DSGVO - BDSG

Volltext

(1)Auernhammer. DSGVO BDSG Datenschutz-Grundverordnung, Bundesdatenschutzgesetz und Nebengesetze Kommentar Herausgegeben von Dr. Martin Eßer, Maître en droit (Paris XI) Referatsleiter und Datenschutzbeauftragter bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Dr. Philipp Kramer Rechtsanwalt, Vorsitzender der Hamburger Datenschutzgesellschaft e.V., Lehrbeauftragter Universität Hamburg. Prof. Dr. Kai von Lewinski Professor an der Universität Passau. 7. Auflage. Leseprobe.

(2) Vorwort zur 7. Auflage Die allgemeine große Unsicherheit nach Geltungsbeginn der DSGVO hat sich gelegt, die konkreteren Anwendungsfragen und deren Lösungen stehen (wieder) im Vordergrund. Der deutsche Gesetzgeber hat mit dem 2. DSAnpUG-EU v. 20.11.2019 seine Hausaufgaben gemacht und das Datenschutzrecht (des Bundes) auf den Anpassungsund Umsetzungsstand gebracht. Auf der Grundlage der aktuellen Rechtslage möchte der »Auernhammer« in der nun vorliegenden 7. Auflage wieder und weiterhin der Praxis Hilfestellung und der Wissenschaft Anregung geben, so wie die Neuauflage umgekehrt von den praktischen Erfahrungen und wissenschaftlichen Beschäftigungen der Autorinnen und Autoren profitiert hat. Die ersten drei Auflagen (1977, 1981, 1993), von Herbert Auernhammer noch selbst betreut, hatten die Entwicklung des BDSG von einem speziellen Fachgesetz zu einer allgemeinen Querschnittsregelung begleitet. Mit der 4. Auflage (2014) wurden wichtige datenschutzrechtliche Nebengesetze in den »Auernhammer« aufgenommen. Die 5. Auflage (2017) war eine »Zwischenauflage« für den Übergang zur umfassenden Europäisierung des Datenschutzrechts in einer europäischen Verordnung, in der das »neue« EU-Datenschutzrecht und das damals noch geltende »alte« BDSG in ihrer Wechselbezüglichkeit zusammen behandelt wurden. Den Wechsel von einem richtliniengeprägten BDSG a.F. zur unmittelbar geltenden Regelung der Grundverordnung mit Öffnungsklauseln für mitgliedstaatliche Regeln im BDSG n.F. ist der »Auernhammer« konsequent mitgegangen.. Für Mitarbeit und Unterstützung bei dieser Auflage gilt ein besonderer Dank Herrn Wiss.Mit. Maximilian Gerhold vom Lehrstuhl für Öffentliches Recht, Medien- und Informationsrecht an der Universität Passau. Für Hinweise, Kritik und Anregungen sind Herausgeber und die Autorinnen und Autoren – wie auch schon bei den Vorauflagen – unter info@wolterskluwer.de dankbar. Bonn, Hamburg, Passau, im Februar 2020. Martin Eßer, Philipp Kramer, Kai v. Lewinski. Leseprobe. V. Carl Heymanns Verlag 2020. Die jetzt vorliegende 7. Auflage kommentiert weiterhin sowohl die zentralen datenschutzrechtlichen Normwerke (DSGVO und BDSG) als auch die wichtigsten bereichsspezifischen Regelungen (JIRL, TKG, TMG, IFG), um so die Querschnitthaftigkeit des Datenschutzrechts auf den beiden relevantesten Normebenen, der europäischen und der mitgliedstaatlichen, zu erfassen. Die Kommentierungen des TMG und des TKG berücksichtigen bereits mögliche Reformperspektiven durch die (Ende 2019 einstweilen gescheiterte) E-Privacy-VO..

(3) Autorenverzeichnis Dr. Simon Assion Rechtsanwalt, Bird & Bird LLP, Frankfurt Dr. Sebastian Brüggemann, M.A. Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Lehrbeauftragter Universität Tübingen, Tübingen Dr. Martin Eßer, Maître en droit Referatsleiter und Datenschutzbeauftragter bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Bonn PD Dr. Gerrit Forst, LL.M. Rechtsanwalt, Essen Dr. Paul Gaitzsch Regierungsdirektor, Referent im Auswärtigen Amt, Ständige Vertretung Deutschlands bei der Europäischen Union, Brüssel Maximilian Gerhold, Licencié en droit Wiss. Mitarbeiter, Universität Passau Dr. Sebastian Golla Wiss. Mitarbeiter, Johannes Gutenberg-Universität Mainz. Prof. Dr. Tobias Herbst Professor an der Hochschule für Polizei und öffentliche Verwaltung NRW und Privatdozent an der Humboldt-Universität zu Berlin Sven Hermerschmidt Ministerialrat, Referatsleiter beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Berlin Sven-Erik Heun Rechtsanwalt und Partner, Bird & Bird LLP, Frankfurt Dr. Jörg Hladjk, LL.M. Rechtsanwalt und Partner, Jones Day, Brüssel Prof. Dr. Gerrit Hornung, LL.M. Leiter des Fachgebiets Öffentliches Recht, IT-Recht und Umweltrecht, Universität Kassel Michael Jacob Oberkirchenrat, Der Beauftragte für den Datenschutz der Evangelischen Kirche in Deutschland, Hannover. Leseprobe. VII. Carl Heymanns Verlag 2020. Dr. Holger Greve Regierungsdirektor, Referent im Bundesministerium des Innern, für Bau und Heimat, Berlin.

(4) Autorenverzeichnis Dr. Annika Kieck Rechtsreferendarin, OLG München Dr. Philipp Kramer Rechtsanwalt, Vorsitzender der Hamburger Datenschutzgesellschaft e.V., Lehrbeauftragter Universität Hamburg, Hamburg Prof. Dr. Konrad Lachmayer Lehrstuhl für Öffentliches Recht, Europarecht und Grundlagen des Rechts, Sigmund Freud Privatuniversität Wien Nils Leopold LL.M. (Rechtsinformatik) Referent beim Bundesbeauftragten für Datenschutz und die Informationsfreiheit (BfDI), Berlin Prof. Dr. Kai von Lewinski Lehrstuhl für Öffentliches Recht, Medien- und Informationsrecht, Universität Passau Dr. Martin Meints IT-Sicherheitsbeauftragter bei der Dataport AöR David Oberbeck Rechtsanwalt, Hamburg. Carl Heymanns Verlag 2020. Bertram Raum Ministerialrat, Referatsleiter beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Bonn Prof. Dr. Matthias Rossi Lehrstuhl für Staats- und Verwaltungsrecht, Europarecht sowie Gesetzgebungslehre, Universität Augsburg Dr. Peter Schimanek Rechtsanwalt, EY Law GmbH, Berlin Dr. Marcus Schreibauer Rechtsanwalt und Partner, Fachanwalt für Informationstechnologierecht, Hogan Lovells International, Düsseldorf Kathrin Schürmann Rechtsanwältin und Partnerin, Schürmann Rosenthal Dreyer Rechtsanwälte, Berlin Dr. Susanne Stollhoff Rechtsanwältin/Syndikusanwältin, Axel Springer SE, Berlin Dr. Martina Vomhof Leiterin Datenschutz/Grundsatzfragen, Gesamtverband der Deutschen Versicherungswirtschaft e. V. (GDV), Berlin Prof. Dr. Normann Witzleb Faculty of Law, Monash University Melbourne, Australien Dr. Frederike Zufall Waseda Institute for Advanced Study, Waseda University, Tokyo; Law Science Technology & Society Research Group, Freie Universität Brüssel (VUB) VIII. Leseprobe.

(5) Im Einzelnen haben bearbeitet: von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski Eßer Kramer Kramer Kramer Greve Greve Greve Eßer Eßer Eßer Eßer Stollhoff Stollhoff Stollhoff Stollhoff Stollhoff Schürmann Kramer Herbst Herbst Kramer/Meints Brüggemann Schreibauer Schreibauer Kramer Kramer Brüggemann Kieck Kramer/Meints Schreibauer Schreibauer Raum Raum Raum Raum Raum Vomhof Vomhof Hornung Hornung Hladjk. Leseprobe. Carl Heymanns Verlag 2020. DSGVO Einführung Einleitung Art. 1 Art. 2 Art. 3 Art. 4 Art. 5 Art. 6 Art. 7 Art. 8 Art. 9 Art. 10 Art. 11 Art. 12 Art. 13 Art. 14 Art. 15 Art. 16 Art. 17 Art. 18 Art. 19 Art. 20 Art. 21 Art. 22 Art. 23 Art. 24 Art. 25 Art. 26 Art. 27 Art. 28 Art. 29 Art. 30 Art. 31 Art. 32 Art. 33 Art. 34 Art. 35 Art. 36 Art. 37 Art. 38 Art. 39 Art. 40 Art. 41 Art. 42 Art. 43 Art. 44. IX.

(6) Carl Heymanns Verlag 2020. Im Einzelnen haben bearbeitet Art. 45 Art. 46 Art. 47 Art. 48 Art. 49 Art. 50 vor Art. 51 Art. 51 Art. 52 Art. 53 Art. 54 Art. 55 Art. 56 Art. 57 Art. 58 Art. 59 Art. 60 Art. 61 Art. 62 Art. 63 Art. 64 Art. 65 Art. 66 Art. 67 Art. 68 Art. 69 Art. 70 Art. 71 Art. 72 Art. 73 Art. 74 Art. 75 Art. 76 vor Art. 77 Art. 77 Art. 78 Art. 79 Art. 80 Art. 81 Art. 82 Art. 83 Art. 84 vor Art. 85 Art. 85 Art. 86 Art. 87 Art. 88 Art. 89 Art. 90 X. Hladjk Hladjk Hladjk Hladjk Hladjk Zufall von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski Lachmayer von Lewinski von Lewinski von Lewinski Lachmayer Lachmayer Lachmayer Rossi Rossi Rossi Rossi Rossi Hermerschmidt Hermerschmidt Hermerschmidt Hermerschmidt Hermerschmidt Hermerschmidt Hermerschmidt Hermerschmidt Hermerschmidt von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski Eßer Golla Golla von Lewinski von Lewinski Schimanek Herbst Forst Greve Greve. Leseprobe.

(7) Im Einzelnen haben bearbeitet Jacob Witzleb Witzleb von Lewinski Heun/Assion von Lewinski Witzleb Witzleb von Lewinski. Richtlinie (EU) 2016/680 (JIRL). Herbst. BDSG Einleitung §1 §2 §3 §4 §5 §6 §7 vor § 8 §8 §9 § 10 § 11 § 12 § 13 § 14 § 15 § 16 § 17 § 18 § 19 § 20 § 21 § 22 § 23 § 24 § 25 § 26 § 27 § 28 § 29 § 30 § 31 § 32 § 33 § 34. von Lewinski von Lewinski Eßer Eßer Leopold Raum Raum Raum von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski von Lewinski Hermerschmidt Hermerschmidt Hermerschmidt von Lewinski von Lewinski Kramer/Oberbeck Eßer Kramer Eßer Forst Greve Greve Eßer Kramer Kramer Eßer Eßer Stollhoff. Leseprobe. Carl Heymanns Verlag 2020. Art. 91 Art. 92 Art. 93 Art. 94 Art. 95 Art. 96 Art. 97 Art. 98 Art. 99. XI.

(8) Carl Heymanns Verlag 2020. Im Einzelnen haben bearbeitet § 35 § 36 § 37 § 38 § 39 § 40 § 41 § 42 § 43 § 44 § 45 § 46 § 47 § 48 § 49 § 50 § 51 § 52 § 53 § 54 § 55 § 56 § 57 § 58 § 59 § 60 § 61 § 62 § 63 § 64 § 65 § 66 § 67 § 68 § 69 § 70 § 71 § 72 § 73 § 74 § 75 § 76 § 77 § 78 § 79 § 80 § 81 § 82 § 83 XII. Stollhoff Brüggemann Herbst Raum Hornung von Lewinski Golla Golla Golla von Lewinski Herbst Eßer Kramer Greve Herbst Greve Kramer Gerhold Oberbeck Herbst Eßer Eßer Raum Raum Raum Raum von Lewinski Herbst Herbst Kramer/Meints Herbst Herbst Raum Kieck Raum Brüggemann Kramer/Meints Herbst Herbst Herbst Herbst Kramer/Meints Herbst Gaitzsch Gaitzsch Gaitzsch Gaitzsch von Lewinski Schürmann. Leseprobe.

(9) Im Einzelnen haben bearbeitet § 84 § 85 § 86. Golla Gaitzsch von Lewinski. Telekommunikationsgesetz (TKG) Vor § 88, §§ 88–99, 100–109 §§ 100, 109a §§ 110–114 § 115. Heun Heun/Assion – nicht kommentiert – Heun. Telemediengesetz (TMG) Vor § 11, 11–16. Schreibauer. Gesetz zur Regelung des Zugangs zu Informationen des Bundes (Informationsfreiheitsgesetz – IFG) §5 Schimanek. Carl Heymanns Verlag 2020. Leseprobe. XIII.

(10) Inhaltsübersicht Verordnung (EU) 2016/679 – DSGVO . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 25. Richtlinie (EU) 2016/680 – JIRL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1339. Bundesdatenschutzgesetz – BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1423 Telekommunikationsgesetz – TKG (Auszug) . . . . . . . . . . . . . . . . . . . . . 2233 Telemediengesetz – TMG (Auszug) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2453 Informationsfreiheitsgesetz – IFG (Auszug) . . . . . . . . . . . . . . . . . . . . . . . . . 2571. Carl Heymanns Verlag 2020. Leseprobe. XV.

(11) Art. 5. Grundsätze für die Verarbeitung personenbezogener Daten. 6 Der Verbindlichkeit der Grundsätze des Art. 5 DSGVO steht auch nicht von vorher-. ein entgegen, dass sie unbestimmt sind. In der Tat beruhten die Datenschutz-Grundsätze ursprünglich auf einem bloßen Wort wie dem Wort »Datenvermeidung«. Ein solchem Wort-Prinzip fehlt die Qualität einer Rechtsvorschrift, weil die Voraussetzung der Rechtsfolge nicht hinreichend klar beschrieben ist. So fehlt dem Grundsatz der Datenvermeidung die Freiheit von Widersprüchen und die absolute Anerkennung. Denn trotz Datenvermeidung gibt es im Datenschutzrecht Vorschriften, die eine Verarbeitung (auch umfangreicher Mengen) personenbezogener Daten zulassen. 7 Das Ableiten von Handlungspflichten ausschließlich aus den Grundsätzen ist mit. Rücksicht auf ihre Unbestimmtheit mehr als bedenklich. Für den Rechtsunterworfenen sind die derart weit formulierten Grundsätze derart unbestimmt, dass sie als Handlungspflichten – ohne die konkretisierenden weiteren Vorschriften – die Grenzen der Bestimmtheit von Gesetzen verlassen würden.8 Es bedarf der Rechtsprechung und der Behörde, die die Grundsätze handlungsorientiert und damit vollzugsfähig konkretisieren. 8 Die Grundsätze gelten nicht absolut. Ihre Vorgaben sind Zielvorgaben9 oder Zielset-. Carl Heymanns Verlag 2020. zungen10. Sie stehen teils im Widerspruch zu einander, wie beispielsweise das Gebot der Datenminimierung/Erforderlichkeit mit dem Gebot der Datenrichtigkeit. Es geht nicht um eindeutige Handlungspflichten, sondern darum, sie widerspruchsfrei und möglichst wirksam bei der Verarbeitung personenbezogener Daten zur Geltung zu bringen (Optimierungsgebot).11 II.. Unterstützende Regelungen. 9 Der Gesetzgeber der DSGVO hat sich trotz ihrer abstrakten Formulierung nicht. gescheut, die Verletzung der Datenschutzgrundsätze in den Bußgeldkatalog aufzunehmen (mit dem höheren Rahmen, nämlich 20 Mio. €, 4 % weltweiter Jahresumsatz; Art. 83 Abs. 5 Buchst. a) DSGVO; siehe Art. 5 DSGVO Rdn. 5). B.. Kommentierung im Einzelnen. I.. Rechtmäßigkeit (Lawfulness). 10 Die Rechtmäßigkeit (Art. 5 Abs. 1 Buchst. a) DSGVO) beschreibt das aus der. EG-DSRL (Art. 6 Abs. 1 Buchst. a)) und aus dem BDSG (§ 4 Abs. 1 BDSG a.F.). 8 Frenzel, in: Paal/Pauly, Art. 5 DSGVO Rn. 2; Wenzel, in: Paal/Pauly, Art. 83 DSGVO Rn. 24. Siehe auch Roßnagel, in: Simitis/Hornung/Spiecker, Art. 5 DSGVO Rn. 22/23, der bei Annahme der Verbindlichkeit Umsetzbarkeit ohne Konkretisierung verneint. A.A.: Herbst, in: Kühling/Buchner, Art. 5 BDSG Rn. 2; Weichert, in: Däubler/Wedde/Weichert/ Sommer, Art. 5 DSGVO Rn. 5. 9 Weichert, in: Däubler/Wedde/Weichert/Sommer, Art. 5 DSGVO Rn. 6. 10 Roßnagel, in: Simitis/Hornung/Spiecker, Art. 5 DSGVO Rn. 21. 11 Weichert, in: Däubler/Wedde/Weichert/Sommer, Art. 5 DSGVO Rn. 6; Roßnagel, in: Simitis/Hornung/Spiecker, Art. 5 DSGVO Rn. 21.. 130. Kramer. Leseprobe.

(12) Art. 8. Bedingungen für die Einwilligung eines Kindes .... über ihre Privatheit disponieren und damit auch ihre Einwilligung zu Datenverarbeitungsprozessen abgegeben können.30 Bei Minderjährigen, die das 13. Lebensjahr nicht vollendet haben, ist die Zustimmung des Erziehungsberechtigten maßgeblich. Da zwischen den Mitgliedstaaten kein Konsens über eine einheitliche Altersgrenze erzielt werden konnte,31 sieht Art. 8 Abs. 1 DSGVO im Grundsatz vor, dass für eine Datenverarbeitung im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft durch Kinder unter 16 Jahren eine Einwilligung des Erziehungsberechtigten erforderlich ist. Den Mitgliedstaaten wird gem. Art. 8 Abs. 1 Satz 3 DSGVO die Möglichkeit eingeräumt, abweichend von der durch die DSGVO auf 16 Jahre festgelegten Altersgrenze, eine eigenständige Altersgrenze innerhalb des Korridors von 13 bis 16 Jahren festzulegen. B.. Kommentierung im Einzelnen. I.. Einwilligungsvoraussetzungen (Absatz 1). 1. Nutzung von Diensten der Informationsgesellschaft. Carl Heymanns Verlag 2020. 7 Art. 8 DSGVO stellt im Hinblick auf den Minderjährigendatenschutz eine eng. gefasste bereichsspezifische Regelung für Angebote von Diensten der Informationsgesellschaft dar, die im Grundsatz primär auf private (nicht-öffentliche) Anbieter ausgerichtet ist.32 Als Dienste der Informationsgesellschaft sind nach § 4 Nr. 25 DSGVO solche Dienste zu verstehen, die von der Definition des Art. 1 Nr. 1 Buchst. b) der Richtlinie (EU) 2015/1535 erfasst werden. Hierunter fällt »jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung«. Erfasst hiervon sind etwa der internetbasierte Verkauf von Waren, Dienstleistungen, der Zugang und die Nutzung von Informationen aus Kommunikationsnetzwerken oder bspw. von sozialen Netzwerken.33 Anhang I der Richtlinie (EU) 2015/1535 enthält eine Beispielliste der nicht unter Art. 1 Nr. 1 Buchst. b) fallenden Dienste. Nicht »im Fernabsatz« erbrachte Dienste sind hiernach etwa die Konsultation eines elektronischen Katalogs in einem Geschäft in Anwesenheit des Kunden oder die Buchung eines Flugtickets über ein Computernetz, wenn sie in einem Reisebüro in Anwesenheit des Kunden vorgenommen wird und die Bereitstellung elektronischer Spiele in einer Spielhalle in Anwesenheit des Benutzers. An einem »elektronisch« erbrachten Dienst fehlt es bei Geldausgabe- oder Fahrkartenautomaten; beim Zugang zu gebührenpflichtigen Straßennetzen, Parkplätzen usw.; bei Offline-Diensten (bspw. Vertrieb von CD-ROMs oder Software auf Disketten); bei Diensten, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden (bspw. Sprachtelefondienste u. Telefax-/Telexdienste). Ebenfalls nicht erfasst werden nicht »auf individuellen Abruf eines Empfängers« erbrachte. 30 31 32 33. Kramer, DSB 2016, 6; Schantz, NJW 2016, 1841, 1845; Rauda, MMR 2017, 15, 16 ff. Albrecht, CR 2016, 88, 97; Albrecht/Jotzo, S. 80. Kühling/Martini et al., Die DSGVO und das nationale Recht, S. 46. Laue/Kremer, Datenschutzrecht, 2. Aufl. 2019, § 2 Rn. 56; Gierschmann, in: Gierschmann/ Schlender/Stentzel/Veil, Art. 8 DSGVO Rn. 26; Nebel/Richter, ZD 2012, 407 (410).. 204. Greve. Leseprobe.

(13) Informationspflicht bei Datenerhebung bei der betroffenen Person. Art. 13. wohl aber inhaltlich und der Sache nach auf den öffentlichen Bereich und nicht den Unternehmensbereich.57 Das BDSG sieht keine Beschränkungen des Art. 12 vor. § 32 Abs. 2 BDSG greift auf die Formulierung des Art. 12 DSGVO »in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache« zurück.58 Auch führt die Gesetzesbegründung zu § 34 Abs. 4 BDSG aus, dass »die betroffene Person auf die Möglichkeit der Beschwerde bei der zuständigen Aufsichtsbehörde und des gerichtlichen Rechtsschutzes hinzuweisen« ist, wie Art. 12 Abs. 4 DSGVO es vorsieht.59 Soweit im Bereich des Art. 89 DSGVO Daten zu wissenschaftlichen oder historischen 47 Forschungszwecken oder zu statistischen Zwecken (Art. 89 Abs. 2) oder zu im öffentlichen Interesse liegenden Archivzwecken (Art. 89 Abs. 3) verarbeitet werden, können die Betroffenenrechte der Art. 15, 16, 18 bis 21 DSGVO eingeschränkt werden, was sich wiederum auf den Umfang der zu erteilenden Informationen auswirkt.. Abschnitt 2. Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten. Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person. 57 v. Lewinski, DuD 2012, 564, 565. 58 BT-Drucks. 18/11325, 103. 59 BT-Drucks. 18/11325, 104.. Leseprobe. Eßer. 281. Carl Heymanns Verlag 2020. (1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit: a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung; d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder ange-.

(14) Art. 13. Informationspflicht bei Datenerhebung bei der betroffenen Person. Carl Heymanns Verlag 2020. messenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind. (2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten: a) die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; b) das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; c) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; d) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; e) ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und f) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. (3) Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung. (4) Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt. ErwGr. 60: Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und wel282. Eßer. Leseprobe.

(15) Informationspflicht bei Datenerhebung bei der betroffenen Person. Art. 13. che Folgen eine Zurückhaltung der Daten nach sich ziehen würde. Die betreffenden Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, so sollten sie maschinenlesbar sein. ErwGr. 61: Dass sie betreffende personenbezogene Daten verarbeitet werden, sollte der betroffenen Person zum Zeitpunkt der Erhebung mitgeteilt werden oder, falls die Daten nicht von ihr, sondern aus einer anderen Quelle erlangt werden, innerhalb einer angemessenen Frist, die sich nach dem konkreten Einzelfall richtet. Wenn die personenbezogenen Daten rechtmäßig einem anderen Empfänger offengelegt werden dürfen, sollte die betroffene Person bei der erstmaligen Offenlegung der personenbezogenen Daten für diesen Empfänger darüber aufgeklärt werden. Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck zu verarbeiten als den, für den die Daten erhoben wurden, so sollte er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und andere erforderliche Informationen zur Verfügung stellen. Konnte der betroffenen Person nicht mitgeteilt werden, woher die personenbezogenen Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung allgemein gehalten werden.. Literatur: Franck Das System der Betroffenenrechte nach der Datenschutz-Grundverordnung (DS-GVO), RDV 2016, 111–119; Härting Big Data und Profiling nach der DSGVO, ITRB 2016, 209– 211; Lepperhoff Informationspflichten gegenüber Bewerbern nach der DSGVO, RDV 2017, 21–25; Marschall Erweiterte Informationspflichten in der DSGVO: Änderungen für Unternehmen, DSB 2016, 230–233; Monreal Weiterverarbeitung nach einer Zweckänderung in der DS-GVO, ZD 2016, 507–512; Roßnagel/Nebel/Richter Was bleibt vom Europäischen Datenschutzrecht? – Überlegungen zum Ratsentwurf der DS-GVO, ZD 2015, 455–460; Schultz, Art. 13 DSGVO: Datenschutzhinweise für den Fernabsatz - Grundlagen und Vorlage, PinG 2018, 100-106; Sörup Gestaltungsvorschläge zur Umsetzung der Informationspflichten der DS-GVO im Beschäftigungskontext, ArbRAktuell 2016, 207–213; Veil DS-GVO: Risikobasierter Ansatz statt rigides Verbotsprinzip – Eine erste Bestandsaufnahme, ZD 2015, 347– 353; Wybitul EU-Datenschutz-Grundverordnung in der Praxis – Was ändert sich durch das neue Datenschutzrecht, BB 2016, 1077–1081; GDD-Praxishilfe DS-GVO VII, Transparenzpflichten bei der Datenverarbeitung, April 2018.. Leseprobe. Eßer. 283. Carl Heymanns Verlag 2020. ErwGr. 62: Die Pflicht, Informationen zur Verfügung zu stellen, erübrigt sich jedoch, wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist. Letzteres könnte insbesondere bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken der Fall sein. Als Anhaltspunkte sollten dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden..

(16) Art. 13. Informationspflicht bei Datenerhebung bei der betroffenen Person. Übersicht. Rdn.. Carl Heymanns Verlag 2020. A. B. I. II.. Allgemeines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kommentierung im Einzelnen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zu erteilende Informationen im Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . Grundlegende Informationen (Absatz 1) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Zeitpunkt der Informationserteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Name und Kontaktdaten (Buchst. a)) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Kontaktdaten des Datenschutzbeauftragten (Buchst. b)) . . . . . . . . . . . . . . 4. Zwecke und Rechtsgrundlage der Verarbeitung (Buchst. c)) . . . . . . . . . . . 5. Berechtigte Interessen (Buchst. d)) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6. Empfänger oder Kategorien von Empfängern (Buchst. e)) . . . . . . . . . . . . . 7. Übermittlung an ein Drittland oder eine internationale Organisation (Buchst. f )) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . III. Zusätzliche Informationen (Absatz 2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Zeitpunkt der Informationserteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Speicherdauer (Buchst. a)) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Information über Betroffenenrechte (Buchst. b)). . . . . . . . . . . . . . . . . . . . 4. Recht auf Widerruf der Einwilligung (Buchst. c)) . . . . . . . . . . . . . . . . . . . 5. Beschwerderecht bei der Aufsichtsbehörde (Buchst. d)) . . . . . . . . . . . . . . . 6. Grundlage für die Bereitstellung der Daten (Buchst. e)) . . . . . . . . . . . . . . 7. Information über automatisierte Entscheidungsfindung (Profiling) (Buchst. f )) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV. Information bei Zweckänderung (Absatz 3) . . . . . . . . . . . . . . . . . . . . . . . . . . . 1. Zeitpunkt der Informationserteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. Inhalt der Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3. Ausnahmeregelung in § 29 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4. Ausnahmeregelung in § 32 BDSG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . V. Entfallen der Informationspflicht (Absatz 4) . . . . . . . . . . . . . . . . . . . . . . . . . . . VI. Standardisierte Bildsymbole zur Information. . . . . . . . . . . . . . . . . . . . . . . . . . . VII. Beschränkungen und Einschränkungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIII. Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . C. Mitgliedstaatlicher Spielraum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. A.. 1 9 13 15 17 24 25 26 28 29 31 33 35 36 39 42 43 44 45 51 52 53 55 56 57 62 63 66 67. Allgemeines. 1 Art. 13 und Art. 14 unterwerfen den Verantwortlichen Informationspflichten gegen-. über den betroffenen Personen. Art. 13 betrifft den Fall, dass personenbezogene Daten bei der betroffenen Person direkt erhoben werden und Art. 14 den Fall, dass die Erhebung bei einem Dritten und nicht beim Betroffenen selbst erfolgt. Der Rechtsgedanke der in Art. 13 und 14 niedergelegten Informationspflichten entspricht dem Rechtsgedanken der Informationspflichten aus Art. 10 und 11 EG-DSRL, die als Benachrichtigungspflichten in §§ 4 Abs. 2–3, 19a, 33 BDSG a.F. umgesetzt waren.1 Die Verantwortlichen stehen vor der Herausforderung, die Umsetzung der Informationspflichten für die verschiedenen Verarbeitungssituationen im Hinblick auf. 1 Wybitul, EU-Datenschutz-Grundverordnung im Unternehmen, 2016, S. 34; vgl. Knyrim, in: Ehmann/Selmayr, Art. 13 DSGVO Rn. 2.. 284. Eßer. Leseprobe.

(17) Informationspflicht bei Datenerhebung bei der betroffenen Person. Art. 13. die DSGVO umzusetzen (s. Rdn. 19). Je nach Verarbeitungssituation, zum Beispiel beim Einsatz von Videoüberwachung, beim persönlichen Kundenkontakt im Ladenlokal (s. Rdn. 19), beim Austausch von Visitenkarten (s. Rdn. 18), bei Telefonaten (s. Rdn. 18), bei der Verwendung von Apps oder beim Einsatz von Online-Formularen, sind die Rahmenbedingungen, unter denen die Informationen zu erteilen sind, unterschiedlich, denn der Verantwortliche muss für die jeweilige Verarbeitungssituation ermitteln, wie und wann er der betroffenen Person welche Informationen geben muss. Zugleich sind die erteilten Informationen an den Vorgaben zur Verständlichkeit des Art. 12 zu messen (s. Art. 12 Rdn. 8). Die Informationspflichten der Art. 13 und 14 sind viel umfangreicher als ihre Vor- 2 gängerregelungen, da sie Inhalt, Zeitpunkt und Ausnahmen detailliert regeln. Den Informationspflichten in Art. 13 und 14 ist zudem mit Art. 12 DSGVO eine Regelung vorangestellt, die allgemeine Grundsätze für die Handhabung von Betroffenenrechten festlegt. Dazu zählt, dass die Information in präziser, transparenter, verständlicher und leicht zugänglicher Form und in klarer und einfacher Sprache zu erfolgen hat (s. Art. 12 Rdn. 5 ff.).. Man könnte die Vorschrift kritisch bewerten,4 denn dem Umfang der zu erteilenden 4 Informationen5, den wenigen Ausnahmen von der Informationspflicht und dem hohen Bußgeldrahmen (s. Rdn. 66) steht mit dem enormen praktischen Aufwand für die Verantwortlichen gegebenenfalls nur ein geringer Nutzen in der Alltagspraxis gegenüber: Informationstexte oder Hinweise werden von einem Großteil der betroffenen Personen nicht gelesen, schlicht »weggeklickt« oder als bürokratisch6 empfunden. Dennoch ist die Vorschrift grundsätzlich zu begrüßen, da sie für betroffene Personen, die sich für den Schutz ihrer personenbezogenen Daten interessieren, eine Möglichkeit eröffnet, sich mit nur sehr geringem Aufwand und unmittelbar im Zusammenhang mit der Datenerhebung über Zwecke, Empfänger ihrer Daten und Löschfristen zu informieren.. 2 3 4 5 6. Albrecht/Jotzo, S. 83; Kamlah, in: Plath, Art. 13 DSGVO Rn. 4. Schwartmann/Schneider, in: Schwartmann/Jaspers/Thüsing/Kugelmann, Art. 13 Rn. 11. Vgl. FAZ, 15.03.2018, S. 17: »Daten schützen bis es wehtut«. Veil, in: Gierschmann/Schlender/Stentzel/Veil, Art. 13/14 DSGVO Rn. 150. Vgl. Institut für Demoskopie Allensbach, Roland Rechtsreport 2019, S. 52.. Leseprobe. Eßer. 285. Carl Heymanns Verlag 2020. Zweck der Vorschrift ist es, mit den zu erteilenden Informationen eine Vorstufe zur 3 Auskunftserteilung nach Art. 15 DSGVO zu schaffen2 und die betroffenen Personen detailliert über Existenz, Gegenstand und Zweck der Verarbeitung zu informieren, sodass sie ihre Betroffenenrechte in Bezug auf die Verarbeitung ausüben können. Den Informationspflichten müssen die Verantwortlichen von sich aus nachkommen (proaktiv).3 Im Unterschied dazu müssen die Betroffenen zur Auskunftserteilung durch den Verantwortlichen zunächst einen Antrag bei diesem stellen, bzw. sich an diesen wenden (s. Art. 15 Rdn. 6 ff.) und dieser muss erst dann dem Auskunftsanspruch nachkommen..

(18) Art. 13. Informationspflicht bei Datenerhebung bei der betroffenen Person. 5 Die Informationspflichten bezwecken eine »faire und transparente Verarbeitung«. (Abs. 2) personenbezogener Daten. Sie setzen damit den allgemeinen Verarbeitungsgrundsatz der »Transparenz« aus Art. 5 Abs. 1 Buchst. a) DSGVO um (s. Art. 5 Rdn. 17 ff.). Die betroffene Person soll bereits zum Zeitpunkt der Erhebung erkennen können, in welchem Umfang welche Daten von ihr verarbeitet, wohin diese Daten übermittelt und wie lange sie aufgehoben werden. Sind mehrere Stellen gemeinsam für eine Verarbeitung verantwortlich, so haben sie gem. Art. 26 Abs. 1 Satz 2 DSGVO (Gemeinsame Verarbeitung) in einer Vereinbarung in transparenter Form u.a. festzulegen, wer welchen Informationspflichten nach Art. 13 und 14 nachkommt (s. Art. 26 Rdn. 16 ff.). 6 Mit §§ 29, 32 BDSG wurden auf nationaler Ebene Vorschriften geschaffen, die unter. Nutzung der Öffnungsklausel des Art. 23 DSGVO die Betroffenenrechte nach Art. 13 ergänzend zu Abs. 4 einschränken (s. Rdn. 55 f.).. Carl Heymanns Verlag 2020. 7 Zu erwarten ist, dass sich sukzessive Muster oder »best practices« etablieren, mit denen. die Verantwortlichen ihren Pflichten nachkommen können. So sind in den Internetangeboten der Datenschutzaufsichtsbehörden, der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V.7, Fachzeitschriften8 oder bei den Verbänden bereits Arbeitshilfen und Muster abrufbar, die natürlich im Einzelfall auf die konkrete Verwendungssituation angepasst werden müssen. Inhaltlich wird der Verantwortliche zur Informationserteilung auf die Angaben im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO zurückgreifen (Art. 30 DSGVO Rdn. 4 ff.). Die Bedeutung der Pflege des Verzeichnisses der Verarbeitungstätigkeiten wird also unter der DSGVO zunehmen. 8 Auch die durch Art. 12 Abs. 7, 8 eröffnete Möglichkeit zur Verwendung von standar-. disierten Bildsymbolen, die sich in der Vergangenheit zur Information über Videoüberwachung bereits bewährt haben, können die Informationspflichten für Verantwortliche handhabbar machen und für die betroffenen Personen zu einer sinnvollen Informationsquelle werden lassen, auch wenn die Bildsymbole nicht völlig ohne Schriftinhalte auskommen (s. für Beispiele Art. 12 Rdn. 42 f.). B.. Kommentierung im Einzelnen. 9 In Abs. 1 ist geregelt, welche allgemeinen Informationen der Verantwortliche der. betroffenen Person bei der Verarbeitung ihrer personenbezogenen Daten zum Zeitpunkt der Erhebung erteilen muss (s. Rdn. 15 ff.). In Abs. 2 werden die Informationspflichten aus Abs. 1 um weitere, zusätzliche Informationspflichten ergänzt, die zur Sicherstellung einer fairen und transparenten Verarbeitung erforderlich sind (s. Rdn. 33 ff.). Für den Fall, dass der Verantwortliche die erhobenen Daten nachträglich für einen anderen Zweck als den Erhebungszweck verarbeiten möchte (Zweckänderung), regelt Abs. 3, dass der Verantwortliche den betroffenen Personen dann. 7 GDD-Praxishilfe DS-GVO VII, S. 9 f. 8 Z.B. bei Schultz, PinG 2018, 100, 101 für den Fernabsatz.. 286. Eßer. Leseprobe.

(19) Informationspflicht bei Datenerhebung bei der betroffenen Person. Art. 13. neue Informationen über den geänderten Zweck und weitere geänderte oder neue Informationen nach Abs. 2 zur Verfügung zu stellen hat (s. Rdn. 51). Die Informationspflichten der Abs. 1 bis 3 gelten u. a. nicht, wenn die betroffenen Personen bereits über die Informationen verfügen (Abs. 4, s. Rdn. 57 ff.). Zur Form der Informationserteilung enthält Art. 13 keine Vorgaben. Diese ergeben 10 sich aus Art. 12 Abs. 1 DSGVO (s. Art. 12 Rdn. 13), jedoch bestimmt Art. 13 den Zeitpunkt, zu dem die Informationen zu erteilen sind selbst (s.a. Rdn. 17 ff., 35) und geht diesbezüglich der allgemeinen Fristenregelung der Art. 12 vor. Die Informationspflicht besteht für den Verantwortlichen (oder mehrere Verantwort- 11 liche nach Art. 4 Nr. 7 DSGVO, s. Art. 4 Rdn. 77) nur, wenn er personenbezogene Daten bei der betroffenen Person erhebt. Die Pflicht entsteht bei der ersten Erhebung und grundsätzlich auch bei allen weiteren Erhebungen. Bei einer weiteren Erhebung kann die Informationspflicht jedoch im Einzelfall nach Abs. 4 entfallen, soweit die betroffene Person bereits über die Informationen verfügt (s. Rdn. 57 ff. und Art. 14 Rdn. 41). Eine erneute identische Information ist dann nicht erforderlich. Die Erteilung der Informationen nach Art. 13 ist nicht zulässigkeitsbegründend für 12 die geplante Verarbeitung.9 Die Rechtmäßigkeit einer Verarbeitung richtet sich vor allem nach Art. 6 DSGVO, den Bedingungen für die Einwilligung nach Art. 7 DSGVO, dem BDSG und Spezialvorschriften. Die Informationserteilung bedarf auch keiner Empfangsbestätigung (s. Rdn. 14).. 13 Zu geben sind der betroffenen Person grundsätzlich folgende Informationen: – Kontaktdaten: Name und Kontaktdaten des Verantwortlichen, ggf. seines Vertreters (Abs. 1 Buchst. a)) und ggf. Kontaktdaten des Datenschutzbeauftragten (Abs. 1 Buchst. b)). – Zwecke und Rechtsgrundlage der Verarbeitung (Abs. 1 Buchst. c)). – Berechtigte Interessen des Verantwortlichen oder des Dritten, falls die Verarbeitung zu deren Wahrung erfolgt (Abs. 1 Buchst. d)). – Empfänger oder Kategorien von Empfängern, sofern eine Übermittlung beabsichtigt ist (Abs. 1 Buchst. e)). – Übermittlung an Drittländer oder internationale Organisationen, sofern diese beabsichtigt sind (Abs. 1 Buchst. f )). – Speicherdauer oder Kriterien zu deren Festlegung (Abs. 2 Buchst. a)). – Information über Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit (Abs. 2 Buchst. b)), Recht auf Widerruf der Einwilligung (Abs. 2 Buchst. c)), Beschwerderecht bei der Aufsichtsbehörde (Abs. 2 Buchst. d)).. 9 Ausführlich Kamlah, in: Plath, Art. 13 DSGVO Rn. 17.. Leseprobe. Eßer. 287. Carl Heymanns Verlag 2020. I. Zu erteilende Informationen im Überblick.

(20) Art. 13. Informationspflicht bei Datenerhebung bei der betroffenen Person. – Grundlage für die Bereitstellung: Information über die rechtliche Grundlage, auf der die betroffenen Personen die Daten angeben, die Erforderlichkeit der Angabe und die Folgen der Nichtangabe (Abs. 2 Buchst. e)). – Information über automatisierte Entscheidungsfindung, sofern diese eingesetzt wird (Abs. 2 Buchst. f )). – Zweckänderung: Information über den weiteren Zweck, sofern eine Weiterverarbeitung für einen weiteren Zweck als den ursprünglichen Erhebungszweck beabsichtigt ist (Abs. 3). Die vorstehenden Informationselemente werden im Folgenden (s. Rdn. 15 ff.) näher erläutert.. Carl Heymanns Verlag 2020. 14 Die Informationen müssen der betroffenen Person zur Verfügung gestellt werden. Sie. kann frei darüber entscheiden, ob sie die Information zur Kenntnis nimmt oder nicht. Von daher ist es nicht erforderlich, die betroffene Person um eine Bestätigung darüber zu bitten, dass sie die Informationen zur Kenntnis genommen oder erhalten halt (Empfangsbestätigung). Es ist vielmehr die Pflicht des Verantwortlichen, seine Arbeitsabläufe und Prozesse so zu gestalten, dass sie die Erteilung der nach Art. 13 erforderlichen Informationen an geeigneter Stelle vorsehen. Dass er dies umgesetzt hat, muss der Verantwortliche im Rahmen seiner Dokumentationspflicht, Art. 5 Abs. 2, mit Blick auf den Transparenzgrundsatz, Art. 5 Abs. 1 Buchst. a), in geeigneter Weise nachweisen. Verlangt der Verantwortliche eine Bestätigung der betroffenen Person über Erhalt oder Kenntnisnahme der Informationen, z.B. per »Tick-Box«, besteht die Gefahr, dass die Information nach Art. 13 mit einer Einwilligung nach Art. 6 Abs. 1 Buchst. b), Art. 7 verwechselt wird. Eine Einwilligung stellt jedoch eine Rechtsgrundlage zur Verarbeitung i.S.d. Art. 6 Abs. 1 dar und die Erteilung der Information ist (lediglich) die Befolgung einer Transparenzpflicht, die das Vorliegen mindestens einer der in Art. 6 Abs. 1 Buchst. a) bis f genannten Rechtsgrundlagen voraussetzt. Die Rechtsgrundlage ist nach Art. 13 Abs. 1 Buchst. c) in die Information aufzunehmen. Die Erteilung einer Information nach Art. 13 ersetzt daher nicht das zwingende Erfordernis des Vorliegens einer Rechtsgrundlage zur Verarbeitung nach Art. 6 Abs. 1 Buchst. a) bis f ). II. Grundlegende Informationen (Absatz 1) 15 Die nach Abs. 1 Buchst. a) bis f ) zu erteilenden Informationen sind nach dem Wort-. laut der Vorschrift als Pflichtangaben anzusehen.10 Aus dem Katalog der Informationen des Abs. 1 können nur die Kontaktdaten des Datenschutzbeauftragten (Buchst. b)), die Angaben zum berechtigten Interesse (Buchst. d)), zu Empfängern (Buchst. e)) oder zur Übermittlung an ein Drittland oder an eine internationale Organisation (Buchst. f )) entfallen, soweit kein Datenschutzbeauftragter zu bestellen ist (Buchst. b)) oder Buchst. d) bis f ) für die konkrete Verarbeitung nicht einschlägig sind.. 10 Kamlah , in: Plath, Art. 13 DSGVO Rn. 7 ff.; Paal/Hennemann , in: Paal/Pauly, Art. 13 DSGVO, Rn. 10 ff.. 288. Eßer. Leseprobe.

(21) Informationspflicht bei Datenerhebung bei der betroffenen Person. Art. 13. Art. 13 sieht nicht vor, dass die betroffenen Personen über die Daten oder Kategorien 16 von Daten, die verarbeitet werden, zu informieren sind. Im Anwendungsbereich des Art. 13 werden die Daten bei der betroffenen Person erhoben, sodass sie diese Daten bereits kennt und eine zusätzliche Information darüber nicht die Transparenz der Verarbeitung, sondern nur den bürokratischen Aufwand erhöhen würde. Im Unterschied dazu sieht Art. 14, der den Fall regelt, dass keine Erhebung bei der betroffenen Person erfolgt, in Art. 14 Abs. 1 Buchst. d) eine Informationspflicht über die Kategorien von Daten vor (s. Art. 14 Rdn. 16). Diese unterschiedlichen Vorgaben im Informationsumfang des Art. 13 und des Art. 14 sind angesichts der verschiedenen Erhebungssituationen (Direkterhebung beim Betroffenen – Erhebung bei einem Dritten (Dritterhebung) sachgerecht. 1. Zeitpunkt der Informationserteilung. Keine Erhebung und daher keine Informationspflicht auslösend ist die Entgegennahme 18 fremder Visitenkarten im Rahmen eines Visitenkartenaustauschs zum wechselseitigen Bekanntmachen im geschäftlichen Verkehr (Unternehmen – Unternehmen oder Unternehmen – Behörde oder Unternehmen/Behörde – Privatperson) im Rahmen der sozialen Gepflogenheiten oder der Höflichkeit.16 In solchen Fällen kann die Information durch schriftlichen Hinweis (z.B. Schild) oder mündlichen Hinweis auf eine Internetseite mit weiteren Informationen unterbleiben. Werden dagegen gezielt Kontaktdaten erhoben (z.B. anlässlich von Ausstellungen, Messen, Gewinnspielen etc.), die gespeichert und für festgelegte Zwecke verarbeitet werden sollen, muss der Verantwortliche in der Lage sein, die Informationen nach Art. 13 zu erteilen (bspw. durch einen geeigneten Hinweis in der Ausstellung, Messe etc.), da dies in den Anwendungsbereich von Art. 2 Abs. 1 DSGVO fällt. Eine Erhebung liegt auch dann nicht vor, wenn ein Tele11 12 13 14 15 16. Albrecht/Jotzo, S. 84; Ingold, in: Sydow, Art. 12 DSGVO Rn. 8. Kamlah, in: Plath, Art. 13 DSGVO Rn. 8. Vgl. Härting, S. 21. Knyrim, in: Ehmann/Selmayr, Art. 13 DSGVO Rn. 13. Kamlah, in: Plath, Art. 13 DSGVO Rn. 8. Vgl. BayLfD, Kurzinformation 11, Visitenkarten in der Welt der DSGVO, 08.10.2018 wertet den Visitienkartentausch als Brauch bzw. freundlichen Akt und nicht als gezielte Erhebung.. Leseprobe. Eßer. 289. Carl Heymanns Verlag 2020. Der Verantwortliche muss der betroffenen Person zum Zeitpunkt der Erhebung die 17 Informationen nach Abs. 1 Buchst. a) bis f ) mitteilen.11 Es ist demnach nicht erforderlich, dass die Information vor der Erhebung erfolgt. Aufgrund der Formulierung »zum Zeitpunkt« muss die Information zeitgleich mit der Erhebung erfolgen, sodass sichergestellt ist, dass die betroffene Person die Information bei der Erhebung zur Kenntnis nehmen kann. 12 Denkbar ist die Einbindung der Informationen in Online-Formulare13 oder im Rahmen einer Datenschutzerklärung14. Die Einbindung in Allgemeinen Geschäftsbedingungen (AGB)15 ist nicht ratsam, da AGB einen regelnden Charakter haben und die Informationspflichten keine vertraglichen Regelungen sind..

(22) Art. 13. Informationspflicht bei Datenerhebung bei der betroffenen Person. fonat ohne eine sich an das Telefongespräch anschließende Verarbeitung personenbezogener Daten erfolgt, sodass in diesem Fall nicht nach Art. 13 zu informieren ist.17 Erfolgt dagegen eine strukturierte Verarbeitung von Anrufen (z.B. Callcenter, Hotline, Kundendienst etc.) zum Zwecke der Auftragsannahme, Betreuung, Beratung von Interessenten, Kunden oder Bürgern, ist eine Information nach Art. 13 erforderlich. Diese kann z.B. durch eine der Anrufannahme vorgeschaltete Bandansage18 erfolgen, die ggf. für weitere Informationen auf eine Internetseite verweist (s. Rdn. 19 zur zweistufigen Informationserteilung).. Carl Heymanns Verlag 2020. 19 Der Umfang der Informationspflichten stellt die Verantwortlichen je nach Verarbei-. tungssituation vor teilweise hohe praktische Herausforderungen. Lassen sich die Informationspflichten bei einem Versendungskauf in einem Online-Shop durch den Verkäufer noch vergleichsweise einfach erfüllen, weil der Verkäufer in dieser Situation, wie bei ähnlichen Informationspflichten aus dem Bereich des Verbraucherschutzes, auf erprobte Mechanismen zurückgreifen kann (z.B. Anzeige in Textform, Versand per E-Mail mit der Bestellbestätigung), ist die praktische Umsetzung z.B. im Callcenter, im Ladenlokal oder beim Automatenkauf viel schwieriger.19 Hier kommt grundsätzlich eine zweistufige Informationserteilung (oder Mehrebenen-Datenschutzerklärung bzw. layered notices) als Lösungsansatz in Betracht (s.a. Art. 12 Rdn. 14).20 Zweistufig bedeutet nicht, dass zunächst die Informationen nach Abs. 1 und sodann die Informationen nach Abs. 2 erteilt werden21, sondern dass der betroffenen Person zunächst (erste Stufe) die Informationen gegeben werden, die essenziell22 für ihre Entscheidung, ihre Daten preiszugeben, sind (Name und Kontaktdaten des Verantwortlichen, Verarbeitungszweck[e], berechtigte Interessen, Kategorien von Empfängern, Übermittlungsabsichten in Drittländer oder an internationale Organisationen, Folgen der Nichtbereitstellung) und zusätzlich die Information, welche weiteren Informationen an welcher Stelle (z.B. Online-Abruf über QR-Code, Kurz-URL, Aushang) in der zweiten Stufe (sofort oder später) abgerufen werden können.23 Jedoch muss im Einzelfall geprüft werden, ob die gewählte Form den Forderungen nach Transparenz (leicht zugänglich i.S.d. Art. 12. 17 Vgl. LDI NRW, Umgang mit der DS-GVO, Leitfaden für öffentliche Stellen in NRW, August 2018, S. 11. 18 Leitlinien für Transparenz gemäß der Verordnung 2016/679 der Artikel 29-Datenschutzgruppe vom 11.04.2018, WP 260 Rev 01, S. 25; Breyer, DuD 2018, 311, 312. 19 Vgl. GDD-Praxishilfe DS-GVO VII, S. 9. 20 Datenschutzkonferenz, Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der DS-GVO, November 2018, S. 7; Leitlinien für Transparenz gemäß der Verordnung 2016/679 der Artikel 29-Datenschutzgruppe vom 11.04.2018, WP 260 Rev 01, S. 8, 23; Schwartmann/ Schneider, in: Schwartmann/Jaspers/Thüsing/Kugelmann, Art. 13 Rn. 25; GDD-Praxishilfe DS-GVO VII, S. 5. 21 Franck, in: Gola, Art. 13 DSGVO Rn. 6. 22 Schwartmann/Schneider, in: Schwartmann/Jaspers/Thüsing/Kugelmann, Art. 13 Rn. 26 ff. 23 Franck, in: Gola, Art. 13 DSGVO Rn. 34; ausführlich zu diesem Konzept: GDD-Praxishilfe DS-GVO VII, S. 6 f. unter Verweis auf Stellungnahme 10/2004 der Artikel 29-Datenschutzgruppe vom 25.11.2004, WP 100, 6 ff. wonach die Informationen an Betroffenen. 290. Eßer. Leseprobe.

(23) Informationspflicht bei Datenerhebung bei der betroffenen Person. Art. 13. Abs. 1, s. Art. 12 Rdn. 10) und Treu und Glauben gem. Art. 5 Abs. 1 Buchst. a) DSGVO gerecht wird.24 Zu beachten ist jedoch, dass für den Verantwortlichen ein Bußgeldrisiko besteht (s. Rdn. 66), wenn die konkret gewählte zweistufige Form der Informationserteilung als nicht den gesetzlichen Anforderungen genügend angesehen wird. Informationen können der betroffenen Person nicht nur als Push-Hinweise, d.h. »Just- 20 in-time« bei der Erhebung bereitgestellt werden (s. Rdn. 19), sondern auch durch sog. Pull-Hinweise, bei denen der betroffenen Person der Zugang zu den Informationen über Verfahren wie Datenschutz-Dashboards oder andere Rubriken in einem Benutzerkonto ermöglicht wird.25. Für Erhebungen, die bereits vor Geltung der DSGVO ab dem 25.05.2018 (s. Art. 99 22 Abs. 2) erfolgt sind (Bestandsdaten), gelten die Informationspflichten dementsprechend nicht (keine Rückwirkung der Informationspflichten).27 Art. 13 DSGVO knüpft an den Erhebungsvorgang unter der DSGVO an. Aufgrund von ErwGr. 171 Satz 2 (»Ver-. 24 25 26. 27. auf mehrere Ebenen verteilt werden können und somit auch ein Medienbruch bei der Informationserteilung grds. möglich ist. Franck, in: Gola, Art. 13 DSGVO Rn. 34. Leitlinien für Transparenz gemäß der Verordnung 2016/679 der Artikel 29-Datenschutzgruppe vom 11.04.2018, WP 260 Rev 01, S. 24. Vgl. Leitlinien für Transparenz gemäß der Verordnung 2016/679 der Artikel 29-Datenschutzgruppe vom 11.04.2018, WP 260 Rev 01, S. 25; GDD-Praxishilfe DS-GVO VII, S. 10 f.; Schwartmann/Schneider , in: Schwartmann/Jaspers/Thüsing/Kugelmann, Art. 13 Rn. 28 f. Kamlah, in: Plath, Art. 13 DSGVO Rn. 8; vgl. Härting, S. 20 f.. Leseprobe. Eßer. 291. Carl Heymanns Verlag 2020. 21 Praktische Beispiele für die Möglichkeiten zur Informationserteilung26: – Vertragsabschluss auf postalischem Weg: Informationen in den Vertragsdokumenten, ggf. auch Infografiken oder Ablaufdiagramme; – Telefonische Kontakte: Soweit hier eine Information erforderlich ist (s. Rdn. 18): Bandansage mit der Option weitergehende genauere Informationen zu erhalten (im Internet oder auf Anforderung); ggf. auch mündliche Erläuterungen einer natürlichen Person mit der Gelegenheit zu fragen; – Persönliche Kontakte: Schriftliche Erklärungen in ausgedruckter Form oder mündliche Erläuterung einer natürlichen Person mit der Gelegenheit zu fragen, ggf. mit der Option weitergehende genauere Informationen zu erhalten (im Internet oder auf Anforderung); – Videoüberwachung, Drohne: Sichtbare Info-Tafeln, Beschilderungen, ggf. mit der Option weitergehende genauere Informationen zu erhalten (im Internet oder auf Anforderung); – Bewerberdaten: Bei der Online-Bewerbung im Bewerbungsportal kann die Informationserteilung online erfolgen, bei der Bewerbung per Post oder E-Mail auf eine Stellenausschreibung können grundlegende Informationen in der Stellenausschreibung erteilt werden (erste Stufe) und die weiteren Informationen können im weiteren Kontakt, ggf. auch online nachgeliefert werden (zweite Stufe)..

(24) Art. 13. Informationspflicht bei Datenerhebung bei der betroffenen Person. arbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, sollten innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht werden.«) sind die Informationspflichten jedoch in angemessener Weise umzusetzen oder nachzureichen, wenn die Bestandsdaten unter der DSGVO weiterhin verarbeitet werden. Den mit den Bestandsdaten erfassten betroffenen Personen können dazu bei passender Gelegenheit die Informationen mitgeteilt werden, die für neue Datenerhebungen gem. Art. 13 ohnehin zusammengestellt werden müssen. Werden vor Geltung der DSGVO erhobene Daten nach deren Geltung erneut erhoben, greifen die Informationspflichten und entfallen nach Maßgaben des Abs. 4 nur, soweit die betroffene Person bereits Kenntnis von den Informationen hat (s. zu dieser Ausnahme Rdn. 57). 23 Demgegenüber enthält Art. 14, der den Fall regelt, dass personenbezogene Daten nicht. bei der betroffenen Person erhoben werden (Dritterhebung), in Art. 14 Abs. 3 eine andere, differenzierte Regelung zum Zeitpunkt, zu dem die Information erfolgen muss (s. Art. 14 DSGVO Rdn. 32 ff.). 2.. Name und Kontaktdaten (Buchst. a)). Carl Heymanns Verlag 2020. 24 Der Verantwortliche muss seinen Namen und seine Kontaktdaten mitteilen. Soweit. er über keine Niederlassung in einem Mitgliedstaat verfügt und einen Vertreter i.S.d. Art. 4 Nr. 17 DSGVO bestellt hat (s. Art. 4 Rdn. 129), sind auch dessen Name und Kontaktdaten mitzuteilen. Unter »Name« sind der Vor- und Nachname einer natürlichen Person und die vollständige Bezeichnung einer juristischen Person zu verstehen. Unter »Kontaktdaten« sind die Angaben zu verstehen, die eine Erreichbarkeit ermöglichen. Sie umfassen daher die ladungsfähige Anschrift und elektronische und/oder telefonische Kontaktmöglichkeiten.28 3.. Kontaktdaten des Datenschutzbeauftragten (Buchst. b)). 25 Soweit bei dem Verantwortlichen ein Datenschutzbeauftragter i.S.d. Art. 37 DSGVO. zu bestellen ist, sind auch dessen Kontaktdaten (Anschrift, elektronische, z.B. datenschutzbeauftragter@unternehmen.de, und telefonische Erreichbarkeit), aber nicht zwingend dessen Name mitzuteilen, da der Wortlaut dies nicht vorsieht.29 Der Name kann freiwillig mitgeteilt werden, wenn der Datenschutzbeauftragte darin einwilligt. Bei der Informationspflicht nach § 55 BDSG (s. § 55 BDSG Rdn. 16) und im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 (s. Art. 30 Rdn. 6) ist der Name des Datenschutzbeauftragten jedoch im Unterschied dazu zwingend anzugeben.. 28 Paal/Hennemann, in: Paal/Pauly, Art. 13 DSGVO, Rn. 14; Bäcker, in: Kühling/Buchner, Art. 13 DSGVO Rn. 22. 29 Franck, in: Gola, Art. 13 DSGVO Rn. 10; Knyrim, in: Ehmann/Selmayr, Art. 13 DSGVO Rn. 36 ; Schwartmann/Schneider , in: Schwartmann/Jaspers/Thüsing/Kugelmann, Art. 13 Rn. 36 f.; a.A. Däubler, in: Däubler/Wedde/Weichert/Sommer, Art. 13 DSGVO Rn. 8.. 292. Eßer. Leseprobe.

(25) Informationspflicht bei Datenerhebung bei der betroffenen Person. 4.. Art. 13. Zwecke und Rechtsgrundlage der Verarbeitung (Buchst. c)). Nach Buchst. c) sind der Zweck oder die Zwecke, für die die Erhebung erfolgt, und 26 die Rechtsgrundlage der Verarbeitung anzugeben. Nach dem Verarbeitungsgrundsatz des Art. 5 Abs. 1 Buchst. b) DSGVO dürfen personenbezogene Daten nur für »festgelegte, eindeutige und legitime Zwecke« erhoben werden (s. Art. 5 Rdn. 22 ff.). Diese interne Zweckfestlegung muss der Verantwortliche der betroffenen Person mitteilen. Solange keine Zweckänderung erfolgt, sind die zu einem festgelegten Zweck erhobenen Daten nach dem Prinzip der Zweckbindung an den bei der Erhebung festgelegten Zweck gebunden. Im Fall einer späteren Zweckänderung hat der Verantwortliche die Informationspflicht nach Abs. 3 zu beachten. Die Information über den Zweck der Erhebung kann schlagwortartig30 erfolgen. Dies ergibt sich aus dem allgemeinen Grundsatz des Art. 12, nach dem die Information verständlich und in klarer und einfacher Sprache zu erteilen ist (s. Art. 12 Rdn. 8, 10). In Betracht kommen Zwecke wie Vertragsdurchführung, Werbung, Qualitätssicherung, Auswertung von Fehlzeiten, Personalplanung, zur Durchführung des Beschäftigungsverhältnisses usw.31. 5.. Berechtigte Interessen (Buchst. d)). Nach Art. 6 Abs. 1 Buchst. f ) DSGVO ist eine Verarbeitung erlaubt, wenn sie zur 28 Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (i.S.d. Art. 4 Nr. 10 DSGVO, s. Art. 4 Rdn. 93 ff.) erforderlich ist und die Grundfreiheiten und Grundrechte der von der Verarbeitung betroffenen Person nicht überwiegen (s. Art. 6 Rdn. 64 ff.). Sofern der Verantwortliche die Erhebung der Daten auf eine Abwägungsentscheidung nach Art. 6 Abs. 1 Buchst. f ) DSGVO stützt, muss er die betroffenen Personen über ihre berechtigten Interessen oder die des Dritten informieren. Als berechtigte Interessen kommen beispielsweise die Optimierung der inter-. 30 Kamlah, in: Plath, Art. 13 DSGVO Rn. 11. 31 Vgl. Franck, in: Gola, Art. 13 DSGVO Rn. 11; Veil, in: Gierschmann/Schlender/Stentzel/ Veil, Art. 13/14 DSGVO Rn. 64 ; Däubler , in: Däubler/Wedde/Weichert/Sommer, Art. 13 DSGVO Rn. 10. 32 Bäcker, in: Kühling/Buchner, Art. 13 DSGVO Rn. 26; Knyrim, in: Ehmann/Selmayr, Art. 13 DSGVO Rn. 26. 33 Paal/Hennemann, in: Paal/Pauly, Art. 13 DSGVO, Rn. 16.. Leseprobe. Eßer. 293. Carl Heymanns Verlag 2020. Die Information über die Rechtsgrundlage der Verarbeitung muss mit Blick auf 27 Art. 6 DSGVO vorgenommen werden, der den Katalog der möglichen Rechtsgrundlagen bzw. Erlaubnistatbestände für die Verarbeitung enthält (s. Art. 6 Rdn. 17). Ein pauschaler Verweis auf »Art. 6 DSGVO« ist als Information nicht ausreichend. Vielmehr ist exakt zu benennen, woraus sich die Erlaubnis für die Verarbeitung der zu erhebenden Daten ergibt.32 Aufgrund der Gestaltungsmöglichkeiten, die den Mitgliedstaaten, insbesondere auch im öffentlichen (behördlichen) Bereich verbleiben, ist auch an die Nennung der mitgliedstaatlichen Rechtsgrundlage zu denken, soweit eine solche einschlägig ist.33.

(26) Art. 13. Informationspflicht bei Datenerhebung bei der betroffenen Person. nen Organisation des Verantwortlichen, die Betrugsprävention34 bzw. Hinweisgebersysteme, das Forderungsmanagement35 oder die Bonitätsprüfung36 in Betracht. Nicht informieren muss er die betroffenen Personen darüber, welche Grundfreiheiten und Grundrechte der betroffenen Personen er mit den jeweiligen berechtigten Interessen in Abwägung gebracht hat.37 6. Empfänger oder Kategorien von Empfängern (Buchst. e)) 29 Nach Buchst. e) sind der betroffenen Person auch die Empfänger (i.S.d. Art. 4. Nr. 9 DSGVO, s. Art. 4 Rdn. 90 ff.) oder Kategorien von Empfängern mitzuteilen, an die der Verantwortliche die personenbezogenen Daten im Rahmen der Verarbeitung übermittelt. Ist keine Übermittlung gegeben und/oder vorgesehen, muss keine Information über diesen Umstand erfolgen. Empfehlenswert aus Gründen der Klarheit ist (optional) die kurze Information an die betroffene Person, dass eine Übermittlung nicht vorgesehen ist. Auch der Auftragsverarbeiter ist ein Empfänger (s. Art. 4 Rdn. 91) und dementsprechend sind Auftragsverarbeiter in die Information einzubeziehen.38. Carl Heymanns Verlag 2020. 30 Nach dem Wortlaut können entweder die Empfänger oder Kategorien von Empfän-. gern angegeben werden. Nach dem Zweck der Vorschrift und der Vorgabe des Art. 12 DSGVO, die betroffenen Personen präzise und transparent zu informieren, dürften jedoch die konkreten Empfänger zu benennen sein, soweit diese feststehen oder absehbar sind.39 Jedenfalls wird dies regelmäßig der Erwartung der betroffenen Person entsprechen und soweit die Empfänger bereits feststehen, hat der Verantwortliche kein Wahlrecht, ob er sie benennt oder nicht.40 Steht bei der Erhebung nur eine bestimmte Kategorie von Empfängern fest, weil der konkrete Empfänger erst später konkretisiert wird, so ist die Kategorie anzugeben, z.B. bei einem Versendungskauf die geplante Übermittlung der Lieferanschrift an einen »Transportdienstleister« als Kategorie.41 Weitere Kategorien können je nach Anwendungsfall sein: »Zahlungsdienstleister«, »Rückversicherer«42, »Werbepartner«. Auch reicht die Benennung einer Kategorie von Empfängern dann aus, wenn die Offenlegung eines konkreten Empfängers 34 35 36 37 38 39 40 41 42. Kamlah, in: Plath, Art. 13 DSGVO Rn. 12. Franck, in: Gola, Art. 13 DSGVO Rn. 13. Franck, in: Gola, Art. 13 DSGVO Rn. 13; Kamlah, in: Plath, Art. 13 DSGVO Rn. 12. Paal/Hennemann, in: Paal/Pauly, Art. 13 DSGVO, Rn. 17. Knyrim, in: Ehmann/Selmayr, Art. 13 DSGVO Rn. 44 mit Hinweis auf den ersten Entwurf der DSGVO durch die EU-Kommission, KOM(2012) 11 endgültig – 2012/0011 (COD), der eine Information über Auftragsverarbeiter vorsah. Bäcker , in: Kühling/Buchner, Art. 13 DSGVO Rn. 29 ; Mester , in: Taeger/Gabel, Art. 13 DSGVO Rn. 14; Däubler, in: Däubler/Wedde/Weichert/Sommer, Art. 13 DSGVO Rn. 13; nach Dix, in: Simitis/Hornung/Spiecker, Art. 13 DSGVO Rn. 11. Dix , in: Simitis/Hornung/Spiecker, Art. 13 DSGVO Rn. 11 ; Franck , in: Gola, Art. 13 DSGVO Rn. 30; Bäcker, in: Kühling/Buchner, Art. 13 DSGVO Rn. 30. Vgl. Franck, in: Gola, Art. 13 DSGVO Rn. 16; Schwartmann/Schneider, in: Schwartmann/ Jaspers/Thüsing/Kugelmann, Art. 13 Rn. 42. Veil, in: Gierschmann/Schlender/Stentzel/Veil, Art. 13/14 DSGVO Rn. 79.. 294. Eßer. Leseprobe.

(27) Informationspflicht bei Datenerhebung bei der betroffenen Person. Art. 13. z.B. gegen ein Geschäftsgeheimnis verstoßen würde. Die Informationspflicht nach Art. 13 dient der Wahrung der Datenschutz-Grundrechte aus Art. 8 GRCh, die nach Art. 52 GRCh mit den anderen Grundrechten abgewogen werden müssen, z.B. der unternehmerischen Freiheit, Art. 16 GRCh, dem Eigentumsrecht, Art. 17 GRCh, der Meinungsäußerungs- und Informationsfreiheit, Art. 11 GRCh, oder der Berufsfreiheit, Art. 15 GRCh. Von daher kann der Schutz des Wesensgehalts dieser anderen Grundrechte es erforderlich machen, nur Kategorien von Empfängern statt konkreten Empfängern zu benennen. 7. Übermittlung an ein Drittland oder eine internationale Organisation (Buchst. f)) Den betroffenen Personen ist nach Buchst. f ) die Absicht des Verantwortlichen mit- 31 zuteilen, die personenbezogenen Daten an einem Empfänger in einem Drittland oder an eine internationale Organisation zu übermitteln. Besteht diese Absicht nicht, erfolgt hierzu keine Information. Aus Gründen der Klarheit kann die betroffene Person aber (optional) darüber informiert werden, dass eine Übermittlung an Drittländer oder internationale Organisationen nicht vorgesehen ist. Eine Information erfolgt auch dann nicht, wenn Daten bereits vor Geltung der DSGVO übermittelt wurden und keine neue Erhebung erfolgt (s. Rdn. 22 zur Rückwirkung). Die Informationspflicht besteht auch dann, wenn ein Drittlandstransfer bereits erfolgt.. III. Zusätzliche Informationen (Absatz 2) Abs. 2 sieht die Erteilung weiterer Informationen vor, die »notwendig sind, um eine 33 faire und transparente Verarbeitung zu gewährleisten«. Kritisch anzumerken ist, dass die in Buchst. a) bis f ) aufgezählten Informationen nicht alle geeignet erscheinen, eine faire und transparente Verarbeitung zu gewährleisten.43 Wenn das für die Information über die Speicherdauer (Buchst. a)) noch einleuchtend ist, erschließt sich 43 Paal/Hennemann , in: Paal/Pauly, Art. 13 DSGVO Rn. 22 f.; Kamlah , in: Plath, Art. 13 DSGVO Rn. 16.. Leseprobe. Eßer. 295. Carl Heymanns Verlag 2020. Besteht diese Absicht, ist den betroffenen Personen neben der Information darüber 32 auch mitzuteilen, welchem Schutz die Daten bei der Verarbeitung unterliegen. Dazu zählt die Information, ob für die geplante Übermittlung ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO (s. Art. 45 Rdn. 2) vorhanden ist oder nicht. Liegt kein Angemessenheitsbeschluss vor und erfolgt die Übermittlung auf Grundlage geeigneter Garantien nach Art. 46 DSGVO (s. Art. 46 Rdn. 3), z.B. auch Standarddatenschutzklauseln nach Art. 46 Abs. 2 Buchst. b) DSGVO, die von der EU-Kommission erlassen werden, verbindlicher interner Datenschutzvorschriften nach Art. 47 DSGVO (s. Art. 47 Rdn. 12) (Binding Corporate Rules – BCR) oder nach der Ausnahmeregelung des Art. 49 Abs. 1 Unterabs. 2 DSGVO (s. Art. 49 Rdn. 2), so muss die Information auch einen Verweis auf die geeigneten und angemessenen Garantien enthalten und die Angabe, wie die betroffenen Personen eine Kopie dieser Garantien erhalten können, bzw. wo diese abrufbar sind..

(28) Art. 13. Informationspflicht bei Datenerhebung bei der betroffenen Person. für die Information über das Beschwerderecht bei der Aufsichtsbehörde (Buchst. d)) nicht ohne Weiteres, dass sie unmittelbar der fairen und transparenten Verarbeitung dient bzw. dafür notwendig ist, gleichwohl hält der Gesetzgeber die Information nach Buchst. d) für notwendig. Im Unterschied dazu überzeugt hinsichtlich der in Abs. 1 Buchst. a) bis f ) aufgeführten Informationen deren Notwendigkeit zur Gewährleistung einer fairen und transparenten Verarbeitung. 34 Abs. 2 führt mit dem ausdrücklichen Hinweis auf die Notwendigkeit zur Gewähr-. leistung der fairen und transparenten Verarbeitung im Unterschied zu Abs. 1, der diesen ausdrücklichen Hinweis nicht enthält, kein weiteres Tatbestandsmerkmal ein.44 Zwar stellt ErwGr. 60 Satz 2 DSGVO klar, dass die Notwendigkeit der Information unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen der Verarbeitung zu bewerten ist.45 Das bedeutet jedoch lediglich, dass bestimmte Informationen unterbleiben können, wenn sie thematisch für die geplante Verarbeitung nicht einschlägig sind, wie z.B. die Übermittlung an ein Drittland (Abs. 1 Buchst. f )) oder die Information über eine automatisierte Entscheidungsfindung (Abs. 2 Buchst. f )). 1. Zeitpunkt der Informationserteilung 35 Die zusätzlichen Informationen sind, wie die Informationen nach Abs. 1, zum Zeit-. Carl Heymanns Verlag 2020. punkt der Erhebung zu erteilen (s. Rdn. 17). Die Informationen nach Abs. 1 und Abs. 2 müssen daher grundsätzlich zum selben Zeitpunkt erteilt werden (s.a. Rdn. 19 zur zweistufigen Informationserteilung). 2.. Speicherdauer (Buchst. a)). 36 Nach Buchst. a) ist den betroffenen Personen die Speicherdauer mitzuteilen. Die. Speicherdauer muss konkret angegeben werden46: Beginn der Speicherung und Zeitpunkt der Löschung der Daten müssen offengelegt werden. Wie die Speicherdauer angegeben wird, liegt im Ermessen des Verantwortlichen und hängt von der Art der jeweiligen Verarbeitung ab. Die Angabe kann in Jahren, Monaten, Tagen, ggf. Stunden erfolgen.47 Die DSGVO enthält selbst keine Vorgaben zur Speicherdauer48, sodass sich die konkrete Speicherdauer aus anderen datenschutzrechtlichen Bestimmungen, auch mitgliedstaatlichem Recht, oder der eigenen Festlegung seitens des Verantwortlichen anhand des Kriteriums der Notwendigkeit des Art. 17 Abs. 1 DSGVO (s. Art. 17 Rdn. 8 ff.) z.B. in einem Speicher- oder Löschkonzept49 ergeben kann. Die angegebene Speicherdauer ist für den Verantwortlichen verbindlich. Nach deren Ablauf sind die Daten zu löschen.50 Wenn eine Speicherdauer, die nicht gesetz-. 44 45 46 47 48 49 50. Kritisch auch Paal/Hennemann, in: Paal/Pauly, Art. 13 DSGVO Rn. 23. Veil, ZD 2015, 347, 349 zur Kontextabhängigkeit von Pflichten. Bäcker, in: Kühling/Buchner, Art. 13 DSGVO Rn. 36. Veil, in: Gierschmann/Schlender/Stentzel/Veil, Art. 13/14 DSGVO Rn. 95. Zutreffender Hinweis von Kamlah, in: Plath, Art. 13 DSGVO Rn. 18. Vgl. Schwartmann/Schneider, in: Schwartmann/Jaspers/Thüsing/Kugelmann, Art. 13 Rn. 48. Vgl. Bäcker, in: Kühling/Buchner, Art. 13 DSGVO Rn. 36.. 296. Eßer. Leseprobe.

(29) Informationspflicht bei Datenerhebung bei der betroffenen Person. Art. 13. lich geregelt ist, durch den Verantwortlichen festgelegt und der betroffenen Person genannt wird, tritt eine Selbstbindung des Verantwortlichen gegenüber der betroffenen Person ein, von der der Verantwortliche nicht ohne Weiteres abweichen kann. Gesetzlich geregelte Speicherdauern oder Aufbewahrungsfristen sind für den Verantwortlichen ohnehin verbindlich.. Ist eine Weiterverarbeitung der erhobenen Daten für einen anderen als den ursprüng- 38 lichen Zweck (Zweckänderung) beabsichtigt (s. Abs. 3, Rdn. 51), so kann dies zu den Kriterien zählen, die zur Bestimmung der Speicherdauer heranzuziehen sind. Dementsprechend hat der Verantwortliche die Betroffenen in diesem Fall darüber zu informieren.53 3. Information über Betroffenenrechte (Buchst. b)) Die betroffenen Personen sind nach Buchst. b) über ihre Rechte nach Art. 15 ff. 39 DSGVO (Betroffenenrechte) zu belehren. Dazu zählen die Rechte auf Auskunft (Art. 15), Berichtigung, (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und das Recht auf Widerspruch gegen die Verarbeitung (Art. 21). Gegebenenfalls ist eine Einschränkung der Betroffenenrechte nach Art. 89 Abs. 2 zu berücksichtigen (s. Rdn. 65).. 51 Den Hinweis auf das Kriterium der Erforderlichkeit ausreichen lassend aber gleichwohl kritisch: Kamlah, in: Plath, Art. 13 DSGVO Rn. 18. 52 Vgl. Mester, in: Taeger/Gabel, Art. 13 DSGVO Rn. 18. 53 Paal/Hennemann, in: Paal/Pauly, Art. 13 DSGVO Rn. 26.. Leseprobe. Eßer. 297. Carl Heymanns Verlag 2020. Kann eine konkrete Angabe zur Speicherdauer nicht erfolgen, (z.B. weil die betroffene 37 Person ein unbefristetes Vertragsverhältnis mit dem Verantwortlichen eingeht und die Speicherdauer zumindest eines Teils der Daten davon abhängt, wie lange das Vertragsverhältnis besteht) sind den betroffenen Personen die Kriterien mitzuteilen, nach denen die Speicherdauer festgelegt wird. Ein solches Kriterium ist die Erforderlichkeit der Daten für das Verarbeitungsvorhaben (Art. 17). Ein pauschaler Hinweis auf den Datenminimierungs- oder Erforderlichkeitsgrundsatz als Information über die Kriterien i.S.d. Buchst. a) ist jedoch gemessen am Zweck des Art. 13, der eine transparente und faire Verarbeitung bewirken will, nicht zufriedenstellend oder ausreichend.51 Der Verantwortliche muss den betroffenen Personen zumindest weitere Anhaltspunkte geben, die diese in die Lage versetzen, die Speicherdauer zumindest grob einschätzen zu können oder erkennen zu können, zu welchem Zeitpunkt die Notwendigkeit entfällt und die Daten gelöscht werden, z.B. »Stammdaten« wie Name, Anschrift, Kontaktdaten für die Dauer einer Vertragsbeziehung, für die die Daten erforderlich sind, und einen bestimmten Zeitraum darüber hinaus zur Erfüllung von Nachweispflichten52 und Daten zu einzelnen Bestellungen und Lieferungen im Rahmen der Vertragsbeziehung für einen Zeitraum von x Jahren beginnend mit dem Ablauf des Jahres in dem die Rechnung vollständig bezahlt wurde..