DSGVO - BDSG - TTDSG. Группа авторов
33
Überdies verweist Abs. 3 auf die Informationspflichten von Abs. 2, über die der Verantwortliche die betroffene Person demzufolge nochmals informieren muss. Zum Teil wird hier eine Unterscheidung vorgenommen zwischen Informationen, die keinen Änderungen unterliegen (bspw. Auskunftsrecht) und solchen, die für die Zweckänderung relevant sein können (bspw. verlängerte Speicherdauer).95 Hierbei ist aber zu berücksichtigen, dass eine derartige Trennung Abs. 3 nicht vornimmt. Eine Unterscheidung der Informationsinhalte erscheint aus Sicht der betroffenen Person auch wenig sinnvoll, da für diese kaum nachvollziehbar. Gerade bei längeren Zeiträumen zwischen Erhebung und Zweckänderung ist es daher durchaus erforderlich, die betroffene Person nochmals umfassend zu informieren. Allenfalls, wenn es sich lediglich um eine sehr kurze Zeitspanne seit der letzten Information handelt, mag ausnahmsweise etwas anderes gelten. Wegen des Aufwands der Erstellung solcher Informationen, mag die dann notwendige Prüfung von Einzelfällen in der praktischen Umsetzung allerdings ohnehin dazu führen, pauschal alle Informationen nochmals aufzuführen.
VI. Formalien der Informationspflichten (Abs. 1, 2 und 3)
34
Die Informationspflichten aus Abs. 1 und Abs. 2 sind der betroffenen Person zum Zeitpunkt der Datenerhebung zu erteilen, womit sich zumindest aus dem Wortlaut keine konkrete Reihenfolge entnehmen lässt. Sinn der Information soll es aber sein, dass die betroffene Person Entscheidungsgewalt darüber behält, inwieweit sie die Datenerhebung zulässt bzw. die notwendigen Angaben macht.96 Wird folglich der Sinn und Zweck der durch den Verantwortlichen zu erteilenden Informationen berücksichtigt, ist die Informationspflicht gegenüber der betroffenen Person richtigerweise vor einer Datenerhebung zu erfüllen.97
35
Dabei sind die zum Zeitpunkt der Datenerhebung dem Verantwortlichen bekannten und aktuellen Informationen der betroffenen Person mitzuteilen. Die Pflicht, spätere Veränderungen anzuzeigen, richtet sich demgegenüber nicht nach Abs. 1 und 2, sondern – je nachdem, worum es geht – nach anderen Vorschriften (bspw. Art. 14 DSGVO).98 Bei einer Zweckänderung sind die Informationen der betroffenen Person vor der Weiterverarbeitung mitzuteilen, damit die betroffene Person tatsächlich in die Lage versetzt wird noch Einwände vor dem Weiterverarbeitungsbeginn erheben zu können.99
36
Die Form und Darstellung der durch den Verantwortlichen zu gebenden Informationen richtet sich zunächst einmal nach Art. 12 Abs. 1, 7 und 8 DSGVO. Daraus ergibt sich, dass die Informationen bei einer Datenerhebung im Rahmen von Abs. 1 und 2 ohne Medienbruch der betroffenen Person zur Verfügung zu stellen sind, d.h. die Information in der Form erfolgen muss, die auch für die Datenerhebung genutzt wird (z.B. elektronisch).100 Anders liegt dies bei der Information nach Abs. 3, die nicht an die konkrete Erhebung und deren Form gebunden ist. Hier reicht es aus, wenn der Verantwortliche sicherstellt, dass die betroffene Person die Informationen tatsächlich rechtzeitig und vollumfänglich erreicht, was mithilfe der elektronischen Form erfüllt sein kann, selbst wenn dies im Einzelfall einen Medienbruch darstellen mag.101 Doch auch im Rahmen der Information nach Abs. 3 muss gelten, dass die bereitgestellte Information unabhängig von der schriftlichen oder elektronischen Form so zusammengestellt sein muss (durch entsprechende Absätze, Gestaltung usw.), dass der betroffenen Person der Inhalt auf nachvollziehbare Weise zur Kenntnis gelangt.102
37
Die Informationen müssen dabei der betroffenen Person mitgeteilt bzw. zur Verfügung gestellt werden, was eine aktive Unterrichtung durch den Verantwortlichen voraussetzt. Das bloße Zurverfügungstellen der Informationen zum Abruf für die betroffene Person, entspricht demzufolge den Anforderungen nicht in jedem Fall. Etwas anderes kann allenfalls dann gelten, wenn der Verantwortliche die betroffene Person auf eine öffentlich zugängliche Information (bspw. Website) verweist, die diese zweifellos ohne Zeitaufwand und ohne Schwierigkeiten oder weitere Anforderungen erreichen kann (bspw. über einen Link).103 Vor allem dann ist jedoch darauf zu achten, dass der Inhalt der Information ausreichend konkretisiert auf den jeweiligen Vorgang bezogen ist, sodass es nicht ausreichen kann, wenn die betroffene Person sich die für sie zutreffenden Inhalte aus einer Vielzahl von Informationen heraussuchen muss.104 Wird dies berücksichtigt, ist zwar auch eine Darstellung im Rahmen der Allgemeinen Geschäftsbedingungen nicht völlig ausgeschlossen, wegen der Notwendigkeit der Anpassung auf die verschiedenen Datenerhebungsvorgänge (bspw. Angabe der Rechtsgrundlage) aber in der praktischen Umsetzung keinesfalls immer zielführend und damit nur sehr eingeschränkt zu empfehlen.105
VII. Ausnahmen von der Informationspflicht
38
Abs. 4 schränkt die dargestellten Informationspflichten auf die Fälle ein, in denen die betroffene Person nicht bereits über die Informationen verfügt.106 Wesentlich ist es demzufolge, dass es sich um die in Abs. 1, Abs. 2 und Abs. 3 genannten Informationen handelt, über die die betroffene Person bereits auf andere Weise verfügt. Der Informationsgehalt muss demnach aber in Ausmaß, Genauigkeit und Klarheit denen aus den vorherigen Absätzen entsprechen.107 Zudem reicht es nicht aus, dass die betroffene Person auf irgendeine Art und Weise Kenntnis über die Informationen erhalten hat bzw. erhalten kann, sondern sie müssen ihr nachweislich zur Verfügung stehen. Das beinhaltet auch, dass diese Informationen im Herrschaftsbereich der betroffenen Person sicher vorhanden sind, weshalb die bloße Möglichkeit, sich diese Informationen zu beschaffen, gerade nicht ausreicht (bspw. bestehende Rechtsvorschriften im Netz). Die Informationspflichten können daher nur dann im Sinne des Abs. 4 ausnahmsweise entfallen, wenn der Verantwortliche und die betroffene Person zum Beispiel in ständigen oder wiederkehrenden geschäftlichen Kontakt stehen. Doch selbst dann muss geprüft werden, ob sich die Ausnahmeregelung des Abs. 4 möglicherweise nur auf bestimmte Informationen bezieht, während andere eventuell erneut erfolgen müssen, weil sich beispielsweise Änderungen ergeben haben.108 Wichtig ist, dass im Zweifel der Verantwortliche den Beweis für das Vorliegen der Ausnahmetatbestände erbringen muss, weshalb vorgenommene Informationen bzw. eventuelle Abwägungen und Gründe der nicht vorgenommenen Information unbedingt entsprechend protokolliert werden sollten, um bei Nachfragen nicht nur den Nachweis leichter erbringen zu können, sondern außerdem der Rechenschaftspflicht Genüge getan zu haben (vgl. auch Art. 5 Abs. 2 DSGVO).109
39
Art. 23 ermöglicht über den Abs. 4 hinaus weitere Beschränkungen durch entsprechende Gesetzgebungsmaßnahmen der Union oder eines Mitgliedstaates vorzunehmen. Möglicherweise vorhandene bereichsspezifische Regelungen sind daher zu berücksichtigen und können zu weiteren Ausnahmeregelungen im Rahmen bestehender Informationspflichten führen.110
VIII. Folgen eines Verstoßes und Sanktionen
40
Eine Verletzung der Informationspflicht nach Abs. 1, Abs. 2 oder auch Abs. 3 liegt dann vor, wenn die genannten Informationen nicht, nicht vollständig oder inhaltlich unrichtig vom Verantwortlichen an die betroffene Person erteilt werden. Ist dies der Fall, fehlt es in den Fällen des Abs. 1 und 2 an einer ordnungsgemäßen Datenerhebung bzw. nach Abs. 3 an einer ordnungsgemäßen Weiterverarbeitung. Die damit verbundene Pflichtverletzung kann nach Art. 83 Abs. 5 lit. b DSGVO mit einer Geldbuße von bis zu 20.000.000 EUR oder bei Unternehmen von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.111
41
Für die Rechtmäßigkeit der weiteren Datenverarbeitung bei Abs. 1 und Abs. 2 kommt es darauf an, ob die betroffene Person zur Duldung der Datenerhebung verpflichtet war. Ist dies der Fall, kann der Verantwortliche zumindest für die weitere Verarbeitung der Daten die Informationspflicht nachholen. War die Datenerhebung hingegen vom Willen der betroffenen Person