DSGVO - BDSG - TTDSG

9

Die Notwendigkeit der Angabe des Namens und der Adresse eines Vertreters besteht dann, wenn der Verantwortliche gemäß Art. 27 DSGVO einen Vertreter in der Europäischen Union(Art. 4 Nr. 17 DSGVO) bestellen muss. Sofern darüber hinaus der Verantwortliche freiwillig oder aufgrund einer bestehenden Verpflichtung (bspw. nach Art. 37 Abs. 1 DSGVO oder gem. Art. 37 Abs. 4 DSGVO aufgrund einer mitgliedstaatlichen oder unionsrechtlichen Regelung, vgl. § 38 BDSG) einen Datenschutzbeauftragtenbestellt hat, sind auch dessen Name und Kontaktdaten der betroffenen Person mitzuteilen (vgl. Abs. 1 lit. b).24

10

Die betroffene Person muss außerdem über den Zweck bzw. die Zwecke der Verarbeitung ihrer personenbezogenen Daten so detailliert informiert werden (Abs. 1 lit. c), dass sie ein vollständiges Bild davon erhält, welche Verarbeitungsvorgängemit ihren Daten vorgenommen werden.25 Zweckangaben, die unklar, generalisierend, zu allgemein oder oberflächlich formuliert sind, genügen diesem Erfordernis demgegenüber nicht.26 Dies ist aus Sicht der betroffenen Person vor allem zur Sicherstellung des Grundsatzes auf Transparenz der Datenverarbeitungvon entscheidender Bedeutung.27 Daher kann weder die bloße Angabe von Stichworten, noch eine allgemeine sowie pauschale Aufzählung aller erdenklichen Zwecke den Anforderungen der Information nach Abs. 1 lit. c DSGVO genügen.28 Wesentlich ist es vielmehr auch hier, dass die betroffene Person den Umfang der Datenverarbeitungversteht, sodass gegebenenfalls weitere und ausführlichere Ausführungen mit aufgenommen werden müssen, damit die betroffene Person in die Lage versetzt wird, den verfolgten Zweck und damit den Umfang der Datenverarbeitung wirklich einschätzen zu können. Gleichzeitig wird mit dieser Information der vom Verantwortlichen angegebene Verarbeitungszweck bzw. die Verarbeitungszwecke gegenüber der betroffenen Person festgelegt.29 Diese Zweckbindung (vgl. Art. 5 Abs. 1 lit. b DSGVO) ist nicht zuletzt auch für eine mögliche Zweckänderung im Sinne des Art. 6 Abs. 4 DSGVO von Belang.30

11

Darüber hinaus muss der betroffenen Person die Rechtsgrundlage der Datenverarbeitungmitgeteilt werden, wozu zumindest die konkrete Nennung der Norm, aus der sich die Erlaubnis der Datenverarbeitung ergibt (Art. 6 Abs. 1 DSGVO bzw. ggf. die Norm nach mitgliedstaatlichem oder Unionsrecht), durch die Zitierung oder wörtliche Wiedergabe erfolgen muss.31 Nicht zwingend ist es hingegen, dass der gesamte Text der Vorschrift abgeschrieben bzw. wiedergegeben wird. Dadurch würde je nach Einzelfall die Lesbarkeit bzw. das Verständnis für den Gesamtkontext lediglich unnötig erschwert werden.32 Bei sehr komplexen Sachverhalten kann es außerdem notwendig sein, dass die Rechtsgrundlage der Datenverarbeitung näher erläutert wird, damit die betroffene Person überhaupt in die Lage versetzt wird, die Anwendbarkeit auf ihren Fall nachzuvollziehen.33 Darüber hinaus ist es bei einer Erlaubnis aus Art. 6 Abs. 1 lit. f DSGVO erforderlich, die Informationspflicht nach Abs. 1 lit. d zu beachten.

12

Insgesamt muss die betroffene Person durch die Information des Verantwortlichen zum Zweck und die Rechtsgrundlage der Datenverarbeitung in die Lage versetzt werden, sich ohne weitere Nachfragen ein Bild vom Umfangder Datenverarbeitung machen zu können.34 Nur so ist sichergestellt, dass eventuell zu ergreifende Gegenmaßnahmen oder die Notwendigkeit der Wahrnehmung von Betroffenenrechten durch die betroffene Person in ausreichendem Maße eingeschätzt werden können.

13

Soll durch die Datenverarbeitung das berechtigte Interessedes Verantwortlichen oder eines Dritten im Sinne des Art. 6 Abs. 1 lit. f DSGVO gewahrt werden, ist dieses Interesse des Verantwortlichen bzw. des Dritten ebenfalls der betroffenen Person mitzuteilen. Die bloße Angabe der Interessen, zum Beispiel Bonitätsprüfungen, Forderungsmanagement, Warenkreditsicherung etc., kann allerdings nicht als ausreichende Pflichterfüllung im Sinne des Abs. 1 lit. d DSGVO erachtet werden.35 Vielmehr ist die mit dem berechtigten Interesse verbundene Interessenabwägungebenfalls so detailliert darzulegen, dass die betroffene Person die vorgenommene Abwägung nachvollziehen und im Falle irgendwelcher Zweifel entsprechende Einwände substantiiert vorbringen kann.36

14

Die betroffene Person muss außerdem vom Verantwortlichen über mögliche Empfänger bzw. Kategorien von Empfängern informiert werden, unabhängig davon, ob die betroffene Person damit rechnen muss, dass die Daten an bestimmte Empfänger weitergegeben werden.37 Dabei wird nicht allein auf Dritte im Sinne des Art. 4 Nr. 10 DSGVO abgestellt, sondern gemäß der Definition nach Art. 4 Nr. 9 Satz 1 DSGVO jede Stelleerfasst, der die personenbezogenen Daten offengelegt werden. Damit unterliegt die Weitergabe von Daten der betroffenen Person an die eigenen Untereinheiten des Verantwortlichen sowie an Auftragsverarbeiter und deren Unterauftragnehmer ebenfalls der Informationspflicht des Verantwortlichen im Sinne des Abs. 1 lit. e DSGVO.38 Lediglich Behörden, die im Rahmen eines bestimmten Untersuchungsauftrages nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eventuell personenbezogene Daten erhalten, werden von dieser Verpflichtung ausgenommen (vgl. Art. 4 Nr. 9 Satz 2 DSGVO).39 Sind die Empfänger bei der Datenerhebung bereits konkret bekannt bzw. absehbar, wer diese sein werden, sind sie der betroffenen Person folglich konkret zu benennen.40 Ein Wahlrecht besteht insoweit nicht.41 Sofern die Empfänger namentlich bekannt sind, entspricht es schon dem Transparenzgebot, dass diese entsprechend aufgeführt werden.42 Ist dies ausnahmsweise nicht möglich, so muss der Verantwortliche die Empfänger bzw. die Kategorien von Empfängern zumindest so beschreiben, dass die betroffene Person das mit der Erhebung der Daten für sie verbundene Risiko entsprechend einschätzen kann.43

15

Nur wenn die Weitergabe der personenbezogenen Daten zum Zeitpunkt der Erhebung überhaupt noch nicht absehbar ist, besteht keine Notwendigkeit der Information.44 So müssen im Falle einer Veröffentlichung zwar nicht die Empfänger benannt werden, allerdings muss die betroffene Person über die Absicht der Veröffentlichung informiert werden.45 Erfolgt überdies zu einem späteren Zeitpunkt die Weitergabe der Daten an Empfänger oder Kategorien von Empfängern, ergibt sich die Informationspflicht für den Verantwortlichen dann wegen der mit einer Datenübermittlung eventuell einhergehenden Zweckänderungaus Abs. 3. In Betracht kommt in diesem Fall außerdem eine Informationspflichtnach Art. 14 DSGVO, wonach den Empfänger der Daten die Verpflichtung zur Information der betroffenen Person trifft.46

16

Hat der Verantwortliche zudem die Absicht, die Daten an Empfänger in Drittländern oder internationale Organisationen weiterzugeben, ist die betroffene Person darüber ebenfalls zu informieren (Abs. 1 lit. f). Als wesentlich darf hierbei angesehen werden, dass die betroffene Person in die Lage versetzt werden soll, das Übermittlungsrisikoentsprechend einzuschätzen und gegebenenfalls Einwände dagegen zu erheben.47 Insbesondere hat der Verantwortliche mitzuteilen, inwieweit ein Angemessenheitsbeschlussder Kommission zur Erlaubnis der Datenübermittlung (Art. 45 Abs. 1 DSGVO) oder entsprechende Garantien nach Maßgabe von Art. 46, Art. 47 oder Art. 49 Abs. 1 Satz 2 DSGVO vorliegen und wie bzw. wo diese für die betroffene Person verfügbar sind.48 Der Hinweis auf die allgemein zugänglichen Garantien reicht aus, sofern diese für die betroffene Person ohne Probleme zur Verfügung stehen. Im Zweifel muss der Verantwortliche für die betroffene Person die Garantien selbst verfügbar machen bzw. aushändigen.49 Informationspflichten ergeben sich außerdem bei Anwendung unternehmensinterner Datenschutzvorschriftennach Art. 47 Abs. 2 lit. g DSGVO und unabhängig davon, ob die Übermittlung bereits bei der Datenerhebung absehbar war, aus Art. 49 Abs. 1 Satz 2 DSGVO.50