DSGVO - BDSG - TTDSG

27

Zum Schutz des Berufsgeheimnisses enthält Abs. 5 lit. d eine weitere Ausnahmeregelung zur Informationspflicht. Das Berufsgeheimnis kann sich sowohl aus Unionsrecht als auch aus dem Recht der Mitgliedstaaten ergeben, wobei es auf einer rechtlichen Grundlageberuhen muss. Ausreichend ist danach eine Regelung des Berufsgeheimnisses in Form des § 203 Abs. 1 und Abs. 2 StGB, wonach ein Arzt gegebenenfalls nicht zur Information an betroffene Personen verpflichtet ist, sofern er deren personenbezogene Daten im Rahmen eines Patienten-Arztverhältnisses erhalten hat.67 Danach müssen Familienangehörige dann nicht informiert werden, wenn beispielsweise im Rahmen einer Familienanamnese Angaben zu Vorerkrankungen von Angehörigen erfragt oder während einer Therapie von einem Psychologen Angaben zu Familienangehörigen erhoben werden.68

28

Darüber hinaus können gemäß Art. 23 DSGVO die Informationspflichten aus Art. 14 DSGVO außerdem durch Gesetzgebungsmaßnahmen der Union oder eines Mitgliedstaateszusätzlich zu Abs. 5 beschränkt werden. Möglich ist dies zum Beispiel, wenn zum Schutz privater Geschäftszwecke oder zur Erfüllung behördlicher Aufgaben die Datenerhebung und deren nachfolgende Verarbeitung geheim gehalten werden sollen, wobei wegen des starken Eingriffs in die Rechte der betroffenen Person an die Regelungen dann hohe Anforderungen in Bezug auf die Bestimmtheit und die Verhältnismäßigkeit zu stellen sind.69

29

Vorgaben für die Form und die Darstellung der Informationen finden sich für Art. 14 DSGVO ebenfalls nicht in der Vorschrift selbst, sondern ergeben sich lediglich aus Art. 12 Abs. 1, 7 und 8 DSGVO.70 Auch im Zusammenhang des Art. 14 DSGVO ist dabei auf eine verständliche Vermittlung der Informationenzu achten, sodass die betroffene Person in die Lage versetzt wird, den Umfang der Datenverarbeitung zu verstehen und gegebenenfalls ihre Betroffenenrechte sowohl dem Verantwortlichen als auch Dritten gegenüber wahrnehmen zu können.71 Dabei kann auch die Verwendung von Bildsymboleneine Möglichkeit darstellen, die Informationen der betroffenen Person mitzuteilen.72

30

Wird eine betroffene Person durch den Verantwortlichen nicht nach Abs. 1, Abs. 2 oder Abs. 4 informiert bzw. der nach Abs. 3 einzuhaltende Zeitraum überschritten, handelt es sich um eine Informationspflichtverletzung, welche gemäß Art. 83 Abs. 5 lit. b DSGVO mit einer Geldbuße geahndet werden kann.73 Die Verletzung der Informationspflichten führt aber nicht zwingend zur Rechtswidrigkeit der Datenerhebung, vielmehr kommt es auch im Rahmen des Art. 14 Abs. 1 und Abs. 2 DSGVO darauf an, ob die Datenerhebung von der Entscheidung der betroffenen Person abhing, sie also die Entscheidung mangels der notwendigen Informationen nicht treffen konnte.74 Hätte die Information demnach schon bei der Datenerhebung erfolgen müssen (bspw. bei einer notwendigen Einwilligung oder der Vorbereitung eines Vertragsverhältnisses), so ist deren Weiterverarbeitung rechtswidrig. Dies ist auch dann der Fall, wenn die Weiterverarbeitung nach einer Zweckänderung gemäß Abs. 4 vom Willen der betroffenen Person abhängt.75 Ansonsten bleibt die Weiterverarbeitung rechtmäßig, die Informationen müssen allerdings durch den Verantwortlichen umgehend nachgeholt werden.76

1Zur Bestrebung, die Betroffenenrechte zu stärken und die Verantwortlichen mehr in die Pflicht zu nehmen, siehe u.a. bei Thode, in: Schläger/Thode, Handbuch Datenschutzrecht und IT-Sicherheit, Kapitel A m.w.N. 2Zur sog. „aktiven Transparenz“ und den Betroffenenrechten im Einzelnen siehe außerdem Franck, RDV 2015, 137, 141. 3Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 1, Art. 14 Rn. 1. 4Dazu Franck, in: Gola, DS-GVO, Art. 13 Rn. 1, Art. 14 Rn. 1. 5Im Einzelnen bei Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 1. 6Für die weitere Anwendung des TMG, solange die E-Privacy-Richtlinie nicht kommt, so noch Venzke-Caparese, DuD 2018, 156; siehe aber auch die Meinung der Aufsichtsbehörden, DSK v. 26.4.2018; darüber hinaus wurde inzwischen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beschlossen, welches bereits ab dem 1.12.2021 gilt, mit dem Ziel, die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) sowie des Telemediengesetzes (TMG) an die Datenschutzgrundverordnung anzupassen, bestehende Rechtsunsicherheiten zu beseitigen und die Datenschutzbestimmungen von TKG und TMG zusammenzufassen, hierzu näher unter https://www.gdd.de/aktuelles/startseite/gdd-veroeffentlicht-praxishilfe-das-neue-telekommunikation-telemedien-datenschutz-gesetz-ttdsg-im-ueberblick (zuletzt abgerufen am 15.7.2021). 7Die Vorschrift als Pedant zu Art. 13 bezeichnend Franck, in: Gola, DS-GVO, Art. 14 Rn. 1. 8Dazu Franck, in: Gola, DS-GVO, Art. 14 Rn. 2; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 4; noch zu den Betroffenenrechten nach BDSG a.F. siehe Franck, RDV 2015, 137; nach DSGVO Franck, RDV 2016, 111. 9Jedoch nicht den Auftragsverarbeiter, vgl. bereits oben unter Rn. 2. 10Zur weiten Auslegung des Begriffs Datenerhebung vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 11; noch zu Art. 11 DSRl Brühann, in: Grabitz/Hilf, DSRl, Art. 11 Rn. 4; demgegenüber anders noch bei Dammann/Simitis, DSRl, Art. 10 Rn. 3; insoweit handelt es sich um eine Art Auffangnorm, vgl. Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 2a. 11Vgl. Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 2; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 9; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 1. 12Bzw. inwieweit andere Regelungen gelten, hierzu Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 9. 13Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 14 Rn. 13; zum Problem der Reichweite auch bei Kugelmann, DuD 2016, 566, 568. 14Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 13. 15Dazu bereits unter Art. 13 Rn. 12 ausführlich; aber auch für Art. 14 zur entgegengesetzten Auffassung, dass die Information nach Abs. 2 situationsbedingt sein soll, Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 22; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 11. 16Dazu unter Art. 13 Rn. 8f. 17Dazu unter Art. 13 Rn. 10ff.; dazu allgemein auch bei Buchner, DuD 2016, 155. 18Dazu unter Art. 13 Rn. 14f. 19Dazu Art. 13 Rn. 16. 20Zum Vergleich mit anderen Sprachfassungen bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 16. 21Zum Ganzen bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 17; Kategorien von Daten als ausreichend erachtend Lorenz, VuR 2019, 213, 219; zusammenfassende thematische Beschreibung verlangen nach Art. 12 DSRl noch Dammann/Simitis, DSRl, Art. 12 Rn. 4; auch hier besteht die Notwendigkeit, dass eine betroffene Person die Reichweite erkennt, vgl. ähnlich noch zur informierten Einwilligung nach BDSG a.F. Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG – ein zukunftsfähiges Institut?, S. 131. 22Vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 17; Lorenz, VuR 2019, 213, 219; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 8. 23Auch hier keine Trennung in Pflichtinformationen und sonstige Informationen, so aber für Art. 13 DSGVO Schantz, NJW 2016, 1841, 1845. 24Zu möglichen Formulierungen im Bereich des Gesundheitswesens siehe bspw. bei Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/8.1. 25Vgl. Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 38; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 17. 26Insbesondere auch die Abgrenzung, ob öffentlich zugängliche Quelle, vgl. Franck, in: Gola, DS-GVO, Art. 14 Rn. 13; für weites Verständnis Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 19. 27Vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 20; wohl auch Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 38. 28Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 20; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 17. 29Zu weiteren Beispielen bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 21; Werkmeister/Brandt, CR 2016, 233, 236. 30Franck, in: Gola, DS-GVO, Art. 14 Rn. 14; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 17. 31Vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 23. 32Zur möglichen Regelungslücke, die aber praktisch wenig Auswirkung hat, siehe Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 24ff.; siehe auch Franck, RDV 2016, 111, 115. 33Zur Notwendigkeit, dass bei einer Einwilligung dies dann schon ein Erfordernis der informierten Einwilligung ist, siehe auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 32. 34Ähnlich wohl auch Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/9. 35So wohl auch Franck, in: Gola, DS-GVO, Art. 14 Rn. 18, der von einer Berücksichtigung der spezifischen Umstände spricht. 36Ähnlich Franck, in: Gola, DS-GVO, Art. 14 Rn. 18. 37Vgl. ebenso Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 28. 38Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 29. 39Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 14. 40Siehe bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 30; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 20. 41Dazu näher Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 34. 42Ebenso mit Hinweis auf sprachliche Unterschiede in den Fassungen der Mitgliedstaaten, siehe Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 35. 43Dazu auch Franck, RDV 2016, 111, 115f.; bei der es sich aber um die Maximaldauer handelt, Franck, in: Gola, DS-GVO, Art. 14 Rn. 21. 44Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 40; ähnlich noch zu Art. 11 DSRl Dammann/Simitis, DSRl, Art. 11 Rn. 2. 45Zum Ganzen und zum Beispiel der Weiterleitung von Bewerberdaten an eine Firma zur Personalberatung, siehe bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 38. 46In Art. 13 Abs. 3 DSGVO wurde die Formulierung „erhoben wurde“ verwendet, dazu auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 45; Franck, in: Gola, DS-GVO, Art. 14 Rn. 17. 47Zur Notwendigkeit dieser Informationen siehe unter Art. 13 Rn. 31ff. 48Dazu unter Art. 13 Rn. 32. 49Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 49. 50Zum Vergleich mit dem § 33 Abs. 2 BDSG, siehe Härting, Datenschutz-Grundverordnung, Rn. 74f. 51Dazu unter Art. 13 Rn. 38f. 52Vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 52. 53Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 54. 54Vgl. Franck, in: Gola, DS-GVO, Art. 14 Rn. 25; so auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 54. 55Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 26; ggf. sind geeignete Maßnahmen zu ergreifen, um die Rechte und Freiheiten der betroffenen Personen zu schützen, vgl. Franck, in: Gola, DS-GVO, Art. 14 Rn. 25. 56Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 55. 57Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 27. 58Vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 56. 59Zum Ganzen Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 59 mit Hinweis darauf, dass es sich nicht um eine verarbeitungsübergreifende Ausschlussvorschrift handelt. 60Dazu Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 63. 61Nicht eindeutig bei Franck, in: Gola, DS-GVO, Art. 14 Rn. 25; dazu außerdem Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 29. 62Dies zumindest als eines der Hauptanwendungsfälle erachtend Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 66; schon insoweit zu Art. 11 Abs. 2 DSRl noch Dammann/Simitis, DSRl, Art. 11 Rn. 7. 63EuGH, Urt. v. 1.10.2015 – C-201/14, ECLI:EU:C:2015:638, Rn. 45 – Bara u.a. 64Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 65; schon insoweit noch zu Art. 11 Abs. 2 DSRl bei Dammann/Simitis, DSRl, Art. 11 Rn. 7; Meldepflichten als Beispiel nennend Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 30. 65Dazu schon EuGH, Urt. v. 1.10.2015 – C-201/14, ECLI:EU:C:2015:638, Rn. 45 – Bara u.a. 66Zum Ganzen ebenfalls Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 67. 67Dazu Franck, in: Gola, DS-GVO, Art. 14 Rn. 27. 68Dazu bei Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/8.2. 69Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 71f. 70Vgl. unter Art. 13 Rn. 34ff., und Art. 12 Rn. 8ff. 71Zur Einwilligung nach altem Recht bei von Zimmermann, Die Einwilligung im Internet, S. 252; Rogosch, Die Einwilligung im Datenschutzrecht, S. 72f. 72Vgl. Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 12. 73Zur Möglichkeit und Höhe der Geldbuße nach Datenschutzgrundverordnung siehe u.a. bei Eckhard/Menz, DuD 2018, 139; Mester, DuD 2018, 181; Steffen, DuD 2018, 145, 147. 74Vgl. Franck, RDV 2016, 111, 116. 75Dazu insgesamt auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 50. 76Information bildet keine rechtliche Voraussetzung der Datenverarbeitung, vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 44; mit Hinweis auf Art. 6 und dessen fehlendem Hinweis auf Art. 14, siehe Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Rn. 8.