Read the book: «Praxishandbuch DSGVO», page 27

Tobias Rothkegel, Jens Schefzig, Stephan Hansen-Oest, Tina Gausling, Marian Arning Ulrich Baumgartner Ingo Braun Cay Lennart Cornelius Eva Gardyan-Eisenlohr Carmen Heinemann Per Meyerdierks Flemming Moos Leif Rohwedder Laurenz Strassemeyer Anna Zeiter and others

Font:

bb) Bestehen von Betroffenenrechten (Art. 13 Abs. 2 lit. b DSGVO)

Nach § 13 Abs. 2 lit. b DSGVO muss der Verantwortliche die betroffene Person über das Bestehen eines Rechts auf Auskunft im Hinblick auf die sie betreffenden personenbezogenen Daten (Art. 15 DSGVO) sowie über ihre Rechte auf Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Widerspruch gegen die Verarbeitung (Art. 21 DSGVO) und Datenübertragbarkeit (Art. 20 DSGVO)44 informieren.

Nach Auffassung der Artikel-29-Datenschutzgruppe sollte der Verantwortliche die betroffene Person nicht nur über das Bestehen der Rechte an sich, sondern auch (zusammenfassend) über die Inhalte und Beschränkungen der Rechte sowie darüber informieren, wie die betroffene Person diese Rechte ausüben kann.45 Aus dem Wortlaut von Art. 13 Abs. 2 lit. b DSGVO lässt sich eine solche weitergehende Verpflichtung allerdings nicht entnehmen und könnte allenfalls aus dem Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO oder der allgemeinen Pflicht des Verantwortlichen gem. Art. 12 Abs. 2 S. 1 DSGVO hergeleitet werden, der betroffenen Person die Ausübung ihrer Rechte gem. den Art. 15 bis 22 DSGVO zu erleichtern. Auch wenn eine solche Pflicht also nicht ausdrücklich aus der DSGVO folgt, könnten Verantwortliche vor diesem Hintergrund überlegen, ob sie der Forderung der Artikel-29-Datenschutzgruppe trotzdem nachkommen – jedoch eher unter dem Gesichtspunkt, ihr Bemühen um eine bestmögliche Transparenz und „ihren guten Willen“ zu dokumentieren.

Von der Information über ein Recht darf nur abgesehen werden, wenn dieses zweifelsfrei nicht besteht, was insbesondere für das Widerspruchsrecht und das Recht auf Datenübertragbarkeit gelten kann.46 In diesem Fall sollte aber auch wirklich von dieser Möglichkeit Gebrauch gemacht und von der Information abgesehen werden, um bei der betroffenen Person keine falschen Vorstellungen zu wecken.47

Im Hinblick auf die Information über das Widerspruchsrecht sind zudem die Besonderheiten nach Art. 21 Abs. 4 DSGVO zu beachten.48

cc) Widerrufbarkeit der Einwilligung (Art. 13 Abs. 2 lit. c DSGVO)

Zudem muss der Verantwortliche, wenn er personenbezogene Daten auf Grundlage einer Einwilligung verarbeitet, die betroffene Person nach Art. 13 Abs. 2 lit. c DSGVO darüber informieren, dass sie diese Einwilligung jederzeit widerrufen kann. Dabei muss der Verantwortliche die betroffene Person auch auf die Rechtsfolge des Widerrufs hinweisen, als dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung durch diesen nicht berührt wird. Insofern dürfte der Hinweis genügen, dass die Einwilligung „mit Wirkung für die Zukunft“ widerrufen werden kann.

Die Artikel-29-Datenschutzgruppe fordert zudem, dass der Verantwortliche die betroffene Person auch darüber informiert, wie sie die Einwilligung widerrufen kann.49 Eine solche weitergehende Information erscheint jedoch nicht zwingend, da sie nicht aus dem Wortlaut von Art. 13 Abs. 2 lit. c DSGVO folgt und wohl allenfalls aus den allgemeinen Datenschutzgrundsätzen der Transparenz und der Verarbeitung nach Treu und Glauben gem. Art. 5 Abs. 1 lit. a DSGVO hergeleitet werden könnte. Gegebenenfalls könnten Verantwortliche aber überlegen, ob sie dieser Forderung der Artikel-29-Datenschutzgruppe eventuell zur Dokumentation des „guten Willens“ und des Bemühens um Transparenz nachkommen wollen. Dabei wäre dann allerdings sicherzustellen, dass die Hinweise für alle erteilten Einwilligungen gültig sind, auf die sich die Informationen nach Art. 13 DSGVO beziehen und auch die materiellen Anforderungen an das Widerrufsrecht gem. Art. 7 Abs. 3 DSGVO gewahrt werden.50

dd) Beschwerderecht bei einer Aufsichtsbehörde (Art. 13 Abs. 2 lit. d DSGVO)

Außerdem ist die betroffene Person nach Art. 13 Abs. 2 lit. d DSGVO auf ihr Beschwerderecht bei einer Aufsichtsbehörde gem. Art. 77 Abs. 1 DSGVO hinzuweisen. Der Verantwortliche muss aber nach hier vertretener Auffassung weder die zuständige Behörde noch ihre Kontaktdaten nennen.51 Aufgrund der in der Fußnote genannten abweichenden Meinungen empfiehlt es sich aber, der betroffenen Person aus Gründen der Haftungsvermeidung auch diese Angaben zur Verfügung zu stellen.

ee) Verpflichtung zur Bereitstellung von Daten, Erforderlichkeit der Bereitstellung von Daten für den Vertragsschluss und Folgen der Nichtbereitstellung (Art. 13 Abs. 2 lit. e DSGVO)

Nach Art. 13 Abs. 2 lit. e DSGVO ist der Verantwortliche darüber hinaus verpflichtet, die betroffene Person darüber zu informieren, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte.

Nach dem Wortlaut der Vorschrift besteht diese Pflicht unabhängig davon, ob eine Verpflichtung zur Bereitstellung besteht bzw. die Bereitstellung für den Vertragsschluss erforderlich ist oder nicht. Der Verantwortliche muss die betroffene Person mit anderen Worten auch entsprechend informieren, wenn die Bereitstellung der Daten freiwillig erfolgt und/oder nicht für den Vertragsschluss erforderlich ist.52 Als Information über die möglichen Folgen der Nichtbereitstellung kommt insbesondere in Betracht, dass ein Vertrag nicht geschlossen werden kann, wenn die betroffene Person ihre Daten nicht zur Verfügung stellt.53

Die Artikel-29-Datenschutzgruppe verlangt in diesem Zusammenhang gerade bei Online-Formularen auch die eindeutige Kennzeichnung von Eingabefeldern als „Muss-Felder“ bzw. als optionale Angaben.54

ff) Automatisierte Entscheidungsfindung einschließlich Profiling (Art. 13 Abs. 2 lit. f DSGVO)

Zudem hat der Verantwortliche die betroffene Person

1. über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO zu unterrichten und

2. zumindest in diesen Fällen aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zur Verfügung zu stellen.

Die besondere Informationspflicht nach Art. 13 Abs. 2 lit. f DSGVO besteht jedenfalls, wenn eine automatisierte Einzelfallentscheidung gem. Art. 22 Abs. 1 oder Abs. 4 DSGVO erfolgt – und zwar unabhängig davon, ob dabei ein Profiling i.S.d. Art. 4 Nr. 4 DSGVO stattfindet oder nicht.55

Umstritten ist, ob aus Art. 13 Abs. 2 lit. f DSGVO auch dann eine Informationspflicht folgt, wenn sonstige Profilingmaßnahmen i.S.d. Art. 4 Nr. 4 DSGVO56 durchgeführt werden, die keine automatisierten Einzelfallentscheidungen i.S.d. Art. 22 DSGVO darstellen.57 Erwägungsgrund 60 gibt insoweit vor, dass der Verantwortliche die betroffene Person zumindest darüber informieren sollte, dass ein Profiling stattfindet und welche Folgen dies hat.58 Lehnt man die Ansicht ab, dass auch reines Profiling die Informationspflicht nach Art. 13 Abs. 1 lit. f DSGVO auslöst, könnte diese Information z.B. im Rahmen der Unterrichtung über die Zwecke der Datenverarbeitung einschließlich ihrer Rechtsgrundlage gem. Art. 13 Abs. 1 lit. c DSGVO erfolgen.

Praxishinweis

Möchte ein Unternehmen Haftungsrisiken vermeiden, sollte es die Informationspflichten nach Art. 13 Abs. 2 lit. f DSGVO auch dann erfüllen, wenn (nur) ein Profiling erfolgt, welches aber keine automatisierte Entscheidungsfindung i.S.d. Art. 22 DSGVO darstellt. Zwar wird man in diesem Fall insoweit – einschränkend – davon ausgehen können, dass eine Informationspflicht über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung nur dann besteht, wenn diese – z.B. infolge der Art bzw. des Umfangs der verarbeiteten Daten oder infolge ihrer Auswirkungen auf die betroffene Person – vergleichbare Risiken für die betroffene Person birgt wie eine automatisierte Einzelfallentscheidung gem. Art. 22 Abs. 1 DSGVO.59 Doch wird es im Einzelfall oftmals schwer zu beurteilen sein, ob diese Voraussetzungen vorliegen oder nicht, so dass Unternehmen die betroffenen Personen zur Vermeidung etwaiger Haftungsrisiken bei allen reinen Profilingmaßnahmen, die keine automatisierte Einzelfallentscheidung gem. Art. 22 DSGVO darstellen, im Zweifel über sämtliche in Art. 13 Abs. 2 lit. f DSGVO genannten Aspekte informieren sollten.60

Im Hinblick auf die involvierte Logik muss der Verantwortliche nach hier vertretener Auffassung nicht etwa den Algorithmus offenlegen.61 Vielmehr reicht es nach hier vertretener Ansicht aus, die betroffene Person über die Grundannahmen der Algorithmus-Logik, also die Funktionsweise des Algorithmus, zu informieren,62 nämlich die Berechnungsgrundlage, die Kriterien, die verwendeten Merkmale einschließlich deren Quellen sowie die Methodik.63 Entscheidend ist, dass die betroffene Person die Gründe für die Entscheidung nachvollziehen kann.64

Im Rahmen der Information über die Folgen (also die Tragweite und die angestrebten Auswirkungen) ist die betroffene Person z.B. über die Bedeutung des ermittelten Wertes65 sowie die sich daraus ergebenden Konsequenzen, wie z.B. die Einschränkung von Zahlungsweisen66 oder die Möglichkeit besserer Empfehlungen oder die schnellere Kreditvergabe, zu informieren.67 Zur besseren Verständlichkeit fordert die Artikel-29-Datenschutzgruppe dabei die Verwendung von Beispielen, ggf. unter Verwendung visueller Techniken.68

Darüber hinaus bestehen im Fall von automatisierten Einzelfallentscheidungen ggf. auch noch weitere Informationspflichten nach Maßgabe von Art. 22 Abs. 3 DSGVO.69

gg) Weitere Informationen, die nicht in Art. 13 Abs. 1 oder 2 DSGVO genannt werden

Teilweise wird in der datenschutzrechtlichen Literatur gefordert, dass der Verantwortliche die betroffene Person zusätzlich zu den in Art. 13 Abs. 1 und Abs. 2 genannten Punkten auch über alle weiteren Aspekte informieren müsse, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten, z.B. über technisch-organisatorische Maßnahmen, Sprechstunden etc.70

Begründet wird diese Auffassung mit Erwägungsgrund 60. So sollte der Verantwortliche der betroffenen Person nach Erwägungsgrund 60 S. 2 „alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten“.

Diese Ansicht ist nach hier vertretener Auffassung jedoch grundätzlich abzulehnen, da im insoweit maßgeblichen Art. 13 DSGVO keine entsprechende Verpflichtung enthalten ist (siehe zur „best practice“ weiter unten).71

Mithin sind der betroffenen Person über die in Art. 13 Abs. 1 und Abs. 2 DSGVO genannten Punkte hinausgehende Informationen grundsätzlich nur dann zu erteilen, wenn eine andere (datenschutzrechtliche) Norm dies verlangt, z.B. Art. 21 Abs. 4 DSGVO (Information über das Widerspruchsrecht) oder Art. 26 Abs. 2 S. 2 DSGVO (Zurverfügungstellung der wesentlichen Teile der Vereinbarung über eine gemeinsame Verantwortlichkeit).72

Die Artikel-29-Datenschutzgruppe verlangt allerdings, dass die betroffenen Personen über die in Art. 13 bzw. Art. 14 DSGVO genannten Punkte hinaus auch noch zusätzlich und gesondert über die Folgen bzw. Auswirkungen der Verarbeitung informiert werden müssen – insbesondere bei komplexen, technischen oder unerwarteten Verarbeitungsvorgängen.73 Begründet wird dies mit dem allgemeinen Transparenzgrundsatz, wie er auch in Erwägungsgrund 39 niedergelegt sei.74 Allerdings gilt nach hier vertretener Ansicht auch in diesem Zusammenhang, dass die insoweit maßgeblichen Art. 13 und Art. 14 DSGVO eben keine derartige Verpflichtung enthalten.

Praxishinweis

Im Sinne einer „best practice“ sollten Unternehmen betroffene Personen aber auch im Fall einer Direkterhebung personenbezogener Daten von der betroffenen Person – also im Anwendungsbereich des Art. 13 DSGVO – über die Kategorien personenbezogener Daten informieren, die verarbeitet werden. Zwar besteht eine ausdrückliche Pflicht hierzu nur nach Art. 14 Abs. 1 lit. d DSGVO, also in dem Fall, dass die Daten nicht von der betroffenen Person erhoben werden. Der Grund hierfür besteht wohl darin, dass der Verordnungsgeber davon ausging, dass die betroffene Person im Fall der Direkterhebung ohnehin weiß, welche Daten von ihr erhoben werden.75 Doch gerade bei komplexen und automatisierten Prozessen erscheint es nicht sicher, dass dies in jedem Fall so ist. Deshalb sollten Unternehmen gerade in solchen Fällen im Sinne einer „best practice“ betroffene Personen auch über die verarbeiteten Kategorien personenbezogener Daten informieren (siehe zum Umfang der Information Rn. 115). Aber auch in anderen Fällen kann eine solche Information durchaus sinnvoll sein, z.B. um Transparenz zu demonstrieren oder zur Haftungsvermeidung, falls Datenschutzaufsichtsbehörden oder etwa hiermit beschäftigte Gerichte eine solche Information – entgegen der hier vertretenen Auffassung – als verpflichtend ansehen sollten.

e) Zeitpunkt der Information

Die Information der betroffenen Personen muss nach dem Wortlaut von Art. 13 Abs. 1 DSGVO zum Zeitpunkt der Erhebung erfolgen. Nach dem Wortlaut der Vorschrift wäre es damit nicht zwingend erforderlich, die betroffene Person vor Beginn der Erhebung ihrer Daten zu informieren, so dass es beispielsweise zulässig wäre, die betroffene Person auch im Rahmen von Formularen, wie AGB oder sonstigen vertraglichen Formularen, zu informieren, sofern sichergestellt ist, dass diese Formulare zur Kenntnis genommen werden können, sobald personenbezogene Daten erhoben werden.76

Nach dem Sinn und Zweck der Vorschrift erscheint aber die Auslegung vorzugswürdiger, dass betroffenen Personen die Informationen vor dem Beginn der Erhebung ihrer Daten zur Verfügung gestellt werden müssen, damit sie z.B. ggf. darüber entscheiden können, ob sie die Datenerhebung überhaupt zulassen und welche Daten sie im Einzelfall angeben.77 Werden die Informationen z.B. auf dem Formular bereitgestellt, mit dem die Daten erhoben werden, wäre die Information auch nach dieser Ansicht rechtzeitig.78

Nicht zulässig ist es jedenfalls, die betroffenen Personen im Fall der Direkterhebung erst nach Erhebung ihrer Daten zu informieren.79

f) Information im Fall der Zweckänderung (Art. 13 Abs. 3 DSGVO)

Hat ein Verantwortlicher für bestimmte Zwecke personenbezogene Daten bei der betroffenen Person erhoben und möchte er zu einem späteren Zeitpunkt diese Daten – soweit dies zulässig ist – auch für andere Zwecke verarbeiten, über die er die betroffene Person (noch) nicht informiert hat, schreibt Art. 13 Abs. 3 DSGVO eine (erneute) Information der betroffenen Person vor. So muss der Verantwortliche die betroffene Person nach Art. 13 Abs. 3 DSGVO vor der Weiterverarbeitung ihrer Daten für einen anderen Zweck (i) über diesen anderen Zweck informieren sowie (ii) ihr alle anderen maßgeblichen Informationen gemäß Art. 13 Abs. 2 DSGVO zur Verfügung stellen.

Im Hinblick auf die notwendigen Informationen über den anderen, neuen Zweck, für den die Daten verarbeitet werden sollen, kann auf die Ausführungen unter Rn. 47ff. verwiesen werden, die hier entsprechend gelten. Welche weiteren Informationen gem. Art. 13 Abs. 2 DSGVO der Verantwortliche zur Verfügung stellen muss, geht aus dem Wortlaut der Vorschrift nicht eindeutig hervor. Teilweise wird in der datenschutzrechtlichen Literatur vertreten, dass der Verantwortliche die betroffene Person gem. Art. 13 Abs. 3 DSGVO (nur) über sämtliche für die Weiterverarbeitung relevanten, in Art. 13 Abs. 2 DSGVO genannten Punkte informieren muss, die sich durch die Zweckänderung ändern – über die übrigen (relevanten) in Art. 13 Abs. 2 DSGVO aufgeführten Punkte, die sich nicht ändern, hätte der Verantwortliche die betroffene Person bereits im Rahmen der „Erstinformation“ unterrichtet, also im Rahmen der Informationen über die Verarbeitung der Daten zum ursprünglichen Zweck.80 Somit würde z.B. die erneute Belehrung über die Betroffenenrechte gem. Art. 13 Abs. 2 lit. b DSGVO entfallen.81

Die europäischen und die deutschen Datenschutzaufsichtsbehörden sowie die Mehrheit der Autoren in der datenschutzrechtlichen Literatur verlangen jedoch, dass der Verantwortliche die betroffene Person im Fall der Zweckänderung (zumindest) über sämtliche in Art. 13 Abs. 2 DSGVO aufgeführten Punkte informiert, sofern diese ganz generell relevant für die Datenverarbeitung sind – und zwar auch dann, wenn sie sich seit der „ursprünglichen Information“ nicht geändert haben.82

Diese Informationen müssen gem. Art. 13 Abs. 3 DSGVO vor Beginn der Verarbeitung der Daten für den anderen, neuen Zweck zur Verfügung gestellt werden. Die Artikel-29-Datenschutzgruppe verlangt in diesem Zusammenhang, dass dies so frühzeitig erfolgt, dass die jeweils betroffene Person die (Zulässigkeit der) Weiterverarbeitung prüfen und ggf. ihre Rechte geltend machen kann.83

Unklar ist, ob der Verantwortliche der betroffenen Person im Fall der Zweckänderung – über den neuen Zweck hinaus – auch noch weitere, maßgebliche Informationen nach Art. 13 Abs. 1 DSGVO zur Verfügung stellen muss oder nicht. Obwohl eine solche Verpflichtung im Wortlaut von Art. 13 Abs. 3 DSGVO, der nur auf Art. 13 Abs. 2 DSGVO verweist, nicht ausdrücklich enthalten ist, verlangt zumindest die Mehrzahl der Autoren in der datenschutzrechtlichen Literatur, dass der Verantwortliche die betroffene Person im Fall der Weiterverarbeitung ihrer Daten zu einem neuen Zweck auch über die im Einzelfall relevanten Punkte gem. Art. 13 Abs. 1 DSGVO informieren muss, sofern dies zum Verständnis der betroffenen Person im Hinblick auf die geplante Weiterverarbeitung erforderlich ist.84 Hierfür müsse der Verantwortliche die betroffene Person insbesondere über die folgenden Punkte informieren:

– die ggf. neue Rechtsgrundlage (Art. 13 Abs. 1 lit. c DSGVO),85

– die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, wenn die Verarbeitung auf einer Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO beruht (Art. 13 Abs. 1 lit. d DSGVO), die sich bei einer Zweckänderung ggf. ändern können,

– ggf. über die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO) und

– ggf. über die Übermittlung von Daten in ein Drittland und deren Rechtfertigung (Art. 13 Abs. 1 lit. f DSGVO).

Begründet wird diese Auffassung vor allem damit, dass der Verantwortliche personenbezogene Daten gem. Art. 5 Abs. 1 lit. a DSGVO auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeiten muss (Grundsatz der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz) und dies im Fall der Weiterverarbeitung auch die Information über die in Art. 13 Abs. 1 DSGVO genannten Punkte erfordere.86 Gegen diese Auffassung spricht allerdings der eindeutige Wortlaut des Art. 13 Abs. 3 DSGVO, der eben nur auf Art. 13 Abs. 2 DSGVO verweist.87

Die Artikel-29-Datenschutzgruppe empfiehlt zudem für den Fall, dass die Weiterverarbeitung auf Basis eines Kompatibilitätstests nach Art. 6 Abs. 4 DSGVO erfolgt, auch noch, dass der Verantwortliche der betroffenen Person erläutern sollte, inwiefern die Verarbeitung ihrer Daten für den neuen Zweck mit der Verarbeitung für den ursprünglichen Zweck vereinbar ist.88 In der datenschutzrechtlichen Literatur wird dies mitunter sogar für erforderlich gehalten.89 Nach hier vertretener Ansicht ist eine solche Erläuterung aber nicht erforderlich, da der Wortlaut von Art. 13 Abs. 3 DSGVO eine solche Pflicht nicht vorsieht.

Praxishinweis

Zur Vermeidung etwaiger Haftungsrisiken sollten Unternehmen die betroffenen Personen im Fall der Zweckänderung, wenn möglich, auch über sämtliche in Art. 13 Abs. 1 DSGVO genannten Punkte, die im Einzelfall relevant sind, informieren. Die Information über einen etwaigen Kompatibilitätstest ist nach hier vertretener Ansicht entbehrlich. Zudem sollten Unternehmen verfolgen, ob sich die Datenschutzaufsichtsbehörden bzw. Gerichte in der Zwischenzeit zu den hier thematisierten, noch unklaren Punkten im Rahmen von Art. 13 Abs. 3 DSGVO geäußert haben.