DSGVO - BDSG - TTDSG

I. Allgemeines
1. Zweck der Vorschrift

1

Art. 12 DSGVO ist der „vor die Klammer“ gezogene allgemeine Teil der Anforderungen an den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen nach Art. 13 bis 22 sowie Art. 34 DSGVO und ist daher bei der Anwendung dieser Regelungen zu berücksichtigen. Art. 12 DSGVO stellt aufgrund der hohen Bedeutung der Transparenz für die tatsächliche Wahrnehmung der Rechte der betroffenen Personen eine der zentralen Regelungen der DSGVO dar.1 Die Vorschrift stellt jedoch nicht nur Anforderungen an die Form der Kommunikation mit betroffenen Personen auf (Abs. 1, Abs. 2 Satz 1, Abs. 3 Satz 4, Abs. 7 und Abs. 8), sondern legt auch Fristen für die Beantwortung von Anfragen fest (Abs. 3 Satz 1 bis Satz 3) und regelt Ausnahmetatbestände, bei denen der Verantwortliche nicht (Abs. 2 Satz 2, Abs. 5 Satz 1 lit. b) oder nur gegen Entgelt (Abs. 5 Satz 1 lit. a) tätig werden muss.

2

Art. 12 DSGVO gilt aufgrund des eindeutigen Wortlauts nicht für Auftragsverarbeiter. Setzt der Verantwortliche Auftragsverarbeiter ein, muss er jedoch im Rahmen der Auswahl und der Ausgestaltung des Vertrags nach Art. 28 Abs. 3 Satz 2 DSGVO sicherstellen, dass diese in der Lage sind, den Verantwortlichen bei der Beantwortung von Anträgen auf Wahrnehmung der Rechte der Betroffenen entsprechend zu unterstützen. Art. 28 Abs. 3 Satz 2 lit. e DSGVO beinhaltet eine entsprechende Pflicht zur Regelung.

2. Entstehungsgeschichte

3

Weder die DSRl noch das BDSG a.F. sahen einen allgemeinen Teil bei der Wahrnehmung der Rechte der Betroffenen vor. Anforderungen und Ausnahmetatbestände waren immer direkt bei den entsprechenden Rechten der Betroffenen geregelt. Das BDSG a.F. enthielt zudem keine konkreten Fristen, innerhalb derer einer Anfrage der Betroffenen auf Wahrnehmung ihrer Rechte nachgekommen werden musste. Art. 12 DSGVO enthält daher echte Neuerungen, welche die Verantwortlichen in ihren organisationsinternen Prozessen abbilden müssen.

4

Art. 12 DSGVO gehört zu den im Gesetzgebungsverfahren stark überarbeiteten Vorschriften. Im Kommissionsentwurf2 war die Regelung noch auf die Art. 11 und 12 aufgeteilt. Im Entwurf des Parlaments3 sollten über Art. 13a i.V.m. Anhang 1 bereits folgende standardisierte Bildsymbole vorgegeben werden:

Im Trilogverfahren wurden die übernommen Teile der verschiedenen Fassungen in einer Norm verschmolzen. Dies spiegelt sich im unsystematischen Aufbau der Vorschrift wider. So finden sich Vorgaben zur Form der Bereitstellung der Informationen in Abs. 1 Satz 2 und Satz 3 und Abs. 3 Satz 4. Die Ausnahmetatbestände finden sich in Abs. 2 Satz 2 und Abs. 5 Satz 2.

3. Verhältnis zu anderen Vorschriften

5

Art. 12 DSGVO gilt für die Vorschriften zu den Rechten der Betroffenen nach Art. 13 bis 22 DSGVO sowie zur Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO im Fall einer Verletzung des Schutzes personenbezogener Daten. Diese Vorschriften konkretisieren die Anforderungen an die Transparenz (Art. 13 Abs. 1, Abs. 2, Art. 14 Abs. 1, Abs. 2, Art. 15 Abs. 1, Art. 19 Satz 2, Art. 34 Abs. 2 i.V.m. Art. 33 Abs. 3 DSGVO) und legen in einigen Fällen spezielle Fristen (Art. 13 Abs. 1, Abs. 3, Art. 14 Abs. 3, Art. 21 Abs. 4, Art. 34 Abs. 1 DSGVO) sowie zusätzliche spezifische Ausnahmetatbestände fest (Art. 13 Abs. 4, Art. 14 Abs. 5, Art. 15 Abs. 4, Art. 17 Abs. 1, Abs. 3, Art. 18 Abs. 2, Art. 20 Abs. 3, Abs. 4, Art. 21 Abs. 1 Satz 2, Art. 22 Abs. 2, Art. 34 Abs. 3 DSGVO). Auch das BDSG enthält zusätzliche Ausnahmetatbestände von den Rechten der betroffenen Personen (§ 29 Abs. 1, Abs. 2, § 32 Abs. 1, § 33 Abs. 1, § 34 Abs. 1, § 35, § 36, § 37 Abs. 1 BDSG).

6

Für die Einwilligung finden sich zusätzliche Anforderungen in Art. 7 Abs. 2 DSGVO (siehe Art. 7 Rn. 53).4

7

Ein Verstoß gegen Art. 12 DSGVO, etwa das Fehlen von Maßnahmen, um der betroffenen Person die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln oder wenn Anträge der betroffenen Personen, nicht, nicht rechtzeitig oder nicht vollständig bearbeitet werden,5 kann gemäß Art. 58 Abs. 2 lit. i DSGVO i.V.m. Art. 83 Abs. 5 lit. b DSGVO mit einer Geldbuße von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden, je nachdem, welcher der Beträge höher ist. Die betroffenen Personen können gem. Art. 82 Abs. 1 DSGVO materiellen oder immateriellen Schadenersatz geltend machen. Für Verbraucherschutzorganisationen besteht ein Klagerecht gem. Art. 80 Abs. 2 DSGVO i.V.m. § 2 Abs. 2 Satz 1 Nr. 11 UKlaG. Inwieweit die Transparenzvorschriften der DSGVO auch Marktverhaltensregeln i.S.d. § 3a UWG sind, die Wettbewerbern ein Klagerecht einräumen, ist umstritten, weshalb der BGH dem EuGH unter anderem diese Frage zur Vorabentscheidung vorgelegt hat.6 Die behördliche und gerichtliche Überprüfung der Sprachanforderungen in Art. 12 Abs. 1 Satz 1 DSGVO dürfte sich in der Praxis als schwierig erweisen und wohl nicht ohne entsprechende Sachverständigengutachten möglich sein.

II. Allgemeine Regelungen (Abs. 1 Satz 1, Abs. 2 Satz 1, Abs. 5 Satz 1)

8

Art. 12 stellt allgemeine Anforderungen an die Ausgestaltung der Informationen gem. Art. 13 und Art. 14 DSGVO sowie der Mitteilungen gem. Art. 15–22 und Art. 34 DSGVO und die Ausübung der Rechte der betroffenen Personen auf. Darüber hinaus wird grds. Unentgeltlichkeit verlangt.

1. Allgemeine Anforderungen an Transparenz

9

Sofern der Verantwortliche seinen Informationspflichten nach Art. 13, 14 DSGVO nachkommt oder mit betroffenen Personen im Rahmen der Wahrnehmung ihrer Rechte nach Art. 15–22 und Art. 34 DSGVO kommuniziert, muss dies in präziser (concise), transparenter (transparent), verständlicher (intelligible) und leicht zugänglicher (easily accessible) Form in einer klaren und einfachen (clear and plain) Sprache erfolgen.7 Kern der Transparenzanforderung ist es, die betroffenen Personen in die Lage zu versetzen, den Umfang und die Konsequenzen der Datenverarbeitung vorab beurteilen zu können, damit es später nicht zu Überraschungen kommt.8

10

Präzise und transparent meint in diesem Zusammenhang, dass die Informationen kurz und knapp zur Verfügung gestellt werden müssen, um Informationsermüdung zu vermeiden.9 Dies bedeutet aber auch, dass die Datenschutzhinweise klar von anderen, nicht datenschutzrelevanten Informationen (z.B. Vertragsbedingungen und AGB), abgegrenzt werden müssen.10 Dies hat aber auch zur Folge, dass eine klare Abgrenzung zur Einwilligung in den im Zusammenhang mit der Einwilligungserklärung erteilten Informationen erfolgen muss.11 Im Übrigen reicht auch die Bezugnahme auf einen Anhang nicht aus, insbesondere sofern dieser mehrere hundert Seiten umfasst.12 Hinsichtlich der Verständlichkeit kommt es auf das durchschnittliche Mitglied der angesprochenen Zielgruppe an, was sich bei Unklarheiten auch durch Testgruppenversuche bestimmen lässt.13 Die Information und Kommunikation muss zudem in einer Sprache erfolgen, die von der angesprochenen Zielgruppe verstanden wird. Dies ist in Deutschland zunächst die deutsche Sprache.14 Ist sich der Verantwortliche sicher, dass alle betroffenen Personen im erforderlichen Umfang Englisch verstehen (z.B. bei Beschäftigten einer deutschen Tochter eines international operierenden Konzerns, in dem die tägliche Kommunikation auf Englisch erfolgt), kann u.U. auf einen deutschen Datenschutzhinweis neben einem englischsprachigen verzichtet werden. In Zweifelsfällen sollte jedoch eine Übersetzung vorgenommen werden. Richtet sich eine Webseite auch an ausländische Nutzer, ist der Datenschutzhinweis entsprechend auch in weiteren Sprachen zur Verfügung zu stellen,15 jedenfalls wohl aber in englischer Sprache.

11

Leicht zugängliche Form bedeutet, dass die betroffenen Personen nicht erst nach den entsprechenden Informationen suchen müssen, sondern diese entsprechend zur Verfügung gestellt werden.16 Dies bedeutet zum einen, dass die Informationen entsprechend gekennzeichnet sind.17 Auf Deutsch kommen hier z.B. „Datenschutzhinweis“, „Datenschutzerklärung“ oder „Informationen zum Datenschutz“ in Frage. Bei Apps und Webseiten müssen die entsprechenden Informationen zudem mit nicht mehr als zwei Klicks zu erreichen sein.18 Fraglich ist, inwieweit ein Medienbruch, z.B. der Verweis in einem Papierformular auf einen Datenschutzhinweis auf einer Webseite, gegen die leichte Zugänglichkeit spricht. Grundsätzlich wird ein solcher Medienbruch für unzulässig erachtet.19 Hier muss jedoch differenziert werden. Sofern der betroffenen Person vor Erhebung der personenbezogenen Daten alle Informationen zur Verfügung gestellt werden, die diese für die Entscheidung, die Daten preiszugeben, benötigt (Identität des Verantwortlichen und Kontaktdaten, Kontaktdaten des betrieblichen Datenschutzbeauftragten, Verarbeitungszwecke und Rechtsgrundlage in Schlagworten, Angabe des berechtigten Interesses, Dauer der Speicherung), spricht nichts dagegen, weitere Informationen (z.B. Auskunftsrecht, Beschwerderecht, ggf. Empfänger der Daten) ggf. über den Verweis auf einen ausführlichen Datenschutzhinweis auf einer Webseite zur Verfügung zu stellen. Die deutschen Datenschutzaufsichtsbehörden akzeptieren diesen Ansatz jedenfalls für die Wahrung der Transparenz bei offener Videoüberwachung.20

12

Voraussetzung für klare und einfache Sprache ist, dass die Information so einfach wie möglich präsentiert wird und komplexe Sätze und Sprachkonstruktionen vermieden werden.21 Insbesondere muss die betroffene Person wissen, ob eine Datenverarbeitung stattfindet oder nicht. Es ist daher auf Formulierungen wie „wir können unter Umständen“, „vielleicht“, „gegebenenfalls“ und „im Rahmen des rechtlich Zulässigen“ zu verzichten. In englischsprachigen Datenschutzhinweisen sollte zudem das Wort „may“ nicht verwendet werden, da hier nicht deutlich wird, ob die Daten tatsächlich verarbeitet werden oder nicht.22

13

Sofern personenbezogene Daten über Kinder verarbeitet werden, muss der Verantwortliche dies gem. Art. 12 Abs. 1 Satz 1 Hs. 2 DSGVO im Rahmen der Transparenzanforderungen besonders berücksichtigen. Für den Begriff des Kindes i.S.d. DSGVO kann auf Art. 8 DSGVO verwiesen werden.23 Der EDSA empfiehlt hier eine Orientierung an der „UN Convention on the Rights of the Child in Child Friendly Language“.24 Lediglich bei Kindern, die zu jung sind, um die Informationen über die Datenverarbeitung überhaupt zu verstehen, kann für den Empfängerhorizont auf die Eltern abgestellt werden.25 Besondere Anforderungen an die Transparenz gelten auch für vergleichbar schutzwürdige Personen, z.B. Menschen mit geistiger oder auch körperlicher (Blindheit, Sehschwäche) Behinderung.26

2. Erleichterung der Rechteausübung

14

Gem. Art. 12 Abs. 2 Satz 1 DSGVO muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15–22 DSGVO erleichtern. Hiervon ist nicht lediglich ein Verbot der Erschwerung der Rechteausübung erfasst.27 Vielmehr muss der Verantwortliche seine internen Prozesse so gestalten, dass die Rechteausübung möglichst einfach gemacht wird. Hierzu zählen u.a. elektronische Formulare und spezifische Anwendungen sowie gegebenenfalls Fernzugänge zu Daten.28 Dies hindert den Verantwortlichen allerdings nicht daran, die betroffene Person auf bestimmte Prozesse zu verweisen und bei Unklarheiten Nachfragen zu stellen. Im Übrigen ist der Erfüllungsort angesichts des Wortlauts in Art. 12 Abs. 1 Satz 1 („übermitteln“) grundsätzlich der Wohnort des Anspruchstellers, es liegt demnach eine Schickschuld des Verantwortlichen vor.29

3. Unentgeltlichkeit

15

Gem. Art. 12 Abs. 5 Satz 1 DSGVO muss der Verantwortliche den betroffenen Personen die Informationen gem. Art. 13, 14 DSGVO sowie alle Mitteilungen und Maßnahmen gem. Art. 15–22 und Art. 34 DSGVO grundsätzlich unentgeltlich zur Verfügung stellen (siehe Rn. 21ff. zu den Ausnahmen). Eigene Aufwendungen der betroffenen Person bei der Geltendmachung der Rechte (z.B. Portokosten für die Zusendung eines Identifikationsformulars per Post oder die Beauftragung eines Rechtsanwaltes bei Verweigerung der Rechte) fallen jedoch nicht unter diese Vorschrift.30 Die zwingende Durchführung eines Post-Ident-Verfahrens auf Kosten der betroffenen Person würde aber gegen Art. 12 Abs. 5 Satz 1 DSGVO verstoßen.

III. Form (Abs. 1 Satz 2, Satz 3, Abs. 3 Satz 4)

16

Art. 12 DSGVO macht an verschiedenen Stellen Vorgaben hinsichtlich der Form der Information und Kommunikation mit betroffenen Personen. Gem. Art. 12 Abs. 1 Satz 2 erfolgt die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.31 Nicht hiervon erfasst ist die mündliche Kommunikation, da hierfür in Art. 12 Abs. 1 Satz 3 eine Sonderregelung getroffen wurde. Hiernach darf die Information nur dann mündlich erteilt werden, wenn dies von der betroffenen Person verlangt wird und sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde (siehe hierzu Rn. 18ff.). Entgegen des Wortlauts (nur „Informationen“ statt „Informationen und Mitteilungen“) gilt Art. 12 Abs. 1 Satz 2 und Satz 3 DSGVO nicht nur für die Informationen nach Art. 13 und 14 DSGVO, sondern auch für die Kommunikation im Rahmen der Art. 15–22 und Art. 34 DSGVO. Dies ergibt sich aus der Systematik der Vorschrift. Da die Informationen nach Art. 13 und 14 DSGVO losgelöst vom Personenbezug der erhobenen Daten erfolgen,32 hätte eine Identifizierung hier überhaupt keinen Sinn. Durch die Formulierung „oder in anderer Form“ besteht hier zunächst weitgehender Spielraum. Art. 12 Abs. 3 Satz 4 DSGVO enthält eine Auslegungsregel für die Beantwortung von Betroffenenanfragen nach Art. 15–22 DSGVO. Hiernach erfolgt die Kommunikation mit der betroffenen Person nach Möglichkeit auf elektronischem Weg, wenn die betroffene Person ihren Antrag elektronisch gestellt hat, es sei denn die betroffene Person wünscht etwas anderes, z.B. weitere Kommunikation per Post. Art. 12 Abs. 3 Satz 4 DSGVO gilt sowohl für die Maßnahmenmitteilungen nach Art. 12 Abs. 3 Satz 1 DSGVO als auch für die Fristverlängerungsbegründung nach Art. 12 Abs. 3 Satz 3 DSGVO.33 Elektronische Kommunikation erfasst nicht nur Kommunikation über das Internet oder per E-Mail oder Messenger, sondern auch die Übergabe eines Datenträgers (CD, USB-Stick).34 Art. 12 Abs. 3 Satz 4 DSGVO gilt nicht für Kommunikation im Rahmen der Identifizierung der anfragenden Person nach Art. 12 Abs. 6 DSGVO.

17

Fraglich ist, wie weit das Wahlrecht der betroffenen Person nach Art. 12 Abs. 3 Satz 4 DSGVO geht. Dies wird zum einen relevant, wenn die betroffene Person Kommunikation per E-Mail wünscht, der Verantwortliche jedoch die Auskunft nach Art. 15 DSGVO aus Gründen der Identifizierung und Sicherheit per Post vornehmen möchte. Eine weitere problematische Fallgruppe liegt vor, wenn die betroffene Person auf einer Zurverfügungstellung sämtlicher Daten als Papierausdruck besteht, obwohl eine Übersendung in einem elektronischen Format viel einfacher wäre. Im ersten Fall kann es an der „Möglichkeit“ fehlen, wenn die elektronische Kommunikation nicht sicher ist oder nicht sichergestellt werden kann, dass die richtige Person die geforderten Daten erhält. Die Versendung per einfacher E-Mail offen über das Internet entspricht grundsätzlich nicht den Vorgaben des Datenschutzrechts.35 Die Sicherheit der Verarbeitung nach Art. 32 DSGVO ist auch nicht der Einwilligung zugänglich.36 Insofern muss sich die betroffene Person gegebenenfalls auf den Postweg verweisen lassen und hierfür auch die postalische Adresse zur Verfügung stellen, falls diese noch nicht beim Verantwortlichen vorhanden ist (siehe Rn. 19). Die betroffene Person hat grundsätzlich auch das Recht, postalische Kommunikation und Übergänge von Daten in Papierform zu verlangen, obwohl sie selber ihre Anfrage elektronisch gestellt hat. Die Grenze ist jedoch dann überschritten, wenn hierin ein exzessiver Antrag nach Art. 12 Abs. 5 Satz 1 DSGVO zu sehen ist (siehe Rn. 23).

IV. Identifizierung der betroffenen Person (Abs. 6)

18

Der Verantwortliche muss bei der Bearbeitung von Anfragen der betroffenen Personen nach Art. 15–21 DSGVO sicherstellen, dass die Anfrage auch von der richtigen Person kommt und es weder zu Verwechslungen noch zu Missbrauch durch Dritte kommt. Diese Pflicht besteht nicht nur, wenn im Rahmen von Auskunftsanfragen nach Art. 15 Abs. 1, Abs. 3 DSGVO personenbezogene Daten herausgegeben werden. Auch eine falsche oder unbefugte Ausübung der anderen Rechte kann nachteilige Folgen für die betroffene Person haben, und sei es nur, dass ein von der betroffenen Person gewünschter Newsletter aufgrund eines falschen Werbewiderspruchs nach Art. 21 Abs. 2 DSGVO eingestellt wird. Eine Pflicht zur Identifizierung besteht nach Art. 12 Abs. 6 DSGVO allerdings nur, wenn der Verantwortliche begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag stellt. In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Der Verweis auf Art. 11 DSGVO ist hier rein deklaratorisch und stellt lediglich klar, dass der Verantwortliche Zweifel an der Identität des Anfragenden nicht dazu nutzen darf, um dem Antrag nicht nachzukommen, soweit eine eindeutige Identifizierung mit weiteren Mitteln möglich ist. Art. 12 Abs. 6 DSGVO ist für sich kein Erlaubnistatbestand für die Verarbeitung der zusätzlich erhobenen personenbezogenen Daten.37 Die datenschutzrechtlichen Erlaubnistatbestände sind in Art. 6 DSGVO und ggf. mitgliedstaatlichem Recht (siehe Rn. 20 zu Personalausweis- und Passkopien) geregelt. Die Verarbeitung richtet sich vielmehr nach Art. 6 Abs. 1 lit. c DSGVO, da die Daten erforderlich sind, um den Pflichten nach Art. 15–21 DSGVO nachzukommen.

19

Wann Zweifel an der Identität des Antragstellers vorliegen und welche zusätzlichen Informationen zur Identifizierung erforderlich sind, hängt von den Umständen des Einzelfalles ab. Eine Identifizierung ist in der Regel nicht erforderlich, wenn die Anfrage von einer bereits der betroffenen Person zugeordneten Adresse oder E-Mail-Adresse kommt. Zudem ist auf den zeitlichen Zusammenhang mit zuvor versandten Informationen nach Art. 13, 14 DSGVO zu achten.38 Auch bei reinen Negativauskünften (d.h. keine Daten gespeichert) ist eine Identifizierung nicht erforderlich.39 Zu beachten ist, dass nicht ohne Weiteres eine Personalausweis- oder Passkopie angefordert werden darf. Dies ist in Deutschland nur als ultima ratio und unter Einhaltung weiterer Voraussetzungen zulässig (siehe Rn. 20). Alternative bzw. kumulative Möglichkeiten zur Identifizierung sind u.a. Verifikation mittels Login-Daten40 oder die Vereinbarung einer Sicherheitsfrage.41 Die telefonische Abfrage einfacher, ggf. drittbekannter Kundendetails wie Geburtsdatum oder Mobilfunknummer, sofern diese Informationen beim Verantwortlichen bereits vorliegen, dürften jedoch ebenso wenig genügen wie die Verwendung einer bereits bekannten postalischen Adresse.42 Die Auswahl der Mittel wird auch von der Sensitivität der jeweiligen Daten beeinflusst.43

20

Sofern keine anderen Mittel zur Identifizierung des Anfragenden zur Verfügung stehen, kann der Verantwortliche auch eine Personalausweis- oder Passkopie anfordern. Hierbei sind jedoch der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO sowie die ausweisrechtlichen sowie datenschutzrechtlichen Anforderungen nach § 20 Abs. 2 PAusweisG bzw. § 18 Abs. 3 PassG zu beachten. Aus dem Grundsatz der Datenminimierung ergibt sich zunächst, dass der Verantwortliche die anfragende Person darauf hinweisen muss, dass sie alle Angaben (einschließlich des Fotos) unkenntlich machen darf, die für die Zwecke der Identifizierung nicht erforderlich sind. Erforderlich sind zunächst nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer.44 Der Ausweis/Pass darf gem. § 20 Abs. 2 Satz 1 PAuswG/§ 18 Abs. 3 Satz 1 PassG nur vom Inhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Inhaber dürfen die Kopie gem. § 20 Abs. 2 Satz 2 PAusweisG/§ 18 Abs. 3 Satz 2 PassG nicht an Dritte weitergeben. Gem. § 20 Abs. 2 Satz 3 PAusweisG/§ 18 Abs. 3 Satz 3 PassG ist zudem für die Verarbeitung der durch die Ablichtung erhobenen personenbezogenen Daten aus dem Personalausweis/Pass die datenschutzrechtliche Einwilligung des Inhabers erforderlich. Die Anforderungen richten sich nunmehr nach Art. 7 DSGVO. Das Einwilligungserfordernis ist mit der DSGVO vereinbar, da es auf die Öffnungsklausel des Art. 87 DSGVO für nationale Kennziffern und andere Kennziffern von allgemeiner Bedeutung gestützt werden kann.45 Die Erfüllung der Anfrage nach Art. 15–22 DSGVO kann aber ohne Verstoß gegen Art. 7 Abs. 4 DSGVO von der Erteilung der Einwilligung abhängig gemacht werden, da eine ordnungsgemäße Identifizierung ansonsten nicht möglich ist.