Moje książki
MojeКoszykListy
Wszystkie 345 kategorii

DSGVO - BDSG - TTDSG

Tekst
Książka w języku niemieckim
Z serii: Kommunikation & Recht
0
Recenzje
Przeczytaj fragment
Oznacz jako przeczytane
Jak czytać książkę po zakupie
Smartfon,
tabletKomputer,
laptopE-czytnik
Czcionka:Mniejsze АаWiększe Aa

VI. Formalien der Informationspflichten (Abs. 1, 2 und 3)

34

Die Informationspflichten aus Abs. 1 und Abs. 2 sind der betroffenen Person zum Zeitpunkt der Datenerhebung zu erteilen, womit sich zumindest aus dem Wortlaut keine konkrete Reihenfolge entnehmen lässt. Sinn der Information soll es aber sein, dass die betroffene Person Entscheidungsgewalt darüber behält, inwieweit sie die Datenerhebung zulässt bzw. die notwendigen Angaben macht.96 Wird folglich der Sinn und Zweck der durch den Verantwortlichen zu erteilenden Informationen berücksichtigt, ist die Informationspflicht gegenüber der betroffenen Person richtigerweise vor einer Datenerhebung zu erfüllen.97

35

Dabei sind die zum Zeitpunkt der Datenerhebung dem Verantwortlichen bekannten und aktuellen Informationen der betroffenen Person mitzuteilen. Die Pflicht, spätere Veränderungen anzuzeigen, richtet sich demgegenüber nicht nach Abs. 1 und 2, sondern – je nachdem, worum es geht – nach anderen Vorschriften (bspw. Art. 14 DSGVO).98 Bei einer Zweckänderung sind die Informationen der betroffenen Person vor der Weiterverarbeitung mitzuteilen, damit die betroffene Person tatsächlich in die Lage versetzt wird noch Einwände vor dem Weiterverarbeitungsbeginn erheben zu können.99

36

Die Form und Darstellung der durch den Verantwortlichen zu gebenden Informationen richtet sich zunächst einmal nach Art. 12 Abs. 1, 7 und 8 DSGVO. Daraus ergibt sich, dass die Informationen bei einer Datenerhebung im Rahmen von Abs. 1 und 2 ohne Medienbruch der betroffenen Person zur Verfügung zu stellen sind, d.h. die Information in der Form erfolgen muss, die auch für die Datenerhebung genutzt wird (z.B. elektronisch).100 Anders liegt dies bei der Information nach Abs. 3, die nicht an die konkrete Erhebung und deren Form gebunden ist. Hier reicht es aus, wenn der Verantwortliche sicherstellt, dass die betroffene Person die Informationen tatsächlich rechtzeitig und vollumfänglich erreicht, was mithilfe der elektronischen Form erfüllt sein kann, selbst wenn dies im Einzelfall einen Medienbruch darstellen mag.101 Doch auch im Rahmen der Information nach Abs. 3 muss gelten, dass die bereitgestellte Information unabhängig von der schriftlichen oder elektronischen Form so zusammengestellt sein muss (durch entsprechende Absätze, Gestaltung usw.), dass der betroffenen Person der Inhalt auf nachvollziehbare Weise zur Kenntnis gelangt.102

37

Die Informationen müssen dabei der betroffenen Person mitgeteilt bzw. zur Verfügung gestellt werden, was eine aktive Unterrichtung durch den Verantwortlichen voraussetzt. Das bloße Zurverfügungstellen der Informationen zum Abruf für die betroffene Person, entspricht demzufolge den Anforderungen nicht in jedem Fall. Etwas anderes kann allenfalls dann gelten, wenn der Verantwortliche die betroffene Person auf eine öffentlich zugängliche Information (bspw. Website) verweist, die diese zweifellos ohne Zeitaufwand und ohne Schwierigkeiten oder weitere Anforderungen erreichen kann (bspw. über einen Link).103 Vor allem dann ist jedoch darauf zu achten, dass der Inhalt der Information ausreichend konkretisiert auf den jeweiligen Vorgang bezogen ist, sodass es nicht ausreichen kann, wenn die betroffene Person sich die für sie zutreffenden Inhalte aus einer Vielzahl von Informationen heraussuchen muss.104 Wird dies berücksichtigt, ist zwar auch eine Darstellung im Rahmen der Allgemeinen Geschäftsbedingungen nicht völlig ausgeschlossen, wegen der Notwendigkeit der Anpassung auf die verschiedenen Datenerhebungsvorgänge (bspw. Angabe der Rechtsgrundlage) aber in der praktischen Umsetzung keinesfalls immer zielführend und damit nur sehr eingeschränkt zu empfehlen.105

VII. Ausnahmen von der Informationspflicht

38

Abs. 4 schränkt die dargestellten Informationspflichten auf die Fälle ein, in denen die betroffene Person nicht bereits über die Informationen verfügt.106 Wesentlich ist es demzufolge, dass es sich um die in Abs. 1, Abs. 2 und Abs. 3 genannten Informationen handelt, über die die betroffene Person bereits auf andere Weise verfügt. Der Informationsgehalt muss demnach aber in Ausmaß, Genauigkeit und Klarheit denen aus den vorherigen Absätzen entsprechen.107 Zudem reicht es nicht aus, dass die betroffene Person auf irgendeine Art und Weise Kenntnis über die Informationen erhalten hat bzw. erhalten kann, sondern sie müssen ihr nachweislich zur Verfügung stehen. Das beinhaltet auch, dass diese Informationen im Herrschaftsbereich der betroffenen Person sicher vorhanden sind, weshalb die bloße Möglichkeit, sich diese Informationen zu beschaffen, gerade nicht ausreicht (bspw. bestehende Rechtsvorschriften im Netz). Die Informationspflichten können daher nur dann im Sinne des Abs. 4 ausnahmsweise entfallen, wenn der Verantwortliche und die betroffene Person zum Beispiel in ständigen oder wiederkehrenden geschäftlichen Kontakt stehen. Doch selbst dann muss geprüft werden, ob sich die Ausnahmeregelung des Abs. 4 möglicherweise nur auf bestimmte Informationen bezieht, während andere eventuell erneut erfolgen müssen, weil sich beispielsweise Änderungen ergeben haben.108 Wichtig ist, dass im Zweifel der Verantwortliche den Beweis für das Vorliegen der Ausnahmetatbestände erbringen muss, weshalb vorgenommene Informationen bzw. eventuelle Abwägungen und Gründe der nicht vorgenommenen Information unbedingt entsprechend protokolliert werden sollten, um bei Nachfragen nicht nur den Nachweis leichter erbringen zu können, sondern außerdem der Rechenschaftspflicht Genüge getan zu haben (vgl. auch Art. 5 Abs. 2 DSGVO).109

39

Art. 23 ermöglicht über den Abs. 4 hinaus weitere Beschränkungen durch entsprechende Gesetzgebungsmaßnahmen der Union oder eines Mitgliedstaates vorzunehmen. Möglicherweise vorhandene bereichsspezifische Regelungen sind daher zu berücksichtigen und können zu weiteren Ausnahmeregelungen im Rahmen bestehender Informationspflichten führen.110

VIII. Folgen eines Verstoßes und Sanktionen

40

Eine Verletzung der Informationspflicht nach Abs. 1, Abs. 2 oder auch Abs. 3 liegt dann vor, wenn die genannten Informationen nicht, nicht vollständig oder inhaltlich unrichtig vom Verantwortlichen an die betroffene Person erteilt werden. Ist dies der Fall, fehlt es in den Fällen des Abs. 1 und 2 an einer ordnungsgemäßen Datenerhebung bzw. nach Abs. 3 an einer ordnungsgemäßen Weiterverarbeitung. Die damit verbundene Pflichtverletzung kann nach Art. 83 Abs. 5 lit. b DSGVO mit einer Geldbuße von bis zu 20.000.000 EUR oder bei Unternehmen von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.111

41

Für die Rechtmäßigkeit der weiteren Datenverarbeitung bei Abs. 1 und Abs. 2 kommt es darauf an, ob die betroffene Person zur Duldung der Datenerhebung verpflichtet war. Ist dies der Fall, kann der Verantwortliche zumindest für die weitere Verarbeitung der Daten die Informationspflicht nachholen. War die Datenerhebung hingegen vom Willen der betroffenen Person abhängig (bspw. bei Einwilligung oder Zustandekommen eines Vertrages), so ist zu unterscheiden.112 Im Falle des Einwilligungserfordernisses fehlt es bereits an der Voraussetzung der Rechtfertigung (Erlaubnis), weshalb auch die weitere Verarbeitung der Daten als rechtswidrig anzusehen ist. Bei einem Vertrag wird es demgegenüber zumeist auf die Entscheidung der betroffenen Person ankommen, ob sie den Vertrag zu diesen Bedingungen schließen möchte. Sofern es daher bei ausreichender Information für die betroffene Person möglich gewesen wäre, sich der Datenerhebung zu entziehen, kommt es für die rechtliche Beurteilung der Rechtmäßigkeit der Datenverarbeitung bei einem Vertrag ebenfalls nicht mehr auf die betroffene Person an.113 Mit der Folge, dass auch dann die Datenverarbeitung rechtswidrig ist.

42

Dies gilt ebenso für die Weiterverarbeitung bei Informationspflichtverletzung nach Abs. 3. Hat die betroffene Person die Rechtsmacht, die weitere Verarbeitung zu verhindern, ist die nach der Zweckänderung vorgenommene Verarbeitung rechtswidrig.114 Besteht diese Macht der betroffenen Person hingegen nicht, bleibt es bei der Rechtmäßigkeit der Weiterverarbeitung, allerdings muss der Verantwortliche die Informationspflicht unverzüglich nachholen.115

1 Zur Bestrebung, die Betroffenenrechte zu stärken und die Verantwortlichen mehr in die Pflicht zu nehmen, siehe u.a. bei Thode, in: Schläger/Thode, Handbuch Datenschutzrecht und IT-Sicherheit, Kapitel A. 2 Zur sog. „aktiven Transparenz“ und den Betroffenenrechten im Einzelnen siehe außerdem Franck, RDV 2015, 137, 141. 3 Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 1. 4 Dazu Franck, in: Gola, DS-GVO, Art. 13 Rn. 1. 5 Im Einzelnen bei Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 2f. 6 Zu den Informationspflichten nach BDSG a.F. siehe für nichtöffentliche Stellen bei Meents/Hinzpeter, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 33, und für öffentliche Stellen Mester, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 19; für die weitere Anwendung des TMG, solange die E-Privacy-Richtlinie nicht kommt, siehe noch Venzke-Caparese, DuD 2018, 156; insgesamt zur Umsetzung bei Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 3. 7 Zum Problem des Personenbezuges zukünftig nach der DSGVO, siehe aber auch Schmitz, ZD 2018, 5; Krügel, ZD 2017, 455. 8 Hierzu die Kommentierung zu Art. 4 Rn. 2ff. 9 Näher zur Definition des Verantwortlichen bei Hartung, in: Kühling/Buchner, DS-GVO BDSG, Art. 4 Nr. 7 Rn. 1ff.; dazu aber vor allem auch die Art.-29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, 6f.; Monreal, ZD 2014, 611, 612. 10 Hierzu schon unter Rn. 2; vgl. zur Abgrenzung außerdem Art. 4 Nr. 7 Rn. 158ff. 11 Zum Begriff des Verantwortlichen im Vergleich zur verantwortlichen Stelle auch Gola, in: Gola, DS-GVO, Art. 4 Rn. 48. 12 Zur Möglichkeit und dessen Reichweite vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 18. 13 Franck, in: Gola, DS-GVO, Art. 13 Rn. 4. 14 Darauf zu Recht hinweisend Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 13; a.A. aber hierzu Dammann/Simitis, DSRl, Art. 10 Rn. 2. 15 Dazu mit Beispielen und w.N. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 14f. 16 Zu den Beispielen siehe Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 15f. 17 Hierzu Art. 14 Rn. 5. 18 Vgl. Franck, in: Gola, DS-GVO, Art. 13 Rn. 4; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 2. 19 Franck, in: Gola, DS-GVO, Art. 13 Rn. 8; einschließlich der Rechtsform, vgl. Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 5. 20 Ebenso Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 22. 21 Vgl. Franck, in: Gola, DS-GVO, Art. 13 Rn. 9; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 22; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 6; zu Art. 10 DSRl auch Dammann/Simitis, DSRl, Art. 10 Rn. 7; Brühann, in: Grabitz/Hilf, Das Recht der Europäischen Union, Art. 10 DSRl Rn. 12, zu § 4 Abs. 3 Satz 1 Nr. 1 BDSG. 22 Auch wenn die Norm offenlässt, ob postalische Anschrift ausreicht oder außerdem die elektronischen Kontaktdaten mit aufgenommen werden müssen, vgl. Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 23; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 6. 23 So ebenfalls bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 22; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 6. 24 Siehe auch Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 35f.; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 8. 25 Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 9; zu Art. 10 DSRl Ehmann/Helfrich, DSRl, Art. 10 Rn. 6, zu § 4 Abs. 3 Satz 1 Nr. 2 BDSG a.F. Taeger, in: Taeger/Gabel, BDSG, 2. Aufl. 2013, § 4 Rn. 75; Formulierungsvorschläge für den Bereich des Gesundheitswesens siehe bspw. bei Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/8.1. 26 Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 37. 27 Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 16. 28 Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 37; Schlagworte hingegen als ausreichend erachtend Kamlah, in: Plath, BDSG DSGVO, Art. 13 Rn. 11. 29 Wohl auch Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 16; auch eine Form der Selbstbeschränkung, siehe Franck, in: Gola, DS-GVO, Art. 13 Rn. 11. 30 Dazu Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 25 m.w.N. 31 Die Zitierung der Norm als ausreichend erachtend, um die Rechtsgrundlage prüfen zu können, Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 16a. 32 Siehe auch zur Angabe der Rechtsgrundlage im Gesundheitswesen bei Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/8.1; noch zur Einwilligung nach altem Recht bei Rogosch, Die Einwilligung im Datenschutzrecht, S. 72. 33 Auch wenn dies sich nicht zwingend der Norm entnehmen lässt, ebenso hierfür sich einsetzend Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 26; ebenso Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 10. 34 Vgl. auch Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 10; so bereits noch zur informierten Einwilligung nach BDSG a.F. Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG – ein zukunftsfähiges Institut?, S. 131. 35 Weitere Beispiele bei Franck, in: Gola, DS-GVO, Art. 13 Rn. 14. 36 Dies als ein Pflichtfeld bezeichnend Franck, in: Gola, DS-GVO, Art. 13 Rn. 14; ebenfalls konkrete Umschreibungen fordernd Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 27; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 11; Formulierungsvorschlag für das Gesundheitswesen findet sich zum Beispiel bei Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/8.1. 37 Ebenso Franck, in: Gola, DS-GVO, Art. 13 Rn. 15; Formulierungsvorschlag bei Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/8. 38 Vgl. Franck, in: Gola, DS-GVO, Art. 13 Rn. 15; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 28; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 12; Klug, RDV 2001, 266, 268; kritisch hingegen Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 41ff. 39 Hierzu und auf die rechtsstaatliche Bedenklichkeit der Regelung allerdings hinweisend Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 28; Lorenz, VuR 2019, 213, 216. 40 Franck, in: Gola, DS-GVO, Art. 13 Rn. 17; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 13. 41 Lorenz, VuR 2019, 213, 216; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 13; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 30; hingegen a.A. Walter, in: Taeger, Smart World – Smart Law? Weltweite Netze mit regionaler Regulierung, S. 367, 371, der eine Nennung der branchentypischen Bezeichnungen als ausreichend erachtet; Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 18; Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 40. 42 Ebenso Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 12; ggf. müssen diese in so allgemeiner Form beschrieben werden, dass die betroffene Person die Risiken abschätzen kann, vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 30. 43 Zur Notwendigkeit der Information bei Veröffentlichung siehe auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 30 m.w.N; Lorenz, VuR 2019, 213 (216); Lapp, NJW 2019, 345 (346). 44 Zum ErwG 61 siehe Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 29. 45 Vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 30; Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 18. 46 Vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 29. 47 Insoweit eine ausdrückliche Informationspflicht verlangend Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 34; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 15. 48 Ebenso Franck, in: Gola, DS-GVO, Art. 13 Rn. 18; zur Übermittlung in Drittländer ausführlich bei Geppert, ZD 2018, 62; Wybitul/Ströbel/Ruess, ZD 2017, 503; zum Problem mit England in diesem Zusammenhang siehe auch schon Conrad, DuD 2018, 159. 49 Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 50; Franck, in: Gola, DS-GVO, Art. 13 Rn. 18. 50 Zum Problem, dass sonst Informationslücken entstehen könnten Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 35. 51 Ebenso Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 17; Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/8; näher dazu Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 22; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 20. 52 Franck, in: Gola, DS-GVO, Art. 13 Rn. 5; siehe aber noch Schantz, NJW 2016, 1841, 1845. 53 Dazu Veil, ZD 2015, 347, 349. 54 Zum Risikoansatz vgl. Veil, ZD 2015, 347; Buchner, DuD 2016, 155, 157. 55 Nicht eindeutig bei Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 51, im Ergebnis aber auf die Ansicht der Artikel-29-Datenschutzgruppe verweisend. 56 Zur wenig überzeugenden Aufspaltung in zwei Absätze vgl. ausführlich bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 19f. 57 Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 54; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 36; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 18. 58 Franck, in: Gola, DS-GVO, Art. 13 Rn. 20; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 18. 59 So auch Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 27f.; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 37. 60 Sicherlich können hier auch gewisse Standardformulierungen hilfreich sein, siehe Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 56. 61 Franck, in: Gola, DS-GVO, Art. 13 Rn. 21; Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 27b. 62 Mit der Folge, dass die Datenverarbeitung einzustellen ist, vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 38; zur Einwilligung allgemein siehe auch Hauser, KH 2018, 403. 63 Richtigerweise darauf hinweisend Franck, in: Gola, DS-GVO, Art. 13 Rn. 23, siehe aber bei falscher Angabe anderer Betroffenenrechte den Punkt vorher; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 20. 64 Dafür jedenfalls ebenso Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 39; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 21; a.A. Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 29. 65 Ebenso Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 21. 66 Eine konkrete Nennung der örtlich und sachlich zuständigen Aufsichtsbehörde ablehnend Franck, in: Gola, DS-GVO, Art. 13 Rn. 24. 67 In drei Fallgruppen einteilend bspw. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 41. 68 Zur Unterteilung auch Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 62. 69 Richtigerweise darauf hinweisend Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 44. 70 Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 62; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 45; Franck, in: Gola, DS-GVO, Art. 13 Rn. 25; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 22. 71 Siehe auch Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 62 Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 22. 72 Beispiel bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 47. 73 Zum Vergleich mit den Ausnahmen einer Benachrichtigungspflicht siehe bei Härting, Datenschutz-Grundverordnung, Rn. 74f. 74 Vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 51. 75 Zu Recht darauf hinweisend Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 40; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 22; wohl auch Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 62. 76 Die dann auf jeden Fall positiv ausfallen würde, siehe Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 40. 77 Dazu näher bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 52. 78 Franck, in: Gola, DS-GVO, Art. 13 Rn. 27. 79 Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 64; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 23; Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 31a; zur Reichweite siehe auch bei Kumkar/Roth-Isigkeit, JZ 2020, 277; zu dem Problem der Umsetzung von Transparenzanforderungen, die sich auf Entscheidungsprozesse beziehen, vgl. Hoffmann/Kevekordes, DuD 2021, 609. 80 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 53. 81 So auch trotz vorher vorgenommener Abgrenzung Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 53. 82 Siehe auch Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 64; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 23; Roßnagel/Nebel/Richter, ZD 2015, 455, 458; Albrecht, CR 2016, 88, 93; zu Art. 12 DSRl Brühann, in: Grabitz/Hilf, Das Recht der Europäischen Union, Art. 12 DSRl Rn. 11; a.A. Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 13 Rn. 31b; wichtig ist jedoch ein ausreichender Kenntnisgewinn, vgl. hierzu sowie zur Diskussion ausführlich Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 55a, der Schutz von Betriebsgeheimnissen muss ggf. über technische Maßnahmen erfolgen, vgl. Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 23, dazu Hoffmann/Kevekordes, DuD 2021, 609. 83 Zur Diskussion, ob es damit über die bisher bestehende Informationspflicht hinausgeht, dafür Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 54; Franck, RDV 2016, 111, 115; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 23; a.A. noch Taeger, ZRP 2016, 72, 75. 84 Dazu Kugelmann, DuD 2016, 566, 568; nach BDSG a.F. war die Auskunft nach § 34 Abs. 4 Satz 1 Nr. 4 nur in den Grenzen des Geschäfts- und Betriebsgeheimnisses möglich, vgl. BGH, Urt. v. 28.1.2014 – VI ZR 156/13; dazu Franck, in: Gola, DS-GVO, Art. 13 Rn. 28. 85 Zu dem Problem siehe bei Kugelmann, DuD 2016, 566, 568; zu Art. 12 DSRl ebenso Brühann, in: Grabitz/Hilf, Das Recht der Europäischen Union, Art. 12 DSRl Rn. 11. 86 Wohl befürwortend zumindest Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 54. 87 Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 23; für eine Abwägung nach Treu und Glauben vgl. Franck, in: Gola, DS-GVO, Art. 13 Rn. 28. 88 So zumindest Franck, in: Gola, DS-GVO, Art. 13 Rn. 30 mit Verweis auf den Kommissions- und Ratsentwurf zu Art. 14 Abs. 1 lit. h KommissionsE und Art. 14 Abs. 1 lit. h ParlE. 89 Außer, andere Vorschriften regeln weitere Informationspflichten, bspw. Vereinbarung mehrerer Verantwortlicher, s. Art. 26 Abs. 2 Satz 2, jedoch nicht für das Verzeichnis der Verarbeitungstätigkeit, für das die Verpflichtung aus dem BDSG a.F. der Einsicht für jedermann (§ 4g Abs. 2 Satz 2) nicht übernommen wurde, vgl. auch Franck, in: Gola, DS-GVO, Art. 13 Rn. 32. 90 Vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 69. 91 Franck, in: Gola, DS-GVO, Art. 13 Rn. 33; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 70. 92 Vgl. Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 66. 93 So auch Franck, in: Gola, DS-GVO, Art. 13 Rn. 35. 94 Ebenso Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 71ff.; vgl. auch Franck, in: Gola, DS-GVO, Art. 13 Rn. 34f.; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 25. 95 Dazu Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 75ff. 96 Franck, in: Gola, DS-GVO, Art. 13 Rn. 36. 97 Vgl. Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 10; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 56; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 27. 98 Beispielsweise bei Zweckänderung nach Art. 3 oder bei weiteren oder anderen Empfängern nach Art. 14. 99 Vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 78; vgl. mit der noch nach alter Rechtslage bestehenden Pflicht, den Betroffenen vor Erteilung der Einwilligung zu informieren, siehe hierzu von Zimmermann, Die Einwilligung im Internet, S. 252f.; zum Problem auch Franck, in: Gola, DS-GVO, Art. 13 Rn. 36; Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 12ff.; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 13 Rn. 27. 100 Ebenso Franck, in: Gola, DS-GVO, Art. 13 Rn. 41; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 58; zur Verwendbarkeit von Bildsymbolen bei Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 15ff. 101 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 79; ähnlich Franck, in: Gola, DS-GVO, Art. 13 Rn. 41. 102 Zum Beispiel ohne langes „Scrollen“ des elektronischen Textes, zur Notwendigkeit nach altem Recht siehe bei von Zimmermann, Die Einwilligung im Internet, S. 252f.; Rogosch, Die Einwilligung im Datenschutzrecht, S. 72. 103 Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 22. 104 Dann würde auch der ausdrückliche Hinweis im Einzelfall nicht ausreichen, so aber Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 60. 105 Dazu Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/8. 106 Zum Vergleich mit dem Katalog aus § 33 Abs. 2 BDSG vergleiche Härting, Datenschutz-Grundverordnung, Rn. 75. 107 Vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 84. 108 Dazu im Einzelnen bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 87. 109 Insoweit auf die Beweislast hinweisend Franck, in: Gola, DS-GVO, Art. 13 Rn. 43. 110 Vgl. Franck, in: Gola, DS-GVO, Art. 13 Rn. 46; ausführlich dazu bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 89ff.; siehe auch die Ausführungen zu Art. 23 Rn. 4ff. 111 Zur Möglichkeit und Höhe der Geldbuße nach Datenschutzgrundverordnung siehe u.a. bei Eckhard/Menz, DuD 2018, 139; Mester, DuD 2018, 181; Steffen, DuD 2018, 145, 147; siehe auch hierzu Art. 83 Rn. 73ff. 112 Nicht ganz deutlich wird dies bei Franck, in: Gola, DS-GVO, Art. 13 Rn. 55. 113 Zum Ganzen sehr ausführlich und kritisch bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 61ff. m.w.N. 114 Ebenso Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 13 Rn. 81. 115 Mit Hinweis auf Art. 6 und dessen fehlenden Hinweis auf Art. 13, siehe Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Rn. 8.