Читать книгу: «Privacy Litigation», страница 3

ee) Empfänger/Kategorien von Empfängern

Der Begriff des Empfängers ist in Art. 4 Nr. 9 DSGVO definiert und entsprechend weit zu verstehen.70 Im Gegensatz zur früheren Rechtslage besteht nun Einigkeit, dass auch Auftragsverarbeiter erfasst sind.71 Die Frage, ob es im Belieben des Verantwortlichen steht, den Empfänger oder die Kategorien von Empfängern anzugeben, ist umstritten.72 Für die Praxis kann aus Gründen der Rechtssicherheit nur empfohlen werden, die Empfänger namentlich anzugeben, soweit dies möglich ist.73

ff) Übermittlung an Drittland oder internationale Organisationen

Sollen die erhobenen Daten in ein Drittland oder eine internationale Organisation übermittelt werden, hat der Verantwortliche eine entsprechende Absicht der betroffenen Person mitzuteilen.74 Außerdem ist das Fehlen oder Vorliegen eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO mitzuteilen bzw. im Falle der Übermittlung gem. Art. 46, 47 oder 49 DSGVO ein Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie zu erhalten oder wo sie verfügbar sind. Dies kann in der Praxis auch dazu führen, dass Binding Corporate Rules (BCR) offenzulegen sind.75

Praxishinweis:

Gerade im Internet kann es schnell passieren, dass personenbezogene Daten in ein Drittland übermittelt werden. Setzt ein junges Startup unbefangen einen Online-Shop auf und bindet dort für die Transaktionen bzw. die Zahlungsabwicklung einen Paymentdienstleister ein, sitzen diese nicht selten in einem Drittland (wie z.B. den USA), ohne dass man sich hierüber bei der Erstellung der Datenschutzhinweise Gedanken gemacht hat. Bei der datenschutzkonformen Einbindung solcher Dienstleister ist es dann aber nicht ausreichend, nur nach Art. 13 I f) DSGVO darüber zu informieren, dass ein solcher Drittlandtransfer beabsichtigt ist. Es ist zwingend erforderlich, bereits im Vorfeld des Transfers sicherzustellen, dass dieser Drittlandtransfer auch nach den Art. 44ff. DSGVO zulässig erfolgt. Werden die Anforderungen nach Art. 44ff. DSGVO nicht eingehalten, liegt hierin ein eigenständiger Verstoß gegen die DSGVO vor, der auch nicht durch eine schlichte Information nach Art. 13 I f) DSGVO geheilt werden kann. Der betroffenen Person entstehen hierdurch eigene Ansprüche auf Unterlassung und Schadensersatz.

gg) Dauer der Datenspeicherung

Grundsätzlich ist die genaue Dauer der Datenspeicherung anzugeben. Da dies oftmals vorab nicht möglich ist, sind dann wenigstens die Kriterien anzugeben, aus denen sich die Speicherdauer ergibt. Dies impliziert nach überwiegender Auffassung die Notwendigkeit eines Löschkonzeptes.76

Nach Ablauf der (abstrakt) angegebenen Speicherdauer, besteht gem. Art. 17 I a) DSGVO die Pflicht zur Löschung, es sei denn, dass zu diesem Zeitpunkt die Voraussetzungen für eine Weiterverarbeitung zu einem anderen Zweck vorliegen.77

Praxishinweis:

Die Erstellung eines DSGVO-konformen Löschkonzepts stellt einen nicht zu unterschätzenden Aufwand dar. Je umfangreicher personenbezogene Daten bei einem Verantwortlichen verarbeitet werden, umso komplexer wird die Erstellung eines Löschkonzepts, das sämtliche Löschszenarien ordnungsgemäß abbildet. Aufgrund dieses Aufwandes scheuen viele Verantwortliche die Erstellung eines solchen Löschkonzeptes. Allerdings kann nur mithilfe eines funktionierenden und im Unternehmen gelebten Löschkonzepts verhindert werden, dass ganze Datenfriedhöfe entstehen, also Ansammlungen von personenbezogenen Daten, die bereits vor langer Zeit hätten gelöscht werden müssen. Macht eine betroffene Person dann einen Auskunftsanspruch nach Art. 15 DSGVO geltend und stellt sich heraus, dass dessen personenbezogenen Daten nicht mehr hätten vorhanden sein dürfen, ist eine weitergehende Inanspruchnahme auf Schadensersatz wahrscheinlich. Es ist dann auch offensichtlich, dass das Risikopotential umso höher ist, je mehr personenbezogene Daten verarbeitet werden. Der Aufwand, ein Löschkonzept aufzusetzen und zu dokumentieren, kann sich im Falle einer nicht oder nicht rechtzeitig erfolgten Löschung im Streitfall positiv auswirken. Mit einem umfangreichen Löschkonzept dokumentiert der Verantwortliche, dass er bemüht war und ist, personenbezogene Daten nur so lange zu speichern, wie es unbedingt erforderlich ist. Kann nachgewiesen werden, dass im Regelfall die Vorgaben des Löschkonzepts auch tatsächlich umgesetzt werden, kann im Streitfall argumentiert werden, dass es sich bei der unterbliebenen Löschung um einen Ausreißer handelte. Selbst wenn hierdurch das Verschulden nicht gänzlich ausgeschlossen wird, so kann sich dies bei der Bemessung eines (immateriellen) Schadensersatzes positiv zugunsten des Verantwortlichen auswirken.

hh) Rechte der betroffenen Personen

Die betroffenen Personen sind über die ihnen zustehenden Rechte entsprechend einer Rechtsbehelfsbelehrung aufzuklären.78 Hierzu zählen die Rechte auf: Auskunft (Art. 15); Berichtigung (Art. 16); Löschung (Art. 17); Einschränkung der Verarbeitung (Art. 18); Widerspruch gegen die Verarbeitung (Art. 21); Datenübertragbarkeit (Art. 20).79 Nicht erfasst ist das Recht auf Mitteilung gem. Art. 19 S. 2 DSGVO.80 Nach einer Mindermeinung ist auch das Recht auf Vergessenwerden aus Art. 17 II DSGVO nicht erfasst.81

Inhaltlich wird ein Hinweis auf das abstrakte Bestehen der Rechte ausreichen, da das Vorliegen ihrer konkreten Voraussetzungen im Zeitpunkt der Mitteilung nicht absehbar ist.82 Wenn jedoch schon im Zeitpunkt der Mitteilung ausgeschlossen ist, dass die Voraussetzungen eines Rechts später eintreten,83 sollte auf dieses schon aus Transparenzgründen84 nicht hingewiesen werden.85

Nicht erforderlich ist die in der Praxis weit verbreitete Erläuterung zu einzelnen Rechten, eine Auflistung, wie sie in Art. 13 II b) bzw. Art. 14 II c) DSGVO enthalten ist, auch ohne Angabe der entsprechenden Artikel, reicht aus.86 Im Gegenteil kann eine zu ausführliche Erläuterung sogar ein Risiko für eine DSGVO-Verletzung erhöhen, etwa wenn die Informationen falsch oder irreführend sind und gegen das Transparenzgebot aus Art. 12 I DSGVO verstoßen.

ii) Widerruflichkeit der Einwilligung

Einen Sonderfall stellt die Information über die Widerruflichkeit der Einwilligung in den Fällen des Art. 6 1 a), 9 II a) DSGVO dar, da hier – nach überwiegender Auffassung – auch über die Rechtsfolge, die nur in die Zukunft gerichtet eintritt,87 unterrichtet werden muss.88

jj) Beschwerderecht bei Aufsichtsbehörde

Die betroffene Person ist über ihr Beschwerderecht gem. Art. 77 DSGVO bei einer Aufsichtsbehörde zu unterrichten. Umstritten ist dabei, ob zur Erfüllung der abstrakte Hinweis auf das Bestehen des Beschwerderechts genügt89 oder, ob eine konkrete Aufsichtsbehörde benannt werden muss.90 Für die Praxis kann nur geraten werden, die für den Verantwortlichen zuständige Aufsichtsbehörde mit Kontaktdaten anzugeben, da dies auch den strengeren Auffassungen gerecht wird.

kk) Freiwilligkeit der Bereitstellung

Nur im Fall der Datenerhebung bei der betroffenen Person i.S.d. Art. 13 DSGVO91 ist gem. Art. 13 II e) DSGVO über die Freiwilligkeit der Bereitstellung der Daten aufzuklären.92 Der Verantwortliche hat darüber zu informieren, ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich oder die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte.

ll) Bestehen einer automatisierten Entscheidungsfindung

Wirtschaftliche Risiken können sich aus der Information über das Bestehen einer automatisierten Entscheidungsfindung inkl. Profiling ergeben, da gerichtlich noch nicht geklärt ist, inwieweit Ausnahmen für Geschäftsgeheimnisse93 bestehen.94

Der Anwendungsbereich der Norm ist mit Bezug zu Art. 22 DSGVO definiert, so dass bezüglich der Details auf die hier einschlägige Literatur verwiesen werden kann.95

mm) Kategorien personenbezogener Daten

Da die personenbezogenen Daten im Rahmen des Art. 14 DSGVO nicht bei der betroffenen Person erhoben wurden, ist diese gem. Art. 14 I d) DSGVO über die Kategorien personenbezogener Daten zu unterrichten. Hierzu reichen Obergriffe aus wie z.B. Adressdaten, Vertragsdaten, Kundendaten etc.,96 die eine Risikoabschätzung für die betroffene Person ermöglichen, da detaillierte Informationen über den Auskunftsanspruch aus Art. 15 DSGVO verlangt werden können.97

nn) Quelle der personenbezogenen Daten

Der Begriff der Quelle umfasst den Gegenstand der Datenerhebung, also etwa Personen, Institutionen, Veröffentlichungen, Spuren etc.98 und soll der betroffenen Person ermöglichen, die Rechtmäßigkeit der ursprünglichen Datenerhebung zu überprüfen und, ihre Betroffenenrechte geltend zu machen.99 Erforderlich ist hier die Angabe der konkret genutzten Quelle100 des Verantwortlichen und nicht etwa die Quelle der ersten Datenerhebung, da der betroffenen Person schon so ermöglicht wird, den Weg der Information zurückzuverfolgen.101 Neben der Quelle selbst ist auch die Art der Quelle zu benennen, also ob diese öffentlich oder nicht öffentlich ist,102 da hierdurch auch für die betroffene Person eine Warnung gegeben sein kann, ihre Informationen nicht leichtfertig zu veröffentlichen.103

Umstritten ist, ob aus Gründen der Transparenz auch das Mittel der Datenerhebung zu nennen ist.104 Kann der betroffenen Person nicht mitgeteilt werden, woher die Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung gem. Erwägungsgrund 61 allgemein105 gehalten werden. In der Praxis sollten hier106 die Mittel der Datenerhebung, die genutzten Datenbestände und/oder das System benannt werden.107

Praxishinweis:

Die Nutzung verschiedener Quellen zur Datenerhebung darf nicht dazu führen, dass der betroffenen Person ein Nachteil erwächst. Zugleich sollte nicht zu leichtfertig mit der Möglichkeit umgegangen werden, nur allgemeine Angaben zu machen, wenn die Daten aus unterschiedlichen Quellen stammen. Vielmehr sollten bereits die Erhebungsprozesse so organisiert sein, dass bei jeder Erhebung auch die jeweilige Quelle dokumentiert wird. Nur so ist es auch für den Verantwortlichen selbst möglich, die Kette der Rechtmäßigkeit zurückzuverfolgen. Stellt sich später heraus, dass bereits die eigene Quelle nicht zur Erhebung und Verarbeitung berechtigt war, dürfte es schwerfallen, eine eigene Rechtfertigung für die Erhebung und Verarbeitung gegenüber der betroffenen Person zu begründen. Nicht aussichtsreich ist eine Verteidigung mit dem Hinweis, die eigene Quelle habe versichert, hierzu berechtigt gewesen zu sein. Dieser Einwand wird gegenüber der betroffenen Person nicht erfolgreich sein.

Besondere Probleme können sich zudem ergeben, wenn die Informationen aus Quellen stammen, die ihrerseits dem Datenschutz unterliegen oder/und wie z.B. Whistleblower besonders sensibel sind. Ob man in den betreffenden Fällen die Informationspflicht aufgrund (rechtlicher) Unmöglichkeit,108 oder weil sie die Ziele der Verarbeitung ernsthaft beeinträchtigt,109 gem. Art. 14 V b) DSGVO für ausgeschlossen bzw. eingeschränkt hält oder erst der Gesetzgeber gem. Art. 23 DSGVO tätig werden muss,110 wird durch künftige Entscheidungen zu klären sein.

b) Art der Informationsübermittlung

Die Art der Informationsübermittlung bemisst sich maßgeblich nach den Geboten des Art. 12 DSGVO, deren detaillierte Darstellung den hier vorliegenden Rahmen sprengen würde. Deshalb soll nur auf die einschlägige Literatur111 und einige wesentliche Grundsätze verwiesen werden. Hierzu zählt einerseits, dass die Information gem. Art. 12 I S. 2 DSGVO grundsätzlich in fixierter, also schriftlicher oder gegebenenfalls elektronischer Form zu erfolgen hat und nur auf Verlangen der betroffenen Person in mündlicher Form erteilt werden darf. Zudem ist im Hinblick auf Art. 13 DSGVO zu beachten, dass es nicht zu einem Medienbruch kommt, also die Information durch dasselbe Medium erfolgt, durch das auch kommuniziert wird.112

Andererseits schreibt Art. 12 I S. 1 DSGVO vor, dass die Informationen sowohl präzise als auch verständlich erteilt werden, was schon einen gewissen Widerspruch an sich beinhaltet.113 Dieser lässt sich zum Teil durch mehrschichtige Informationen abbauen.114 Der Verantwortliche sollte hierbei besonders relevante Informationen kurz und stichpunktartig voranstellen und diese und weitere unwesentliche Informationen in einem weiteren Teil detailliert erörtern.115 Zudem ist auch der angesprochene Adressatenkreis zu berücksichtigen, soweit dieser eingrenzbar ist, wie sich schon an der besonderen Hervorhebung von Informationen für Kinder in Art. 12 I S. 2 DSGVO ergibt. Hierfür kann es sich anbieten, auf die Konzepte der einfachen oder leichten Sprache zurückzugreifen.116 Eine weitere Erleichterung der Zugänglichmachung der relevanten Informationen kann sich in Zukunft durch die zusätzliche Verwendung von Bildsymbolen ergeben.117

5. Folgen der Nicht-Erfüllung

Zunächst ist festzuhalten, dass die Erfüllung der Informationspflichten keine Voraussetzung für die Zulässigkeit der Datenverarbeitung an sich ist.118 Ein Verstoß hiergegen macht also die Datenverarbeitung nicht per se unzulässig, soweit die Voraussetzungen für eine zulässige Datenverarbeitung als solche vorliegen. Will sich der Verantwortliche für die Datenverarbeitung allerdings ausschließlich auf eine Einwilligung der betroffenen Person stützen, setzt diese Einwilligung für ihre Wirksamkeit die umfassende Information der betroffenen Person voraus. Fehlt diese Information, fehlt eine für die wirksame Einwilligung essentielle Voraussetzung, sodass vertreten wird, dass für diesen Fall die Verarbeitung aufgrund der fehlenden Informationen nach Art. 13 DSGVO unzulässig ist.119 Insbesondere aus Art. 7 II i.V.m. Art. 4 Nr. 11 DSGVO folgt, dass eine wirksame Einwilligung in „informierter Weise“ abgegeben werden muss, eine Einwilligung also dann unwirksam ist, wenn die betroffene Person die Umstände der Datenverarbeitung oder die Tragweite ihrer Einwilligung nicht eindeutig und klar erkennen kann.120

Unterlässt der Verantwortliche die Erteilung der Informationen nach Art. 13, 14 DSGVO, kann die zuständige Aufsichtsbehörde dieses Verhalten beanstanden und sodann entsprechend sanktionieren. Wesentlich interessanter ist vorliegend allerdings, welche Rechte der betroffenen Person wegen der Nichterteilung der Informationen nach Art. 13, 14 DSGVO zustehen. Entsteht der betroffenen Person durch die Nichterteilung ein materieller oder ein immaterieller Schaden, steht ihr ein Anspruch auf Schadensersatz nach Art. 82 I DSGVO zu. Ob ein Verstoß gegen Art. 13, 14 DSGVO tatsächlich zu einem Schaden bei der betroffenen Person geführt hat, wird immer eine Frage des Einzelfalles sein. Jedenfalls in den Fällen, in denen die Informationen nach Art. 13 DSGVO für eine informierte Entscheidung im Rahmen der Einholung einer Einwilligung erforderlich sind, und die erteilte Einwilligung infolge des Fehlens dieser Informationen unwirksam ist, kann das im Einzelfall einen Schaden verursachen und einen Anspruch auf Schadensersatz nach Art. 82 DSGVO begründen.121 Die gesamte Datenverarbeitung ist in diesem Fall nicht von einer Rechtsgrundlage gedeckt und damit datenschutzwidrig. Ob der betroffenen Person neben einem Schadensersatzanspruch auch ein durchsetzbarer Anspruch auf Erteilung der Informationen nach Art. 13, 14 DSGVO zusteht, ist bislang nicht geklärt. Zu diskutieren ist an dieser Stelle aber viel eher ein Anspruch auf Unterlassung der Datenverarbeitung, ohne die erforderliche Erteilung der Informationen nach Art. 13, 14 DSGVO.122 Steht der betroffenen Person ein solcher Unterlassungsanspruch zu, ließe sich die Einhaltung der Informationspflichten gerichtlich durchsetzen (Bspw. wenn nicht über den Zweck der Verarbeitung im Zusammenhang einer Internetseite informiert wird: „...es zu unterlassen, eine Internetseite vorzuhalten, ohne die Nutzer über den Zweck der Verarbeitung ihrer personenbezogenen Daten zu informieren...“).

Daneben werden die Informationspflichten nach Art. 13, 14 DSGVO als sog. Marktverhaltensregelungen nach § 3a UWG angesehen.123 Das Fehlen dieser Informationen könnte somit über das Wettbewerbsrecht sowohl von Mitbewerbern als auch von Wettbewerbsverbänden, und insbesondere von Verbraucherverbänden, durchgesetzt werden.124

II. Recht auf Auskunft, Art. 15 DSGVO
1. Gegenstand des Auskunftsrechtes

Als Pendant zu den aktiven Informationspflichten der Art. 13, 14 DSGVO enthält Art. 15 DSGVO in Absatz 1 und Absatz 2 weitere passive Auskunftspflichten für den Verantwortlichen, die dieser erst nach ausdrücklichem – ggf. präzisiertem Verlangen125 (Erwägungsgrund 63 S. 7) – zu erfüllen hat. Ähnlich wie durch Art. 13, 14 DSGVO wird hierdurch die Durchsetzbarkeit der übrigen Rechte der betroffenen Person ermöglicht und gesichert,126 weswegen den in Art. 15 I, II DSGVO enthaltenen Ansprüchen überragende Bedeutung zukommt.127

In Art. 15 III DSGVO wird noch das in seinen Details äußerst umstrittene „Recht auf Kopie“ der personenbezogenen Daten128 statuiert.

Praxishinweis:

In der Praxis zeigt sich bereits nach kurzer Zeit, dass das Recht auf Auskunft vor allem im Verhältnis zwischen Arbeitgebern und Arbeitnehmern eine zunehmende Rolle einnimmt.129 Es erstaunt daher nicht, dass die bislang veröffentlichte Rechtsprechung zum Auskunftsrecht überwiegend von den Arbeitsgerichten stammt.130 Die Beweggründe für ein Auskunftsverlangen sind dabei vielfältig. Es kann aber nicht abgestritten werden, dass ein Auskunftsverlangen im Rahmen eines Kündigungsprozesses zumindest auch dazu dient, den Druck auf den (ehemaligen) Arbeitgeber zu erhöhen.

2. Umfang des Auskunftsrechts

In Art. 15 I DSGVO sind zwei unterschiedliche Auskunftsansprüche enthalten, die freilich nicht in einem so strengen Stufenverhältnis stehen, wie der Wortlaut andeutet und problemlos zusammen geltend gemacht werden können.131 Zunächst wird das Recht geregelt, zu erfahren, ob oder ob nicht personenbezogene Daten der betroffenen Person durch den Verantwortlichen verarbeitet werden, und zwar durch Erteilung einer sogenannten (negativen) Verarbeitungsbestätigung.132 Insoweit ist der Wortlaut von Art. 15 I DSGVO irreführend, wenn er dieses Auskunftsrecht auf eine „betroffene Person“ beschränkt. Tatsächlich kann grundsätzlich jede Person bei einem Unternehmen erfragen, ob personenbezogene Daten über sie verarbeitet werden. Ist das nicht oder nicht mehr der Fall, ergeht eine Negativauskunft. Ist diese Auskunft positiv, werden über die anfragende Person also tatsächlich personenbezogene Daten gespeichert, kann die anfragende Person in einem zweiten Schritt Art und Umfang der Verarbeitung erfragen. Sodann muss der Verantwortliche über die einzeln aufgeführten Informationen der Buchstaben a) – h) und das Recht auf Unterrichtung über geeignete Garantien i.S.d. Art. 46 DSGVO für den Fall des Drittlandtransfers des Art. 15 II DSGVO Auskunft erteilen.

Während das durch Art. 15 III DSGVO determinierte „Recht auf Kopie“ Gegenstand individueller Betrachtungen133 ist, richtet sich der Umfang der zu erteilenden Informationen für Art. 15 I, II DSGVO nach den allgemeinen Anforderungen des Art. 12 DSGVO.134

Praxishinweis:

In tatsächlicher Hinsicht kann es erforderlich sein, den Umfang des Auskunftsersuchens durch die betroffene Person präzisieren zu lassen. Das ist insbesondere dann der Fall, wenn der Verantwortliche zu dieser betroffenen Person eine große Menge an Daten gespeichert hat und die Erteilung einer Auskunft über sämtliche Daten einen sehr hohen Aufwand bedeuten würde. Satz 7 zu Erwägungsrund 63 lautet hierzu wörtlich:

„Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.“

Ob der Verantwortliche bis zu einer solchen Präzisierung die Auskunft insgesamt verweigern kann, ist umstritten und mit erheblichen Risiken verbunden. In jedem Fall empfiehlt es sich, jeden Schritt des Auskunftsersuchens, der Bitte um Präzisierung, der Zurückhaltung der Auskunft und der endgültigen Erteilung oder Versagung der Auskunft schriftlich zu dokumentieren. Im Falle einer Beschwerde bei der Datenschutzbehörde gelingt nur so, nachzuvollziehen, warum man eine Auskunft vorläufig zurückgehalten hat, und man erhöht so seine Chancen bei der Datenschutzbehörde, eine positive Entscheidung herbeizuführen, indem diese Dokumentation offengelegt wird. Im Ergebnis wird auch im Zivilverfahren eine solche Dokumentation hilfreich und im Zweifel erforderlich sein, um sich gegen einen Anspruch auf Schadensersatz wegen nicht oder nicht rechtzeitiger Auskunft zu verteidigen. Die Dokumentation einer bereits erteilten Auskunft kann aber auch dazu dienen, den eigenen Vortrag zur Erfüllung des Auskunftsanspruches im Falle des Bestreitens nachzuweisen.