Читать книгу: «Praxishandbuch DSGVO», страница 31
c) Gestaltung als „Story“/nach dem geschichtlichen Ablauf der Datenverarbeitung
172
Eine weitere Möglichkeit zur Gestaltung der Datenschutzhinweise/der Datenschutzerklärung, die für betroffene Personen besonders einfach verständlich und nachvollziehbar ist, besteht darin, die Datenschutzhinweise/-erklärung so aufzubauen, dass sie die Geschichte der Datenverarbeitungsaktivitäten widerspiegeln, wie eine betroffene Person sie erlebt. Dieser Ansatz bietet sich z.B. für Apps an, die von (privaten) Endnutzern verwendet werden.
173
Im Rahmen einer solchen Gestaltung wird z.B. zunächst über die Datenverarbeitung beim Download der App, dann beim Anlegen des Nutzeraccounts, dann bei der Nutzung der App usw. informiert.221 Der Fortgang in den Datenschutzhinweisen/der Datenschutzerklärung entspricht somit den Erfahrungen der betroffenen Person bei der Verwendung der App und ist deshalb für sie oftmals besonders gut nachvollziehbar. Allerdings kann diese Art der Gestaltung durchaus Herausforderungen mit sich bringen, für jede dieser Phasen die Anforderungen aus Art. 13 bzw. Art. 14 DSGVO und Art. 12 DSGVO zu erfüllen. Außerdem kann es durch diese Gestaltung inhaltlich zu Wiederholungen und infolge dessen zu relativ langen Datenschutzhinweisen/-erklärungen kommen.222
d) Gestaltung unter Einsatz von Tabellen
174
Gerade bei „mittel-komplexen“ und „mittel-umfangreichen“ Datenverarbeitungen kann es auch sinnvoll sein, einige der Punkte, über die der Verantwortliche die betroffene Person informieren muss, in Tabellen zusammenzufassen. Diese können ggf. dazu beitragen, die einzelnen Punkte, über die der Verantwortliche die betroffene Person informieren muss, besser miteinander in Beziehung zu setzen und für die betroffene Person somit nachvollziehbarer zu machen.
175
Welche Informationsfelder in eine solche Tabelle mit einbezogen werden sollten, hängt von der jeweiligen Datenverarbeitung ab. In der Regel empfiehlt es sich, entweder die jeweiligen Daten oder den jeweiligen Verarbeitungszweck als Hauptordnungsmerkmal zu verwenden. Derartige Tabellen könnten dann z.B. so aussehen:
– Mit den jeweiligen Daten als Hauptordnungsmerkmal:
| Daten | Zwecke | Rechtsgrundlage | Berechtigte Interessen des Verantwortlichen oder eines Dritten (bei Art. 6 Abs. 1 lit. f DSGVO) | Empfänger | Speicherdauer | Verpflichtung zur Bereitstellung von Daten, Erforderlichkeit der Bereitstellung von Daten für den Vertragsschluss und Folgen der Nichtbereitstellung |
|---|---|---|---|---|---|---|
| Die im Formular angegebenen Adressdaten | 1. Lieferung der Ware2. Abholung der Altware3. [...] | Art. 6 Abs. 1 lit. b DSGVO | – | [z.B. involvierte Logistikdienstleister] | [jeweilige Speicherdauer] | Die Bereitstellung der Adressdaten ist für den Vertragsschluss erforderlich. Werden diese nicht zur Verfügung gestellt, kann der Vertrag nicht geschlossen werden. |
| [...] |
– Mit dem jeweiligen Verarbeitungszweck als Hauptordnungsmerkmal:
| Zweck | Daten | Rechtsgrundlage | Berechtigte Interessen des Verantwortlichen oder eines Dritten (bei Art. 6 Abs. 1 lit. f DSGVO) | Empfänger | Speicherdauer | Verpflichtung zur Bereitstellung von Daten, Erforderlichkeit der Bereitstellung von Daten für den Vertragsschluss und Folgen der Nichtbereitstellung |
|---|---|---|---|---|---|---|
| Lieferung der Ware | 1. Name2. Adressdaten3. [...] | Art. 6 Abs. 1 lit. b DSGVO | – | [z.B. involvierte Dienstleister] | [jeweilige Speicherdauer] | Die Bereitstellung der Adressdaten ist für den Vertragsschluss erforderlich. Werden diese nicht zur Verfügung gestellt, kann der Vertrag nicht geschlossen werden. |
| [...] |
176
Die Gestaltung und das Ausfüllen derartiger Tabellen kann sich aber durchaus als arbeitsintensiv herausstellen. Gerade wenn sehr viele verschiedene Daten verarbeitet, viele verschiedene Verarbeitungszwecke verfolgt werden oder die Datenverarbeitung sehr komplex ist, kann eine solche Tabelle für die betroffene Person auch (zu) unübersichtlich werden, so dass von der Verwendung derartiger Tabellen in einem solchen Fall Abstand genommen werden sollte oder sie zumindest „abgespeckt“ werden sollten.
e) Multilayered notice/Mehrebenenansatz
177
Bei komplexen und umfangreichen Datenverarbeitungen kann es gerade im Online-Bereich empfehlenswert sein, eine mulitlayered notice einzusetzen/einen Mehrebenenansatz zu verfolgen. Hierbei werden die Informationen in verschiedenen Ebenen erteilt (sog. „multilayered notice“ bzw. „Mehrebeneninformation“). Auf der ersten Ebene wird zunächst nur überblicksmäßig über die wesentlichen Umstände der Datenverarbeitung informiert und mittels Links auf untere Ebenen verwiesen. In diesen unteren Ebenen werden dann die einzelnen Aspekte der Datenverarbeitung im Detail erläutert.223 Dieser Ansatz bietet sich besonders
im Online-Bereich an, weil der Verantwortliche die verschiedenen Ebenen innerhalb einer elektronischen Datenschutzerklärung – und somit ohne Medienbrüche – einfach miteinander verlinken kann.
178
Der Mehrebenenansatz kann – sogar über verschiedene Medien (wie z.B. Papier und Internet) hinweg – aber auch dann gewählt werden, wenn die Form der Datenerhebung bzw. das verwendete Kommunikationsmedium eine umfassende Information der betroffenen Person faktisch unmöglich macht oder diese überfordern würde. Auch die Artikel-29-Datenschutzgruppe und der Europäische Datenschutzausschuss erkennen an, dass in bestimmten (Ausnahme-)Fällen Medienbrüche zulässig sein können.224 So kommt nach hier vertretener Ansicht eine gestufte Information der betroffenen Person (ggf. unter Verwendung verschiedener Medien) z.B. im Fall der (Erst-)Erhebung von Daten im Rahmen eines Telefongesprächs, mittels einer Gewinnspielpostkarte, über IoT-Devices sowie im Rahmen einer Videoüberwachung und Automatenverkäufen in Betracht.225
179
In diesem Fall ist es dann nach hier vertretener Ansicht zulässig, der betroffenen Person auf der ersten Stufe (nur) die essentiellen Informationen zu erteilen, die diese unbedingt benötigt, um sich ein Bild von der geplanten Datenverarbeitung machen und die damit verbundenen Risiken einschätzen zu können.226 Welche Informationen dies sind, hängt vom jeweiligen Einzelfall ab. Die Artikel-29-Datenschutzgruppe zählt hierzu jedenfalls Informationen über die Zwecke der Datenverarbeitung, den Verantwortlichen, die Betroffenenrechte, die wichtigsten Auswirkungen der Verarbeitung sowie über Verarbeitungsaktivitäten, mit denen die betroffene Person möglicherweise nicht rechnet.227 Gerade vor dem Hintergrund, dass die Zulässigkeit von Medienbrüchen bei der Information nach Art. 13f. DSGVO umstritten ist, sollte der Verantwortliche auf der ersten Ebene aber noch weitere Informationen erteilen, wie z.B. (sofern dies im Einzelfall relevant ist) über die berechtigten Interessen des Verantwortlichen i.S.d. Art. 6 Abs. 1 S. 1 lit. f DSGVO, die Kategorien von Empfängern der Daten und im Fall des Art. 14 DSGVO über die Kategorien personenbezogener Daten, die verarbeitet werden.228 Auch der Europäische Datenschutzausschuss ist der Auffassung, dass ggf. noch weitere Informationen mit „hoher Bedeutung“ auf der ersten Ebene zu erteilen sind, wie ggf. über die berechtigten Interessen und die Kontaktdaten des Datenschutzbeauftragten.229 In jedem Fall ist es erforderlich, dass die Informationen „auf der ersten Stufe“ einen transparenten Hinweis auf die „zweite Stufe“ enthalten – insbesondere muss die betroffene Person darüber informiert werden, wie sie diese weiteren Informationen erhalten kann.230 Die „auf der ersten Stufe“ zu erteilenden Informationen sind der betroffenen Person i.d.R. mittels des Kommunikationsmittels zu erteilen, mit dem die Kontaktaufnahme mit der betroffenen Person erfolgt, z.B. mittels der Gewinnspielkarte.231
180
Die weiteren nach Art. 13 bzw. Art. 14 DSGVO erforderlichen Informationen, die der betroffenen Person noch nicht auf der ersten Ebene erteilt wurden, können dieser dann nach hier vertretener Meinung auf andere Weise zur Verfügung gestellt werden, wobei zu beachten ist, dass auch diese leicht zugänglich sein und den weiteren (Modalitäts-)Anforderungen des Art. 12 DSGVO genügen müssen. So kann – je nach Einzelfall – z.B. die Zusendung der weiteren Informationen per E-Mail in Betracht kommen oder die Zurverfügungstellung eines Links und eines QR-Codes, mittels derer die betroffene Person die restlichen Informationen aus dem Internet abrufen kann.232
Praxishinweis
Verantwortliche sollten Medienbrüche – obwohl sie nach hier vertretener Ansicht unter den oben genannten Voraussetzungen zulässig sind – vor dem Hintergrund der abweichenden Ansichten in der datenschutzrechtlichen Literatur und den zumindest skeptischen deutschen Datenschutzaufsichtsbehörden dennoch nur dann einsetzen, wenn die Information der betroffenen Person anders faktisch unmöglich wäre.
3 Art.-29-Datenschutzgruppe, Leitlinien für Transparenz gemäß der Verordnung 2016/679, WP 260 rev. 01, Stand: 11.4.2018, https://ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=54194, S. 18. 4 Siehe zur Abgrenzung, wann personenbezogene Daten (direkt) von der betroffenen Person und wann sie nicht (direkt) von ihr erhoben werden, z.B. Kühling/Buchner/Bäcker, Art. 13 Rn. 13ff. und Art. 14 Rn. 9. 5 Art.-29-Datenschutzgruppe, WP 260 rev.01. 6 Siehe hierzu Europäischer Datenschutzausschuss, Endorsement 1/2018, abrufbar unter: https://edpb.europa.eu/sites/edpb/files/files/news/endorsement_of_wp29_documents_en_0.pdf, zuletzt abgerufen am 11.1.2021. 7 Siehe z.B. Kühling/Buchner/Dix, Art. 70 Rn. 10. 8 Datenschutzkonferenz, Kurzpapier Nr. 10: Informationspflichten bei Dritt- und Direkterhebung, Stand: 16.1.2018, https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_10.pdf. 9 Siehe zur Abgrenzung, wann personenbezogene Daten (direkt) von der betroffenen Person und wann sie nicht (direkt) von ihr erhoben werden, z.B. Kühling/Buchner/Bäcker, Art. 13 Rn. 13ff. und Art. 14 Rn. 9. 10 Siehe Kap. 5 Rn. 37ff., 46. 11 Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 17. 12 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 16; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 20; Gola/Franck, Art. 13 DSGVO Rn. 6; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 17; Strassemeyer, K&R 2020, 177, 179. 13 So z.B. Plath/Kamlah, Art. 13 DSGVO Rn. 16; Schantz, NJW 2016, 1841, 1845; Hansen-Oest, Datenschutzbeauftragte, S. 77. 14 Siehe hierzu ausführlich Rn. 77ff. 15 „Datenübermittlung vorbehaltlich geeigneter Garantien“, wie z.B. der von der Kommission genehmigten Standardvertragsklauseln. 16 „Verbindliche interne Datenschutzvorschriften“, insbesondere Binding Corporate Rules. 17 „Datenübermittlung zur Wahrung der zwingenden berechtigten Interessen des Verantwortlichen unter Vorsehung geeigneter Garantien“. 18 Siehe z.B. Plath/Kamlah, Art. 13 DSGVO Rn. 9; Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 14. 19 So auch Laue/Kremer/Kremer, § 3 Rn. 7. Die Artikel-29-Datenschutzgruppe spricht davon, dass die Informationen „vorzugsweise“ verschiedene Kommunikationsformen mit dem Verantwortlichen ermöglichen sollten, Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 43. 20 Die Nennung des Namens des Datenschutzbeauftragten ist nicht erforderlich (so auch Plath/Kamlah, Art. 13 DSGVO Rn. 10; Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 15; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 24; a.A. Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 9), ebenso wie die Angabe einer Telefonnummer (Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 15). Siehe auch Art.-29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“), WP 243 rev.01, Stand: 5.4.2017, http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48137, S. 15. Nach hier vertretener Ansicht ist es ausreichend, wenn die E-Mail-Adresse z.B. datenschutz@ ...“ oder „datenschutzbeauftragter@ ...“ lautet; sie muss nach hier vertretener Ansicht nicht den Namen des Datenschutzbeauftragten enthalten (so z.B. auch Plath/Kamlah, Art. 13 DSGVO Rn. 10) – es reicht, dass er mittels dieser Adresse direkt erreichbar ist. 21 Die bloße Angabe von Stichworten ist insoweit nach hier vertretener Ansicht nicht ausreichend (a.A. Plath/Kamlah, Art. 13 DSGVO Rn. 11), da es sich bei der Angabe der Verarbeitungszwecke um ein Kernelement der Transparenzpflicht handelt und die betroffene Person die (Rechtmäßigkeit der) Datenverarbeitung nur dann nachvollziehen kann, wenn sie die mit ihr verfolgten Zwecke auch versteht (siehe z.B. Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 10; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 25). Nur sofern dies durch die Angabe von Schlagworten sichergestellt ist, genügt es nach hier vertretener Ansicht den Vorgaben aus Art. 13 DSGVO Abs. 1 lit. c DSGVO. 22 Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 10; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 25. 23 So auch Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 16; ggf. darüber hinaus eine Erläuterung fordernd: Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 26; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 11. Ein solches Erfordernis ergibt sich aber jedenfalls nicht aus den Leitlinien der Artikel-29-Datenschutzgruppe, Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 43f. 24 Siehe hierzu Kap. 5 Rn. 63ff. 25 So auch Laue/Kremer/Kremer, § 3 Rn. 9; Plath/Kamlah, Art. 13 DSGVO Rn. 12; Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 17; Sydow/Ingold, Art. 13 DSGVO Rn. 18; Gola/Franck, Art. 13 DSGVO Rn. 14; a.A.: Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 13 DSGVO Rn. 10; Taeger/Gabel/Mester, Art. 13 Rn. 13; wohl auch: Ehmann/Selmayr/Knyrim, Art. 13 DSGVO Rn. 39; Kühling/Buchner/Bäcker, Art. 13 Rn. 27. 26 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 44f. 27 Siehe ausführlich zum Begriff des „Empfängers“ gem. Art. 4 Nr. 9 DSGVO: Taeger/Gabel/Arning/Rothkegel, Art. 4 DSGVO Rn. 228ff. Ein „Empfänger“ ist nach Art. 4 Nr. 9 DSGVO „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.“ 28 Siehe hierzu ausführlich Taeger/Gabel/Arning/Rothkegel, Art. 4 DSGVO Rn. 236ff. 29 So auch: Ehmann/Selmayr/Knyrim, Art. 13 DSGVO Rn. 43; BeckOK-DS/Schmidt-Wudy, Art. 14 DSGVO Rn. 51 i.V.m. Art. 13 DSGVO Rn. 51; a.A. im Hinblick auf organisatorisch getrennte Untereinheiten des Verantwortlichen: Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 28; in diese Richtung auch: Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 14. 30 Siehe z.B. Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 18 m.w.N.; siehe mit weiteren Argumenten auch Strassemeyer, K&R 2020, 177, 178f. 31 So z.B. auch Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 46f.; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 14; ausdrücklich gegen ein Wahlrecht z.B. Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 30; ein Wahlrecht befürwortend z.B. Laue/Kremer/Kremer, § 3 Rn. 10; Plath/Kamlah, Art. 13 DSGVO Rn. 13. Auch der LfDI Baden-Württemberg verlangt grundsätzlich wohl die Nennung der konkreten Empfänger, LfDI Baden-Württemberg, Tätigkeitsbericht Datenschutz 2019, https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/01/35.-Tätigkeitsbericht-für-den-Datenschutz-Web.pdf, S. 26. 32 So z.B. auch Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 14; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 30; Gola/Franck, Art. 13 DSGVO Rn. 17. So wohl auch LfDI Baden-Württemberg, Tätigkeitsbericht Datenschutz 2019, S. 26. 33 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 47. 34 So z.B. auch Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 47; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 14; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 30. 35 Siehe zum Begriff des Drittlandes sowie zum Status des Vereinigten Königreichs nach dem Brexit Kap. 9 Rn. 6ff. 36 Siehe zur internationalen Datenübermittlung Kap. 9 37 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 47f. 38 Plath/Kamlah, Art. 13 DSGVO Rn. 15; BeckOK-DS/Schmidt-Wudy, Art. 13 DSGVO Rn. 54 i.V.m. Art. 14 DSGVO Rn. 56; Paal/Pauly/Paal/Hennemann, Art. 13 Rn. 19; wohl auch Ehmann/Selmayr/Knyrim, Art. 13 Rn. 50. Nach Schmidt-Wudy sind der betroffenen Person zwar die konkreten Garantien zur Verfügung zu stellen, allerdings – durchaus überzeugend – nur die sie betreffenden Teile, zumal in den weiteren Teilen ggf. auch Geschäftsgeheimnisse enthalten sein können, siehe BeckOK-DS/Schmidt-Wudy, Art. 13 DSGVO Rn. 54 i.V.m. Art. 14 DSGVO Rn. 56. Gegen eine Pflicht zur Zurverfügungstellung der konkreten Garantie ließe sich (gerade im Verteidigungsfall) eventuell mit der Systematik der DSGVO argumentieren, indem nach Art. 15 Abs. 2 DSGVO zumindest nach hier vertretener Ansicht wohl nicht die konkreten Inhalte der Garantien etc. beauskunftet werden müssen (siehe Rn. 202f.). Folgt man dieser Ansicht, könnte dann eventuell argumentiert werden, dass kein „schlagender“ Grund ersichtlich sei, warum die beiden Ansprüche der betroffenen Person insoweit nicht gleichlaufen sollen. 39 Diese Punkte werden im Folgenden, Rn. 49ff., noch ausführlich erläutert. 40 Eine noch genauere Angabe in Wochen oder Tagen kann nach hier vertretener Ansicht nicht verlangt werden. A.A. Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 25, der wohl eine taggenaue Angabe verlangt. 41 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 48f.; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 18; insoweit großzügiger Kamlah, der es – wenn die Speicherdauer nicht konkret bestimmt werden kann – auch ausreichen lässt, wenn der Verantwortliche angibt, dass die Daten so lange verarbeitet werden, wie es für den jeweiligen Zweck erforderlich ist (Plath/Kamlah, Art. 13 DSGVO Rn. 18, a.A. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 49). 42 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 49. 43 Gola/Franck, Art. 13 DSGVO Rn. 20. 44 Die Artikel-29-Datenschutzgruppe sieht in ihren Leitlinien zum Recht auf Datenübertragbarkeit spezifische Anforderungen für die Information über dieses Recht vor, z.B. eine Abgrenzung von anderen Rechten, Unterschiede zwischen dem Auskunftsrecht nach Art. 15 DSGVO und dem Recht auf Datenübertragbarkeit gem. Art. 21 DSGVO etc. (Art.-29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, WP 242, rev. 01, Stand: 5.4.2017, http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48142 WP 242 rev.01, S. 15). Diese Anforderungen sind sehr weitreichend und finden nach hier vertretener Ansicht zumindest in Art. 13 DSGVO und Art. 21 DSGVO keine Grundlage. 45 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 49f. Soweit die Artikel-29-Datenschutzgruppe verlangt, dass die Information auf das jeweilige Verarbeitungsszenario abstellen soll (Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 49), kann das nach hier vertretener Ansicht nur so verstanden werden, dass allein über die ggf. bestehenden Rechte informiert werden soll, da auf den Einzelfall bezogene konkrete Informationen zu diesem Zeitpunkt noch gar nicht möglich sind (Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 19). 46 Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 27. 47 Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 19. 48 Siehe unten Rn. 596ff. 49 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 50f. 50 Siehe ausführlich zu den Anforderungen an das Widerrufsrecht Kap. 5 Rn. 284ff. 51 Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 29; Gola/Franck, Art. 13 DSGVO Rn. 24; a.A. Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 39, der die Nennung der zuständigen Datenschutzaufsichtsbehörde verlangt; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 22, die zudem noch die Nennung der Kontaktdaten der Behörde verlangt. Die Artikel-29-Datenschutzgruppe verlangt wohl nur insoweit eine Präzisierung, als dass die betroffene Person darüber informiert wird, dass sie gem. Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde hat, und zwar insbesondere in dem Mitgliedstaat ihres Aufenthaltsortes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes gegen die DSGVO (Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 51). 52 Siehe z.B. Plath/Kamlah, Art. 13 DSGVO Rn. 22; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 24f., nach der aber eine Information im Fall einer Obliegenheit der betroffenen Person bzw. einer Voraussetzung für den Vertragsschluss dann entbehrlich ist, wenn die Konsequenzen für die betroffene Person ohne Weiteres und eindeutig erkennbar sind. 53 Plath/Kamlah, Art. 13 DSGVO Rn. 22. 54 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 51. 55 Der Einschub „– zumindest in diesen Fällen –“ in Art. 13 Abs. 2 lit. f DSGVO ist gesetzgeberisch verunglückt. So bedeutet er nach hier vertretener Ansicht nicht, dass nur in Fällen des Profiling über die involvierte Logik sowie über die Tragweite und die angestrebten Auswirkungen zu informieren ist, sondern in jedem Fall einer automatisierten Einzelfallentscheidung gem. Art. 22 Abs. 1 oder 4 DSGVO; so auch Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 31f.; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 52; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 28; a.A. Plath/Kamlah, Art. 13 DSGVO Rn. 27; Ehmann/Selmayr/Knyrim, Art. 13 DSGVO Rn. 64. 56 Der Begriff „Profiling“ umfasst nach Art. 4 Nr. 4 DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Siehe ausführlich hierzu z.B. Taeger/Gabel/Arning/Rothkegel, Art. 4 DSGVO Rn. 105ff. 57 Befürwortend z.B. Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 53; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 27; Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 13 DSGVO Rn. 16; Gola/Franck, Art. 13 Rn. 26f. Ablehnend z.B.: BeckOK-DS/Schmidt-Wudy, Art. 15 DSGVO Rn. 77 (nach Verweis durch Art. 13 Rn. 54 und Art. 14 Rn. 77); Plath/Kamlah, Art. 13 DSGVO Rn. 23ff., der aufgrund des Umstandes, dass Art. 13 Abs. 1 lit. f DSGVO ausschließlich auf Art. 22 Abs. 1 und 4 DSGVO verweist, sehr einschränkend nur dann eine Informationspflicht annimmt, wenn eine an sich gem. Art. 22 Abs. 1 oder Abs. 4 DSGVO unzulässige automatisierte Einzelfallentscheidung erfolgt. Dementsprechend würde z.B. keine Informationspflicht bestehen, wenn nur ein Profiling (ohne dass die Voraussetzungen des Art. 22 DSGVO vorliegen), eine gem. Art. 22 Abs. 2 und Abs. 3 DSGVO zulässige automatisierte Einzelfallentscheidung erfolgt oder dem Begehren der betroffenen Person stattgegeben wird. Damit würde nur dann eine Informationspflicht bestehen, wenn die automatisierte Einzelfallentscheidung auf Basis von Art. 22 Abs. 4 DSGVO zulässig ist. Auch die Artikel-29-Datenschutzgruppe geht nicht zwingend davon aus, dass betroffene Personen über sämtliche in Art. 13 Abs. 1 lit. f DSGVO genannten Aspekte informiert werden müssen, wenn ein Profiling nicht in den Anwendungsbereich des Art. 22 DSGVO fällt, siehe Art.-29-Datenschutzgruppe, Leitlinien zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, WP 251 rev.01, S. 18 und insb. S. 27, zumal hieraus nicht eindeutig hervorgeht, ob die Artikel- 29-Datenschutzgruppe die Pflicht zur Information über das Profiling nur auf Art. 13 Abs. 1 lit. c bzw. Art. 14 Abs. 1 lit. c DSGVO stützt oder auch auf Art. 13 Abs. 2 lit. f bzw. Art. 14 Abs. 2 lit. g DSGVO. Sie sieht die Erfüllung sämtlicher Informationspflichten nach Art. 13 Abs. 2 lit. f bzw. Art. 14 Abs. 2 lit. g DSGVO dennoch als gute Praxis an; dahingehend auch Strassemeyer, K&R 2020, 177, 178, der mit Verweis auf die hohe Bedeutung des „Transparenz- und Fairnessgebots“ aus Gründen der Rechtssicherheit und mit Verweis auf EuGH, 1.10.2019 – C-673/17, Rn. 78ff. – Planet49 empfiehlt, über die Risiken einer „(teilweise) automatisierte[n] Entscheidung, die auf Profiling beruht [...] [zu informieren, wenn] die Interessen der betroffenen Person aufgrund von Art und Umfang der Daten oder Bedeutung der Entscheidung erheblich berührt sind. 58 Sich hierauf beziehend auch Art.-29-Datenschutzgruppe, WP 251 rev.01, S. 18. 59 Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 53; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 28; Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 13 DSGVO Rn. 16; vgl. auch Strassemeyer, K&R 2020, 177, 178. Über die Absicht zur Durchführung von Profilingmaßnahmen ist gem. Art. 13 Abs. 2 lit. f DSGVO in jedem Fall zu informieren. 60 Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 53; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 28; Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 13 DSGVO Rn. 16; so auch Strassemeyer, K&R 2020, 177, 178. 61 A.A. wohl Gola/Franck, Art. 13 DSGVO Rn. 26ff., der wohl eine Rechtsgüterabwägung oder eine ergänzende Regelung zum Schutz von Geschäftsgeheimnissen für notwendig erachtet, damit der Algorithmus nicht offengelegt werden muss. Nach Schmidt-Wudy komme es auf den Einzelfall an – in bestimmten Fällen könnte aber sowohl über die Scoreformel als auch deren zugrunde liegenden Parameter zu informieren sein, BeckOK-DS/Schmidt-Wudy, Art. 13 DSGVO Rn. 77 i.V.m. Art. 14 Rn. 77 i.V.m. Art. 15 Rn. 78.3. Auch nach Dix kann die Offenlegung der Scoreformel nach der DSGVO geboten sein, wenn die betroffene Person nur auf diese Weise fehlerhafte Berechnungen vermeiden und korrigieren lassen kann, Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 13 DSGVO Rn. 17. Die Artikel-29-Datenschutzgruppe nimmt etwas unklar an, dass der Algorithmus nicht unbedingt offengelegt werden müsse – sie scheint, wie auch hier vertreten wird, die Übermittlung aussagekräftiger Informationen über die involvierte Logik für ausreichend zu erachten, Art.-29-Datenschutzgruppe, WP 251 rev.01, S. 28. 62 v. Lewinski/Pohl, ZD 2018, 17, 22 m.w.N.; Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 31; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 29; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 54; Laue/Kremer/Kremer, § 3 Rn. 15; Ehmann/Selmayr/Ehmann, Art. 15 DSGVO Rn. 19, der überzeugend hierfür auch die englisch- und die französischsprachige Fassung der DSGVO heranzieht; wohl auch Art.-29-Datenschutzgruppe, WP 251 rev.01, S. 28; so, mit umfassender Argumentation besonders zu KI-Systemen, auch Strassemeyer, K&R 2020, 177, 179ff., „Überblick über Grundzüge“. 63 Plath/Kamlah, Art. 13 DSGVO Rn. 28a; Art.-29-Datenschutzgruppe, WP 251 rev.01, S. 28; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 54ff.; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 29; Laue/Kremer/Kremer, § 3 Rn. 15; noch restriktiver wohl auch Strassemeyer, K&R 2020, 177, 179ff., „entscheidungserheblichsten Parameter“. Siehe hierzu auch das Beispiel in: Art.-29-Datenschutzgruppe, WP 251 rev.01, S. 28. Zum Spannungsverhältnis mit den Geschäftsgeheimnissen des Verantwortlichen siehe z.B. Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 29. Siehe hierzu auch die Empfehlungen der Artikel-29-Datenschutzgruppe für bewährte Verfahren in: Art.-29-Datenschutzgruppe, WP 251 rev.01, S. 35. 64 Art.-29-Datenschutzgruppe, WP 251 rev.01, S. 28; restriktiv Strassemeyer, K&R 2020, 177, 179ff., „Überblick über Grundzüge“. 65 Plath/Kamlah, Art. 13 DSGVO Rn. 29. 66 Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 31. 67 Plath/Kamlah, Art. 13 DSGVO Rn. 29. 68 Art.-29-Datenschutzgruppe, WP 251 rev.01, S. 28f.; so auch Strassemeyer, K&R 2020, 177, 180f., der dies besonders bei komplexen System für vorzugswürdig hält. 69 Siehe ausführlich hierzu unten Rn. 650ff. Siehe z.B. auch Ehmann/Selmayr/Hladjk, Art. 22 DSGVO Rn. 15; Kühling/Buchner/Buchner, Art. 22 DSGVO Rn. 32. 70 So z.B. Gola/Franck, Art. 13 DSGVO Rn. 30f. 71 So auch Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 30; Sydow/Ingold, Art. 13 DSGVO Rn. 23. 72 Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 30; Sydow/Ingold, Art. 13 DSGVO Rn. 23; BeckOK-DS/Schmidt-Wudy, Art. 13 DSGVO Rn. 38. 73 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 8f. 74 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 8. 75 Vgl. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 45f. 76 Plath/Kamlah, Art. 13 DSGVO Rn. 8. 77 Siehe z.B. Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 34 m.w.N.; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 56; Strassemeyer, K&R 2020, 177, 180. 78 Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 56. 79 Eine gewisse Ausnahme von diesem Grundsatz gilt nach § 4 Abs. 4 BDSG bei der Videoüberwachung öffentlich zugänglicher Räume. 80 Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 74, nach dem die Information gem. Art. 13 Abs. 2 lit. e DSGVO dahingehend anzupassen ist, dass die betroffene Person u.a. darüber zu informieren sei, ob die Zweckänderung von ihrem Willen abhänge (Rn. 77). 81 Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 75. 82 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 29; Datenschutzkonferenz, Kurzpapier Nr. 10, S. 2; Gola/Franck, Art. 13 DSGVO Rn. 33; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 33; BeckOK-DS/Schmidt-Wudy, Art. 13 DSGVO Rn. 88. Nach Bäcker sind die Informationen gem. Art. 13 Abs. 2 lit. e DSGVO dahingehend anzupassen, dass die betroffene Person u.a. darüber informiert wird, ob die Zweckänderung von ihrem Willen abhängt oder nicht (Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 77). 83 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 30. 84 Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 32; Gola/Franck, Art. 13 DSGVO Rn. 34; Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 13 DSGVO Rn. 21. Offenlassend z.B. Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 33. Die deutschen Datenschutzaufsichtsbehörden führen in ihrem Kurzpapier zu den Informationspflichten für den Fall der Zweckänderung (nur) aus, dass die Informationspflichten des Art. 13 Abs. 2 DSGVO erneut zu erfüllen seien (Datenschutzkonferenz, Kurzpapier Nr. 10, S. 2). Auch die Artikel-29-Datenschutzgruppe stellt in ihren entsprechenden Leitlinien (nur) klar, dass der Verantwortliche die betroffene Person über alle in Art. 13 Abs. 2 DSGVO genannten Punkte (und ggf. über den Kompatibilitätstest nach Art. 6 Abs. 4 DSGVO, siehe Kap. 5 Rn. 152ff.) informieren muss (Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 29). Auf dieser Basis könnte – vorbehaltlich etwaiger anderslautender Stellungnahmen in der Zwischenzeit – ggf. argumentiert werden, dass die Datenschutzaufsichtsbehörden im Fall der Zweckänderung eine Information über die in Art. 13 Abs. 1 DSGVO genannten Punkte nicht als zwingend erachten. 85 Siehe zum Erfordernis einer neuen Rechtsgrundlage für die Weiterverarbeitung ausführlich Kap. 5 Rn. 153. 86 Siehe z.B. Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 32. 87 Aus Erwägungsgrund 61 kann nach hier vertretener Ansicht keine weitergehende Informationspflicht abgeleitet werden (a.A. Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 73). 88 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 29f. 89 Ehmann/Selmayr/Knyrim, Art. 13 DSGVO Rn. 67. 90 Im Ergebnis so auch Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 57, Paal/Pauly/Paal/Hennemann, Art. 13 DSGVO Rn. 33b; Sydow/Ingold, Art. 13 DSGVO Rn. 8; wohl auch Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 35; a.A. Ehmann/Selmayr/Knyrim, Art. 13 DSGVO Rn. 12f. unter Verweis auf die Artikel-29-Datenschutzgruppe; Gola/Franck, Art. 13 DSGVO Rn. 35. 91 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 20. 92 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 22. 93 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 20ff. 94 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 20. 95 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 20ff. 96 Datenschutzkonferenz, Kurzpapier Nr. 10, S. 2. 97 So z.B. Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 73. 98 Siehe auch Datenschutzkonferenz, Kurzpapier Nr. 10, S. 2. 99 Gola/Franck, Art. 13 DSGVO Rn. 35. 100 Die Artikel-29-Datenschutzgruppe verlangt in diesem Zusammenhang einen Nachweis des Verantwortlichen im Rahmen seiner Rechenschaftspflicht, dass die betroffene Person die Informationen schon erhalten hat, wie und wann sie die Informationen erhalten hat und dass die Informationen noch aktuell sind, siehe Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 33. 101 Siehe Kap. 5 Rn. 233. 102 Nach Auffassung der Artikel-29-Datenschutzgruppe sollte der Verantwortliche – sofern dies dem Zweck der rechtlichen Beschränkung nicht abträglich ist – die betroffene Person aber darüber informieren, dass er auf Grundlage einer bestimmten Vorschrift von der Information absieht, siehe Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 41f. 103 Die auf Art. 23 Abs. 1 lit. i DSGVO gestützte Ausnahme soll das Mandatsverhältnis schützen, indem der betroffenen Person nicht zwangsläufig mitgeteilt werden muss, dass ihre Daten an einen Berufsgeheimnisträger übermittelt wurden, z.B. zur Prüfung arbeitsrechtlicher Maßnahmen durch einen externen Anwalt oder im Rahmen von Unternehmenstransaktionen. Allerdings ist die Europarechtskonformität von § 29 Abs. 2 BDSG durchaus umstritten, siehe z.B. Sydow/Wilhelm, § 29 BDSG Rn. 20. 104 § 32 BDSG enthält zudem noch weitere Ausnahmen von der Informationspflicht für öffentliche Stellen. 105 Siehe Gesetzesbegründung zu § 32 Abs. 1 Nr. 1 BDSG, BT-Drs. 18/12144, S. 4. 106 Sieht ein Unternehmen auf Grundlage dieser Vorschrift doch einmal von der Information der betroffenen Person ab, muss es nach § 32 Abs. 2 BDSG geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person treffen, zu denen eine Information über die Weiterverarbeitung in allgemein zugänglicher Form – i.d.R. auf der Website des Verantwortlichen – sowie die Dokumentation der Gründe gehört, weshalb es die betroffene Person nicht informiert hat. Allerdings ist auch die Europarechtskonformität von § 32 Abs. 1 Nr. 1 BDSG umstritten, siehe z.B. Datenschutzkonferenz, Kurzpapier Nr. 10, S. 3. 107 Im Hinblick auf das Tatbestandsmerkmal der Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche gelten die Ausführungen in Kap. 5 Rn. 183ff. entsprechend. 108 Siehe die Gesetzesbegründung zu § 32 Abs. 1 Nr. 5 BDSG, BT-Drs. 18/11325, S. 103. 109 Siehe z.B. Datenschutzkonferenz, Kurzpapier Nr. 10, S. 3, sowie zu § 32 BDSG in der Fassung des dritten Gesetzesentwurfs Landesbeauftragter für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, Stellungnahme des LfDI M-V zum DSAnpUG-EU, S. 9. 110 Dies folgt daraus, dass die Informationspflichten nach Art. 13 Abs. 1 und 2 DSGVO nur zum Zeitpunkt der Erhebung der Daten bestehen – zum Zeitpunkt der Erhebung dieser Daten waren die Pflichten nach Art. 13 Abs. 1 und 2 DSGVO aber noch nicht anwendbar; Plath/Kamlah, Art. 13 DSGVO Rn. 8; Gola/Franck, Art. 13 DSGVO Rn. 37; a.A. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 5f., die i.d.R. eine passive Informationspflicht annimmt (z.B. in einer Datenschutzerklärung), zumindest bei sachlichen oder wesentlichen Ergänzungen/Änderungen aber auch eine aktive (siehe hierzu auch Rn. 84ff.). 111 Siehe ausführlich Rn. 83ff. 112 So z.B. auch Gola/Franck, Art. 13 DSGVO Rn. 55, nach dem allenfalls eine vollkommen intransparente Verarbeitung zur Unzulässigkeit der Datenverarbeitung führen kann; Plath/Kamlah, Art. 13 DSGVO Rn. 17; BeckOK-DS/Schmidt-Wudy, Art. 13 DSGVO Rn. 19, der eine Einzelfallbetrachtung fordert und i.d.R. zur Unwirksamkeit der Einwilligung gelangt, wenn die Informationspflichten nach Art. 13 DSGVO nicht eingehalten wurden; ebenso soll eine Datenverarbeitung unzulässig sein, wenn die Verletzung der Informationspflichten gem. Art. 13 DSGVO vorsätzlich erfolgte. 113 Siehe z.B. auch Gola/Franck, Art. 13 DSGVO Rn. 55. 114 Die Informationen, die ein Verantwortlicher erteilen muss, damit eine Einwilligung wirksam ist, sind nicht notwendigerweise mit den nach Art. 13 DSGVO zu erteilenden Informationen identisch, siehe hierzu ausführlich Kap. 5 Rn. 272ff. 115 Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 63ff.; Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 41f. Zumindest für Behörden noch weitergehender und die Rechtswidrigkeit einer Datenverarbeitung im Fall einer nicht ordnungsgemäßen Information auch dann annehmend, wenn die betroffene Person zur Duldung der Datenerhebung verpflichtet war: Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 13 DSGVO Rn. 26. 116 Ggf. kann sich nach Auffassung des Europäischen Datenschutzausschusses eine entsprechende Pflicht allerdings aus dem Rechtmäßigkeitsgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO ergeben, siehe Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 17. Da die DSGVO aber gerade keinen ausdrücklichen Direkterhebungsgrundsatz beinhaltet, ist diese Forderung nach hier vertretener Ansicht mit Augenmaß zu betrachten. 117 Siehe zur Abgrenzung, wann personenbezogene Daten (direkt) von der betroffenen Person und wann sie nicht (direkt) von ihr erhoben werden, z.B. Kühling/Buchner/Bäcker, Art. 13 Rn. 13ff. und Art. 14 Rn. 9. 118 Siehe z.B. Taeger/Gabel/Mester, Art. 14 DSGVO Rn. 8. Allerdings ist in diesem Zusammenhang kritisch anzumerken, dass eine betroffene Person auch im Fall einer Direkterhebung ggf. nicht nachvollziehen kann, welche Daten über sie erhoben werden, insbesondere wenn dies automatisiert erfolgt. Deshalb sollten Unternehmen auch im Anwendungsbereich des Art. 13 DSGVO im Sinne einer „best practice“ ggf. über die verarbeiteten Datenkategorien informieren (siehe Rn. 72). 119 Gola/Franck, Art. 14 DSGVO Rn. 7; Plath/Kamlah, Art. 14 DSGVO Rn. 3. 120 Taeger/Gabel/Mester, Art. 14 DSGVO Rn. 8. 121 Gola/Franck, Art. 14 DSGVO Rn. 13. 122 Taeger/Gabel/Mester, Art. 14 DSGVO Rn. 10. 123 Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 14 DSGVO Rn. 10; Kühling/Buchner/Bäcker, Art. 14 DSGVO Rn. 21; Taeger/Gabel/Mester, Art. 14 DSGVO Rn. 10. 124 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 51f. 125 Nach der Artikel-29-Datenschutzgruppe ist diese Bedingung nur dann erfüllt, wenn verschiedene Elemente der personenbezogenen Daten zu derselben betroffenen Person – z.B. infolge einer Analyse – keiner bestimmten Quelle zugeordnet werden können (Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 36; Taeger/Gabel/Mester, Art. 14 DSGVO Rn. 11). Zur Pflicht, Datenquellen nachverfolgbar zu halten, infolge der Pflicht zum Datenschutz durch Technikgestaltung und zu datenschutzfreundlichen Voreinstellungen gem. Art. 25 DSGVO siehe ebenfalls: Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 36. 126 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 52. 127 Gola/Franck, Art. 14 DSGVO Rn. 14; BeckOK-DS/Schmidt-Wudy, Art. 14 DSGVO Rn. 75, der allerdings eine öffentlich zugängliche Quelle ablehnt, wenn auf diese nur gegen Zahlung eines Entgelts zugegriffen werden kann (Rn. 75.1). 128 BeckOK-DS/Schmidt-Wudy, Art. 14 DSGVO Rn. 75; Gola/Franck, Art. 14 DSGVO Rn. 14. 129 Siehe zu den Faktoren, die bei der Bestimmung der Angemessenheit zu berücksichtigen sind, z.B. Kühling/Buchner/Bäcker, Art. 14 DSGVO Rn. 28; Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 19f., die den Standpunkt vertritt, dass die Informationen so frühzeitig wie möglich zu erteilen sind. 130 Die Gründe, warum der jeweilige Zeitpunkt zur Information gewählt wurde, sind im Rahmen der Rechenschaftspflicht zu dokumentieren, siehe Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 19. 131 Teilweise wird auch eine vorherige Information gefordert, damit die betroffene Person ihre Rechte noch vor der Offenlegung geltend machen kann, siehe z.B. Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 17. 132 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 18f.; Taeger/Gabel/Mester, Art. 14 DSGVO Rn. 16f.; Gola/Franck, Art. 14 DSGVO Rn. 21; a.A. Plath/Kamlah, Art. 14 DSGVO Rn. 11, nach dem die Information in den Fällen des Art. 14 Abs. 3 lit. b und lit. c DSGVO unter den dort genannten Voraussetzungen auch nach Ablauf der Monatsfrist erfolgen kann. 133 Diese Ausnahmen werden unten (Rn. 132ff.) erläutert. 134 Insbesondere gem. Art. 14 Abs. 5 lit. b DSGVO für den Fall der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke. 135 Siehe z.B. Kühling/Buchner/Bäcker, Art. 14 DSGVO Rn. 54. 136 Insbesondere gem. Art. 14 Abs. 5 lit. b DSGVO für den Fall der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke. 137 In diesem Zusammenhang ist u.a. eine Interessenabwägung zwischen dem Geheimhaltungsinteresse und dem Informationsbedürfnis durchzuführen, siehe Taeger/Gabel/Mester, Art. 14 DSGVO Rn. 24. Entfallen die Gründe hierfür, ist die Information nach Art. 14 DSGVO nachzuholen, siehe Taeger/Gabel/Mester, Art. 14 DSGVO Rn. 24. 138 Laue/Kremer/Kremer, § 3 Rn. 18. 139 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 38. 140 Teilweise wird vertreten, dass es sich bei der Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke um eine eigene Fallgruppe handeln würde und insoweit keine Abwägung zwischen dem Interesse der betroffenen Person an der Informationserteilung und dem Aufwand des Verantwortlichen erfolgen müsse, so z.B. Taeger/Gabel/Mester, Art. 14 DSGVO Rn. 23; Kühling/Buchner/Bäcker, Art. 14 DSGVO Rn. 56. Dies widerspricht nach hier vertretener Ansicht dem Wortlaut der Norm sowie Erwägungsgrund 62 S. 2 DSGVO, im Ergebnis wie hier auch Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 36f. 141 Die Artikel-29-Datenschutzgruppe vertritt allerdings den Standpunkt, dass sich Verantwortliche, die keine personenbezogenen Daten für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke verarbeiten, im Normalfall nicht auf die Ausnahme des unverhältnismäßigen Aufwands berufen sollten, Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 36f. Außerdem sind nach Ansicht der Artikel-29-Datenschutzgruppe die Gründe für die Unmöglichkeit darzulegen. Außerdem ist die betroffene Person nach Ansicht der Artikel-29-Datenschutzgruppe unverzüglich gem. Art. 14 DSGVO zu informieren, sollten die Gründe wegfallen, aufgrund derer die Unmöglichkeit bestand, siehe Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 35. 142 Plath/Kamlah, Art. 14 DSGVO Rn. 15. Siehe hierzu aber auch Art. 14 Abs. 5 lit. d DSGVO. 143 Vgl. Gola/Franck, Art. 14 DSGVO Rn. 25. Die Abwägung ist im Rahmen der Rechenschaftspflichten durch den Verantwortlichen zu dokumentieren, siehe z.B. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 38. 144 Siehe auch Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 37f. 145 So auch Gola/Franck, Art. 14 DSGVO Rn. 25. 146 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 38. 147 So auch Gola/Franck, Art. 14 DSGVO Rn. 25 und wohl auch Plath/Kamlah, Art. 14 DSGVO Rn. 16; einschränkend wohl Paal/Pauly/Paal/Hennemann, Art. 14 DSGVO Rn. 41. 148 Siehe zu den inhaltlichen Anforderungen der Ausdrücklichkeit der Regelung: Kühling/Buchner/Bäcker, Art. 14 DSGVO Rn. 65. Nach Ansicht der Artikel-29-Datenschutzgruppe sollte der Verantwortliche die betroffene Person – sofern dies nicht verboten ist – aber darauf hinweisen, dass er die Daten auf Basis der jeweiligen Rechtsvorschrift offengelegt/erlangt hat, siehe Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 40. Außerdem sind die Offenlegung/Erlangung sowie die Einhaltung der Voraussetzungen der Ausnahme gem. Art. 14 Abs. 5 lit. c DSGVO im Rahmen der Rechenschaftspflicht zu dokumentieren, siehe Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 40; Kühling/Buchner/Bäcker, Art. 14 DSGVO Rn. 67. 149 Siehe z.B. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 40; Kühling/Buchner/Bäcker, Art. 14 DSGVO Rn. 65. 150 Siehe z.B. Simitis/Hornung/Spiecker gen. Döhmann/Dix, Art. 14 DSGVO Rn. 27. 151 Soweit sich ein Verantwortlicher auf diese Ausnahme beruft, muss er deren Vorliegen im Rahmen seiner Rechenschaftspflicht nachweisen können, siehe z.B. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 41. 152 BeckOK-DS/Schmidt-Wudy, Art. 14 DSGVO Rn. 105. Im Fall der Entbindung von der Verschwiegenheitspflicht gilt Art. 14 Abs. 5 lit. d DSGVO nicht (Gola/Franck, Art. 14 DSGVO Rn. 27). 153 Siehe z.B. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 41. 154 So im Hinblick auf Gesellschaftssatzungen: Plath/Kamlah, Art. 14 DSGVO Rn. 20. 155 Nach Auffassung der Artikel-29-Datenschutzgruppe sollte der Verantwortliche die betroffene Person – sofern sich dies nicht nachteilhaft auf den mit der rechtlichen Beschränkung verfolgten Zweck auswirkt – aber darüber informieren, dass er auf Grundlage einer bestimmten Vorschrift von der Information absieht, siehe Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 41f. 156 Macht ein Verantwortlicher von einer dieser Ausnahmevorschriften Gebrauch, sind die Gründe hierfür im Rahmen der Rechenschaftspflicht zu dokumentieren. 157 Die Vorschrift knüpft an den bisherigen § 33 Abs. 2 S. 1 Nr. 3 Alt. 2 BDSG an (siehe die Gesetzesbegründung zu § 29 Abs. 1 S. 1 BDSG in BT-Drs. 18/11325, S. 100), so dass auch an die dazu existierende Rechtsprechung und Literatur angeknüpft werden kann. 158 Wie hier auch Taeger/Gabel/Louven, § 29 BDSG Rn. 5; a.A. Gola/Heckmann/Lapp, § 29 BDSG Rn. 7. 159 Taeger/Gabel/Louven, § 29 BDSG Rn. 6; BeckOK-DS/Uwer, § 29 BDSG Rn. 10; a.A. noch Simitis/Dix, § 33 BDSG a.F. Rn. 77, der eine Beschränkung auf rechtliche Interessen forderte. 160 Simitis/Dix, § 33 BDSG Rn. 83. 161 Vgl. auch BVerwG, Beschluss v. 5.3.2020 – 20 F 3.19, ZD 2020, 373. 162 Siehe z.B. Kühling/Buchner/Herbst, § 29 BDSG Rn. 10. 163 Simitis/Dix, § 33 BDSG Rn. 75 i.V.m. Simitis/Mallmann, § 19 BDSG Rn. 98; siehe z.B. auch BeckOK-DS/Uwer, § 29 BDSG Rn. 8; Kühling/Buchner/Herbst, Art. 14 Rn. 7. 164 BeckOK-DS/Forgó, § 33 BDSG a.F. Rn. 52f. m.w.N. Ganz generell skeptisch, dass es Daten gibt, die ihrem Wesen nach geheim zu halten sind z.B. BeckOK-DS/Uwer, § 29 BDSG Rn. 9. 165 Siehe z.B. Plath/Kamlah, 2. Aufl., § 33 BDSG a.F. Rn. 39. 166 BeckOK-DS/Uwer, § 29 BDSG Rn. 12. 167 Für öffentliche Stellen enthält § 33 BDSG weitere Ausnahmen. 168 Siehe zu dem Tatbestandsmerkmal die Ausführungen in Kap. 5 Rn. 183ff., wobei zu beachten ist, dass es sich hier um Ansprüche aus dem Zivilrecht, z.B. aus Kauf-, Dienst- oder Werkverträgen, handeln muss. 169 Siehe die Gesetzesbegründung zu § 33 Abs. 1 Nr. 2 lit. a BDSG in BT-Drs. 18/12144, S. 5. 170 Allerdings ist die Europarechtskonformität von § 33 Abs. 1 Nr. 2 lit. a BDSG durchaus zweifelhaft, siehe z.B. BeckOK-DS/Uwer, § 33 BDSG Rn. 36 m.w.N. 171 Nach wohl herrschender Meinung ist § 33 Abs. 1 Nr. 2 lit. b BDSG europarechtskonform, siehe BeckOK-DS/Uwer, § 33 BDSG Rn. 44 m.w.N. 172 Auch im Hinblick auf § 29 Abs. 1 S. 1 und § 33 BDSG ist es durchaus fraglich, ob sie den Vorgaben der DSGVO entsprechen und damit europarechtskonform sind. Unternehmen sollten deshalb nur dann von einer Information der betroffenen Personen auf Basis dieser Vorschriften absehen, wenn dies zwingend erforderlich ist. 173 Siehe hierzu die Ausführungen unter Rn. 108, die entsprechend gelten. 174 Siehe ausführlich Rn. 83ff. 175 Siehe hierzu und insb. auch zu den abweichenden Ansichten die Ausführungen unter Rn. 109ff., die hier entsprechend gelten. 176 Vgl. auch BeckOK-DS/Quaas, Art. 12 DSGVO Rn. 4. 177 Siehe ausführlich und mit vielen Beispielen hierzu: Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 7ff.; siehe auch Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 15f.; siehe zur allgemeinen Auslegung des deutschen Wortlauts auch Strassemeyer, K&R 2020, 177, 178, der kritisch anmerkt, dass alle anderen Sprachfassungen sowie der Sinn und Zweck der Vorschrift weniger „präzise“ im Sinne von „detailliert“, sondern im Sinne von „prägnant“ meinen. 178 Paal/Pauly/Paal/Hennemann, Art. 12 DSGVO Rn. 28. 179 BeckOK-DS/Quaas, Art. 12 DSGVO Rn. 14. 180 Paal/Pauly/Paal/Hennemann, Art. 12 DSGVO Rn. 30. 181 Siehe zu weiteren Einzelheiten z.B. BeckOK-DS/Schmidt-Wudy, Art. 12 DSGVO Rn. 12; Paal/Pauly/Paal/Hennemann, Art. 12 DSGVO Rn. 30. In diesem Zusammenhang ist insbesondere auch die Schutzbedürftigkeit von Personen zu beachten, z.B. von älteren Personen, die ggf. über geringe Internetkenntnisse verfügen (siehe auch Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 13). 182 Kühling/Buchner/Bäcker, Art. 12 DSGVO Rn. 11. 183 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 10f. mit vielen Formulierungsbeispielen. 184 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 11; siehe auch Strassemeyer, K&R 2020, 177, 178, „kurz und bündig. 185 Paal/Pauly/Paal/Hennemann, Art. 12 DSGVO Rn. 30; Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 8. Hierbei werden die Informationen in verschiedenen Ebenen erteilt (sog. „multilayered notice“ bzw. „Mehrebeneninformation“); dafür plädierend auch Strassemeyer, K&R 2020, 177, 178. Auf der ersten Ebene wird zunächst nur überblicksmäßig über die wesentlichen Umstände der Datenverarbeitung informiert und mittels Links auf untere Ebenen verwiesen. In diesen unteren Ebenen werden dann die einzelnen Aspekte der Datenverarbeitung im Detail erläutert (Paal/Pauly/Paal/Hennemann, Art. 12 DSGVO Rn. 31). Siehe ausführlich hierzu mit Empfehlungen, insbesondere zu den auf erster Ebene vorzuhaltenden Informationen, auch Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 23f.. Ggf. sollten der betroffenen Person jedoch noch mehr Informationen als die dort von der Art.-29-Datenschutzgruppe genannten auf der ersten Ebene erteilt werden, siehe z.B. Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 9f. Siehe zur Gestaltung auch Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 15f. 186 Gola/Franck, Art. 12 DSGVO Rn. 20. Dies gilt jedenfalls dann, wenn auch die übrigen im Rahmen der Datenverarbeitung verwendeten Formulare (z.B. eine Einwilligung) oder das Angebot, welches eine betroffene Person nutzt (z.B. eine Website), auf Deutsch gehalten sind oder Leistungen gezielt in Deutschland/für betroffene Personen aus Deutschland angeboten werden (weitergehender wohl Paal/Pauly/Paal/Hennemann, Art. 12 DSGVO Rn. 35). Die Artikel-29-Datenschutzgruppe knüpft die zu verwendende Sprache insbesondere an das Zielpublikum, welches z.B. anhand der auf der Website verwendeten Sprache, der Möglichkeit spezifischer Länderauswahlen sowie der Währung, in der Waren und Dienstleistungen bezahlt werden können, ermittelt werden könne (Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 11). 187 Siehe hierzu ausführlich auch: Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 12f. 188 Siehe z.B. auch Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 25. 189 Paal/Pauly/Paal/Hennemann, Art. 12 DSGVO Rn. 32; BeckOK-DS/Schmidt-Wudy, Art. 12 DSGVO Rn. 16. 190 Paal/Pauly/Paal/Hennemann, Art. 12 DSGVO Rn. 32. Weitere Alternativen, wie Informationen leicht zugänglich zur Verfügung gestellt werden können, finden sich auch bei: Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 9. Der Europäische Datenschutzausschuss verlangt insoweit, dass die Datenschutzerklärung auf allen relevanten web-pages verfüg- und sichtbar ist und sie mit einem Klick aufgerufen werden kann, Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 15. 191 Siehe hierzu auch ausführlich: Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 13ff. Nach Auffassung des EDSA sollten die Informationen auch maschinenlesbar sein, Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 15, wobei dies wohl nur gelten kann, wenn die Information elektronisch erfolgt. 192 Siehe auch Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 36. Auch die Artikel-29-Datenschutzgruppe nennt hierzu viele Beispiele: Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 14f. 193 BeckOK-DS/Schmidt-Wudy, Art. 12 DSGVO Rn. 25. Soweit die Informationen (auch) dazu dienen, die Informiertheitsanforderungen gem. Art. 4 Nr. 11 DSGVO an eine Einwilligung zu erfüllen, sind allerdings die Ausführungen des EuGH in seinem „Orange România“-Urteil zu beachten (EuGH, Urt. v. 11.11.2020 – C-61/19, BeckRS 2020, 30027, Rn. 37, 40, 46), die ggf. so zu verstehen sein könnten, dass sichergestellt sein und ggf. nachgewiesen werden muss, dass die betroffene Person vor Abgabe der Einwilligung Kenntnis von den Informationen hatte. Ein solch weitgehendes Verständnis ist nach hier vertretener Auffassung aber abzulehnen, siehe hierzu ausführlich Kap. 5 Rn. 292 und Kap. 17 Rn. 82. 194 Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 15f. 195 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 14, 25. Etwas strikter scheint die Art.- 29-Datenschutzgruppe im Rahmen von multilayered notices/Mehrebenenansätzen zu sein, wobei sie den Einsatz solcher Verfahren nach hiesigem Verständnis auch dann nicht als zwingend ansieht, Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 23. 196 Vgl. auch Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 25, die den Einsatz solcher Informationsmethoden empfiehlt, wenn die Datenverarbeitung für die betroffene Person ansonsten schwer verständlich wäre. 197 So z.B. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 14; so auch Strassemeyer, K&R 2020, 177, 178; Specht-Riemenschneider/Werry/Werry/Specht-Riemenschneider/Bienemann, § 3.3 Rn. 33ff., die treffend die Vorteile eines Stufenmodells inkl. Visualisierungen darlegen. 198 Paal/Pauly/Paal/Hennemann, Art. 12 DSGVO Rn. 31. Siehe ausführlich hierzu mit Empfehlungen, insbesondere zu den auf erster Ebene vorzuhaltenden Informationen, auch Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 23f. 199 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 14f. und ausführlicher mit Beispielen und Einsatzszenarien S. 25f. Siehe in diesem Zusammenhang auch Strassemeyer, K&R 2020, 177, 181. 200 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 15. 201 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 15; Taeger/Gabel/Mester, Art. 12 DSGVO Rn. 16. 202 Erfolgt eine Datenerhebung papiergebunden, sollte die Information zumindest auch papiergebunden und nicht über einen in dem Text angegebenen Link erfolgen. Ebenso sollte im Fall der elektronischen Datenerhebung die Information der betroffenen Person auf diesem Weg erfolgen, also z.B. für die Datenverarbeitung im Rahmen von Websites in den bekannten Datenschutzerklärungen (zum Erfordernis der jederzeitigen Abrufbarkeit gem. siehe Laue/Kremer/Kremer, § 3 Rn. 23). Andernfalls könnten Datenschutzaufsichtsbehörden bzw. Gerichte zu der Ansicht gelangen, dass der Verantwortliche seine Informationspflichten nicht in einer Form erfüllt hat, die im konkreten Einzelfall geeignet war, der betroffenen Person Kenntnis von den zur Verfügung gestellten Informationen zu verschaffen. 203 A. A. wohl Plath/Kamlah, Art. 12 DSGVO Rn. 4f. 204 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 24ff., vom EDSA bestätigt; Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28ff.; so auch Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 58. Zumindest skeptisch aber wohl Datenschutzkonferenz, Kurzpapier Nr. 10, S. 3. Die Zulässigkeit von Medienbrüchen ablehnend z.B. Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 36. 205 Gola/Franck, Art. 13 DSGVO Rn. 40 m.w.N. u.a. unter Verweis auf das Urteil des EuGH, Urt. v. 30.3.2017 – C-146/16, NJW 2017, 1873; Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28ff. 206 Siehe z.B. Gola/Franck, Art. 13 DSGVO Rn. 40 m.w.N.; Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 6, abrufbar unter: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_7.pdf. 207 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 23f.; Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28 mit Verweis auf die Art.-29-Datenschutzgruppe. Weitergehende Informationspflichten auf der ersten Ebene nimmt i.d.R. die Gesellschaft für Datenschutz und Datensicherheit an: Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 6f., abrufbar unter: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_7.pdf. Als mögliche Beispiele für Datenverarbeitungen, mit denen die betroffene Person möglicherweise nicht rechnet, nennt der Europäische Datenschutzausschuss im Zusammenhang mit der Videoüberwachung die Datenübermittlungen an Dritte, insb. in Drittländer, und die Speicherdauer, Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 29. 208 Siehe Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 6f., abrufbar unter: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_7.pdf. 209 Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28. 210 Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28f. 211 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 24. Für die Videoüberwachung siehe Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28ff. 212 Siehe z.B. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 24; Gola/Franck, Art. 13 DSGVO Rn. 40 m.w.N.; Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 6, abrufbar unter: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishife_DS-GVO_7.pdf. Der EDSA verlangt im Zusammenhang mit der Videoüberwachung, dass diese Informationen am besten elektronisch, jedenfalls aber auch nicht-elektronisch leicht verfügbar sind, Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 29. Dies scheint aber insbesondere den Besonderheiten bei der Videoüberwachung geschuldet zu sein. 213 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 17. 214 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 7. 215 Die Kommission wird in diesem Zusammenhang in Art. 12 Abs. 8 DSGVO ermächtigt, gem. Art. 92 DSGVO delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen. Die Bildsymbole, die in der Stellungnahme des Europäischen Parlaments zum Entwurf der DSGVO enthalten waren, wurden nicht mit in die endgültige Fassung der DSGVO aufgenommen. Siehe ausführlich zu Bildsymbolen auch: Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 31f.; kritisch Strassemeyer, K&R 2020, 177, 181, der nur die Kompetenz für die Festsetzung eines Verfahrens, nicht aber der konkreten Symbole sieht. Werden die Bildsymbole in elektronischer Form dargestellt, erfordert Art. 12 Abs. 7 S. 2 DSGVO, dass diese maschinenlesbar sind. Hierfür ist es erforderlich, dass die Symbole automatisiert erkannt und interpretiert werden können; die bloße Darstellbarkeit in einem Browser erfüllt diese Bedingung nicht (Gola/Franck, Art. 12 DSGVO Rn. 51f.). 216 Laue/Kremer/Kremer, § 3 Rn. 25; Gola/Franck, Art. 12 DSGVO Rn. 47. 217 Kühling/Buchner/Bäcker, Art. 12 DSGVO Rn. 24. Allerdings darf die EU-Kommission die konkreten Symbole nicht selbst festlegen; sie besitzt nach Art. 12 Abs. 8 DSGVO nur die Kompetenz für die Festsetzung eines Verfahrens für die Bereitstellung standardisierter Symbole, siehe z.B. Strassemeyer, K&R 2020, 177, 181; Kühling/Buchner/Bäcker, Art. 12 DSGVO Rn. 24. Nach Ansicht von Bäcker müssen die so bereitgestellten standardisierten Symbole dann wohl auch verpflichtend genutzt werden, Kühling/Buchner/Bäcker, Art. 12 DSGVO Rn. 24. Dies steht aber in einem gewissen Widerspruch mit dem Wortlaut von Art. 12 Abs. 8 DSGVO, der die Kommission nicht ermächtigt vorzugeben, dass bestimmte standardisierte Bildsymbole zur Darstellung bestimmter Informationen nach Art. 13 bzw. Art. 14 DSGVO verwendet werden müssen (in diese Richtung geht auch der Wortlaut von Art. 12 Abs. 7 DSGVO); keine Pflicht zur Verwendung so bereitgestellter standardisierter Bildsymbole annehmend z.B. Sydow/Greve, Art. 12 DSGVO Rn. 32. 218 Datenschutzkonferenz, Kurzpapier Nr. 10, S. 3. 219 Siehe hierzu auch die ausführlichen Erläuterungen mit Beispielen durch die Artikel-29-Datenschutzgruppe: Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 23ff. 220 Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 9f., abrufbar unter: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_7.pdf. 221 Siehe ausführlich mit entsprechendem Muster und Erläuterungen: Moos/Schneider, § 42. 222 Werden/wird diese zu lang und/oder unübersichtlich, kann dies u.U. sogar zu einer Verletzung der Anforderungen aus Art. 12 Abs. 1 S. 1 DSGVO führen. 223 Paal/Pauly/Paal/Hennemann, Art. 12 DSGVO Rn. 31. Siehe ausführlich hierzu mit Empfehlungen, insbesondere zu den auf erster Ebene vorzuhaltenden Informationen, auch Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 23f. Ggf. sollten der betroffenen Person jedoch noch mehr Informationen als die dort von der Art.-29-Datenschutzgruppe genannten auf der ersten Ebene erteilt werden, siehe z.B. Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 9f. Siehe zur Gestaltung auch Europäischer Datenschutzausschuss, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, Version 2.0, S. 15f. 224 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 24ff., vom EDSA bestätigt; Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28ff.; Kühling/Buchner/Bäcker, Art. 13 DSGVO Rn. 58. Zumindest skeptisch aber wohl Datenschutzkonferenz, Kurzpapier Nr. 10, S. 3. Die Zulässigkeit von Medienbrüchen ablehnend z.B. Taeger/Gabel/Mester, Art. 13 DSGVO Rn. 36. 225 Gola/Franck, Art. 13 DSGVO Rn. 40 m.w.N. u.a. unter Verweis auf das Urteil des EuGH, Urt. v. 30.3.2017 – C-146/16, NJW 2017, 1873; Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28ff. 226 Siehe z.B. Gola/Franck, Art. 13 DSGVO Rn. 40 m.w.N.; Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 6, abrufbar unter: https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_7.pdf. 227 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 23f. Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28 mit Verweis auf die Art.-29-Datenschutzgruppe. Weitergehende Informationspflichten auf der ersten Ebene nimmt i.d.R. die Gesellschaft für Datenschutz und Datensicherheit an: Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 6f. Als mögliche Beispiele für Datenverarbeitungen, mit denen die betroffene Person möglicherweise nicht rechnet, nennt der Europäische Datenschutzausschuss im Zusammenhang mit der Videoüberwachung die Datenübermittlungen an Dritte, insb. in Drittländer, und die Speicherdauer, Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 29. 228 Siehe Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 6f. 229 Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28. 230 Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28f. 231 Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 24. Für die Videoüberwachung siehe Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 28ff. 232 Siehe z.B. Art.-29-Datenschutzgruppe, WP 260 rev.01, S. 24; Gola/Franck, Art. 13 DSGVO Rn. 40 m.w.N.; Gesellschaft für Datenschutz und Datensicherheit e.V., GDD-Praxishilfe DS-GVO VII: Transparenzpflichten bei der Datenverarbeitung, Version 2.1, Stand April 2018, S. 6. Der EDSA verlangt im Zusammenhang mit der Videoüberwachung, dass diese Informationen am besten elektronisch, jedenfalls aber auch nicht-elektronisch leicht verfügbar sind, Europäischer Datenschutzausschuss, Leitlinien 3/2019 zur Verarbeitung personenbezogener Daten durch Videogeräte, Version 2.0, S. 29. Dies scheint aber insbesondere den Besonderheiten bei der Videoüberwachung geschuldet zu sein.
