DSGVO - BDSG - TTDSG. Группа авторов
Betroffenenrechten, die ein aktives Handeln der betroffenen Person voraussetzen (Antrag), überhaupt wahrgenommen werden können.3 Dies entspricht dem Gedanken aus ErwG 60, wonach der Grundsatz auf eine faire und transparente Verarbeitung die Unterrichtung der betroffenen Person über die Existenz des Verarbeitungsvorgangs und dessen Zweck erfordert.
2
Die Informationspflichten aus Art. 13 DSGVO treffen den Verantwortlichen, der Auftragsverarbeiter wird durch Art. 13 DSGVO nicht verpflichtet, auch fehlt es an dessen Unterstützungspflicht gemäß Art. 28 Abs. 3 Satz 2 lit. e DSGVO, der sich lediglich auf die Betroffenenrechte aus Kapitel III bezieht, die eines Antrages bedürfen.4 Dabei behält die Datenschutz-Grundverordnung die Struktur der Datenschutzrichtlinie (DSRl) bei, indem der Art. 13 DSGVO dem Art. 10 DSRl (Information der betroffenen Person bei der Erhebung) ähnelt.5 Die Bestimmungen des Art. 10 DSRl wurden in Deutschland im Wesentlichen in den §§ 4 Abs. 3 und 33 BDSG a.F. und § 13 Abs. 1 TMG umgesetzt.6
3
Die Verpflichtung des Verantwortlichen betreffen die Information nach Abs. 1 und Abs. 2, wenn der Verantwortliche personenbezogene Daten bei der betroffenen Person direkt erhebt. Darüber hinaus muss der Verantwortliche nach Abs. 3 der betroffenen Person weitere Informationen zur Verfügung stellen, wenn die Absicht besteht, die erhobenen Daten zu einem anderen Zweck als dem ursprünglich zur Erhebung bestehenden Zweck weiterzuverarbeiten. Abs. 4 enthält demgegenüber Ausnahmen dieser Informationspflichten, über die hinaus außerdem das mitgliedstaatliche Recht oder das Unionsrecht weitere Ausnahmen nach Maßgabe des Art. 23 DSGVO vorsehen kann.
II. Allgemeine Voraussetzungen
4
Die Informationspflichten des Verantwortlichen aus Abs. 1 und Abs. 2 setzen zunächst einmal voraus, dass es sich bei der Erhebung um personenbezogene Daten handelt, die bei der betroffenen Person „direkt“ erhoben werden.7 Eine Definition, wann es sich um personenbezogene Daten im Sinne der Datenschutz-Grundverordnung handelt, findet sich in Art. 4 Nr. 1 DSGVO.8
1. Verpflichteter
5
Verpflichtet zur Information der betroffenen Person nach Abs. 1 und Abs. 2 wird der Verantwortliche, nicht genannt wird hingegen der Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO. Mit der alleinigen Verwendung des Begriffs „Verantwortlicher“ wird im Rahmen des Art. 13 demnach festgelegt, wer für die Einhaltung der Datenschutzbestimmung zuständig ist.9 Zudem dient es zur Abgrenzung gegenüber anderen Akteuren, hier dem nicht genannten Auftragsverarbeiter, den keine Verpflichtung zur Information der betroffenen Person trifft.10 Eine Definition des Verantwortlichen findet sich in Art. 4 Nr. 7 DSGVO, wonach hierzu jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, erfasst wird.11 Möglich ist es folglich auch, dass die Verarbeitung gemeinsam durch mehrere Stellen (Verantwortliche) erfolgt. Diese müssen bei einer derartigen gemeinsamen Verantwortlichkeit dann jedoch festlegen, wer welche Informationspflichten gegenüber der betroffenen Person zu erfüllen hat (vgl. Art. 26 Abs. 1 Satz 2 DSGVO).12
2. Betroffene Person
6
Voraussetzung der in Abs. 1 und Abs. 2 enthaltenen Informationspflichten ist es, dass personenbezogene Daten bei der betroffenen Person erhoben werden. Die betroffene Person muss folglich selbst, also unmittelbar in eigener Person als Datenquelle dienen (bspw. durch Kontaktaufnahme). Als Direkterhebung im Sinne des Art. 13 DSGVO kommt damit erst einmal jede mit Kenntnis oder unter Mitwirkung der betroffenen Person ausgeführte Erhebung personenbezogener Daten in Betracht.13 Dabei kommt es für die Verpflichtung zur Information nach Art. 13 DSGVO nicht darauf an, ob die betroffene Person sich der Datenerhebung entziehen könnte oder überhaupt Kenntnis davon hat.14 Eine verdeckte Überwachung, bei der keine Informationspflichten ausgelöst werden, ist infolgedessen nur in Ausnahmen möglich und erfordert eine den Anforderungen des Art. 23 DSGVO entsprechende eigene ausdrückliche Beschränkungsregelung.15 Werden die personenbezogenen Daten hingegen bei Dritten oder aus öffentlichen Quellen erhoben (bspw. öffentliche Profilseite, soziale Netzwerke), handelt es sich nicht um eine Datenerhebung bei der betroffenen Person im Sinne des Art. 13 DSGVO.16 Eine derartige Erhebung der Daten bei anderen oder aus öffentlichen Quellen kann aber eine Informationspflicht nach Art. 14 DSGVO auslösen.17 Dies gilt auch dann, wenn beispielsweise die personenbezogenen Daten mehrerer Personen erhoben werden, weil zum Beispiel beim direkten Kontakt mit einer Person (Informationspflicht nach Art. 13 DSGVO) gleichzeitig Daten einer weiteren Person (bspw. Angehöriger) erhoben werden. Hinsichtlich des Angehörigen werden in diesem Fall lediglich die Informationspflichten nach Art. 14 DSGVO ausgelöst.18
III. Informationspflichten (Abs. 1)
7
Die Direkterhebung von personenbezogenen Daten bei der betroffenen Person in der oben erläuterten Art und Weise löst die Verpflichtung des Verantwortlichen zur Mitteilung der in Abs. 1 genannten Informationen an diese aus. Welche Inhalte diese Informationen haben müssen, ergibt sich aus Abs. 1 lit. a bis f. DSGVO.
1. Namen und Kontaktdaten (Abs. 1 lit. a und b)
8
Art. 13 Abs. 1 lit. a DSGVO verpflichtet den Verantwortlichen, der betroffenen Person seinen Namen sowie gegebenenfalls den seines Vertreters mitzuteilen. Gemeint ist damit bei natürlichen Personen zumindest der Nachname und eventuell außerdem der Vorname, wenn es sonst zu Verwechslungen wegen Namensgleichheit kommen könnte. Kaufleute und juristische Personen müssen ihren Firmennamen (vgl. § 17 Abs. 1 HGB) oder den Vereinsnamen (§ 57 BGB) mitteilen.19 Darüber hinaus ist die betroffene Person über die Kontaktdaten vom Verantwortlichen sowie – soweit vorhanden – seines Vertreters zu informieren. Insgesamt müssen die Angaben zum Namen und den Kontaktdaten so detailliert sein, dass die betroffene Person in die Lage versetzt wird, mit dem Verantwortlichen bzw. mit dessen Vertreter Kontakt aufzunehmen und diesem gegenüber seine Rechte geltend zu machen.20 Damit dies ohne Schwierigkeiten möglich ist, muss demnach neben einer möglichst vollständigen Bezeichnung des Verantwortlichen (Name und/oder Firma), zumindest dessen zustellungsfähige Anschrift mit aufgenommen werden.21 Sofern regelmäßig eine elektronische Kontaktanschrift genutzt wird, gehört auch diese zu den anzugebenden Kontaktdaten.22 Dies gilt erst recht, wenn die Kontaktaufnahme über entsprechende Medien erfolgt (bspw. Internet), dann sind alle Angaben mit aufzunehmen, die eine Kontaktaufnahme auf gleiche Art und Weise (ohne Medienbruch) ermöglichen (bspw. E-Mail-Adresse, Web-Formular usw.).23
9
Die Notwendigkeit der Angabe des Namens und der Adresse eines Vertreters besteht dann, wenn der Verantwortliche gemäß Art. 27 DSGVO einen Vertreter in der Europäischen Union (Art. 4 Nr. 17 DSGVO) bestellen muss. Sofern darüber hinaus der Verantwortliche freiwillig oder aufgrund einer bestehenden Verpflichtung (bspw. nach Art. 37 Abs. 1 DSGVO oder gem. Art. 37 Abs. 4 DSGVO aufgrund einer mitgliedstaatlichen oder unionsrechtlichen Regelung, vgl. § 38 BDSG) einen Datenschutzbeauftragten bestellt hat, sind auch dessen Name und Kontaktdaten der betroffenen Person mitzuteilen (vgl. Abs. 1 lit. b).24
2. Zweck und Rechtsgrundlage der Verarbeitung (Abs. 1 lit. c)
10
Die betroffene Person muss außerdem über den Zweck bzw. die Zwecke der Verarbeitung ihrer personenbezogenen Daten so detailliert informiert