DSGVO - BDSG - TTDSG

Abschnitt 2 Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten

Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

1 a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

2 b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

3 c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

4 d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

5 e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

6 f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

1 a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

2 b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;

3 c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;

4 d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

5 e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

6 f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.

(4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

Mit der Norm korrespondieren die Erwägungsgründe 60–62.

Literatur: Albrecht, Überblick und Hintergründe zum finalen Text für die Datenschutz-Grundverordnung, CR 2016, 88; Bräutigam/Schmidt-Wudy, Das geplante Auskunfts- und Herausgaberecht des Betroffenen nach Art. 15 der EU-Datenschutzgrundverordnung, CR 2015, 56; Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Remagen 2018; Buchner, Grundsätze und Rechtmäßigkeit der Datenverarbeitung unter der DS-GVO, DuD 2016, 155; Conrad, Gilt das Vereinigte Königreich künftig als ein Drittland? DuD 2018, 159; Eckhardt/Menz, Bußgeldsanktionen der DS-GVO, DuD 2018, 139; Franck, System der Betroffenenrechte, RDV 2015, 137; Franck, Das System der Betroffenenrechte nach der Datenschutz-Grundverordnung (DS-GVO), RDV 2016, 111; Geppert, Übermittlung der Modelle zur Datenübermittlung in Drittländer, ZD 2018, 62; Hauser, Einwilligung im Krankenhaus nach der EU DS-GVO, KH 2018, 403; Hoffmann/Kevekordes, Das Right to Explanation, DuD 2021, 609; Klug, Beispiele richtlinienkonformer Auslegung des BDSG, RDV 2001, 266; Krügel, Das personenbezogene Datum nach der DS-GVO; ZD 2017, 455; Kugelmann, Datenfinanzierte Internetangebote, DuD 2016, 566; Kumkar/Roth-Isigkeit, Erklärungspflichten bei automatisierten Datenverarbeitungen nach der DSGVO, JZ 2020, 277; Lapp, Informations- und Auskunftspflichten von Anwaltskanzleien, NJW 2019, 345; Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG – ein zukunftsfähiges Institut?, Hamburg 2013; Lorenz, Datenschutzrechtliche Informationspflichten, VuR 2019, 213; Mester, Haftungsrisiko i.S.d. DS-GVO, DuD 2018, 181; Rogosch, Die Einwilligung im Datenschutzrecht, Berlin 2013; Roßnagel/Nebel/Richter, Was bleibt vom Europäischen Datenschutzrecht? – Überlegungen zum Ratsentwurf der DS-GVO, ZD 2015, 455; Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841; Schmitz, Der Abschied vom Personenbezug, ZD 2018, 5; Steffen, Zivilrechtliche Haftung von Datenschutzbeauftragten für Bußgelder, DuD 2018, 145; Taeger, Scoring in Deutschland nach der EU-Datenschutzgrundverordnung, ZRP 2016, 72; Veil, DS-GVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme, ZD 2015, 347; Venzke-Caparese, Haftungsrisiko Webtracking, DuD 2018, 156; Walter, Die datenschutzrechtlichen Transparenzpflichten nach der Europäischen Datenschutz-Grundverordnung, in: Taeger (Hrsg.), Smart World – Smart Law? Weltweite Netze mit regionaler Regulierung, Edewecht 2016, S. 367; Wybitul/Ströbel/Ruess, Übermittlung personenbezogener Daten in Drittländer, ZD 2017, 503; von Zimmermann, Die Einwilligung im Internet, Berlin 2014.

Übersicht

I. Regelungsinhalt

1

Art. 13 verpflichtet den Verantwortlichen, der betroffenen Person ohne besondere Aufforderung bestimmte Informationen über die sie betreffende Datenverarbeitung zur Verfügung zu stellen.1 Damit soll sichergestellt werden, dass die notwendige Transparenz bei der Direkterhebung gegenüber der betroffenen Person hergestellt wird.2 Diese ist Grundvoraussetzung dafür, dass zum Beispiel das Recht aus Art. 15 DSGVO auf Auskunft, das Recht auf Berichtigung aus Art. 16 DSGVO, das Recht auf Löschung aus Art. 17 DSGVO und die weiteren sich aus dem dritten Kapitel noch ergebenden Betroffenenrechten, die ein aktives Handeln der betroffenen Person voraussetzen (Antrag), überhaupt wahrgenommen werden können.3 Dies entspricht dem Gedanken aus ErwG 60, wonach der Grundsatz auf eine faire und transparente Verarbeitung die Unterrichtung der betroffenen Person über die Existenz des Verarbeitungsvorgangs und dessen Zweck erfordert.

2

Die Informationspflichten aus Art. 13 DSGVO treffen den Verantwortlichen, der Auftragsverarbeiter wird durch Art. 13 DSGVO nicht verpflichtet, auch fehlt es an dessen Unterstützungspflicht gemäß Art. 28 Abs. 3 Satz 2 lit. e DSGVO, der sich lediglich auf die Betroffenenrechte aus Kapitel III bezieht, die eines Antrages bedürfen.4 Dabei behält die Datenschutz-Grundverordnung die Struktur der Datenschutzrichtlinie (DSRl) bei, indem der Art. 13 DSGVO dem Art. 10 DSRl (Information der betroffenen Person bei der Erhebung) ähnelt.5 Die Bestimmungen des Art. 10 DSRl wurden in Deutschland im Wesentlichen in den §§ 4 Abs. 3 und 33 BDSG a.F. und § 13 Abs. 1 TMG umgesetzt.6

3

Die Verpflichtung des Verantwortlichen betreffen die Information nach Abs. 1 und Abs. 2, wenn der Verantwortliche personenbezogene Daten bei der betroffenen Person direkt erhebt. Darüber hinaus muss der Verantwortliche nach Abs. 3 der betroffenen Person weitere Informationen zur Verfügung stellen, wenn die Absicht besteht, die erhobenen Daten zu einem anderen Zweck als dem ursprünglich zur Erhebung bestehenden Zweck weiterzuverarbeiten. Abs. 4 enthält demgegenüber Ausnahmen dieser Informationspflichten, über die hinaus außerdem das mitgliedstaatliche Recht oder das Unionsrecht weitere Ausnahmen nach Maßgabe des Art. 23 DSGVO vorsehen kann.

II. Allgemeine Voraussetzungen

4

Die Informationspflichten des Verantwortlichen aus Abs. 1 und Abs. 2 setzen zunächst einmal voraus, dass es sich bei der Erhebung um personenbezogene Daten handelt, die bei der betroffenen Person „direkt“ erhoben werden.7 Eine Definition, wann es sich um personenbezogene Daten im Sinne der Datenschutz-Grundverordnung handelt, findet sich in Art. 4 Nr. 1 DSGVO.8

1. Verpflichteter

5

Verpflichtet zur Information der betroffenen Person nach Abs. 1 und Abs. 2 wird der Verantwortliche, nicht genannt wird hingegen der Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Mit der alleinigen Verwendung des Begriffs „Verantwortlicher“ wird im Rahmen des Art. 13 demnach festgelegt, wer für die Einhaltung der Datenschutzbestimmung zuständig ist.9 Zudem dient es zur Abgrenzung gegenüber anderen Akteuren, hier dem nicht genannten Auftragsverarbeiter, den keine Verpflichtung zur Information der betroffenen Person trifft.10 Eine Definition des Verantwortlichen findet sich in Art. 4 Nr. 7 DSGVO, wonach hierzu jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, erfasst wird.11 Möglich ist es folglich auch, dass die Verarbeitung gemeinsam durch mehrere Stellen (Verantwortliche) erfolgt. Diese müssen bei einer derartigen gemeinsamen Verantwortlichkeit dann jedoch festlegen, wer welche Informationspflichten gegenüber der betroffenen Person zu erfüllen hat (vgl. Art. 26 Abs. 1 Satz 2 DSGVO).12

2. Betroffene Person

6

Voraussetzung der in Abs. 1 und Abs. 2 enthaltenen Informationspflichten ist es, dass personenbezogene Daten bei der betroffenen Person erhoben werden. Die betroffene Person muss folglich selbst, also unmittelbar in eigener Person als Datenquelle dienen (bspw. durch Kontaktaufnahme). Als Direkterhebung im Sinne des Art. 13 DSGVO kommt damit erst einmal jede mit Kenntnis oder unter Mitwirkung der betroffenen Person ausgeführte Erhebung personenbezogener Daten in Betracht.13 Dabei kommt es für die Verpflichtung zur Information nach Art. 13 DSGVO nicht darauf an, ob die betroffene Person sich der Datenerhebung entziehen könnte oder überhaupt Kenntnis davon hat.14 Eine verdeckte Überwachung, bei der keine Informationspflichten ausgelöst werden, ist infolgedessen nur in Ausnahmen möglich und erfordert eine den Anforderungen des Art. 23 DSGVO entsprechende eigene ausdrückliche Beschränkungsregelung.15 Werden die personenbezogenen Daten hingegen bei Dritten oder aus öffentlichen Quellen erhoben (bspw. öffentliche Profilseite, soziale Netzwerke), handelt es sich nicht um eine Datenerhebung bei der betroffenen Person im Sinne des Art. 13 DSGVO.16 Eine derartige Erhebung der Daten bei anderen oder aus öffentlichen Quellen kann aber eine Informationspflicht nach Art. 14 DSGVO auslösen.17 Dies gilt auch dann, wenn beispielsweise die personenbezogenen Daten mehrerer Personen erhoben werden, weil zum Beispiel beim direkten Kontakt mit einer Person (Informationspflicht nach Art. 13 DSGVO) gleichzeitig Daten einer weiteren Person (bspw. Angehöriger) erhoben werden. Hinsichtlich des Angehörigen werden in diesem Fall lediglich die Informationspflichten nach Art. 14 DSGVO ausgelöst.18

III. Informationspflichten (Abs. 1)

7

Die Direkterhebung von personenbezogenen Daten bei der betroffenen Person in der oben erläuterten Art und Weise löst die Verpflichtung des Verantwortlichen zur Mitteilung der in Abs. 1 genannten Informationen an diese aus. Welche Inhalte diese Informationen haben müssen, ergibt sich aus Abs. 1 lit. a bis f. DSGVO.

1. Namen und Kontaktdaten (Abs. 1 lit. a und b)

8

Art. 13 Abs. 1 lit. a DSGVO verpflichtet den Verantwortlichen, der betroffenen Person seinen Namen sowie gegebenenfalls den seines Vertreters mitzuteilen. Gemeint ist damit bei natürlichen Personen zumindest der Nachname und eventuell außerdem der Vorname, wenn es sonst zu Verwechslungen wegen Namensgleichheit kommen könnte. Kaufleute und juristische Personen müssen ihren Firmennamen (vgl. § 17 Abs. 1 HGB) oder den Vereinsnamen (§ 57 BGB) mitteilen.19 Darüber hinaus ist die betroffene Person über die Kontaktdaten vom Verantwortlichen sowie – soweit vorhanden – seines Vertreters zu informieren. Insgesamt müssen die Angaben zum Namen und den Kontaktdaten so detailliert sein, dass die betroffene Person in die Lage versetzt wird, mit dem Verantwortlichen bzw. mit dessen Vertreter Kontakt aufzunehmen und diesem gegenüber seine Rechte geltend zu machen.20 Damit dies ohne Schwierigkeiten möglich ist, muss demnach neben einer möglichst vollständigen Bezeichnung des Verantwortlichen (Name und/oder Firma), zumindest dessen zustellungsfähige Anschrift mit aufgenommen werden.21 Sofern regelmäßig eine elektronische Kontaktanschrift genutzt wird, gehört auch diese zu den anzugebenden Kontaktdaten.22 Dies gilt erst recht, wenn die Kontaktaufnahme über entsprechende Medien erfolgt (bspw. Internet), dann sind alle Angaben mit aufzunehmen, die eine Kontaktaufnahme auf gleiche Art und Weise (ohne Medienbruch) ermöglichen (bspw. E-Mail-Adresse, Web-Formular usw.).23

9

Die Notwendigkeit der Angabe des Namens und der Adresse eines Vertreters besteht dann, wenn der Verantwortliche gemäß Art. 27 DSGVO einen Vertreter in der Europäischen Union (Art. 4 Nr. 17 DSGVO) bestellen muss. Sofern darüber hinaus der Verantwortliche freiwillig oder aufgrund einer bestehenden Verpflichtung (bspw. nach Art. 37 Abs. 1 DSGVO oder gem. Art. 37 Abs. 4 DSGVO aufgrund einer mitgliedstaatlichen oder unionsrechtlichen Regelung, vgl. § 38 BDSG) einen Datenschutzbeauftragten bestellt hat, sind auch dessen Name und Kontaktdaten der betroffenen Person mitzuteilen (vgl. Abs. 1 lit. b).24

2. Zweck und Rechtsgrundlage der Verarbeitung (Abs. 1 lit. c)

10

Die betroffene Person muss außerdem über den Zweck bzw. die Zwecke der Verarbeitung ihrer personenbezogenen Daten so detailliert informiert werden (Abs. 1 lit. c), dass sie ein vollständiges Bild davon erhält, welche Verarbeitungsvorgänge mit ihren Daten vorgenommen werden.25 Zweckangaben, die unklar, generalisierend, zu allgemein oder oberflächlich formuliert sind, genügen diesem Erfordernis demgegenüber nicht.26 Dies ist aus Sicht der betroffenen Person vor allem zur Sicherstellung des Grundsatzes auf Transparenz der Datenverarbeitung von entscheidender Bedeutung.27 Daher kann weder die bloße Angabe von Stichworten, noch eine allgemeine sowie pauschale Aufzählung aller erdenklichen Zwecke den Anforderungen der Information nach Abs. 1 lit. c DSGVO genügen.28 Wesentlich ist es vielmehr auch hier, dass die betroffene Person den Umfang der Datenverarbeitung versteht, sodass gegebenenfalls weitere und ausführlichere Ausführungen mit aufgenommen werden müssen, damit die betroffene Person in die Lage versetzt wird, den verfolgten Zweck und damit den Umfang der Datenverarbeitung wirklich einschätzen zu können. Gleichzeitig wird mit dieser Information der vom Verantwortlichen angegebene Verarbeitungszweck bzw. die Verarbeitungszwecke gegenüber der betroffenen Person festgelegt.29 Diese Zweckbindung (vgl. Art. 5 Abs. 1 lit. b DSGVO) ist nicht zuletzt auch für eine mögliche Zweckänderung im Sinne des Art. 6 Abs. 4 DSGVO von Belang.30

11

Darüber hinaus muss der betroffenen Person die Rechtsgrundlage der Datenverarbeitung mitgeteilt werden, wozu zumindest die konkrete Nennung der Norm, aus der sich die Erlaubnis der Datenverarbeitung ergibt (Art. 6 Abs. 1 DSGVO bzw. ggf. die Norm nach mitgliedstaatlichem oder Unionsrecht), durch die Zitierung oder wörtliche Wiedergabe erfolgen muss.31 Nicht zwingend ist es hingegen, dass der gesamte Text der Vorschrift abgeschrieben bzw. wiedergegeben wird. Dadurch würde je nach Einzelfall die Lesbarkeit bzw. das Verständnis für den Gesamtkontext lediglich unnötig erschwert werden.32 Bei sehr komplexen Sachverhalten kann es außerdem notwendig sein, dass die Rechtsgrundlage der Datenverarbeitung näher erläutert wird, damit die betroffene Person überhaupt in die Lage versetzt wird, die Anwendbarkeit auf ihren Fall nachzuvollziehen.33 Darüber hinaus ist es bei einer Erlaubnis aus Art. 6 Abs. 1 lit. f DSGVO erforderlich, die Informationspflicht nach Abs. 1 lit. d zu beachten.

12

Insgesamt muss die betroffene Person durch die Information des Verantwortlichen zum Zweck und die Rechtsgrundlage der Datenverarbeitung in die Lage versetzt werden, sich ohne weitere Nachfragen ein Bild vom Umfang der Datenverarbeitung machen zu können.34 Nur so ist sichergestellt, dass eventuell zu ergreifende Gegenmaßnahmen oder die Notwendigkeit der Wahrnehmung von Betroffenenrechten durch die betroffene Person in ausreichendem Maße eingeschätzt werden können.

3. Berechtigtes Interesse (Abs. 1 lit. d)

13

Soll durch die Datenverarbeitung das berechtigte Interesse des Verantwortlichen oder eines Dritten im Sinne des Art. 6 Abs. 1 lit. f DSGVO gewahrt werden, ist dieses Interesse des Verantwortlichen bzw. des Dritten ebenfalls der betroffenen Person mitzuteilen. Die bloße Angabe der Interessen, zum Beispiel Bonitätsprüfungen, Forderungsmanagement, Warenkreditsicherung etc., kann allerdings nicht als ausreichende Pflichterfüllung im Sinne des Abs. 1 lit. d DSGVO erachtet werden.35 Vielmehr ist die mit dem berechtigten Interesse verbundene Interessenabwägung ebenfalls so detailliert darzulegen, dass die betroffene Person die vorgenommene Abwägung nachvollziehen und im Falle irgendwelcher Zweifel entsprechende Einwände substantiiert vorbringen kann.36

4. Empfänger oder Kategorien von Empfängern (Abs. 1 lit. e)

14

Die betroffene Person muss außerdem vom Verantwortlichen über mögliche Empfänger bzw. Kategorien von Empfängern informiert werden, unabhängig davon, ob die betroffene Person damit rechnen muss, dass die Daten an bestimmte Empfänger weitergegeben werden.37 Dabei wird nicht allein auf Dritte im Sinne des Art. 4 Nr. 10 DSGVO abgestellt, sondern gemäß der Definition nach Art. 4 Nr. 9 Satz 1 DSGVO jede Stelle erfasst, der die personenbezogenen Daten offengelegt werden. Damit unterliegt die Weitergabe von Daten der betroffenen Person an die eigenen Untereinheiten des Verantwortlichen sowie an Auftragsverarbeiter und deren Unterauftragnehmer ebenfalls der Informationspflicht des Verantwortlichen im Sinne des Abs. 1 lit. e DSGVO.38 Lediglich Behörden, die im Rahmen eines bestimmten Untersuchungsauftrages nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eventuell personenbezogene Daten erhalten, werden von dieser Verpflichtung ausgenommen (vgl. Art. 4 Nr. 9 Satz 2 DSGVO).39 Sind die Empfänger bei der Datenerhebung bereits konkret bekannt bzw. absehbar, wer diese sein werden, sind sie der betroffenen Person folglich konkret zu benennen.40 Ein Wahlrecht besteht insoweit nicht.41 Sofern die Empfänger namentlich bekannt sind, entspricht es schon dem Transparenzgebot, dass diese entsprechend aufgeführt werden.42 Ist dies ausnahmsweise nicht möglich, so muss der Verantwortliche die Empfänger bzw. die Kategorien von Empfängern zumindest so beschreiben, dass die betroffene Person das mit der Erhebung der Daten für sie verbundene Risiko entsprechend einschätzen kann.43

15

Nur wenn die Weitergabe der personenbezogenen Daten zum Zeitpunkt der Erhebung überhaupt noch nicht absehbar ist, besteht keine Notwendigkeit der Information.44 So müssen im Falle einer Veröffentlichung zwar nicht die Empfänger benannt werden, allerdings muss die betroffene Person über die Absicht der Veröffentlichung informiert werden.45 Erfolgt überdies zu einem späteren Zeitpunkt die Weitergabe der Daten an Empfänger oder Kategorien von Empfängern, ergibt sich die Informationspflicht für den Verantwortlichen dann wegen der mit einer Datenübermittlung eventuell einhergehenden Zweckänderung aus Abs. 3. In Betracht kommt in diesem Fall außerdem eine Informationspflicht nach Art. 14 DSGVO, wonach den Empfänger der Daten die Verpflichtung zur Information der betroffenen Person trifft.46