DSGVO - BDSG - TTDSG. Группа авторов
deutlich wird, ob die Daten tatsächlich verarbeitet werden oder nicht.22
13
Sofern personenbezogene Daten über Kinder verarbeitet werden, muss der Verantwortliche dies gem. Art. 12 Abs. 1 Satz 1 Hs. 2 DSGVO im Rahmen der Transparenzanforderungen besonders berücksichtigen. Für den Begriff des Kindes i.S.d. DSGVO kann auf Art. 8 DSGVO verwiesen werden.23 Der EDSA empfiehlt hier eine Orientierung an der „UN Convention on the Rights of the Child in Child Friendly Language“.24 Lediglich bei Kindern, die zu jung sind, um die Informationen über die Datenverarbeitung überhaupt zu verstehen, kann für den Empfängerhorizont auf die Eltern abgestellt werden.25 Besondere Anforderungen an die Transparenz gelten auch für vergleichbar schutzwürdige Personen, z.B. Menschen mit geistiger oder auch körperlicher (Blindheit, Sehschwäche) Behinderung.26
2. Erleichterung der Rechteausübung
14
Gem. Art. 12 Abs. 2 Satz 1 DSGVO muss der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte gemäß den Art. 15–22 DSGVO erleichtern. Hiervon ist nicht lediglich ein Verbot der Erschwerung der Rechteausübung erfasst.27 Vielmehr muss der Verantwortliche seine internen Prozesse so gestalten, dass die Rechteausübung möglichst einfach gemacht wird. Hierzu zählen u.a. elektronische Formulare und spezifische Anwendungen sowie gegebenenfalls Fernzugänge zu Daten.28 Dies hindert den Verantwortlichen allerdings nicht daran, die betroffene Person auf bestimmte Prozesse zu verweisen und bei Unklarheiten Nachfragen zu stellen. Im Übrigen ist der Erfüllungsort angesichts des Wortlauts in Art. 12 Abs. 1 Satz 1 („übermitteln“) grundsätzlich der Wohnort des Anspruchstellers, es liegt demnach eine Schickschuld des Verantwortlichen vor.29
3. Unentgeltlichkeit
15
Gem. Art. 12 Abs. 5 Satz 1 DSGVO muss der Verantwortliche den betroffenen Personen die Informationen gem. Art. 13, 14 DSGVO sowie alle Mitteilungen und Maßnahmen gem. Art. 15–22 und Art. 34 DSGVO grundsätzlich unentgeltlich zur Verfügung stellen (siehe Rn. 21ff. zu den Ausnahmen). Eigene Aufwendungen der betroffenen Person bei der Geltendmachung der Rechte (z.B. Portokosten für die Zusendung eines Identifikationsformulars per Post oder die Beauftragung eines Rechtsanwaltes bei Verweigerung der Rechte) fallen jedoch nicht unter diese Vorschrift.30 Die zwingende Durchführung eines Post-Ident-Verfahrens auf Kosten der betroffenen Person würde aber gegen Art. 12 Abs. 5 Satz 1 DSGVO verstoßen.
III. Form (Abs. 1 Satz 2, Satz 3, Abs. 3 Satz 4)
16
Art. 12 DSGVO macht an verschiedenen Stellen Vorgaben hinsichtlich der Form der Information und Kommunikation mit betroffenen Personen. Gem. Art. 12 Abs. 1 Satz 2 erfolgt die Übermittlung der Informationen schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.31 Nicht hiervon erfasst ist die mündliche Kommunikation, da hierfür in Art. 12 Abs. 1 Satz 3 eine Sonderregelung getroffen wurde. Hiernach darf die Information nur dann mündlich erteilt werden, wenn dies von der betroffenen Person verlangt wird und sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde (siehe hierzu Rn. 18ff.). Entgegen des Wortlauts (nur „Informationen“ statt „Informationen und Mitteilungen“) gilt Art. 12 Abs. 1 Satz 2 und Satz 3 DSGVO nicht nur für die Informationen nach Art. 13 und 14 DSGVO, sondern auch für die Kommunikation im Rahmen der Art. 15–22 und Art. 34 DSGVO. Dies ergibt sich aus der Systematik der Vorschrift. Da die Informationen nach Art. 13 und 14 DSGVO losgelöst vom Personenbezug der erhobenen Daten erfolgen,32 hätte eine Identifizierung hier überhaupt keinen Sinn. Durch die Formulierung „oder in anderer Form“ besteht hier zunächst weitgehender Spielraum. Art. 12 Abs. 3 Satz 4 DSGVO enthält eine Auslegungsregel für die Beantwortung von Betroffenenanfragen nach Art. 15–22 DSGVO. Hiernach erfolgt die Kommunikation mit der betroffenen Person nach Möglichkeit auf elektronischem Weg, wenn die betroffene Person ihren Antrag elektronisch gestellt hat, es sei denn die betroffene Person wünscht etwas anderes, z.B. weitere Kommunikation per Post. Art. 12 Abs. 3 Satz 4 DSGVO gilt sowohl für die Maßnahmenmitteilungen nach Art. 12 Abs. 3 Satz 1 DSGVO als auch für die Fristverlängerungsbegründung nach Art. 12 Abs. 3 Satz 3 DSGVO.33 Elektronische Kommunikation erfasst nicht nur Kommunikation über das Internet oder per E-Mail oder Messenger, sondern auch die Übergabe eines Datenträgers (CD, USB-Stick).34 Art. 12 Abs. 3 Satz 4 DSGVO gilt nicht für Kommunikation im Rahmen der Identifizierung der anfragenden Person nach Art. 12 Abs. 6 DSGVO.
17
Fraglich ist, wie weit das Wahlrecht der betroffenen Person nach Art. 12 Abs. 3 Satz 4 DSGVO geht. Dies wird zum einen relevant, wenn die betroffene Person Kommunikation per E-Mail wünscht, der Verantwortliche jedoch die Auskunft nach Art. 15 DSGVO aus Gründen der Identifizierung und Sicherheit per Post vornehmen möchte. Eine weitere problematische Fallgruppe liegt vor, wenn die betroffene Person auf einer Zurverfügungstellung sämtlicher Daten als Papierausdruck besteht, obwohl eine Übersendung in einem elektronischen Format viel einfacher wäre. Im ersten Fall kann es an der „Möglichkeit“ fehlen, wenn die elektronische Kommunikation nicht sicher ist oder nicht sichergestellt werden kann, dass die richtige Person die geforderten Daten erhält. Die Versendung per einfacher E-Mail offen über das Internet entspricht grundsätzlich nicht den Vorgaben des Datenschutzrechts.35 Die Sicherheit der Verarbeitung nach Art. 32 DSGVO ist auch nicht der Einwilligung zugänglich.36 Insofern muss sich die betroffene Person gegebenenfalls auf den Postweg verweisen lassen und hierfür auch die postalische Adresse zur Verfügung stellen, falls diese noch nicht beim Verantwortlichen vorhanden ist (siehe Rn. 19). Die betroffene Person hat grundsätzlich auch das Recht, postalische Kommunikation und Übergänge von Daten in Papierform zu verlangen, obwohl sie selber ihre Anfrage elektronisch gestellt hat. Die Grenze ist jedoch dann überschritten, wenn hierin ein exzessiver Antrag nach Art. 12 Abs. 5 Satz 1 DSGVO zu sehen ist (siehe Rn. 23).
IV. Identifizierung der betroffenen Person (Abs. 6)
18
Der Verantwortliche muss bei der Bearbeitung von Anfragen der betroffenen Personen nach Art. 15–21 DSGVO sicherstellen, dass die Anfrage auch von der richtigen Person kommt und es weder zu Verwechslungen noch zu Missbrauch durch Dritte kommt. Diese Pflicht besteht nicht nur, wenn im Rahmen von Auskunftsanfragen nach Art. 15 Abs. 1, Abs. 3 DSGVO personenbezogene Daten herausgegeben werden. Auch eine falsche oder unbefugte Ausübung der anderen Rechte kann nachteilige Folgen für die betroffene Person haben, und sei es nur, dass ein von der betroffenen Person gewünschter Newsletter aufgrund eines falschen Werbewiderspruchs nach Art. 21 Abs. 2 DSGVO eingestellt wird. Eine Pflicht zur Identifizierung besteht nach Art. 12 Abs. 6 DSGVO allerdings nur, wenn der Verantwortliche begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag stellt. In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Der Verweis auf Art. 11 DSGVO ist hier rein deklaratorisch und stellt lediglich klar, dass der Verantwortliche Zweifel an der Identität des Anfragenden nicht dazu nutzen darf, um dem Antrag nicht nachzukommen, soweit eine eindeutige Identifizierung mit weiteren Mitteln möglich ist. Art. 12 Abs. 6 DSGVO ist für sich kein Erlaubnistatbestand für die Verarbeitung der zusätzlich erhobenen personenbezogenen Daten.37 Die datenschutzrechtlichen Erlaubnistatbestände sind in Art. 6 DSGVO und ggf. mitgliedstaatlichem Recht (siehe Rn. 20 zu Personalausweis- und Passkopien) geregelt. Die Verarbeitung richtet sich vielmehr nach Art. 6 Abs. 1 lit. c DSGVO, da die Daten erforderlich sind, um den Pflichten nach Art. 15–21 DSGVO nachzukommen.
19
Wann Zweifel an der Identität des Antragstellers vorliegen und welche zusätzlichen Informationen zur Identifizierung erforderlich sind, hängt von den Umständen des Einzelfalles ab. Eine Identifizierung ist in der Regel nicht erforderlich, wenn die Anfrage von einer bereits der betroffenen Person zugeordneten Adresse oder E-Mail-Adresse kommt. Zudem ist auf den zeitlichen