DSGVO - BDSG - TTDSG

17

Neben den in Abs. 1 genannten Informationspflichten enthält Abs. 2 weitere Informationen, die der Verantwortliche der betroffenen Person bei einer Direkterhebung mitzuteilen hat. Die Verpflichtung zur Information besteht trotz der Unterteilung auf zwei Absätze ohne Unterschied zu Abs. 1.51 Der zusätzliche Hinweis, dass es sich hierbei um Informationen handelt, die notwendig sind, um eine faire und transparente Verarbeitungzu gewährleisten, ändert an dieser grundlegenden Verpflichtung nichts.52 Anders als noch der Ratsentwurf,53 bezieht sich der Wortlaut Art. 13 nicht mehr auf bestimmte Basisinformationen, denen weitergehende Informationen nur zur Gewährleistung einer fairen und transparenten Verarbeitung hinzugefügt werden sollen.54 Zwar findet sich dieser Risikoansatz immer noch im ErwG 60, aber Abs. 2 verweist auf die faire und transparente Verarbeitung nur noch in Form eines Ziels und lässt nicht erkennen, dass hierzu ein besonderer Maßstab bzw. ein besonderes Risiko bei der Datenverarbeitung bestehen muss.55 Unabhängig von der systematischen Trennung der Informationspflichten auf zwei Absätze, hat der Verantwortliche daher die Informationen aus beiden Absätzen vollständig zu erteilen.56

18

Sofern dem Verantwortlichen die konkrete Speicherdauer bekannt ist, muss er diese der betroffenen Person mitteilen. Lässt sich eine feste Frist zum Zeitpunkt der Datenerhebung hingegen nicht benennen, ist es als ausreichend zu erachten, wenn der Verantwortliche die Kriterien benennt, nach denen sich die Speicherdauerrichtet. Diese Information muss dann allerdings so vollständig und präzise sein, dass anhand der angegebenen Kriterien die Speicherdauer durch die betroffene Person zumindest annäherungsweise selbst bestimmt werden kann, sodass zum Beispiel zumindest ein Hinweis auf einzuhaltende Aufbewahrungsfristen zu erwarten ist.57 Nach Ablauf der Speicherdauer muss der Verantwortliche die Daten löschen (vgl. Art. 17 Abs. 1 lit. a DSGVO), sofern nicht die Voraussetzungen zur Weiterverarbeitung aufgrund eines anderen Zwecks erfüllt sind. Diese können sich aufgrund gesetzlicher Aufbewahrungsfristenergeben, beispielsweise aus dem Handelsrecht (§ 257 HGB) oder dem Steuerrecht (§ 147 AO).58

19

Der betroffenen Person sind überdies ihre Betroffenenrechtemitzuteilen, d.h. sie ist über das Recht auf Auskunft über gespeicherte Daten (Art. 15 DSGVO), auf Berichtigung unzutreffender Daten (Art. 16 DSGVO), auf Löschung von Daten (Art. 17 DSGVO), auf Einschränkung der Verarbeitung von Daten (Art. 18 DSGVO), auf die Möglichkeit der Datenübertragbarkeit (Art. 20 DSGVO) sowie des Rechts auf Widerspruch gegen eine unzumutbare Datenverarbeitung (Art. 21 DSGVO) zu informieren. Hierbei erscheint eine allgemeine Mitteilungsowie Erläuterung der bestehenden Betroffenenrechte als ausreichend, da auf den Einzelfall bezogene konkrete Hinweise auf bestimmte Betroffenenrechte zum Zeitpunkt der Datenerhebung nicht möglich sind. Dies gilt aber nur dann, wenn nicht schon bei Erteilung der Information absehbar ist, dass bestimmte Rechte durch den Betroffenen überhaupt nicht wahrgenommen werden können, weil beispielsweise eine bestimmte Datenverarbeitungsform eine Datenübertragbarkeit (Art. 20 DSGVO) von vorneherein ausschließt.59 In diesem Fall ist beim Inhalt der Information auf die tatsächlich zustehenden Rechte der betroffenen Person abzustellen, um falsche Vorstellungen bzw. den Anschein von mehr als wirklich bestehenden Rechten bei der betroffenen Person auszuschließen.60

20

Die Information über Betroffenenrechte wirkt hingegen nicht konstitutiv, sodass ein fälschlich genanntes Recht (bspw. ein nicht bestehendes Widerspruchsrecht) bei mangelndem Vorliegen der notwendigen Voraussetzungen nicht zur Bindung des Verantwortlichen an die Einhaltung dieses Betroffenenrechts führt.61

21

Der Verantwortliche hat die betroffene Person, sofern die Datenerhebung durch eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder gem. Art. 9 Abs. 2 lit. a DSGVO, sowohl auf die Möglichkeit des bestehenden Widerrufsrechtsals auch auf dessen Ex-nunc-Wirkung (Rechtmäßigkeit der Verarbeitung bis zum Widerruf) zu informieren.62 Bei einer fälschlichen Zusicherung des Verantwortlichen, dass aufgrund einer Einwilligung die Daten erhoben werden, führt dies in diesem Fall (anders als bei der Angabe eines nicht vorhandenen Betroffenenrechts) jedoch dazu, dass kein Rückgriff auf andere Erlaubnistatbestände möglich ist, der Verantwortliche ist vielmehr an die Möglichkeit des Widerrufs bei dessen Wahrnehmung durch die betroffene Person gebunden.63

22

Die betroffene Person ist außerdem über die nach Art. 77 Abs. 1 DSGVO bestehende Möglichkeit der Beschwerde bei einer Aufsichtsbehördezu informieren. Inwieweit dabei eine zuständige Aufsichtsbehörde zu benennen ist, bei der eine möglichst niedrigschwellige Beschwerdemöglichkeit besteht, wird unterschiedlich beurteilt.64 Auf jeden Fall ist aber zu berücksichtigen, dass die betroffene Person oftmals gar nicht wissen wird, was für eine Aufsichtsbehörde für sie zuständig ist, weshalb schon aufgrund des Transparenzgrundsatzesdie Angabe der Aufsichtsbehörde und deren Kontaktdaten geboten erscheint.65 Gegebenenfalls kann dies durch die Aufnahme eines Links erfolgen, unter dem die entsprechenden Kontaktdaten aufgeführt sind.66

23

Ist die betroffene Person zur Bereitstellung der Daten gesetzlich oder vertraglich verpflichtet, so muss der Verantwortliche sie sowohl darüber als auch über die möglichen Folgeneiner Nichtbereitstellung informieren. Hat eine betroffene Person daher beispielsweise aufgrund einer gesetzlichen Grundlage die Pflicht zur Auskunft oder zur körperlichen Untersuchung, so muss sie die entsprechende Information darüber erhalten. Damit der Verantwortliche jedoch überhaupt in die Lage versetzt wird, die konkreten Inhalte der zu erteilenden Information zu bestimmen, kann es hilfreich sein, die von Abs. 2 lit. e erfassten Fallkonstellationen zu analysieren und entsprechend zu unterteilen, um den Inhalt der jeweiligen Konstellation anzupassen.67

Grob unterteilt lassen sich danach drei Gründe unterscheiden, nämlich zum einen die Notwendigkeit der Datenbereitstellung aufgrund einer konkreten Verpflichtung, zum anderen der Grund des zu erwartenden Nachteilsfür die betroffene Person, wenn sie die Daten nicht bereitstellt und zuletzt noch der Fall, dass es der betroffenen Person freisteht, die Daten zur Verfügung zu stellen.68 Sofern eine konkrete Verpflichtung der betroffenen Person zur Datenbereitstellung besteht, ist es zunächst einmal denkbar, dass sich die Pflicht zur Bereitstellung der Daten aus einem Vertrag ergibt, der zur Datenerhebung nach Art. 6 Abs. 1 lit. b DSGVO berechtigt. Die Pflicht kann außerdem nach Art. 6 Abs. 1 lit. c und e DSGVO aufgrund einer gesetzlichen Regelung bestehen, die in Art. 6 Abs. 2 und Abs. 3 DSGVO vorgesehen sind. Demnach besteht in diesen Fällen eine gesetzliche bzw. vertragliche Pflicht der betroffenen Person zur Bereitstellung der Daten, worüber der Verantwortliche die betroffene Person entsprechend informieren muss. Hingegen nicht von der Mitteilungspflicht des Verantwortlichen umfasst ist die Angabe darüber, ob die Datenerhebung aufgrund einer Pflicht oder einer Befugnis bzw. einer Berechtigung des Verantwortlichen zur Datenerhebung erfolgt, da dies allein den Verantwortlichen betrifft und die betroffene Person und die Wahrnehmung möglicher Betroffenenrechte in diesem Zusammenhang völlig unwesentlich ist.69 Der Verantwortliche muss hingegen die möglichen Folgen einer Weigerung der betroffenen Person mitteilen, d.h. wenn es spezifische Sanktionen oder Durchsetzungsmechanismen gibt(bspw. Bußgeld oder Strafe), was jedoch keine allgemeinen Ausführungen zum Verwaltungsvollstreckungs- oder Zivilprozessrecht erfordert.70