DSGVO - BDSG - TTDSG. Группа авторов
Regelungsgehalt des Art. 11
I. Allgemeines
1
Die Regelung des Art. 11 DSGVO stellt im systematischen Vergleich zu vorherigen datenschutzrechtlichen Regelungen ein Novum dar.1 Ausgangslage der Norm ist der Umstand, dass ein Verantwortlicher zwar Informationen verarbeitet, die sich auf eine identifizierbare natürliche Person beziehen, der Verantwortliche selbst jedoch nicht in der Lage ist, den Bezug zu einer konkreten Person herzustellen. In diesem Falle soll der Verantwortliche nicht zum bloßen Zwecke der Erfüllung datenschutzrechtlicher Vorschriften weitere Informationen betroffener Personen verarbeiten (ErwG 64).
1. Gesetzeszweck
2
Sinn und Zweck der Regelung erschließen sich erst im Zusammenspiel mit den Pflichten des Verantwortlichen nach Art. 15 bis 20 DSGVO und unter Berücksichtigung der grundsätzlichen Ziele der DSGVO, namentlich der Stärkung der Betroffenenrechte, der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO sowie der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO.2
3
Der Verantwortliche, der für eine Verarbeitung keinen Personenbezug benötigt, soll diesen Personenbezug nicht allein deshalb aufrechterhalten oder herstellen, um den Betroffenenrechten nachkommen zu können.3 Der Verantwortliche wird von seinen Pflichten aus Art. 15 bis 20 DSGVO befreit, sofern er den Nachweis erbringen kann, dass er die betroffene Person bei einer Verarbeitung nicht identifizieren kann und die betroffene Person, sofern möglich, hiervon unterrichtet. Damit dient diese Regelung sowohl den Interessen des Verantwortlichen als auch den Interessen der betroffenen Personen.4 Der Verantwortliche wird zum einen vor einem unnötigen Aufwand hinsichtlich der Verarbeitung weiterer Daten und der Erfüllung umfassender datenschutzrechtlicher Vorschriften und Pflichten geschützt, während zum anderen die betroffenen Personen davor bewahrt werden, dass weitere personenbezogene Daten allein aus dem Grund verarbeitet werden, um Betroffenenrechte zu erfüllen. Art. 11 DSGVO schafft folglich Anreize, Mittel und Wege der Datenverarbeitung zu finden, die keine Identifizierung der betroffenen Personen notwendig machen.5
2. Entstehungsgeschichte
4
Die Norm hat im Laufe des Gesetzgebungsprozesses mehrere Änderungen und Anpassungen erfahren.6 Während das EU-Parlament die Regelung neben „weder direkt noch indirekt“ bestimmbaren Daten auch auf Datensätze erstrecken wollte, die allein aus „pseudonymisierten Daten“ bestehen, und ein Hinzuspeichern von Informationen in diesen Fällen explizit untersagen wollte, enthält die endgültige Fassung diese Erweiterung nicht.7
3. Verhältnis von Abs. 1 und Abs. 2
5
Durch Abs. 1 wird der Verantwortliche von der Pflicht entbunden, Daten zur bloßen Identifikation betroffener Personen einzuholen, nur um verordnungskonform handeln zu können. Abs. 2 regelt, unter welchen Voraussetzungen der Verantwortliche von der Einhaltung bestimmter Betroffenenrechte befreit wird.
4. Verhältnis zu anderen Vorschriften
6
Art. 11 DSGVO bezieht sich auf personenbezogene Daten, bei denen die betroffenen Personen grundsätzlich identifizierbar sind, der Verantwortliche jedoch den Bezug zu einer konkreten Person selbst nicht herstellen kann und für die konkrete Datenverarbeitung auch nicht benötigt. Die Regelung ergänzt den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).
7
Darüber hinaus greift Art. 12 Abs. 2 Satz 2 DSGVO die Ausgangslage von Art. 11 DSGVO auf und erstreckt die Ausnahme von den Betroffenenrechten auf die Art. 21 bis 22 DSGVO. Nicht zu verwechseln ist Art. 11 DSGVO jedoch mit der von Art. 12 Abs. 6 DSGVO beschriebenen Situation, in der der Verantwortliche zwar die von der Verarbeitung betroffene Person identifizieren kann, jedoch Zweifel an der Identität des Antragstellers hat und dementsprechend das Recht hat, weitere Informationen einzufordern. Art. 11 DSGVO setzt dagegen voraus, dass der Verantwortliche die durch ihn verarbeiteten Daten keinen Betroffenen zuordnen kann, eine Identifizierung ihm daher unmöglich ist.
II. Regelungsgehalt des Art. 11
1. Normadressat
8
Dem Wortlaut nach ist Adressat der Regelung allein der Verantwortliche. Der Auftragsverarbeiter ist hier, anders als im Rahmen anderer Artikel der DSGVO, nicht explizit erwähnt. Da die ratio dieser Regelung jedoch grundsätzlich auch für Auftragsverarbeiter zutrifft, sofern diese eigene Pflichten treffen, könnte eine analoge Anwendung der Regelung auf Auftragsverarbeiter in Betracht kommen.8
9
Dies würde jedoch verkennen, dass der Auftragsverarbeiter, bedingt durch seine Stellung, allein personenbezogene Daten gemäß dem jeweiligen Auftrag und nach Weisung des Auftraggebers verarbeiten kann. Der Verantwortliche ist allein für die Einhaltung und Beantwortung von Betroffenenrechten und -anfragen zuständig. Eine über den Auftrag hinausgehende Verarbeitung von Daten durch den Auftragsverarbeiter, um beispielsweise Betroffenenrechte zu erfüllen oder angeblichen Dokumentationspflichten nachzukommen, ist dem Auftragsverarbeiter aufgrund seiner Stellung bereits versagt und auch rechtlich nicht gefordert.
10
Folglich kann der Auftragsverarbeiter bereits aufgrund des Auftragsverhältnisses nicht einseitig bestimmen, mehr personenbezogene Daten zu verarbeiten als vom Auftragsverhältnis vorgesehen. Verarbeitet er auftragswidrig personenbezogene Daten, schwingt er sich gem. Art. 28 Abs. 10 DSGVO zum Verantwortlichen auf, sodass in diesem Fall auch die Regelung des Art. 11 DSGVO für ihn greifen würde. Dementsprechend fehlt es an der Notwendigkeit einer Erstreckung dieser Regelung auf den Auftragsverarbeiter. Eine analoge Anwendung der Vorschrift auf den Auftragsverarbeiter ist daher abzulehnen.
2. Regelungsgehalt von Abs. 1
a) Pflicht zur Einhaltung der DSGVO
11
Abs.