Читать книгу: «Privacy Litigation», страница 2

B. Die Ansprüche der betroffenen Person im Einzelnen
I. Das Recht auf Information, Art. 13, 14 DSGVO
1. Gegenstand

Bei den Informationspflichten nach Art. 13, 14 DSGVO handelt es sich, streng genommen, nicht um Ansprüche im Sinne des § 194 BGB, deren Geltendmachung vom Willen der betroffenen Person abhängt, sondern um proaktive Informationspflichten6 des Verantwortlichen. Ähnlich wie in den §§ 33ff. BDSG (a.F.) wird hier kein Recht auf Auskunft festgehalten, sondern als notwendige Vorstufe der Rechtskontrolle bzw. Durchsetzung die betroffene Person informiert. Auch wenn kein direkt einklagbarer Anspruch auf Information nach Art. 13, 14 DSGVO besteht, sollen die Informationspflichten gleichwohl dargestellt werden, da deren Verletzung durchaus Gegenstand zivilrechtlicher Auseinandersetzungen sein kann.

2. Umfang

Der betroffenen Person sind grundsätzlich alle Informationen nach den Absätzen 1 und 2 für eine faire und transparente Verarbeitung zur Verfügung zu stellen,7 sofern nicht eine der gesetzlich vorgesehenen Ausnahmen8 greift.

3. Voraussetzungen

Voraussetzung für das Eingreifen der Pflicht zur Information ist im Fall des Art. 13 DSGVO die Erhebung (a) personenbezogener Daten (b) bei der betroffenen Person bzw. im Falle des Art. 14 DSGVO bei der nicht betroffenen Person (c). Die Pflicht richtet sich in beiden Fällen an den Verantwortlichen (d) und setzt voraus, dass die Anwendung der Informationspflichten nicht ausgeschlossen ist (e).

a) Der Begriff der Erhebung

Die Datenerhebung ist durch die DSGVO nicht definiert, findet sich jedoch als Begriff zum Beispiel in Art. 4 Nr. 2 DSGVO als Unterfall der Verarbeitung und in Art. 5 Nr. 1 b) DSGVO als Vorstufe der Weiterverarbeitung. Daraus folgt, dass die Datenerhebung am Anfang der Datenverarbeitung steht.9 Sie geht notwendig einer Datenspeicherung voraus, was allerdings nicht bedeutet, dass ihr auch zwingend eine Datenspeicherung folgen muss.10

Maßgebliches Kriterium der Datenerhebung ist in Anlehnung an § 3 III BDSG a. F die „gezielte Beschaffung“ von Daten in Abgrenzung zur bloßen Entgegennahme.11 Im Sinne eines effektiven Datenschutzes ist der Begriff der Erhebung jedenfalls weit zu verstehen und kann auch dann angenommen werden, wenn Daten auf Veranlassung der jeweiligen Anbieter (z.B. soziale Netzwerke oder sonstige Online-Plattformen) durch die Nutzer übermittelt werden12 bzw. nach der Übermittlung nicht durch den Empfänger gelöscht, sondern übernommen werden.13

b) Personenbezogene Daten

Der Begriff der personenbezogenen Daten ist weit zu verstehen und in Art. 4 Nr. 1 DSGVO legaldefiniert. Die erfassten Informationen werden nur dadurch beschränkt, dass sie sich auf eine identifizierbare oder identifizierte Person beziehen. Für weitere Details wird insoweit auf die einschlägige Literatur verwiesen.14

c) Bei der betroffenen Person bzw. nicht bei der betroffenen Person

Während der Begriff der betroffenen Person in Art. 4 Nr. 1 DSGVO zusammen mit den personenbezogenen Daten definiert wird, stellt sich die Frage, wann die Daten bei dieser Person erhoben werden. Einigkeit besteht insoweit, als dass es nicht auf den physischen Ort der Datenerhebung ankommt.

Allerdings ist – insbesondere im Hinblick auf verdeckte Maßnahmen wie Videoüberwachung, Vorratsdatenspeicherung etc. – fraglich, ob die Kenntnis bzw. aktive15 oder passive16 Mitwirkung der betroffenen Person erforderlich ist.17

Dieser Grenzbereich ist heftig umstritten. Für die Praxis dürfte jedoch ohnehin interessanter sein, welche Konsequenzen bzw. Unterschiede sich durch eine Zuordnung zu Art. 13 bzw. 14 DSGVO ergeben. Diese sind inhaltlich eher marginaler Natur18 und allenfalls relevant, soweit es um den Zeitpunkt19 der Informationspflicht oder die Ausnahmen von der Informationspflicht geht, die bei der Datenerhebung nicht bei der betroffenen Person weitgehender ausgestaltet sind.20

d) Verpflichtung des Verantwortlichen

Die Informationspflicht richtet sich an den oder die Verantwortlichen21 i.S.d. Art. 4 Nr. 7 DSGVO. Erheben mehrere Verantwortliche22 die Daten gemeinsam, so haben sie nach Art. 26 DSGVO festzulegen, wer von ihnen welche Verpflichtung erfüllt.

e) Kein Ausschluss von der Informationspflicht

Ein Ausschluss der Informationspflicht kann sich aus den norminternen Ausnahmetatbeständen Art. 13 IV bzw. 14 V DSGVO (aa) oder normexternen Ausnahmetatbeständen (bb) ergeben.

aa) Norminterne Ausnahmetatbestände
aaa) Betroffene Person verfügt bereits über Information

Sowohl in Bezug auf Art. 13 als auch auf Art. 14 DSGVO sind die Informationspflichten ausgeschlossen bzw. eine Information der betroffenen Person entbehrlich, wenn und soweit die betroffene Person bereits über die Informationen verfügt, Art. 13 IV, 14 V a) DSGVO. Aus der Formulierung „soweit“, die sich im Falle des Art. 14 V auf alle Unterabsätze bezieht, ergibt sich eindeutig, dass die Ausnahme für jeden Informationsbestandteil gesondert vorliegen muss und ggf. zu prüfen ist.23

Zudem muss die betroffene Person (genau) über die mitzuteilenden Informationen verfügen, darf also weder zu wenige noch zu viele Informationen erhalten. Genauso ausgeschlossen, wie dass die betroffene Person aus zu wenigen oder unpräzisen Informationen auf die mitzuteilenden Informationen schließen müsste,24 ist es, der betroffenen Person schon vor der Erhebung oder generell überobligatorische Informationen zur Verfügung zu stellen,25 aus denen sie sich dann die exakten Informationen für den Einzelfall heraussuchen müsste. Ersteres folgt dabei schon aus dem Wortlaut der jeweiligen Normen und Letzteres aus dem Transparenzgebot des Art. 12 DSGVO.

Des Weiteren ist Voraussetzung, dass die betroffene Person auch über die Informationen verfügt. Hierfür reicht es nicht aus, dass die betroffene Person zum Beispiel auf gesetzliche Grundlagen im Netz zugreifen kann,26 sondern die Informationen müssen in ihrem Herrschaftsbereich vorhanden, wenn auch nicht zwingend zur Kenntnis genommen27 oder vom Verantwortlichen selbst übermittelt28 worden, sein. Diese Ausnahme greift also zum Beispiel dann ein, wenn eine weitere Datenerhebung durch denselben Verantwortlichen erfolgt, der bei der ersten Erhebung vollumfänglich gem. Art. 13 DSGVO informiert hat und sich an den Informationen nichts geändert hat.29 Diese Konstellation setzt freilich voraus, dass auch die weitere Datenerhebung zum gleichen Zweck erfolgt wie bereits die vorangegangene. Ändert sich der Zweck auch nur minimal, muss auch über diese sowie die entsprechende Rechtsgrundlage informiert werden. Es empfiehlt sich daher, stets ganz genau zu prüfen, ob eine erneute Information tatsächlich entbehrlich ist oder, ob sich durch eine auch nur minimale Zweckänderung nicht doch die Pflicht ergibt, die betroffene Person vollständig zu informieren. Jedenfalls trägt der Verantwortliche das Risiko, dass er aufgrund einer Fehlentscheidung eine erforderliche Information unterlässt.

Praxishinweis:

Im Rahmen eines zivilrechtlichen Verfahrens trägt derjenige, der sich auf das Eingreifen der Ausnahmevorschrift beruft, hierfür auch die Darlegungs- und Beweislast. Der Verantwortliche wäre also gezwungen, darzulegen und notfalls auch zu beweisen, dass die betroffene Person bereits über die Information verfügte. Da dieser Nachweis in nicht unwesentlichen Fällen nur schwer zu führen sein wird, empfiehlt es sich nicht, in Zweifelsfällen auf das Eingreifen der Ausnahme zu vertrauen.

bbb) Unmöglichkeit oder unverhältnismäßiger Aufwand

Die Ausnahme der Unmöglichkeit bzw. des unverhältnismäßigen Aufwandes wird explizit nur in Art. 14 V b) DSGVO genannt. Allerdings wird hierauf auch in Erwägungsgrund 62 verwiesen, ohne dass dabei zwischen Art. 13 DSGVO und Art. 14 DSGVO differenziert wird. Hieraus wird teilweise eine (analoge) Anwendbarkeit des Art. 14 V b) DSGVO auf den Art. 13 DSGVO gefolgert.30

Dem ist jedoch entgegenzuhalten, dass nicht die Erwägungsgründe, sondern der Gesetzestext verbindliche Wirkung entfalten31 und sich etwaige Extremfälle auch durch eine teleologische Reduktion32 des Tatbestandes lösen lassen, es somit an der für eine Analogie erforderlichen Regelungslücke fehlt.33 Darüber hinaus handelt es sich bei Art. 14 V b) DSGVO um eine Ausnahmevorschrift, sodass zweifelhaft ist, ob diese überhaupt analogiefähig ist.

Die genaue Konturierung des Art. 14 V b) DSGVO ist umstritten. Einigkeit besteht jedenfalls insoweit, dass die Anforderungen an die Unmöglichkeit hoch sind. Wobei für diese wiederum ungeklärt ist, ob es sich um objektive34 oder subjektive35 Unmöglichkeit handeln muss. Es steht zu erwarten, dass sich eine genauere Festlegung des Tatbestandes erst in Folge der Judikatur ergeben wird.36

Praxishinweis:

Will man also auf Nummer sicher gehen, empfiehlt es sich in der Praxis, trotz eines erhöhten Aufwandes im Einzelfall, die Informationspflicht zu erfüllen. Im Streitfall muss der Verantwortliche insoweit darlegen und beweisen, dass die Ausnahme des Art. 14 V b) DSGVO in seinem Fall einschlägig war und er daher berechtigt war, die Informationen vorzuenthalten. Gelingt ihm dieser Nachweis nicht, insbesondere weil das angerufene Gericht die Anforderungen für eine Unmöglichkeit nicht als erfüllt ansieht, droht der Verantwortliche, wegen des Verstoßes gegen seine Informationspflicht, in Anspruch genommen zu werden.

Bezüglich der Unverhältnismäßigkeit ist die bisherige Spannbreite der vertretenen Meinungen jedenfalls sehr weit. Während zum Teil für die Annahme der Unverhältnismäßigkeit auf ein von der Artikel-29 Datenschutzgruppe ersonnenes Beispiel abgestellt wird, bei dem Geschichtsforscher eine Datenbank mit 20.000 Betroffenen, die vor 50 Jahren erstellt wurde, auswerten wollen,37 lassen andere hierfür schon ausreichen, wenn die betroffene Person in einer E-Mail in CC gesetzt wurde.38

Überzeugend scheint hier eine Abwägung zwischen dem Aufwand, die betroffene Person zu ermitteln bzw. zu informieren einerseits und dem Informationsinteresse der betroffenen Person andererseits, das sich danach richtet, wie wichtig die Benachrichtigung für die Rechtsdurchsetzung ist und wie sensibel die erhobenen Daten sind.39

Dies gilt auch für „Big – Data“-Anwendungen, so dass allein aufgrund der Vielzahl der erhobenen Datensätze nicht pauschal von einer Unverhältnismäßigkeit ausgegangen werden kann.40 Gerade in diesem Zusammenhang spielt die Verpflichtung aus Art. 14 V b) DSGVO eine wichtige Rolle, die eine Veröffentlichung der Informationen erfordern kann.41

Eine gewisse Orientierung bei der Abwägung können freilich die in Art. 14 V b) DSGVO aufgeführten Kriterien sowie Erwägungsgrund 6242 bieten.43

Für die Praxis kann vorerst nur geraten werden, von einer restriktiven Auslegung auszugehen und auch Altbestände von Kundendaten zu aktualisieren, um diese informieren zu können, falls die Daten in Zukunft für Forschung oder Statistik verwendet werden.44

Unabhängig davon, ob die Alternative, dass die Verwirklichung der Ziele unmöglich gemacht oder ernsthaft beeinträchtigt wird, indem man der Informationspflicht nach Absatz 1 nachkommt, einen eigenständigen Tatbestand darstellt oder nicht, ist diese weitestgehend selbsterklärend. Ohne Weiteres leuchtet es ein, dass die betroffene Person beispielsweise bei Ermittlungen durch einen Privatdetektiv45 oder Anzeigen nach dem Geldwäschegesetz46 nicht informiert zu werden braucht.

Interessant ist vor allem, ob die Informationen nachgeholt werden müssen, sobald der Tatbestand des Art. 14 V b) DSGVO nicht mehr gegeben ist, dies wird zumindest von einer strengeren Ansicht bejaht.47 Und auch hier empfiehlt es sich aus Gründen der eigenen Vorsicht, den Anforderungen der insoweit strengsten Ansicht zu entsprechen, bis es hinsichtlich dieser Frage eine anderslautende, höchstrichterliche Entscheidung gibt.

ccc) Ausdrückliche Regelung

Art. 14 V c) DSGVO enthält eine Ausnahme für den Fall, dass die Erlangung oder Offenlegung der Informationen durch die Mitgliedstaaten oder die Union bereits ausdrücklich geregelt ist, sofern die betreffenden Rechtsvorschriften geeignete Maßnahmen vorsehen, um die Interessen der betroffenen Personen zu schützen. Auch wenn durch diese Ausnahme nicht weiter konkretisiert wird, wie die geeigneten Schutzmaßnahmen aussehen müssen,48 besteht weitgehende Einigkeit, dass die betreffenden Regelungen hinsichtlich Tatbestandsvoraussetzungen und Reichweite ausreichend detailliert sein müssen und die Ausnahme nicht bei Generalklauseln gilt.49 Wenn sich der Verantwortliche auf diese Ausnahme berufen will, ist ihm jedenfalls anzuraten, genau zu dokumentieren, auf welcher Grundlage und nach welchen Prüfungsschritten er die Information der betroffenen Person unterlassen hat.50 Eine solche (schriftliche) Dokumentation wird spätestens dann erforderlich, wenn die unterlassene Information, gegenüber der betroffenen Person, vor der Aufsichtsbehörde oder einem Gericht gerechtfertigt werden muss. Nur mit einer ausreichenden Dokumentation besteht überhaupt die Chance, sich gegen eine Inanspruchnahme wegen unterlassener Informationen zu verteidigen.

ddd) Berufsgeheimnisse und satzungsmäßige Geheimhaltungspflichten

Art. 14 V d) DSGVO enthält eine weitere Bereichsausnahme für den Schutz der Berufsgeheimnisse51. In der Norm wird zwar auf mitgliedstaatliches Recht verwiesen, man wird jedoch nichtsdestotrotz einen (weiten) unionsrechtlichen Begriff des Berufsgeheimnisses anlegen müssen, um zu verhindern, dass die Mitgliedstaaten beliebige behördliche Tätigkeiten durch weitgefasste Geheimhaltungspflichten pauschal den Informationspflichten des Art. 14 entziehen.52

Entsprechendes gilt für vertraglich vereinbarte Geheimhaltungsregeln zum Beispiel in Gesellschaftsverträgen53 oder das Bankgeheimnis, die kein Berufs- oder satzungsmäßiges Geheimnis i.S.d. Art. 14 V d DSGVO darstellen.54

Die Reichweite der Ausnahme richtet sich dabei grundsätzlich nach der Reichweite des Geheimnisschutzes, allerdings wird dieser oftmals verlangen, dass nicht einmal Teilinformationen preisgegeben werden, weil diese schon einen Rückschluss auf geschützte Informationen, wie zum Beispiel das Mandantenverhältnis, ermöglichen würden.55

bb) Ausnahmebestände außerhalb der DSGVO

Nach Art. 23 DSGVO können sowohl Union als auch der nationale Gesetzgeber weitere Ausnahmen vorsehen. Hiervon wurde zum Teil Gebrauch gemacht. Wichtige Ausnahmen finden sich beispielsweise im BDSG in: §§ 4 II, IV (Videoüberwachung), 29 (Geheimhaltungspflicht)56, 32 (Nur für Art. 13 DSGVO), 33 (öffentliche Belange); in § 32b AO (Steuergeheimnis)57 oder 82a SGB X (Sozialgeheimnis), auf die hier nur hingewiesen wird.58 Auch die Art. 85 und 89 DSGVO eröffnen die Möglichkeit für weitere Ausnahmen.

4. Erfüllung

Hinsichtlich der Erfüllung der Pflichten ist zu unterscheiden zwischen dem Inhalt der zur Verfügung zustellenden Information (a), der Art der Informationsübermittlung (b) und dem Zeitpunkt (c). Nachfolgend soll nur ein Überblick über die Anforderungen an die Erfüllung der Informationspflichten erfolgen. Für tiefergehende Ausführungen muss auf die entsprechende Kommentarliteratur verwiesen werden.

a) Inhalt
aa) Name und Kontaktdaten des Verantwortlichen/Vertreters

Zur Erfüllung der Informationspflichten ist der betroffenen Person der vollständige59 Name (bzw. die Firma) und zumindest eine zustellungsfähige Anschrift des Verantwortlichen mitzuteilen, damit eine Kontaktaufnahme problemlos möglich ist.60

bb) Kontaktdaten des Datenschutzbeauftragten

Die Nennung eines Namens bei den Angaben über den Datenschutzbeauftragten ist nicht erforderlich, da es allein auf die Funktion des Datenschutzbeauftragten ankommt.61 Zur Erfüllung genügt somit auch die Einrichtung und Angabe eines Funktionspostfachs.62

cc) Zwecke und Rechtsgrundlagen der Verarbeitung

Die Angabe des Zwecks und der Rechtsgrundlagen der Verarbeitung ermöglicht der betroffenen Person einerseits die Überprüfung der Rechtmäßigkeit, andererseits ist der angegebene Zweck Ausgangspunkt für die Kompatibilitätsprüfung bei der zweckändernden Weiterverarbeitung i.S.d. Art. 6 IV DSGVO.63

Aus Sicht des Verantwortlichen sollten daher alle auch nur geplanten Zwecke erfasst und mitgeteilt werden, schon weil hierdurch eine spätere (erneute) Mitteilung gem. Art. 13 III DSGVO bzw. Art. 14 IV DSGVO entbehrlich wird.64 Nicht zulässig ist jedoch eine Mitteilung aller erdenklichen Zwecke „auf Vorrat“,65 schon wegen des Transparenzgebotes aus Art. 12 I DSGVO, ebenso wenig die Mitteilung, dass die Zwecke noch nicht bekannt seien66.

Sowohl die Zwecke als auch die Rechtsgrundlagen67 sollten dabei möglichst präzise angegeben werden. Auch wenn der Wortlaut der Norm eine Angabe der zugrunde liegenden Vorschrift ausreichen lässt,68 sollte schon, aufgrund der eingangs beschriebenen Normzwecke, die Rechtslage einzelfallbezogen und vollständig dargelegt werden und nicht nur auf die teilweise sehr offenen Rechtsgrundlagen verwiesen werden.69 Allerdings muss man hier auch immer die Umstände des Einzelfalles beachten. Dort, wo ausschweifende Informationen aus Platzgründen nicht erteilt werden können oder nur unter erhöhtem Aufwand, ist eine Beschränkung auf die gesetzlich notwendigen Informationen nicht zu beanstanden.

dd) Berechtigte Interessen

Als Erweiterung der Informationspflichten aus Art. 13 I c) bzw. Art. 14 I c) DSGVO sind – wenn die Verarbeitung auf Art. 6 I f DSGVO beruht – die berechtigten Interessen des Verantwortlichen oder Dritten anzugeben. Die bislang im Rahmen der internen Vorprüfung erfolgte Abwägung und Begründung der berechtigten Interessen, ist der betroffenen Person so transparent zu machen, dass dieser die Wahrnehmung ihrer Rechte ermöglicht wird.

Praxishinweis:

Immer dort, wo der Verantwortliche seine Datenverarbeitung auf ein berechtigtes Interesse stützen möchte, ist dringend zu empfehlen, die vorangegangene Interessenabwägung schriftlich im nach Art. 30 DSGVO gebotenen Verfahrensverzeichnis zu dokumentieren. Diese Dokumentation dient in einem möglichen gerichtlichen Prozess als Nachweis dafür, dass man sich für eine Datenverarbeitung nicht willkürlich und mangels anderer Rechtsgrundlagen auf die Wahrnehmung berechtigter Interessen beruft. Dementsprechend ist der jeweilige Einzelfall in der Begründung zu berücksichtigen und es verbietet sich, die Verarbeitung gänzlich auf Floskeln oder ein vorgefertigtes Muster zu stützen. Je näher und ausführlicher die Umstände des Einzelfalles in der Interessenabwägung dokumentiert werden, desto eher wird eine Rechtfertigung (in einem späteren Prozess) gelingen. Letztlich ist der Verantwortliche auch aus Art. 5 II DSGVO verpflichtet, den Nachweis für die Rechtmäßigkeit der Datenverarbeitung erbringen zu können.