelungsgehalt von Abs. 1
a) Pflicht zur Einhaltung der DSGVO

11

Abs. 1 stellt klar, dass zusätzliche Informationen zur „bloßen Einhaltung dieser Verordnung“ durch den Verantwortlichen nicht zu verarbeiten sind. Damit wird insgesamt auf die Pflichten und Rechte der DSGVO verwiesen, insbesondere die Betroffenenrechte nach Art. 12ff. DSGVO.9

12

Allerdings beschränkt sich dies nicht allein auf die Betroffenenrechte. Eine fehlende Identifizierbarkeit kann sich beispielsweise auch auf gewisse Nachweispflichten im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten sowie die Dokumentationspflichten beziehen. Eine Erstreckung auf alle Regelungen der DSGVO, wie von Weichert angedeutet, würde jedoch zu weit gehen.10 Grundsätzlich sind sinnvoller Weise allein solche Pflichten des Verantwortlichen erfasst, für deren Erfüllung die Identifizierung des Betroffenen konkret notwendig ist. Dies betrifft primär die Betroffenenrechte aus Art. 15 bis 22 DSGVO sowie die Benachrichtigungspflicht im Falle einer schwerwiegenden Datenschutzverletzung aus Art. 34 DSGVO. Unter Umständen kann sich dies jedoch auch auf die Informationspflichten aus Art. 13 und 14 DSGVO erstrecken (dazu näher unten Rn. 24). Der Verantwortliche ist nicht verpflichtet, zur bloßen Einhaltung einer Vorschrift der DSGVO, die die Identifikation eines Betroffenen voraussetzt, zusätzliche Informationen Betroffener einzuholen (ErwG 57). Für eine darüber hinausgehende Anwendung dieser Regelung, wie von Weichert gefordert, besteht kein Bedarf.

b) Fehlende Identifizierbarkeit

13

Abs. 1 setzt voraus, dass der Verantwortliche personenbezogene Daten verarbeitet und eine Identifizierung Betroffener nicht oder nicht mehr erforderlich ist. Dies ist beispielsweise der Fall, wenn personenbezogene Daten ursprünglich in nicht pseudonymisierter Form erhoben wurden, für die weitere Verarbeitung jedoch pseudonymisierte Daten ausreichend sind. Hierbei ist zu beachten, dass Art. 11 DSGVO im Falle pseudonymisierter Daten allein dann Anwendung findet, wenn der Verantwortliche selbst nicht über den Pseudonymisierungsschlüssel verfügt.11

14

Zur Herstellung der Identifizierbarkeit ist es grundsätzlich nicht zwingend nötig, über die klassischen Identifizierungsdaten wie Name, Adresse oder Geburtsdatum zu verfügen. Gerade für Online-Dienste kann die Nennung eines Benutzernamens oder weiterer Identifizierungsmerkmale wie User- oder mitunter sogar die Geräte-IDs ausreichend sein. Hierbei ist jedoch zu beachten, dass eine fehlende Identifizierbarkeit nicht angenommen werden kann, wenn der Verantwortliche zwar nicht über die notwendigen Informationen zur Identifizierung verfügt, diese aber ohne größeren Aufwand einholen könnte, beispielsweise, weil die Informationen öffentlich einsehbar im Internet zu finden sind.12 Sofern eine verantwortliche Stelle jedoch selbst mit einem gewissen technischen Aufwand Informationen nicht mehr einer konkreten Person zuordnen können, fehlt es an der Identifizierbarkeit.

15

Klassische Anwendungsfälle, bei denen der Verantwortliche nicht darauf angewiesen ist, den Betroffenen zu identifizieren und dies in der Regel auch nicht kann, sind beispielsweise Hinweisgebersysteme im Compliance-Bereich, bei denen bewusst auf eine Re-Identifizierbarkeit des Hinweisgebers verzichtet wird,13 die Einrichtung einer Whistleblowing-Hotline innerhalb eines Unternehmens, die automatische Erfassung von Kraftfahrzeugkennzeichen in Parkhäusern,14 das Anlegen großer Datenpools zum Zwecke des Ausspielens personalisierter Werbung, bei denen der Betroffene nicht konkret identifiziert werden kann, sondern allein Interessen zu einer Identifikationsnummer hinzugespeichert werden,15 die Auswertung von Markt- und Meinungsforschungsumfragen,16 die Anfertigung von Bildaufnahmen von großen Menschenmengen beispielsweise im Rahmen von Konzerten, Festivals oder öffentlichen Inszenierungen17 oder die Aufnahme von Bildmaterial für Geoinformationsdienste wie Google Streetview.18 Hierbei gilt es jedoch stets im Einzelfall zu prüfen, inwiefern die betroffenen Personen tatsächlich, selbst mit einem gewissen technischen Aufwand, nicht identifiziert werden können. Dies mag insbesondere im Bereich der personalisierten Werbung für solche (AD-)IDs zweifelhaft sein, die mehrfach und oft von verschiedenen Anbietern und Werbenden verwendet werden.

c) Rechtsfolge

16

Ist eine Identifizierung des Betroffenen für die Verarbeitung nicht (mehr) erforderlich, so ist der Verantwortliche grundsätzlich nicht verpflichtet, zur bloßen Einhaltung der DSGVO zusätzliche Informationen aufzubewahren, einzuholen oder zu verarbeiten, um die Identifizierbarkeit aufrechtzuerhalten oder wiederherzustellen. Dies geht Hand in Hand mit dem Grundsatz der Datenminimierung, wonach personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Die Einhaltung der Betroffenenrechte soll demnach nicht der alleinige Zweck für das Vorhalten personenbezogener Daten sein.19

3. Regelungsgehalt von Abs. 2
a) Nachweis der fehlenden Identifizierbarkeit

17

Sofern die Voraussetzungen des Abs. 1 erfüllt sind, d.h. der Verantwortliche nicht mehr in der Lage ist, die betroffene Person zu identifizieren, hat er dies der betroffenen Person, sofern möglich, mitzuteilen. Maßgeblich ist, dass der Verantwortliche nachweisen kann, dass er aufgrund seines Wissen oder der ihm zur Verfügung stehenden Informationen nicht in der Lage ist, Einzelangaben einer bestimmten Person zuzuordnen.20

18

Unklar ist, inwiefern ein solcher Nachweis der fehlenden Identifizierbarkeit durch den Verantwortlichen zu erbringen ist. Denkbar wäre, den betroffenen Personen mitzuteilen, welche Kategorien von Daten konkret verarbeitet werden, um belegen zu können, dass die verarbeiteten Datenkategorien die Identifikation einer Person unmöglich machen. Im Falle einer vorangegangenen Anonymisierung personenbezogener Daten könnte auch die Beschreibung des Anonymisierungsverfahrens und damit verbunden die Erklärung, warum die Daten nicht de-anonymisiert werden können, ausreichen.21 Hierbei ist jedoch zu beachten, dass der Nachweis der fehlenden Identifizierbarkeit durch die Aufsichtsbehörde oder im Rechtswege überprüft werden kann.22

19

Ferner sollte davon abgesehen werden, betroffenen Personen die verarbeiteten personenbezogenen Daten pauschal als Nachweis der fehlenden Identifizierbarkeit mitzuteilen, da dies mitunter eine Verletzung des Schutzes personenbezogener Daten darstellen kann.

b) Unterrichtungspflicht

20

Die Unterrichtungspflicht des Betroffenen erscheint angesichts der fehlenden Identifizierbarkeit des Betroffenen zunächst widersinnig.23 Die Regelung erhält jedoch die Einschränkung, dass die Unterrichtung nur zu erfolgen hat, sofern dies tatsächlich möglich ist. Einer der Hauptanwendungsfälle wird daher sein, dass sich Betroffene von selbst an den Verantwortlichen wenden, um ihre Betroffenenrechte geltend zu machen. In diesen Fällen kann der Verantwortliche den betroffenen Personen im Rahmen des gewählten Kommunikationsmittels leicht mitteilen, dass eine Zuordnung der Informationen zu einer bestimmten Person nicht möglich ist.

c) Rechtsfolge

21

Der Verantwortliche, der erfolgreich den Nachweis der fehlenden Identifizierbarkeit erbracht hat, ist nicht zur Beachtung der Betroffenenrechte aus Art. 15 bis 20 DSGVO verpflichtet. Diese Ausnahme wird von Art. 12 Abs. 2 Satz 2 DSGVO aufgegriffen und auf die Art. 21 bis 22 DSGVO erweitert. Sofern der Verantwortliche glaubhaft macht, nicht in der Lage zu sein, die verarbeiteten Informationen einer betroffenen Person zuzuordnen, muss er das Widerspruchsrecht aus Art. 21 DSGVO sowie das Recht aus Art. 22 DSGVO, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu werden, nicht beachten. In diesen Fällen kommt dem Verantwortlichen dementsprechend ein Verweigerungsrecht zu.

22

Gola möchte diese Ausnahme auf die Informationspflichten nach Art. 13 und 14 DSGVO erweitern.24 Eine Ausnahme von den Informationspflichten aus Art. 13 und 14 DSGVO mag in Einzelfällen sinnvoll sein. Gerade dann, wenn die Datenverarbeitung standardisiert und massenhaft erfolgt, wie dies beispielsweise im Rahmen des Einsatzes von Trackingcookies auf Webseiten oder Videoaufzeichnungen an öffentlichen Plätzen üblich ist und die Informationspflichten auf andere Art und Weise, beispielsweise im Wege von öffentlich einsehbaren Hinweisschildern oder Online-Datenschutzerklärungen, für alle (potenziellen) Betroffenen erfüllt werden können, ist die Annahme einer Ausnahme von den Informationspflichten jedoch kaum vertretbar. Eine Ausnahme von den in Art. 13 und 14 enthaltenen Informationspflichten greift daher allein dann, wenn der Verantwortliche betroffene Personen mangels fehlender Informationen oder Möglichkeiten tatsächlich nicht kontaktieren kann.25

d) Ausnahme

23

Sofern die betroffene Person dem Verantwortlichen Angaben mitteilt, anhand derer der Verantwortliche die verarbeiteten Informationen dem Betroffenen zuordnen kann, hat der Verantwortliche die Betroffenenrechte wieder zu wahren. Der Verantwortliche hat den Betroffenen hierauf hinzuweisen. Um ein wahlloses Zusenden weiterer personenbezogener Daten durch den Betroffenen zu vermeiden, muss der Verantwortliche den Betroffenen, sofern möglich, konkret die Informationen mitteilen, die notwendig sind, um eine Identifizierung zu ermöglichen. Insbesondere bei Online-Diensten sollten zur Zuordnung der Identifikation grundsätzlich nicht mehr Informationen vom Betroffenen verlangt werden, als zur Nutzung des Online-Dienstes erforderlich ist (ErwG 57). Wenn beispielsweise ein Online-Dienst allein einen Benutzernamen und ein Passwort zur Nutzung verlangt, sollten mit der Bereitstellung eines Betroffenen eine Zuordnung der gespeicherten Informationen zu seinem Nutzerkonto ermöglicht werden.

24

Eine Verweigerung der Annahme der vom Betroffenen übermittelten Informationen durch den Verantwortlichen ist ausgeschlossen (ErwG 57).

4. Sanktionen

25

Die Nichtbeachtung der Pflichten aus Art. 11 DSGVO ist gemäß Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt. In diesem Sinne können u.a. folgende Verletzungen des Art. 11 DSGVO bußgeldbewehrt sein:

 – eine unrechtmäßige Berufung auf die fehlende Identifizierbarkeit;

 – eine unterlassene Unterrichtung des Betroffenen;

 – fehlender oder fehlerhafter Nachweis der fehlenden Identifizierbarkeit;

 – Missachtung der Betroffenenrechte, obwohl der Betroffene ausreichende Informationen zur Identifizierbarkeit zur Verfügung gestellt hat.26

1 Wolff, in: Wolff/Brink, BeckOK DatenschutzR, Art. 11 Rn. 2f. 2 So auch Voigt/von dem Bussche, DSGVO, S. 195. 3 Eßer, in: Auernhammer, DSGVO BDSG, Art. 11 Rn. 3. 4 Wolff, in: Wolff/Brink, BeckOK, DatenschutzR, Art. 11 Rn. 8. 5 Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 11 Rn. 6. 6 Eine umfassende Darstellung der verschiedenen Fassungen findet sich bei Wolff, in: Wolff/Brink, BeckOK DatenschutzR, Art. 11 Rn. 2ff. Eine vertiefte Darstellung der zugrunde liegenden Diskussion findet sich bei Hansen, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 11 Rn. 7ff. 7 Vgl. hierzu die Fassungen bei Wolff, in: Wolff/Brink, BeckOK DatenschutzR, Art. 11 Rn. 2.2. 8 So Wolff, in: Wolff/Brink, BeckOK DatenschutzR, Art. 11 Rn. 13. Die ursprüngliche Fassung des Parlaments hat die Erstreckung der Regelung auf Auftragsverarbeiter noch explizit vorgesehen. 9 Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 11 Rn. 10. 10 Vgl. Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 11 Rn. 11. 11 Vgl. Wolff, in: Wolff/Brink, BeckOK DatenschutzR, Art. 11 Rn. 5. 12 Vgl. hierzu auch Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 11 Rn. 13. 13 Eßer, in: Auernhammer, DSGVO BDSG, Art. 11 Rn. 12. 14 Gola, in: Gola, DS-GVO, Art. 11 Rn. 9. 15 Vgl. hierzu Klabunde, in: Ehmann/Selmayr, DS-GVO, Art. 11 Rn. 10. 16 Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO BDSG, Art. 11 Rn. 1. 17 Vermerk des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, https://www.filmverband-suedwest.de/wp-content/uploads/2018/05/Vermerk_DSGVO.pdf, S. 6. 18 Gola, in: Gola, DS-GVO, Art. 11 Rn. 7. 19 Eßer, in: Auernhammer, DSGVO BDSG, Art. 11 Rn. 7. 20 Eßer, in: Auernhammer, DSGVO BDSG, Art. 11 Rn. 11. 21 Wójtowicz/Cebulla, PinG 2017, 186, 191. 22 Weichert, in: Kühling/Buchner, DS-GVO BDSG, Art. 11 Rn. 16. 23 So auch Plath, in: Plath, BDSG DSGVO, Art. 11 Rn. 7. 24 Gola, in: Gola, DSGVO, Art. 11 Rn. 6ff. 25 Hierzu auch Kampert, in: Sydow, EU-Datenschutzgrundverordnung, Art. 11 Rn. 8, und Eßer, in: Auernhammer, DSGVO BDSG, Art. 11 Rn. 16. 26 Veil, in: Gierschmann/Schlender/Stenzel/Veil, DSGVO, Art. 11 Rn. 63.

Kapitel 3 Rechte der betroffenen Person

Abschnitt 1 Transparenz und Modalitäten

Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

(1) Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

(2) Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

(3) Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.

(4) Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.

(5) Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

1 a) ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder

2 b) sich weigern, aufgrund des Antrags tätig zu werden.

 

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

(6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

(7) Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.

(8) Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.

Literatur: Grentzenberg/Spittka, Die Klagebefugnis Privater bei Datenschutzverstößen, GRUR-Prax 2020, 539; Hirschfeld/Gerhold, (K)eine Lösung der Beweisnot in Geschäftsleiterhaftungsfällen über Art. 15 DSGVO, ZIP 2021, 394; Lembke, Der datenschutzrechtliche Auskunftsanspruch im Anstellungsverhältnis, NJW 2020, 1841; Piltz/Pradel, Wie lange dauern 72 Stunden? – Umgang mit der EU-weiten Fristenverordnung am Beispiel der DS-GVO, ZD 2019, 152; Spittka, Die Kommerzialisierung des Schadensersatzes unter der DSGVO, IPRB 2021, 24; Strassemeyer, Die Transparenzvorgaben der DSGVO für algorithmische Verarbeitungen – Nachvollziehbarkeit durch innovative Lösungen – Gamification, Ablaufdiagramme und Bildsymbole; K&R 2020, 176.

Übersicht