DSGVO - BDSG - TTDSG. Группа авторов
mit ihren Daten vorgenommen werden.25 Zweckangaben, die unklar, generalisierend, zu allgemein oder oberflächlich formuliert sind, genügen diesem Erfordernis demgegenüber nicht.26 Dies ist aus Sicht der betroffenen Person vor allem zur Sicherstellung des Grundsatzes auf Transparenz der Datenverarbeitung von entscheidender Bedeutung.27 Daher kann weder die bloße Angabe von Stichworten, noch eine allgemeine sowie pauschale Aufzählung aller erdenklichen Zwecke den Anforderungen der Information nach Abs. 1 lit. c DSGVO genügen.28 Wesentlich ist es vielmehr auch hier, dass die betroffene Person den Umfang der Datenverarbeitung versteht, sodass gegebenenfalls weitere und ausführlichere Ausführungen mit aufgenommen werden müssen, damit die betroffene Person in die Lage versetzt wird, den verfolgten Zweck und damit den Umfang der Datenverarbeitung wirklich einschätzen zu können. Gleichzeitig wird mit dieser Information der vom Verantwortlichen angegebene Verarbeitungszweck bzw. die Verarbeitungszwecke gegenüber der betroffenen Person festgelegt.29 Diese Zweckbindung (vgl. Art. 5 Abs. 1 lit. b DSGVO) ist nicht zuletzt auch für eine mögliche Zweckänderung im Sinne des Art. 6 Abs. 4 DSGVO von Belang.30
11
Darüber hinaus muss der betroffenen Person die Rechtsgrundlage der Datenverarbeitung mitgeteilt werden, wozu zumindest die konkrete Nennung der Norm, aus der sich die Erlaubnis der Datenverarbeitung ergibt (Art. 6 Abs. 1 DSGVO bzw. ggf. die Norm nach mitgliedstaatlichem oder Unionsrecht), durch die Zitierung oder wörtliche Wiedergabe erfolgen muss.31 Nicht zwingend ist es hingegen, dass der gesamte Text der Vorschrift abgeschrieben bzw. wiedergegeben wird. Dadurch würde je nach Einzelfall die Lesbarkeit bzw. das Verständnis für den Gesamtkontext lediglich unnötig erschwert werden.32 Bei sehr komplexen Sachverhalten kann es außerdem notwendig sein, dass die Rechtsgrundlage der Datenverarbeitung näher erläutert wird, damit die betroffene Person überhaupt in die Lage versetzt wird, die Anwendbarkeit auf ihren Fall nachzuvollziehen.33 Darüber hinaus ist es bei einer Erlaubnis aus Art. 6 Abs. 1 lit. f DSGVO erforderlich, die Informationspflicht nach Abs. 1 lit. d zu beachten.
12
Insgesamt muss die betroffene Person durch die Information des Verantwortlichen zum Zweck und die Rechtsgrundlage der Datenverarbeitung in die Lage versetzt werden, sich ohne weitere Nachfragen ein Bild vom Umfang der Datenverarbeitung machen zu können.34 Nur so ist sichergestellt, dass eventuell zu ergreifende Gegenmaßnahmen oder die Notwendigkeit der Wahrnehmung von Betroffenenrechten durch die betroffene Person in ausreichendem Maße eingeschätzt werden können.
3. Berechtigtes Interesse (Abs. 1 lit. d)
13
Soll durch die Datenverarbeitung das berechtigte Interesse des Verantwortlichen oder eines Dritten im Sinne des Art. 6 Abs. 1 lit. f DSGVO gewahrt werden, ist dieses Interesse des Verantwortlichen bzw. des Dritten ebenfalls der betroffenen Person mitzuteilen. Die bloße Angabe der Interessen, zum Beispiel Bonitätsprüfungen, Forderungsmanagement, Warenkreditsicherung etc., kann allerdings nicht als ausreichende Pflichterfüllung im Sinne des Abs. 1 lit. d DSGVO erachtet werden.35 Vielmehr ist die mit dem berechtigten Interesse verbundene Interessenabwägung ebenfalls so detailliert darzulegen, dass die betroffene Person die vorgenommene Abwägung nachvollziehen und im Falle irgendwelcher Zweifel entsprechende Einwände substantiiert vorbringen kann.36
4. Empfänger oder Kategorien von Empfängern (Abs. 1 lit. e)
14
Die betroffene Person muss außerdem vom Verantwortlichen über mögliche Empfänger bzw. Kategorien von Empfängern informiert werden, unabhängig davon, ob die betroffene Person damit rechnen muss, dass die Daten an bestimmte Empfänger weitergegeben werden.37 Dabei wird nicht allein auf Dritte im Sinne des Art. 4 Nr. 10 DSGVO abgestellt, sondern gemäß der Definition nach Art. 4 Nr. 9 Satz 1 DSGVO jede Stelle erfasst, der die personenbezogenen Daten offengelegt werden. Damit unterliegt die Weitergabe von Daten der betroffenen Person an die eigenen Untereinheiten des Verantwortlichen sowie an Auftragsverarbeiter und deren Unterauftragnehmer ebenfalls der Informationspflicht des Verantwortlichen im Sinne des Abs. 1 lit. e DSGVO.38 Lediglich Behörden, die im Rahmen eines bestimmten Untersuchungsauftrages nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eventuell personenbezogene Daten erhalten, werden von dieser Verpflichtung ausgenommen (vgl. Art. 4 Nr. 9 Satz 2 DSGVO).39 Sind die Empfänger bei der Datenerhebung bereits konkret bekannt bzw. absehbar, wer diese sein werden, sind sie der betroffenen Person folglich konkret zu benennen.40 Ein Wahlrecht besteht insoweit nicht.41 Sofern die Empfänger namentlich bekannt sind, entspricht es schon dem Transparenzgebot, dass diese entsprechend aufgeführt werden.42 Ist dies ausnahmsweise nicht möglich, so muss der Verantwortliche die Empfänger bzw. die Kategorien von Empfängern zumindest so beschreiben, dass die betroffene Person das mit der Erhebung der Daten für sie verbundene Risiko entsprechend einschätzen kann.43
15
Nur wenn die Weitergabe der personenbezogenen Daten zum Zeitpunkt der Erhebung überhaupt noch nicht absehbar ist, besteht keine Notwendigkeit der Information.44 So müssen im Falle einer Veröffentlichung zwar nicht die Empfänger benannt werden, allerdings muss die betroffene Person über die Absicht der Veröffentlichung informiert werden.45 Erfolgt überdies zu einem späteren Zeitpunkt die Weitergabe der Daten an Empfänger oder Kategorien von Empfängern, ergibt sich die Informationspflicht für den Verantwortlichen dann wegen der mit einer Datenübermittlung eventuell einhergehenden Zweckänderung aus Abs. 3. In Betracht kommt in diesem Fall außerdem eine Informationspflicht nach Art. 14 DSGVO, wonach den Empfänger der Daten die Verpflichtung zur Information der betroffenen Person trifft.46
5. Übermittlung in Drittstaaten (Abs. 1 lit. f)
16
Hat der Verantwortliche zudem die Absicht, die Daten an Empfänger in Drittländern oder internationale Organisationen weiterzugeben, ist die betroffene Person darüber ebenfalls zu informieren (Abs. 1 lit. f). Als wesentlich darf hierbei angesehen werden, dass die betroffene Person in die Lage versetzt werden soll, das Übermittlungsrisiko entsprechend einzuschätzen und gegebenenfalls Einwände dagegen zu erheben.47 Insbesondere hat der Verantwortliche mitzuteilen, inwieweit ein Angemessenheitsbeschluss der Kommission zur Erlaubnis der Datenübermittlung (Art. 45 Abs. 1 DSGVO) oder entsprechende Garantien nach Maßgabe von Art. 46, Art. 47 oder Art. 49 Abs. 1 Satz 2 DSGVO vorliegen und wie bzw. wo diese für die betroffene Person verfügbar sind.48 Der Hinweis auf die allgemein zugänglichen Garantien reicht aus, sofern diese für die betroffene Person ohne Probleme zur Verfügung stehen. Im Zweifel muss der Verantwortliche für die betroffene Person die Garantien selbst verfügbar machen bzw. aushändigen.49 Informationspflichten ergeben sich außerdem bei Anwendung unternehmensinterner Datenschutzvorschriften nach Art. 47 Abs. 2 lit. g DSGVO und unabhängig davon, ob die Übermittlung bereits bei der Datenerhebung absehbar war, aus Art. 49 Abs. 1 Satz 2 DSGVO.50
IV. Informationspflichten (Abs. 2)
17
Neben den in Abs. 1 genannten Informationspflichten enthält Abs. 2 weitere Informationen, die der Verantwortliche der betroffenen Person bei einer Direkterhebung mitzuteilen hat. Die Verpflichtung zur Information besteht trotz der Unterteilung auf zwei Absätze ohne Unterschied zu Abs. 1.51 Der zusätzliche Hinweis, dass es sich hierbei um Informationen handelt, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten, ändert an dieser grundlegenden Verpflichtung nichts.52 Anders als noch der Ratsentwurf,53 bezieht sich der Wortlaut Art. 13 nicht mehr auf bestimmte Basisinformationen, denen weitergehende Informationen nur zur Gewährleistung einer fairen und transparenten Verarbeitung hinzugefügt werden sollen.54 Zwar findet sich dieser Risikoansatz immer noch im ErwG 60, aber Abs. 2 verweist auf die faire und transparente Verarbeitung nur noch in Form eines Ziels und lässt