DSGVO - BDSG - TTDSG. Группа авторов
der betroffenen Person
25
Wird ein Antrag der betroffenen Person abgelehnt, sei es auf aufgrund des Art. 12 Abs. 2 Satz 2, Abs. 5 i.V.m. Art. 11 Abs. 2 DSGVO oder aufgrund eines spezielleren Ausnahmetatbestands, muss der Verantwortliche die betroffene Person hierüber gem. Art. 12 Abs. 4 DSGVO mit Begründung unterrichten (siehe Rn. 26ff. zur Frist). Die Vorschrift greift auch, wenn dem Antrag nur teilweise stattgegeben wurde oder eine Negativmeldung erfolgt. Um den bürokratischen Aufwand des Verantwortlichen aber in einem angemessenen Umfang zu halten, genügt bei berechtigten Gründen einer Ablehnung des Antrages ein Verweis auf die entsprechende Norm mit einer kurzen Darstellung des Inhalts der Regelung, die das Vorgehen des Verantwortlichen rechtfertigt.63 Zudem muss der Verantwortliche über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen, informieren. Um der betroffenen Person die Ausübung ihrer Rechte zu erleichtern, muss im Rahmen dieser Mitteilung auch die zuständige Aufsichtsbehörde sowie das zuständige Gericht für ein etwaiges weiteres Vorgehen angegeben werden.64 Hierbei ist zu berücksichtigen, dass einstweiliger Rechtschutz aufgrund einer zwingenden Vorwegnahme der Hauptsache nicht in Frage kommt.65 Etwas anderes gilt u.U. bei der Einschränkung der Verarbeitung.
VI. Fristen (Abs. 3, Abs. 4)
26
Art. 12 sieht sowohl für die Unterrichtung über den Status der Erfüllung der Anfragen der betroffenen Person (Art. 12 Abs. 3 Satz 1 DSGVO) als auch für die Unterrichtung darüber, dass der Verantwortliche nicht tätig wird (Art. 12 Abs. 4 DSGVO) Fristen vor. Im Fall des Art. 12 Abs. 3 Satz 1 DSGVO muss der Verantwortliche unverzüglich (i.S.d. § 121 Abs. 1 BGB, d.h. ohne schuldhaftes Zögern)66 tätig werden. Die Höchstfrist beträgt einen Monat. Wichtig ist, dass sich die Frist lediglich auf die Statusmeldung über die auf Antrag ergriffenen Maßnahmen bezieht und nicht auf die Erledigung des Antrags an sich.67 Die Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Hier ist umstritten, ob Komplexität und Anzahl von Anträgen kumulativ oder alternativ vorliegen müssen.68 Eine kumulative Anwendung wird der Realität jedoch nicht gerecht. Es kann durchaus sein, dass ein Antrag aufgrund seiner Komplexität eine längere Bearbeitungszeit benötigt, insbesondere, wenn eine Konkretisierung der Anfrage erforderlich ist.69 Es kann aber auch sein, dass ein Verantwortlicher aufgrund bestimmter Umstände mit einer unvorhergesehenen Anzahl einfacher aber aufgrund der Masse nicht innerhalb eines Monats zu bewältigender Anträge „überschwemmt“ wird, z.B. nach einer Verletzung des Schutzes personenbezogener Daten nach Art. 34 DSGVO, im Zusammenhang mit Presseberichterstattung oder aber weil Aktivisten eine Online-Plattform aufsetzen, mit der gezielt Auskunftsanträge an ein bestimmtes Unternehmen gerichtet werden. Eine alternative Anwendbarkeit unter Berücksichtigung eines eventuellen Organisationsverschuldens scheint daher eine interessengerechte Lösung zu sein.
27
Die Frist nach Art. 12 Abs. 4 DSGVO ist nicht verlängerbar.70 Fraglich ist, welcher Maßstab an die Frist aufgrund der Formulierung „ohne Verzögerung“ (in der englischen Fassung „without delay“) anzulegen ist. Teilweise wird vertreten, die Frist sei kürzer als bei Art. 12 Abs. 3 Satz 1 DSGVO („unverzüglich“/„without undue delay“).71 Der Maßstab „ohne schuldhaftes Zögern“ (siehe Rn. 26) lässt sich jedoch nicht mehr steigern, sodass auch hier der Grundsatz des § 121 Abs. 1 BGB anzulegen ist.
28
Die DSGVO enthält keine konkreten Regelungen für die Fristberechnung. Teilweise wird vertreten, dass sich diese nach der VO (EWG, Euratom) Nr. 1182/7172 richtet.73 Teilweise wird auf die jeweiligen mitgliedstaatlichen Fristensysteme abgestellt: Im privatrechtlichen Bereich würden dann die §§ 186ff. BGB gelten,74 für öffentliche Stellen i.E. derselbe Maßstab, allerdings über § 31 VwVfG bzw. dessen landesrechtliche Äquivalente.75 Bis die Frage der Fristberechnung unter der DSGVO gerichtlich geklärt ist, ist es angeraten, bei einem Auseinanderfallen der Fristen die jeweils kürzere einzuhalten.
VII. Bildsymbole (Abs. 7, Abs. 8)
29
Art. 12 Abs. 7 DSGVO bietet dem Verantwortlichen die Möglichkeit, schriftliche Ausführungen zu Art. 13, 14 DSGVO durch standardisierte Bildsymbole zu ergänzen und damit die Transparenz zu steigern.76 Vollständig ersetzen können Bildsymbole einen ausgeschriebenen Datenschutzhinweis nicht.77 Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie gem. Art. 12 Abs. 7 Satz 2 DSGVO maschinenlesbar sein. Dies kann durch OCR-fähige Schriftzeichen (optical character recognition) oder eingebettete Metadaten umgesetzt werden.78 Inwieweit sich gegebenenfalls Branchenstandards herausbilden werden, bleibt abzuwarten.
30
Art. 12 Abs. 8 DSGVO gibt der Kommission i.V.m. Art. 92 Abs. 2 DSGVO die Befugnis, delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen. Die Bildsymbole selber können daher nicht vorgegeben werden.79
VIII. Folgen eines Verstoßes und Sanktionen
31
Bei Verstößen gegen Art. 12 DSGVO ist gemäß Art. 58 Abs. 2 lit. i i.V.m. Art. 83 Abs. 5 lit. b DSGVO die Verhängung einer Geldbuße von bis zu 20 Mio EUR oder, sofern ein Unternehmen den Verstoß begangen hat, in Höhe von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes möglich. Während die Aufsichtsbehörden in Deutschland davon im Zusammenhang mit Verstößen gegen Art. 12 DSGVO noch keinen Gebrauch gemacht haben, haben die Aufsichtsbehörden anderer Mitgliedstaaten bereits erhebliche Bußgelder auch auf Grundlage dieser Norm verhängt. So belegte die italienische Datenschutzbehörde ein Unternehmen unter anderem wegen eines Verstoßes gegen Art. 12 DSGVO mit einer Geldbuße in Höhe von 16.700.000 EUR.80 Auch die französische Datenschutzbehörde verhängte bereits Bußgelder in Höhe von 2.250.000 EUR81 und 500.000 EUR,82 weil das jeweilige Unternehmen unter anderem gegen Art. 12 DSGVO verstoßen hatte.
32
Im Übrigen kommt bei einem Verstoß gegen Art. 12 DSGVO ein Anspruch der betroffenen Person auf materiellen oder immateriellen Schadensersatz gemäß Art. 82 DSGVO in Betracht. Vor allem erstinstanzliche (Arbeits-)Gerichte verurteilten zuletzt Verantwortliche zum Ersatz von immateriellen Schäden unter anderem auch wegen Verstößen gegen Art. 12 DSGVO.83 Eine weitreichende Gewährung von immateriellem Schadensersatz ist aber kritisch zu sehen.84
1 Pötters/Bausewein, in: Wybitul, DSGVO, Art. 12–15 Rn. 2. 2 Vorschlag der Europäischen Kommission vom 25.1.2012 KOM(2012) 11 endgültig; 2012/0011 (COD). 3 Beschluss des Europäischen Parlaments vom 12.3.2014 im Rahmen der ersten Lesung zu dem o.g. Vorschlag der Europäischen Kommission (Interinstitutionelles Dossier des Rats der Europäischen Union vom 27.3.2014, 2012/0011 (COD); 7427/1/14, REV 1). 4 Siehe zu inhaltlichen Anforderungen EDSA, Leitlinien 05/20 zur Einwilligung gemäß Verordnung 2016/679 Version 1.1 angenommen am 4.5.2020, S. 18. 5 Siehe hierzu Schreibauer/Spittka, in: Wybitul, DSGVO, Art. 83 Rn. 19. 6 BGH, Beschl. v. 28.5.2020 – I ZR 186/17 (KG); zu den Auswirkungen der Vorlage Grentzenberg/Spittka, GRUR-Prax 2020, 539, 541f. 7 Allgemein zur Transparenzgestaltung Strassemeyer, K&R 2020, 176. 8 EDSA, Leitlinien 05/2020 zur Einwilligung