DSGVO - BDSG - TTDSG

5. Übermittlung in Drittstaaten (Abs. 1 lit. f)

16

Hat der Verantwortliche zudem die Absicht, die Daten an Empfänger in Drittländern oder internationale Organisationen weiterzugeben, ist die betroffene Person darüber ebenfalls zu informieren (Abs. 1 lit. f). Als wesentlich darf hierbei angesehen werden, dass die betroffene Person in die Lage versetzt werden soll, das Übermittlungsrisiko entsprechend einzuschätzen und gegebenenfalls Einwände dagegen zu erheben.47 Insbesondere hat der Verantwortliche mitzuteilen, inwieweit ein Angemessenheitsbeschluss der Kommission zur Erlaubnis der Datenübermittlung (Art. 45 Abs. 1 DSGVO) oder entsprechende Garantien nach Maßgabe von Art. 46, Art. 47 oder Art. 49 Abs. 1 Satz 2 DSGVO vorliegen und wie bzw. wo diese für die betroffene Person verfügbar sind.48 Der Hinweis auf die allgemein zugänglichen Garantien reicht aus, sofern diese für die betroffene Person ohne Probleme zur Verfügung stehen. Im Zweifel muss der Verantwortliche für die betroffene Person die Garantien selbst verfügbar machen bzw. aushändigen.49 Informationspflichten ergeben sich außerdem bei Anwendung unternehmensinterner Datenschutzvorschriften nach Art. 47 Abs. 2 lit. g DSGVO und unabhängig davon, ob die Übermittlung bereits bei der Datenerhebung absehbar war, aus Art. 49 Abs. 1 Satz 2 DSGVO.50

IV. Informationspflichten (Abs. 2)

17

Neben den in Abs. 1 genannten Informationspflichten enthält Abs. 2 weitere Informationen, die der Verantwortliche der betroffenen Person bei einer Direkterhebung mitzuteilen hat. Die Verpflichtung zur Information besteht trotz der Unterteilung auf zwei Absätze ohne Unterschied zu Abs. 1.51 Der zusätzliche Hinweis, dass es sich hierbei um Informationen handelt, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten, ändert an dieser grundlegenden Verpflichtung nichts.52 Anders als noch der Ratsentwurf,53 bezieht sich der Wortlaut Art. 13 nicht mehr auf bestimmte Basisinformationen, denen weitergehende Informationen nur zur Gewährleistung einer fairen und transparenten Verarbeitung hinzugefügt werden sollen.54 Zwar findet sich dieser Risikoansatz immer noch im ErwG 60, aber Abs. 2 verweist auf die faire und transparente Verarbeitung nur noch in Form eines Ziels und lässt nicht erkennen, dass hierzu ein besonderer Maßstab bzw. ein besonderes Risiko bei der Datenverarbeitung bestehen muss.55 Unabhängig von der systematischen Trennung der Informationspflichten auf zwei Absätze, hat der Verantwortliche daher die Informationen aus beiden Absätzen vollständig zu erteilen.56

1. Dauer der Datenspeicherung (Abs. 2 lit. a)

18

Sofern dem Verantwortlichen die konkrete Speicherdauer bekannt ist, muss er diese der betroffenen Person mitteilen. Lässt sich eine feste Frist zum Zeitpunkt der Datenerhebung hingegen nicht benennen, ist es als ausreichend zu erachten, wenn der Verantwortliche die Kriterien benennt, nach denen sich die Speicherdauer richtet. Diese Information muss dann allerdings so vollständig und präzise sein, dass anhand der angegebenen Kriterien die Speicherdauer durch die betroffene Person zumindest annäherungsweise selbst bestimmt werden kann, sodass zum Beispiel zumindest ein Hinweis auf einzuhaltende Aufbewahrungsfristen zu erwarten ist.57 Nach Ablauf der Speicherdauer muss der Verantwortliche die Daten löschen (vgl. Art. 17 Abs. 1 lit. a DSGVO), sofern nicht die Voraussetzungen zur Weiterverarbeitung aufgrund eines anderen Zwecks erfüllt sind. Diese können sich aufgrund gesetzlicher Aufbewahrungsfristen ergeben, beispielsweise aus dem Handelsrecht (§ 257 HGB) oder dem Steuerrecht (§ 147 AO).58

2. Betroffenenrechte (Abs. 2 lit. b)

19

Der betroffenen Person sind überdies ihre Betroffenenrechte mitzuteilen, d.h. sie ist über das Recht auf Auskunft über gespeicherte Daten (Art. 15 DSGVO), auf Berichtigung unzutreffender Daten (Art. 16 DSGVO), auf Löschung von Daten (Art. 17 DSGVO), auf Einschränkung der Verarbeitung von Daten (Art. 18 DSGVO), auf die Möglichkeit der Datenübertragbarkeit (Art. 20 DSGVO) sowie des Rechts auf Widerspruch gegen eine unzumutbare Datenverarbeitung (Art. 21 DSGVO) zu informieren. Hierbei erscheint eine allgemeine Mitteilung sowie Erläuterung der bestehenden Betroffenenrechte als ausreichend, da auf den Einzelfall bezogene konkrete Hinweise auf bestimmte Betroffenenrechte zum Zeitpunkt der Datenerhebung nicht möglich sind. Dies gilt aber nur dann, wenn nicht schon bei Erteilung der Information absehbar ist, dass bestimmte Rechte durch den Betroffenen überhaupt nicht wahrgenommen werden können, weil beispielsweise eine bestimmte Datenverarbeitungsform eine Datenübertragbarkeit (Art. 20 DSGVO) von vorneherein ausschließt.59 In diesem Fall ist beim Inhalt der Information auf die tatsächlich zustehenden Rechte der betroffenen Person abzustellen, um falsche Vorstellungen bzw. den Anschein von mehr als wirklich bestehenden Rechten bei der betroffenen Person auszuschließen.60

20

Die Information über Betroffenenrechte wirkt hingegen nicht konstitutiv, sodass ein fälschlich genanntes Recht (bspw. ein nicht bestehendes Widerspruchsrecht) bei mangelndem Vorliegen der notwendigen Voraussetzungen nicht zur Bindung des Verantwortlichen an die Einhaltung dieses Betroffenenrechts führt.61

3. Widerrufsmöglichkeit der Einwilligung (Abs. 2 lit. c)

21

Der Verantwortliche hat die betroffene Person, sofern die Datenerhebung durch eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder gem. Art. 9 Abs. 2 lit. a DSGVO, sowohl auf die Möglichkeit des bestehenden Widerrufsrechts als auch auf dessen Ex-nunc-Wirkung (Rechtmäßigkeit der Verarbeitung bis zum Widerruf) zu informieren.62 Bei einer fälschlichen Zusicherung des Verantwortlichen, dass aufgrund einer Einwilligung die Daten erhoben werden, führt dies in diesem Fall (anders als bei der Angabe eines nicht vorhandenen Betroffenenrechts) jedoch dazu, dass kein Rückgriff auf andere Erlaubnistatbestände möglich ist, der Verantwortliche ist vielmehr an die Möglichkeit des Widerrufs bei dessen Wahrnehmung durch die betroffene Person gebunden.63

4. Beschwerderecht (Abs. 2 lit. d)

22

Die betroffene Person ist außerdem über die nach Art. 77 Abs. 1 DSGVO bestehende Möglichkeit der Beschwerde bei einer Aufsichtsbehörde zu informieren. Inwieweit dabei eine zuständige Aufsichtsbehörde zu benennen ist, bei der eine möglichst niedrigschwellige Beschwerdemöglichkeit besteht, wird unterschiedlich beurteilt.64 Auf jeden Fall ist aber zu berücksichtigen, dass die betroffene Person oftmals gar nicht wissen wird, was für eine Aufsichtsbehörde für sie zuständig ist, weshalb schon aufgrund des Transparenzgrundsatzes die Angabe der Aufsichtsbehörde und deren Kontaktdaten geboten erscheint.65 Gegebenenfalls kann dies durch die Aufnahme eines Links erfolgen, unter dem die entsprechenden Kontaktdaten aufgeführt sind.66

5. Verpflichtung oder Obliegenheit zur Bereitstellung der Daten (Abs. 2 lit. e)

23

Ist die betroffene Person zur Bereitstellung der Daten gesetzlich oder vertraglich verpflichtet, so muss der Verantwortliche sie sowohl darüber als auch über die möglichen Folgen einer Nichtbereitstellung informieren. Hat eine betroffene Person daher beispielsweise aufgrund einer gesetzlichen Grundlage die Pflicht zur Auskunft oder zur körperlichen Untersuchung, so muss sie die entsprechende Information darüber erhalten. Damit der Verantwortliche jedoch überhaupt in die Lage versetzt wird, die konkreten Inhalte der zu erteilenden Information zu bestimmen, kann es hilfreich sein, die von Abs. 2 lit. e erfassten Fallkonstellationen zu analysieren und entsprechend zu unterteilen, um den Inhalt der jeweiligen Konstellation anzupassen.67

Grob unterteilt lassen sich danach drei Gründe unterscheiden, nämlich zum einen die Notwendigkeit der Datenbereitstellung aufgrund einer konkreten Verpflichtung, zum anderen der Grund des zu erwartenden Nachteils für die betroffene Person, wenn sie die Daten nicht bereitstellt und zuletzt noch der Fall, dass es der betroffenen Person freisteht, die Daten zur Verfügung zu stellen.68 Sofern eine konkrete Verpflichtung der betroffenen Person zur Datenbereitstellung besteht, ist es zunächst einmal denkbar, dass sich die Pflicht zur Bereitstellung der Daten aus einem Vertrag ergibt, der zur Datenerhebung nach Art. 6 Abs. 1 lit. b DSGVO berechtigt. Die Pflicht kann außerdem nach Art. 6 Abs. 1 lit. c und e DSGVO aufgrund einer gesetzlichen Regelung bestehen, die in Art. 6 Abs. 2 und Abs. 3 DSGVO vorgesehen sind. Demnach besteht in diesen Fällen eine gesetzliche bzw. vertragliche Pflicht der betroffenen Person zur Bereitstellung der Daten, worüber der Verantwortliche die betroffene Person entsprechend informieren muss. Hingegen nicht von der Mitteilungspflicht des Verantwortlichen umfasst ist die Angabe darüber, ob die Datenerhebung aufgrund einer Pflicht oder einer Befugnis bzw. einer Berechtigung des Verantwortlichen zur Datenerhebung erfolgt, da dies allein den Verantwortlichen betrifft und die betroffene Person und die Wahrnehmung möglicher Betroffenenrechte in diesem Zusammenhang völlig unwesentlich ist.69 Der Verantwortliche muss hingegen die möglichen Folgen einer Weigerung der betroffenen Person mitteilen, d.h. wenn es spezifische Sanktionen oder Durchsetzungsmechanismen gibt (bspw. Bußgeld oder Strafe), was jedoch keine allgemeinen Ausführungen zum Verwaltungsvollstreckungs- oder Zivilprozessrecht erfordert.70

24

Neben der Pflicht zur Bereitstellung der Daten durch die betroffene Person, ist es aber außerdem denkbar, dass es sich lediglich um eine Obliegenheit der betroffenen Person bzw. um die Voraussetzung eines Vertragsabschlusses handelt, also allenfalls Rechtsnachteile drohen, wenn die Daten nicht bereitgestellt werden. Auch hier muss der Verantwortliche die betroffene Person sowohl über die bestehende Verpflichtung zur Datenbereitstellung als auch darüber informieren, aus welcher vertraglichen oder gesetzlichen Grundlage sich die Obliegenheit ergibt.71 Dies ist vor allem dann wichtig, wenn sich die Datenerhebungserlaubnis aus einer anderen Rechtsgrundlage als die Obliegenheit ergibt (z.B. im Rahmen eines Versicherungsverhältnisses, wenn sich die Obliegenheit zur Einreichung bestimmter Unterlagen durch den Versicherungsnehmer aus den Tarifbedingungen, die Erlaubnis der Datenerhebung durch den Versicherer demgegenüber aus Art. 6 Abs. 1 Satz 1 lit. a oder b DSGVO ergibt).72 Über die Folgen einer unterlassenen Bereitstellung der Daten ist auch im Falle der Obliegenheit zur Bereitstellung der Daten zu informieren, wobei die Mitteilung als entbehrlich anzusehen ist, wenn die Konsequenzen für die betroffene Person ohne Weiteres und eindeutig erkennbar sind. Das ist beispielsweise im Falle der Durchführung eines Vertrages denkbar, im Rahmen dessen dem Vertragspartner bewusst sein wird, dass der Vertrag bei Verweigerung der Angaben nicht geschlossen wird.73

25

Handelt es sich hingegen um eine freiwillige Bereitstellung von Daten der betroffenen Person, so muss der Verantwortliche auch darauf hinweisen. Diese Verpflichtung besteht umso mehr, wenn es sich um behördliche Stellen handelt, selbst wenn diese lediglich um eine Auskunftserteilung bitten, da der betroffenen Person bei Schreiben öffentlicher Stellen nicht immer bewusst sein wird, ob die Stelle nicht eventuell doch hoheitlich handelt und daher Nachteile in Form staatlicher Sanktionen befürchtet.74

26

Unabhängig von den aufgezeigten Konstellationen ist bei der Informationserteilung durch den Verantwortlichen darauf zu achten, dass die nach Abs. 2 lit. e notwendigen Angaben die betroffene Person in die Lage versetzen sollen, ihre rechtliche Stellung gegenüber dem Verantwortlichen bzw. der Datenerhebung einschätzen zu können. Für den Umfang der notwendigen Information nach Abs. 2 lit. e kommt es daher vor allem darauf an, ob die betroffene Person diese Einschätzung auf Grundlage der erhaltenen Informationen auch wirklich vornehmen kann.75 Gerade den Angaben nach Abs. 2 lit. e kommt daher für eine faire und transparente Datenverarbeitung gegenüber der betroffenen Person eine erhebliche Bedeutung zu. Die in diesem Zusammenhang notwendigen Informationen sollten vom Verantwortlichen daher möglichst konkret formuliert werden und an die betroffene Person unabhängig davon erfolgen, ob abweichend von der hier vertretenen Auffassung, die Angabe der nach Abs. 2 notwendigen Informationen nur nach vorheriger Risikobewertung erfolgt.76

6. Automatisierte Entscheidungsfindung und Profiling (Abs. 2 lit. f)

27

Zuletzt verlangt Abs. 2 lit. f noch die Information der betroffenen Person, wenn personenbezogene Daten über diese automatisiert verarbeitet werden sollen, um eine für die betroffene Person rechtlich relevante oder sonst nachteilige Entscheidung zu fällen oder vorzubereiten. Relevant ist dies vor allem für die zulässige automatisierte Entscheidungsfindung nach Art. 22 Abs. 1 oder Abs. 4 sowie bei Profilingmaßnahmen im Sinne des Art. 4 Nr. 4 DSGVO, auch wenn die Entscheidung nicht ausschließlich darauf beruht.77 Mangels Profiling, gehören reine Marketingzwecke nicht dazu, dies lässt sich im Umkehrschluss dem Art. 21 Abs. 1 Satz 1 Hs. 2 und Abs. 2 Hs. 2 DSGVO entnehmen.78

28

Neben der immer zu erteilenden Information der Absicht einer solchen Maßnahme, kann außerdem eine erweiterte Informationspflicht bestehen, nach der zusätzlich die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person ebenfalls mitzuteilen sind.79 Diese erweiterte Informationspflicht besteht zumindest immer dann, wenn eine automatisierte Entscheidungsfindung vorliegt, die dem Art. 22 Abs. 1 oder Abs. 4 unterfällt. Die Formulierung des Abs. 2 lit. f mit dem in Spiegelstrichen aufgenommenen Zusatz: „zumindest in diesen Fällen“, deutet jedoch darauf hin, dass eine erweiterte Informationspflicht auch bei anderen Profilingmaßnahmen bestehen soll. Gefordert wird allerdings in diesem Zusammenhang, dass es dann auf solche Profilingmaßnahmen beschränkt wird, durch die die Interessen der betroffenen Person erheblich berührt werden, was sich entweder durch Art und Ausmaß der verarbeiteten Daten sowie der Methode der Verarbeitung ergibt oder aber aufgrund des Gewichts der sich aus dem Profiling ergebenden Entscheidung notwendig erscheint.80 Der Formulierung lässt sich aber keine konkrete Gewichtung bzw. Abgrenzung entnehmen, weshalb es schwierig ist, hier konkrete Grenzen festzustellen und eher davon auszugehen ist, dass zumindest im Zweifel in der Praxis immer die erweiterten Informationen mit aufzunehmen sind.81

29

Inhalt der erweiterten Information ist zunächst einmal die bei der Entscheidungsfindung oder bei dem Profiling involvierte Logik, womit die Methoden und Kriterien der Datenverarbeitung, beispielsweise in Form eines Algorithmus zur Bildung eines Scorewertes, mitzuteilen sind.82 Die Notwendigkeit, Angaben über Datenverarbeitungsvorgänge zu machen, geht über die bloße Information zu den verarbeiteten Daten hinaus.83 Ein gewisses Spannungsverhältnis zu den Interessen des Verantwortlichen in Bezug auf seine Geschäftsgeheimnisse kann demnach nicht gänzlich ausgeschlossen werden.84 Eine Lösung wird darin gesehen, in Form des Art. 23 DSGVO eine Beschränkungsregelung zu sehen, wonach das Recht des Verantwortlichen bejaht wird, die mitgeteilten Informationen zu „verrauschen“ und so eine Nachahmung seines Verfahrens zu verhindern.85 Inwieweit die Gerichte dieser Ansicht jedoch zukünftig folgen, ist nur schwer einschätzbar.86 Im Zweifel bleibt es Sache des Verantwortlichen, die Möglichkeit von Sanktionen gegenüber der Herausgabe von Geschäftsgeheimnissen abzuwägen und entsprechend zu entscheiden, inwieweit er die betroffenen Personen über seine Verarbeitungsverfahren aufklären kann, ohne derartige Geschäftsgeheimnisse zu verraten.87

7. Unbenannte Informationen

30

Darüber hinaus kann es im Einzelfall notwendig sein, dass weitere Informationen zur Verfügung gestellt werden, die im Hinblick auf die konkrete Datenerhebung nach Berücksichtigung der besonderen Umstände und Rahmenbedingungen erforderlich erscheinen, um eine faire und transparente Verarbeitung im Sinne des Art. 13 DSGVO zu ermöglichen, worauf zumindest der ErwG 60 hindeutet.88 Dem ist insoweit zuzustimmen, als dass es durchaus sinnvolle Informationen gibt, die im Rahmen der sowieso notwendigen Informationen beispielsweise die Kontaktaufnahme erleichtern (z.B. Sprechstundenzeiten). Eine Verpflichtung hierzu oder sogar die Notwendigkeit, weitere Informationen in Form eines Verzeichnisses vorzuhalten, lässt sich dem Art. 13 DSGVO selbst aber nicht entnehmen. Neben lediglich sinnvollen Angaben, können jedoch andere Regelungen der Datenschutz-Grundverordnung weitere Informationspflichten enthalten, die demgegenüber verpflichtend mit aufzunehmen sind.89

V. Zweckänderung (Abs. 3)

31

Neben den Pflichten der Information bei der Datenerhebung entstehen weitere Informationspflichten, sofern der Verantwortliche die Daten zu einem anderen Zweck als dem ursprünglichen Erhebungszweck verarbeiten möchte. Dies gilt unabhängig von der Rechtsgrundlage. Ausreichend ist es bereits, wenn der Zweck der Erhebung sich ändert, auch wenn die weiteren Verarbeitungszwecke möglicherweise noch nicht im Detail bekannt sind (bspw. zur Vorhaltung der personenbezogenen Daten in einer Datensammlung, deren weitere Verwendung noch unklar ist).90 Die Verpflichtung trifft den Verantwortlichen der ursprünglichen Datenerhebung und umfasst dann gegebenenfalls die vorher noch nicht mitgeteilte Übermittlung an Dritte, zur Verarbeitung eines anderen Zwecks.91 Maßgebend ist demzufolge, welchen Zweck der Verantwortliche gegenüber der betroffenen Person vorher im Rahmen der Informationen festgelegt hat.

32

Gegenstand der Information ist es zunächst einmal, die vollständige und detaillierte Angabe des neuen Zwecks der Datenverarbeitung der betroffenen Person mitzuteilen, sodass diese ausreichende Kenntnis darüber erlangt, welche weitere Datenverarbeitung mit ihren Daten geplant ist.92 Bezüglich der weiteren Inhalte verweist Abs. 3 sodann lediglich auf den Informationsinhalt aus Abs. 2, mit der Folge, dass nicht alle nach Abs. 1 mitzuteilenden Informationen nochmals erfasst werden. Sofern aber zum vollständigen Verständnis der betroffenen Person der geplanten Datenverarbeitung gerade die in Abs. 1 genannten Informationen notwendig sind, verlangt schon der Grundsatz von Treu und Glauben die (erneute) Information darüber.93 Dies betrifft vor allem die Nennung der Rechtsgrundlage, erst recht, wenn sich diese geändert haben sollte. Ebenso sind gegebenenfalls die Informationen zur Darlegung des berechtigten Interesses sowie dem Empfänger bzw. den Empfängern mit aufzunehmen.94

33

Überdies verweist Abs. 3 auf die Informationspflichten von Abs. 2, über die der Verantwortliche die betroffene Person demzufolge nochmals informieren muss. Zum Teil wird hier eine Unterscheidung vorgenommen zwischen Informationen, die keinen Änderungen unterliegen (bspw. Auskunftsrecht) und solchen, die für die Zweckänderung relevant sein können (bspw. verlängerte Speicherdauer).95 Hierbei ist aber zu berücksichtigen, dass eine derartige Trennung Abs. 3 nicht vornimmt. Eine Unterscheidung der Informationsinhalte erscheint aus Sicht der betroffenen Person auch wenig sinnvoll, da für diese kaum nachvollziehbar. Gerade bei längeren Zeiträumen zwischen Erhebung und Zweckänderung ist es daher durchaus erforderlich, die betroffene Person nochmals umfassend zu informieren. Allenfalls, wenn es sich lediglich um eine sehr kurze Zeitspanne seit der letzten Information handelt, mag ausnahmsweise etwas anderes gelten. Wegen des Aufwands der Erstellung solcher Informationen, mag die dann notwendige Prüfung von Einzelfällen in der praktischen Umsetzung allerdings ohnehin dazu führen, pauschal alle Informationen nochmals aufzuführen.