Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Heute erreichen wir beim Spaziergang mit Artikel 15 einen echten „Aussichtspunkt“. Von hier aus erhalten Betroffene einen Überblick, welche Daten der Verantwortliche verarbeitet und in welcher Weise. Das Auskunftsrecht ist ein Kernbereich des Datenschutzes: Nur wer weiß, wo und wie die eigenen Daten verarbeitet werden, kann das informationelle Selbstbestimmungsrecht überhaupt sinnvoll nutzen.

Allerdings wird gerade das Auskunftsrecht – wie Datenschutzbeauftragten nur allzu gut bekannt ist – in der Praxis oft als „Folterinstrument“ gegen die Verantwortlichen für ganz andere Zwecke benutzt; typisches Auskunftsverlangen: Arbeitnehmer gegen Arbeitgeber im Kündigungsschutzprozess. Wahrscheinlich muss das als Begleiterscheinung in Kauf genommen werden, wenn wirksamer Datenschutz stattfinden soll.

Absätze 1 und 2

Was die Auskunft beinhaltet, klären die Absätze 1 und 2. Absatz 2 hätte ohne Weiteres auch als Buchstabe i) in den ersten Absatz hineingepasst.

Absatz 3

Nach Absatz 3 hat der Verantwortliche „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung“ zu stellen. Wegen der heute allgemein verfügbaren Kopier- und Scantechnik sind die Sätze 2 und 3 recht unwichtig. Heiß diskutiert wird hingegen die Frage, was genau kopiert werden muss. Beispiel: Frau X beantragt eine Baugenehmigung und erhält nach längerem Hin und Her einen ablehnenden Bescheid. Ergibt sich aus Art. 15 Abs. 3 Satz 1 DS-GVO ein Anspruch auf Kopie der gesamten Genehmigungsakte bei der Bauverwaltung? – Informationsfreiheits- und Transparenzgesetze bleiben unbeachtet; wir spazieren ja nur durch die DS-GVO.

Der Europäische Gerichtshof (EuGH) hat am 04.05.2023 (Rs. C-487/21 – wir bereichteten) und anschließend noch mehrfach (z. B. Urteile vom 22.06.2023, Rs. C-579/21 – wir berichteten – und vom 26.10.2023, Rs. C-307/22) über die Bestimmung nachgedacht. Echte Klarheit besteht aber weiterhin nicht. Unproblematisch ist natürlich, dass die Kopie alle Bereiche umfasst, in denen personenbezogene Daten des Betroffenen selbst abgehandelt werden, Beispiel Personalakte: Stammdatenblatt mit Namen, Anschrift, Geburtsdatum, … . Ziemlich sicher ist auch, dass keine Daten mitkopiert werden müssen, die nicht personenbezogen sind, Beispiel: In der Personalakte eines Vertriebsmitarbeiters sind – zufällig oder absichtlich – Vertriebsprospekte des Unternehmens abgeheftet, in denen der Vertriebsmitarbeiter gar nicht genannt wird.

Mindestens ein (ungelöster) Teilaspekt des Problems besteht darin, dass man Unterlagen ihren Personenbezug nicht immer ansieht und sich der Personenbezug auch aus dem Kontext ergeben kann. Weiterentwicklung des letzten Beispiels: Der Vertriebsmitarbeiter hat die in seiner Personalakte befindliche Broschüre mitgestaltet und sie ist besonders gut oder schlecht gelungen, deshalb in der Personalakte abgeheftet. Personenbezug? Für die Praxis dürfte sich empfehlen, im Zweifel Personenbezug anzunehmen und die Kopie entsprechend zu erweitern.

Absatz 4

Absatz 4 nennt eine Ausnahme vom Anspruch auf Kopie. Das Hauptproblem dieses Absatzes betrifft – nicht die teils mühselige Teilschwärzung von Kopien, sondern – die Frage, ob sich Absatz 4 wirklich nur auf Absatz 3, also die Kopien bezieht oder ob nicht auch das Auskunftsrecht nach Absatz 1  und 2 eingeschränkt werden muss, wenn Rechte Dritter betroffen sind.

Der Bundesgerichtshof (BGH) hat in einer lesenswerten Entscheidung von 22.02.2022 (VI ZR 14/21) die Frage ausführlich behandelt und es (Rn. 15) „sehr naheliegend“ gefunden, „dass das Auskunftsrecht aus Art. 15 Abs. 1 DS-GVO schon aufgrund einer der Datenschutz-Grundverordnung immanenten Beschränkung die Rechte oder Freiheiten anderer Personen nicht beeinträchtigen darf“. Die Rechtsfrage wurde nicht dem EuGH vorgelegt, weil der Bundesgerichtshof letztlich keine überwiegenden Dritt-Interessen angenommen hat, die Frage also nicht entscheidungserheblich wurde.

Es wäre tatsächlich seltsam, wenn ausgerechnet die DS-GVO dazu zwingen würde, personenbezogene Daten Dritter (natürlicher Person) unbegrenzt nach Art. 15 Abs. 1 DS-GVO heraus zu geben. Deshalb spricht viel für die Einschränkung des Auskunftsrechts insgesamt – nicht nur des Anspruchs auf Kopie – durch die Rechte Dritter (zumindest bei natürlichen Personen). Ob man dies mit einer erweiterten (analogen) Anwendung von Art. 15 Abs. 4 DS-GVO begründet oder – wie der BGH wohl vorzieht – mit „immanenten Grenzen“ des Art. 15 Abs. 1 DS-GVO, werden vielleicht Spaziergänger nach uns klären.

Grundsätzliche Anforderungen

Denken wir stattdessen beim Weitergehen noch über die typischen Schritte eines Verantwortlichen nach, sobald ein Auskunftsersuchen eingeht:

• Jeder Verantwortliche sollte dafür sorgen, dass Auskunftsersuchen, egal bei wem sie eintreffen und egal in welcher Form – telefonisch, per E-Mail, … – sofort und nicht erst innerhalb eines Monats dem zuständigen und entsprechend instruierten Bearbeiter weitergeleitet werden.

• Dieser Ansprechpartner beachtet die Monatsfrist als Höchstfrist, nicht als generell verfügbaren Zeitraum; die Auskunft ist ja unverzüglich, also möglichst schnell zu erteilen. Zuerst wird geprüft, ob die anfragende Person sicher identifiziert werden kann und welcher Kommunikationsweg für die Antwort offensteht. Die Identität des Anfragenden muss also kontrolliert werden. Ansonsten wird aus der Antwort an die falsche Person schnell eine Datenschutzverletzung. Art. 12 Abs. 6 DS-GVO und Erwägungsgrund 64 geben dafür Hinweise. Beispiel: Wird durch – angeblich – Herrn Müller bei einem Onlineshop ein Auskunftsersuchen per E-Mail eingereicht mit einer E-Mail-Adresse, die Herr Müller gegenüber dem Onlineshop bisher nie genutzt hat, empfiehlt sich die Rückfrage unter der bisher bekannten, beim Unternehmen gespeicherten E-Mail-Adresse, ob die Auskunftsanfrage wirklich vom Betroffenen stammt.

• Ist die Identität zweifelsfrei geklärt, wird zusammengestellt, ob und welche personenbezogenen Daten für den Anfragenden beim Verantwortlichen vorliegen. Gibt es gar keine entsprechenden Daten, ist eine Negativauskunft zu erteilen („… dürfen wir Ihnen mitteilen, dass abgesehen von Ihrer Anfrage keinerlei Daten zu Ihrer Person bei uns verarbeitet werden …“).

• Auskunft und Kopie können auf sicherem Weg auch elektronisch erfolgen. Bei elektronischem Antrag ist dies in Art. 15 Abs. 3 Satz 3 DS-GVO sowie Art. 12 Abs. 3 Satz 4 DS-GVO sogar vorgeschrieben.

• Gelegentlich wird diskutiert, wie lange die Daten zum Auskunftsvorgang gespeichert werden müssen und dürfen. Wegen der in Deutschland anwendbaren Verjährungsfrist für Schadenersatzansprüche bei vermeintlicher Verletzung der Auskunftspflichten von drei Kalenderjahren, wird eine Speicherung bis zum Schluss des dritten vollen Kalenderjahres nach Auskunftserteilung zulässig sein.

Alles Gute und auf Wiedersehen bei Artikel 16!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das letzte Wegstück sind wir im vergangenen Dezember gegangen. Höchste Zeit also für die nächste Etappe, sonst wird der Spaziergang gar zu gemächlich – und wir benötigen für die verbliebenen Artikel etwa ein viertel Jahrhundert – wer weiß, ob die DS-GVO dann vielleicht nur noch rechtshistorisch interessiert. An Ihnen hat es nicht gelegen, also muss der Wanderleiter das Tempo erhöhen. Sind gute Vorsätze im Mai noch erlaubt?

Nachtrag

Zur Sache, zur DS-GVO und zu den noch nicht aufgelösten Weihnachtsrätseln:

• Der Unterschied zwischen den Absätzen 1 von Art. 13 und Art.  14 findet sich natürlich im jeweiligen Buchstaben d). Art. 13 Abs. 1 Buchstabe d) bildet bei Art. 14 im Abs. 2 als Buchstabe b). Warum das so ist – warum also die Interessenabwägung in den Fällen der Direkterhebung immer mitgeteilt werden muss und in den Fällen der Dritterhebung nur gelegentlich – weiß wohl niemand. Oder gibt es Vermutungen in der Wandergruppe? Noch rätselhafter wird es in der Gegenrichtung: Art. 14 Abs. 1 Buchstabe d) verlangt die Information, welche Kategorien personenbezogener Daten überhaupt verarbeitet werden. In Artikel 13 fehlt dies. Muss bei der Direkterhebung also gar nicht informiert werden, auf welche Daten sich die Information bezieht? Wohl ein Versehen des Gesetzgebers…?

• Die zweite Rätselfrage zum Unterschied zwischen Art. 13 Abs. 3 und 14 Abs. 4 betrifft ein einziges Wort: In Art. 13 werden die Daten erhoben und in Art. 14 erlangt.

Ansonsten ist der Absatz wortgleich – Respekt für die präzise Übersetzungsarbeit in Brüssel (trotz des üblichen hohen Zeitdrucks). Und selbst das eine abweichende Wort ist keine Unachtsamkeit der Übersetzer: Auch die englische Sprachfassung bietet mit collected und obtained an derselben Stelle Wortvarianten. Inhaltliche Bedeutung hat das nicht; der EU-Gesetzgeber wollte offenbar seine Übersetzer testen. Und die haben bravourös bestanden.

Absatz 1

Zu einigen Pflichtangaben in Absatz 1 – sowohl bei Art. 13, also auch bei Art. 14:

• Buchstabe a) verlangt den Namen und die Kontaktdaten des Verantwortlichen. Ausreichend sind aber schlicht Kontaktdaten, auf denen der Verantwortliche zuverlässig erreichbar ist, z. B. Postanschrift oder E-Mail-Adresse. Es müssen nicht alle Kontaktdaten sein.

• Beim in Buchstaben a) genannten Vertreter handelt es sich – anders, als in der Praxis manchmal missverstanden – nicht um den gesetzlichen Vertreter des Verantwortlichen, z. B. Geschäftsführer einer GmbH, sondern um den Vertreter nach Art. 27 DS-GVO, sofern es ihn gibt. Für die GmbH muss der aktuelle Geschäftsführer also nicht benannt werden. Das spart Aktualisierungen bei Personalwechsel.

• Buchstabe b) verlangt nur Kontaktdaten des Datenschutzbeauftragten – anders als Buchstabe a) also nicht den Namen. Dementsprechend muss eine Datenschutzinformation auch nicht den Namen des jeweiligen Datenschutzbeauftragten nennen – sie darf es natürlich, dann entsteht allerdings wieder Aktualisierungsbedarf bei Personalwechsel.

• Bei Buchstaben e) ist das EuGH-Urteil vom 12.01.2023 (Rs. C-154/21) zu Art. 15 Abs. 1 lit. c) DS-GVO wohl übertragbar: Der Verantwortliche muss konkrete Empfänger nennen, soweit ihm dies möglich ist – darf sich also nicht auf die Nennung von Empfängerkategorien zurückziehen. Nach dem Gesetzeswortlaut scheint das nicht ganz zwingend, aber Luxemburg locuta, causa finita.

• In Buchstaben f) scheint bemerkenswert, dass die Information ausdrücklich nicht nur das Vorhandensein, sondern auch das Fehlen eines Angemessenheitsbeschlusses der Kommission bei Drittstaatsübermittlungen inkludiert. Heißt: Bei beabsichtigten Datenübermittlungen nach Brasilien genügt es nicht, in der Datenschutzinformation die getroffenen (Schutz-)Maßnahmen zu nennen, sondern es muss zusätzlich verlautbart werden, dass derzeit kein Angemessenheitsbeschluss der Kommission für Brasilien existiert.

Absätze 2, 3 und 4

Absatz 2 können wir beim Wandern getrost überspringen. Er könnte insgesamt ersetzt werden durch einen Hinweis auf das Auskunftsrecht – für diejenigen Betroffenen, die wirklich weitergehende Informationen wünschen. Absatz 3 klärt den Zeitpunkt der Informationserteilung. Erwähnenswert ist insoweit eigentlich nur, dass in der Variante des Buchstaben a) nicht immer die Monatsfrist gilt, sondern – je nach Einzelfall – die angemessene Frist auch zuvor schon ablaufen kann. In Absatz 4 – Sie erinnern sich: fast wortgleich mit Art. 13 Abs. 3 – befiehlt der Gesetzgeber für den Fall einer Zweckänderung der Datenverarbeitung eine neue Information.

Absatz 5

Und Absatz 5 ist wieder – wie Art. 13 Abs. 4 – etwas für Mutige: Wer die dortigen Ausnahmefälle beweisen kann, braucht keine oder nur eine teilweise Datenschutzinformation zu erteilen.

Die Ausnahmefälle in Buchstaben b), c) und d) sind nur hier – und nicht bei Artikel 13 – geregelt. Das Rätselraten der Juristen, ob dies etwas zu bedeuten hat – und gegebenenfalls was – ist noch nicht ganz abgeschlossen. Zum Beispiel: In Art. 14 Abs. 5 Buchstabe b) verzichtet der Gesetzgeber gnädig auf Informationen, wenn sich deren „Erteilung […] als unmöglich erweist“. Art. 13 bietet diese Ausnahme nicht – müssen dort also auch unmögliche Informationen erteilt werden? Wahrscheinlich – einmal mehr – ein Fehler in der Gesetzgebung. Das scheint noch relativ eindeutig.

Aber schon gleich danach entbrennt heißer Streit: In Art. 14 findet sich an derselben Stelle auch eine Ausnahme für Informationen, deren Erteilung „einen unverhältnismäßigen Aufwand erfordern würde“. Gilt das auch bei Artikel 13 oder hat der Gesetzgeber dort bewusst geschwiegen? Und Folgefrage für Knobelfreunde: Wird aus unverhältnismäßig irgendwann unmöglich? Falls ja: Wann genau? Disclaimer vorab: Für diese Rätselfragen gibt es leider auch in der nächsten Folge keine Auflösung. – Wenn Sie eine Meinung haben möchten: Unverhältnismäßig ist bei Artikel 13 genauso wenig geschuldet, wie bei Artikel 14. Das Problem besteht im Nachweis der Unverhältnismäßigkeit – also in der Einigung, was unverhältnismäßig ist.

Damit kehren wir Artikel 14 den Rücken. Ihnen allen schöne Spaziergänge im Mai und bis bald!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Das erste Betroffenenrecht in Kapitel III der DS-GVO ist aus der Perspektive der Verantwortlichen benannt, nämlich als Informationspflicht.

Während es im alten Datenschutzrecht vor der DS-GVO – sieben Jahre vergangen, also völlig vergessen – nur ein Auskunftsrecht gab, verlangt die DS-GVO, die Betroffenen ungefragt – oder aufgedrängt? – über Datenverarbeitungen zu informieren. Die Regeln dazu wandern wir in den Artikeln 13 und 14 ab. Dazu folgende Knobelaufgabe für lange Weihnachtsabende: Finden Sie den Unterschied zwischen Art. 13 Abs. 1 und Art. 14 Abs. 1 DS-GVO? Zusatzaufgabe: Wer findet die Abweichung zwischen Art. 13 Abs. 3 und Art. 14 Abs. 4 DS-GVO?

Zu viel des guten?

An beiden Artikel ist vor allem erstaunlich, dass sie maßgeblich durch einen „grünen“ Politiker kreiert wurden – sie verdienen die Goldene Himbeere für die ressourcen-vergeudendste Datenschutznorm. Etliche Bäume, die wir bei unserem Spaziergang nicht (mehr) sehen konnten, wurden dem Papier für Datenschutz-Informationen geopfert und etliche Windräder, die sich da am Horizont drehen, liefern Energie für elektronische Datenschutz-Informationen im Internet. Gelesen wird weder die Print-, noch die Online-Form.

Liest man sie ausnahmsweise doch, erweisen sie sich meist als falsch oder inhaltsarm – dritte Variante: Kombination aus beidem. Das liegt gar nicht immer an der Nachlässigkeit der Verantwortlichen – natürlich: manchmal auch daran. Bei den Datenschutz-Aufsichtsbehörden betreibt man sicher besonderen Aufwand für die Datenschutz-Informationen. Trotzdem sind die Ergebnisse dürftig und lohnen die Mühe wohl nicht. Beispiel gefällig?

Die Datenschutz-Information der Bundesbeauftragten für Datenschutz und Informationsfreiheit findet sich hier. Für den nicht uninteressanten Punkt der Speicherdauer wird in Ziff. 5 verwiesen auf die Richtlinie für das Bearbeiten und Verwalten von Schriftgut in Bundesministerien. Und hat man diese Richtlinie im Internet recherchiert, findet man dort zum Beispiel in Anlage 5 Aufbewahrungsfristen unter II. Gesichtspunkte für die Fristbemessung, Ziffer 2 Buchstabe b): „Werden Rechtsvorschriften vorbereitet und fortgeschrieben, reichen im Regelfall 20 Jahre aus. Bei Verwaltungsvorschriften kann die Frist noch verkürzt werden. Besteht nur ein Verwaltungsvollzug, genügen oft 10 Jahre.“ Und III. 2.: „[…] Dem zuständigen Bearbeiter sind die auszusondernden Akten vorzulegen, der dann die Frist schriftlich festsetzt.“ Damit alles klar?

Es wäre sicher überlegenswert, die ungefragte Information Betroffener auf solche Fälle zu begrenzen, in denen entweder die Datenverarbeitung selbst oder der zuständige Ansprechpartner (Verantwortliche) sonst nicht erkennbar sind. Für alle anderen Fälle genügt – mit Blick auf das Kosten-Nutzen-Verhältnis – wohl der Auskunftsanspruch: Interessierte Betroffene können nachfragen.

Die Norm in der Praxis

Aber zurück vom wie es sein könnte zum was derzeit ist: Soweit die Daten direkt bei den Betroffenen erhoben werden, muss der Verantwortliche nach Art. 13 Abs. 1 diverse Informationen über die Datenverarbeitung geben. Absatz 2 verlangt dann – hauptsächlich – eine Darstellung der Betroffenenrechte. Nach Absatz 3 gilt: Bei Änderung des Verarbeitungszwecks zurück auf Start, also erneute Information, sobald sich Angaben ändern – entgegen des Wortlautes von Absatz 3 nicht nur „gemäß Absatz 2“, sondern auch hinsichtlich Abatz 1. Und Absatz 4 streicht alle Pflichten aus den Absätzen 1 bis 3, „[…] soweit die betroffene Person bereits über die Informationen verfügt“. Letzteres muss der Verantwortliche im Zweifelsfall nachweisen können. Absatz 4 ist also etwas für mutige Verantwortliche.

Jahreszeitliches Praxisbeispiel – geeignet als Beipackzettel bei der Bescherung, sofern der Weihnachtsmann den Wunschzettel direkt vom Geschenke-Empfänger bekommt – sonst Artikel 14:

„Als Weihnachtsmann möchte ich im Folgenden über die Verarbeitung Ihrer personenbezogenen Daten und Ihre Betroffenenrechte informieren:

Verantwortlich für die Datenverarbeitung: Santa Claus Weihnachtsmann, Schneestraße 1 in 08289 Schneeberg. Mein Datenschutzbeauftragter ist erreichbar unter derselben Post-Anschrift, Zusatz: zu Händen des Datenschutzbeauftragten sowie außerdem per E-Mail: dsb@weihnachtsmann.de. Ihre personenbezogenen Daten werden zur Auswahl, Beschaffung und Zustellung der Weihnachtsgeschenke verarbeitet auf Grundlage von Art. 6 Abs. 1 lit. a) (Einwilligung) und lit. b) (Vorbereitung und Durchführung des Schenkungsvertrags). Eine Weitergabe der Daten an Dritte oder Drittländer oder internationale Organisationen erfolgt nicht. Die Daten werden nur bis zum Schenkungsvorgang gespeichert und anschließend gelöscht. Ausnahmsweise können längerfristige Speicherungen bis zu einem Jahr mit Ihrer Einwilligung erfolgen, insbesondere wenn Sie gute Vorsätze äußern oder Versprechen abgeben, die beim nächsten Weihnachtsfest berücksichtigt werden sollen.

Zu Ihren Gunsten besteht ein Recht auf Auskunft meinerseits über Sie betreffende personenbezogene Daten sowie gegebenenfalls auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit. Soweit die Datenverarbeitung auf Ihrer Einwilligung beruht, sind Sie berechtigt, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird. Sie besitzen ein Beschwerderecht bei einer Aufsichtsbehörde und können sich mit Fragen und Anliegen zum Datenschutz auch jederzeit an meinen Datenschutzbeauftragten unter oben genannter Adresse wenden.

Die Bereitstellung Ihrer Daten ist nicht gesetzlich oder vertraglich vorgeschrieben, jedoch für Abschluss und Durchführung des Schenkungsvertrages notwendig. Ohne Ihre personenbezogenen Daten kann die Bescherung nicht erfolgen. Derzeit setze ich (noch) keine Verfahren zur automatisierten Entscheidungsfindung einschließlich Profiling ein.“

Sollte Ihr Weihnachtsmann jedoch zur Familie gehören, braucht es die Datenschutz-Information natürlich nicht, Art. 2 Abs. 2 lit. c) DS-GVO. Ihnen Allen frohe und friedliche Weihnachten sowie die besten Wünsche für das neue Jahr 2025!

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Wie versprochen und angedroht, marschieren wir nun deutlich bergauf – etwas anstrengender, aber bestenfalls auch lohnend – soll heißen: Artikel 12 ist nicht nur schwieriger, sondern auch wichtiger als Artikel 11.

Gibt es nicht vielleicht eine Abkürzung?

Mit acht Absätzen begleitet uns der Artikel eine ziemlich lange Wegstrecke – und wie wir gleich sehen werden, hat der Gesetzgeber selbst zwar gleich im ersten Satz vorgeschrieben, dass man immer den kürzesten und besten Weg nehmen soll, kurvt aber selbst ziemlich holprig den einen und den anderen Umweg. Aber der Reihe nach: Der ganze Artikel ist eine Gebrauchsanweisung für Kapitel III der DS-GVO. Er enthält allgemeine Vorschriften – vor die Klammer gezogen, wie Juristen gerne sagen – darüber, wie sich der Verantwortliche zu verhalten hat, wenn Betroffene Rechte nach Artikel 13 bis 22 und 34 geltend machen. Die einzelnen Rechte können Sie jetzt noch nicht kennen – da kommen wir erst später vorbei. Freuen Sie sich drauf.

In Kürze wäre Artikel 12 ungefähr:

1. Der Verantwortliche erleichtert den Betroffenen die Wahrnehmung ihrer Rechte. Insbesondere führt er die Kommunikation mit ihnen klar, präzise und leicht zugänglich.
2. Tätigkeiten des Verantwortlichen nach den Artikeln 13 bis 22 und 34 erfolgen für die Betroffenen unentgeltlich und unverzüglich, spätestens jedoch innerhalb eines Monats. Bei offensichtlich unbegründeten Anträgen Betroffener darf der Verantwortliche ein angemessenes Entgelt verlangen oder nach Absatz IV verfahren.
3. Kann die Frist nach Absatz 2 nicht eingehalten werden, informiert der Verantwortliche unverzüglich über die Gründe und die voraussichtliche Bearbeitungsdauer. Diese darf insgesamt drei Monate nicht überschreiten.
4. Sind dem Verantwortlichen geforderte Maßnahmen nach den Artikeln 13 bis 22 und 34 unmöglich, informiert er die Betroffenen unverzüglich, auch über die jeweiligen Gründe sowie über das Recht, Beschwerde bei einer Aufsichtsbehörde zu führen oder einen gerichtlichen Rechtsbehelf einzulegen.

So wäre ungefähr die Abkürzung. Aber wir gehen natürlich den offiziellen Weg:

Absatz 1

Zuerst – gleich in Absatz 1 Satz 1 – wird geregelt, wie die Verantwortlichen mit den Betroffenen zu kommunizieren haben: Präzise, transparent, verständlich, in leicht zugänglicher Form und klarer, einfacher Sprache. Witzig: Sogar in diesem Satz selbst verstößt der Gesetzgeber gleich gegen seine eigene Regel. Er sagt nicht zum Beispiel nicht kommunizieren, sondern „geeignete Maßnahmen treffen, um Informationen und Mitteilungen, die sich auf die Verarbeitung beziehen, zu übermitteln“. Gleich im nächsten Satz wird es noch witziger – oder ärgerlicher (?): „Die Übermittlung […] erfolgt schriftlich oder in anderer Form […]“. Ja – äh – wie denn sonst? Frage an Sie alle: Findet irgendjemand einen Sinn in diesem Satz?

Absatz 2

Ähnlich geht’s weiter bei Absatz 2 in Satz 2: Er regelt dasselbe wie Artikel 11 Absatz 2 – leider etwas anders. Wenn Verantwortliche Betroffene nicht identifizieren können, müssen nach Art. 11 Abs. 2 die Rechte aus Artikel 15 bis 20 nicht bedient werden. Gemäß Artikel 12 Abs. 2 Satz 2 entfallen auch noch die Artikel 21 und 22. Wie denn nun?

Absatz 3

Schnell vorbei und zu Absatz 3. Achtung hier: Man liest oft, die Verantwortlichen müssten Betroffenenrechte innerhalb eines Monats erfüllen. Das ist falsch. Wer sich so lange Zeit lässt, kann Bußgeld und Schadenersatz riskieren: Erfüllt werden muss unverzüglich – und das heißt: So schnell es geht. Man kann sich also nicht einen Monat Zeit lassen, sondern muss sich 1. beeilen und 2. in einem Monat fertig werden. Wenn das überhaupt nicht geht, darf verlängert werden; aber nicht einfach so „um weitere zwei Monate“ – das hat der Gesetzgeber ganz unpräzise, intransparent und unverständlich nur so hingeschrieben – sondern nur um die Zeit, die es wirklich braucht.

Absätze 4 und 5

Absatz 4 ist selbsterklärend und bei Absatz 5 wird uns demnächst vom EuGH erklärt, wann Betroffene sich exzessiv verhalten – zwei Verfahren sind dazu bei ihm anhängig. In der Rechtssache C-416/23 hat der Generalanwalt sich bereits geäußert – der EuGH folgt in seinen Entscheidungen häufig den Auffassungen der Generalanwaltschaft: Allein die Häufigkeit von Anfragen führt noch nicht zum Exzess. Dazu kommen muss eine missbräuchliche Absicht, also ein datenschutzfremdes Ziel. In diese Richtung gehen auch Entscheidungen der Oberlandesgerichte Brandenburg (Urt. v. 14.04.2023, Az.: 11 U 233/22) und Nürnberg (Urt. v. 14.03.2021, Az.: 8 U 2907/21).

Absatz 6

Absatz 6 ist wieder ein Verstoß gegen das Gebot der Klarheit und Kürze: Steht alles schon in Artikel 11 und außerdem kann der Verantwortliche bei „begründeten Zweifeln an der Identität“ nicht nachfragen, sondern er muss.

Absätze 7 und 8

Die Absätze 7 und 8 gehören zusammen… gestrichen. Bildsymbole darf man sowieso verwenden und bitte nicht „[…] Rechtsakte zur Bestimmung […] der Verfahren für die Bereitstellung standardisierter Bildsymbole […] erlassen“! Sonst prüfen die Datenschutzbeauftragten demnächst, ob das Kamerasymbol die richtige Farbe hat.

Fazit zum Spazierweg bei Artikel 12: Sehr schöne Ziele. Aber der Weg ist unnötig anstrengend.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Obwohl etwas länger geschrieben als Artikel 10, lässt sich durch Artikel 11 sogar noch schneller hindurchschlendern. Im Grunde will die Europäische Union uns hier nur sagen: „Keine Vorratspeicherung personenbezogener Daten zur bloßen Einhaltung der DS-GVO“.

Wie so oft hält sich die DS-GVO aber auch an dieser Stelle nicht an den eigenen Grundsatz kurz und klar, sondern formuliert etwas länger und umständlicher. Und wie so oft ergeben sich dann gerade daraus wieder Unklarheiten.

Zu Artikel 11 DS-GVO

Nach Absatz 1 sind Verantwortliche zu Datenverarbeitungen für die „bloße Einhaltung dieser Verordnung“ nicht „verpflichtet“. Heißt das auch nicht berechtigt, oder dürfen Verantwortliche freiwillig mehr tun, zum Beispiel gestützt auf die Rechtsgrundlage des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO? Meines Erachtens ja, aber: zweifelhaft.

In Absatz 2 Satz 1 sind die beiden Schlussworte („sofern möglich“) überflüssig und ohne Sinn. Natürlich kann der Verantwortliche die Betroffenen nur unterrichten, sofern möglich. Auch alle anderen Pflichten aus der DS-GVO kann er übrigens nur erfüllen, sofern möglich. Glücklicherweise wird das nicht immer dazu geschrieben. Und ebenso falsch ist der erste Satzteil: Die Unterrichtung muss sinnvollerweise erfolgen, wenn der Verantwortliche die betroffene Person nicht identifizieren kann – ganz egal, ob die fehlende Identifizierbarkeit beweisbar ist oder nicht.

Absatz 2 Satz 2 ist zur (ersten) Hälfte inhaltslos: Wenn der Verantwortliche Betroffene nicht identifizieren kann, dann kann er entsprechende Daten natürlich auch nicht beauskunften, sperren, löschen, übertragen etc.

Ein Verbesserungsvorschlag

Anbei ein Versurch für einen Artikel 11 in kurz und klar:

Art. 11 DS-GVO – fehlende Identifizierbarkeit
Der Verantwortliche soll den Personenbezug von Daten nicht lediglich zur Einhaltung dieser Verordnung beibehalten. Er hat die Betroffenenrechte jedoch zu gewährleisten, wenn betroffene Personen die für den Personenbezug notwendigen Informationen mitteilen.

Das ist dann auch eine prima Brücke, mit der wir von Kapitel 2 (Grundsätze) zu Kapitel 3 (Rechte der betroffenen Personen) weiterwandern können. Spannende Gefilde liegen vor uns …

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Wie kommunizieren Sie Datenschutz? Bei der Betrachtung der datenschutzrechtlichen Anforderungen stehen meist die diversen Dokumentationspflichten des Verantwortlichen, beispielsweise die Bereitstellung von Datenschutzinformationen gemäß Art. 13 DS-GVO , die vertragliche Einbindung externer Dienstleister im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO oder die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO im Fokus. Gleichwohl diese Dokumentationspflichten einen zentralen Aspekt der datenschutzrechtlichen Normierungen darstellen, kann in der alltäglichen Datenschutz-Praxis die richtige Kommunikation dieser Thematik einen sehr großen Einfluss auf die erfolgreiche Umsetzung der gesetzlichen Anforderungen nehmen.

Erwartungen der unterschiedlichen Akteure

Mit Blick auf die Normen der DS-GVO ergeben sich drei wesentliche Akteure, deren Interessen und Erwartungen in Einklang gebracht und bei einer Kommunikation angemessen zu berücksichtigen sind.

Als erste Gruppe sind die Verantwortlichen zu benennen. Gemäß Art. 4 Nr. 7 DS-GVO handelt es sich hierbei um eine natürliche oder juristische Person, welche allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Verpflichtungen in seinem Verantwortungsbereich zuständig. Bietet ein Unternehmen oder eine Behörde eine Internetseite, eine Präsenz in einem sozialen Netzwerk oder eine App an, so entscheidet diese(s) über den Zweck (z.B. Informationsportal für die Zielgruppe) und die Mittel (Bereitstellung einer Internetseite, einer Präsenz in einem sozialen Netzwerk oder einer App) der Verarbeitung personenbezogener Daten. Das Unternehmen bzw. die Behörde ist im Rahmen dieser Verarbeitung für die Einhaltung der datenschutzrechtlichen Normierungen verantwortlich.

Darüber hinaus sind die sogenannten betroffenen Personen anzuführen. Als betroffene Person bezeichnet die DS-GVO im Rahmen des Art. 4 Nr. 1 diejenigen natürlichen Personen, deren personenbezogene Daten verarbeitet werden. Den betroffenen Personen stehen insbesondere in Kapitel III der DS-GVO zahlreiche Rechte zu, beispielsweise die Bereitstellung transparenter Informationen über die jeweilige Datenverarbeitung, das Auskunftsrecht sowie das Recht auf Löschung. Über die Wahrnehmung der Rechte ist es den betroffenen Personen zumindest partiell jederzeit möglich, die Einhaltung des Datenschutzes durch den Verantwortlichen zu überprüfen.

Abschließend zu nennen sind die jeweils zuständigen datenschutzrechtlichen Aufsichtsbehörden des Bundes, der Länder bzw. der evangelischen und katholischen Kirchen. Ihre Aufgaben sind insbesondere die Durchsetzung und Überwachung sowie die Sensibilisierung hinsichtlich der datenschutzrechtlichen Anforderungen. Zur Durchsetzung können sich die Aufsichtsbehörden eines breiten Spektrums von Sanktionsmöglichkeiten, wie beispielsweise der Verhängung von Bußgeldern oder der Untersagung von Verarbeitungstätigkeiten bedienen.

Das Interesse bzw. die Erwartung aller genannten Akteure besteht zunächst in einer datenschutzkonformen Verarbeitung personenbezogener Daten, unterscheidet sich jedoch zunehmend im Detail. Während seitens der Verantwortlichen das Datenschutzrecht oftmals als „Verhinderer“ wahrgenommen wird, streben diese nach praxisnahen Lösungen, die den datenschutzrechtlichen Anforderungen (weitestgehend) entsprechen, jedoch zugleich die Geschäftstätigkeit nicht einschränken. Hierunter leiden oftmals insbesondere die datenschutzrechtlichen Dokumentationspflichten, wobei vor allem im Rahmen der digitalen Kommunikationswerkzeuge und den diesbezüglichen öffentlich einsehbaren Datenschutzinformationen die Folgen für die Verantwortlichen fatal sein können.

Betroffene Personen informieren sich mittels der verpflichtend bereitzustellenden Angaben über die Zwecke sowie die Durchführung der Datenverarbeitungen. Sie setzen diesbezüglich insbesondere eine Nachvollziehbarkeit der Datenverarbeitungen voraus, wobei sie seitens des Verantwortlichen eine hohe Sensibilität bezüglich datenschutzrechtlicher Anforderungen erwarten. Lässt die Darstellung der Datenschutzinformationen eine solche Sensibilität vermissen, beispielsweise da die bereitgestellten Angaben offensichtlich falsch sind oder gar datenschutzwidrige Verarbeitungen abbilden, wenden sich betroffene Personen zunehmend an die jeweils zuständigen Aufsichtsbehörden.

Die Aufsichtsbehörden müssen im Falle derartiger begründeter Eingaben tätig werden, können stets jedoch auch anlasslose Kontrolle durchführen. Dabei setzten die Aufsichtsbehörden seitens des Verantwortlichen stets ein hohes Bewusstsein für die durchgeführten Datenverarbeitungen voraus. Eine solche sollte sich insbesondere aus der Aktualität, Vollständigkeit und Richtigkeit der datenschutzrechtlichen Dokumentationen ergeben. Den Ansatzpunkt einer Überprüfung digitaler Kommunikationswerkzeuge stellen dabei zunächst die bereitgestellten Datenschutzinformationen sowie eine Plausibilitätskontrolle anhand technischer Untersuchungen dar. Für die Kommunikation folgt hieraus zwangsläufig, dass die Interessen des Verantwortlichen in Einklang mit den Erwartungen betroffener Personen und Aufsichtsbehörden zu bringen sind, um sich nicht der permanenten Gefahr einer entsprechenden Sanktionierung auszusetzen.

Datenschutz intern kommunizieren

Zunächst einmal ist festzuhalten, dass „Datenschutz“ nicht eine Aufgabe einer einzelnen Person des Verantwortlichen, beispielsweise des Datenschutzbeauftragten ist, sondern erst durch das Zusammenwirken aller Beteiligten erfolgreich bewältigt werden kann.

Die Leitungsebene trägt die Verantwortung für das datenschutzkonforme Agieren der gesamten Stelle. Ihr obliegt die Delegation datenschutzrechtlicher Handlungserfordernisse an weitere Führungskräfte bzw. an die Beschäftigten. Sie hat dafür Sorge zu tragen, dass nach den Regelungen des Art. 37 DS-GVO und §§ 5, 38 BDSG (Bundesdatenschutzgesetz) ein Datenschutzbeauftragter benannt und in die notwendigen Prozesse eingebunden wird. Weitere Führungskräfte haben die Aufgabe, die Einhaltung der datenschutzrechtlichen Anforderungen in ihrem Bereich zu überwachen, entsprechende Mängel zu beheben und die Kommunikation zwischen Beschäftigten, Leitungsebene und Datenschutzbeauftragten zu fördern. Aufgabe der Beschäftigten ist das datenschutzkonforme Handeln im Rahmen ihrer alltäglichen Arbeit, in Form der Umsetzung von Richtlinien, Arbeitsanweisungen sowie der Beachtung der im Rahmen von Sensibilisierungen dargestellten Handlungserfordernisse. Der Datenschutzbeauftragte berät alle Beteiligten, überwacht und fördert die Einhaltung der datenschutzrechtlichen Anforderungen. Darüber hinaus steht er betroffenen Personen und Aufsichtsbehörden als Ansprechperson zur Verfügung. Der Datenschutzbeauftragte ist dabei nicht zur Umsetzung der datenschutzrechtlichen Pflichten zuständig, dies obliegt allein dem Verantwortlichen.

Die Vielzahl der unterschiedlichen Beteiligten verdeutlicht, dass die Umsetzung datenschutzrechtlicher Anforderungen im Wesentlichen von der erfolgreichen Kommunikation untereinander abhängt. Das bedeutet jedoch auch, dass die Kommunikationsmöglichkeit unter den Beteiligten jeweils in beiden Richtungen eröffnet sein muss. Wird beispielsweise innerhalb einer Stelle durch die Leitungsebene eine Richtlinie zum Umgang mit personenbezogenen Daten verabschiedet, welche sich in der Praxis als nicht vollständig umsetzbar erweist, muss es den Beschäftigten möglich sein, derartige Schwachpunkte offen gegenüber den Führungskräften, der Leitungsebene und dem Datenschutzbeauftragten zu kommunizieren. Wird eine solche offene Kommunikation durch verschiedene Faktoren gehemmt, führt dies dazu, dass eine solche Richtlinie leerläuft und daraus datenschutzrechtliche Risiken erwachsen.

Besonders die Kommunikationskanäle zum Datenschutzbeauftragten sollten stets geöffnet sein. Einerseits ist dies zwingend erforderlich, damit der Datenschutzbeauftragte seinen Aufgaben nach Art. 39 DS-GVO angemessen nachkommen kann, andererseits wird hierdurch eine Möglichkeit geboten, vertrauliche Anliegen direkt mit dem Datenschutzbeauftragten zu klären, bevor datenschutzrechtliche Konflikte zu eskalieren drohen. Die Erfahrungen aus der Praxis zeigen, dass insbesondere im Rahmen des Beschäftigtendatenschutzes grundsätzlich ein nicht zu unterschätzendes Konfliktpotenzial besteht.

Seitens des Datenschutzbeauftragten ist darüber hinaus sicherzustellen, dass eine regelmäßige Erreichbarkeit gewährleistet wird. Dies setzt insbesondere bei externen Datenschutzbeauftragten nicht zwingend eine permanente Anwesenheit voraus, die Möglichkeit zum Austausch sollte jedoch durch E-Mail-Kommunikation, Telefonate oder Videokonferenzen sowie ergänzend durch angemessene Reaktionszeiten eröffnet werden. Der Datenschutzbeauftragte sollte neben seiner fachlichen Expertise entsprechend den Anforderungen des Art. 37 Abs. 5 DS-GVO auch die notwendigen sozialen Kompetenzen als wesentliche Voraussetzung einer zielführenden Kommunikation aufweisen. Auch wenn für den Verantwortlichen keine rechtliche Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht, sollte sowohl für die Beschäftigten als auch für betroffene Personen eine Ansprechperson benannt werden, um auch in diesem Fall eine zentrale Anlaufstelle bieten zu können. Die Pflicht zur Umsetzung der datenschutzrechtlichen Anforderungen besteht für den Verantwortlichen ohnehin unabhängig von der gesetzlichen Pflicht zur Benennung eines Datenschutzbeauftragten.

Ebenfalls gegenüber Dienstleistern und Auftragsverarbeitern sind datenschutzrechtliche Anliegen und Verpflichtungen entsprechend zu kommunizieren. Dies kann beispielsweise über Verschwiegenheitsvereinbarungen oder Verträge zur Auftragsverarbeitung realisiert werden. Letztgenannte sind verpflichtend abzuschließen, sofern der Dienstleister personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen verarbeitet oder ein Zugriff des Dienstleisters auf personenbezogene Daten nicht ausgeschlossen werden kann. Im Zusammenhang mit einer Internetseite betreffen dies beispielsweise den Hosting-Anbieter oder im Falle der Zugriffsmöglichkeit auf personenbezogene Daten der Nutzenden ebenfalls den technischen Betreuer. Insbesondere im Zusammenhang mit der Erstellung und Entwicklung von Internetseiten und Apps empfiehlt es sich darüber hinaus, bereits innerhalb der Leistungsvereinbarung Ergänzungen zur datenschutzkonformen Beschaffenheit aufzunehmen. Wird sodann im Rahmen der Abnahme festgestellt, dass nicht sämtliche datenschutzrechtlichen Anforderungen erfüllt werden, liegt ein Mangel vor. Der Dienstleister ist in diesem Falle auf eigene Kosten zur Nachbesserung verpflichtet.

Auch die Art und Weise der Kommunikation hat deutliche Auswirkungen auf die Effektivität der Umsetzung datenschutzrechtlicher Anforderungen und das Bewusstsein der Beschäftigten. Dessen müssen sich sowohl die Leitungsebene als auch der Datenschutzbeauftragte permanent bewusst sein. Als Negativ-Beispiele aus der Praxis zu benennen sind hierbei folgende Zitate von Führungspersonen verschiedener Verantwortlicher im Zusammenhang mit datenschutzrechtlichen Thematiken: „Der vom Datenschutz ist heute da. Wer hat denn hier Lust auf eine Datenschutzschulung?“, „Für die Veröffentlichung der Internetseite benötigen wir noch so eine Datenschutzerklärung. […] das sollte mit Copy & Paste ja schnell machbar sein.“ oder „Datenschutz ist ja ein wirklich sehr trockenes Thema. […] Ich wünsche viel Erfolg bei dem heutigen Ganztagesseminar!“. Derartige Äußerungen verkennen offensichtlich die Wichtigkeit der Thematik und bestätigen das durch die Medien geprägte Bild, nach welchem es sich bei Datenschutz um ein praxisfernes Übel handelt. Wenn die Führungsperson eines Verantwortlichen derart kommuniziert und agiert, aus welchen Gründen sollten die Beschäftigten dann anders handeln? Datenschutzrechtliche Verstöße sind auf diese Art und Weise bereits vorherzusehen.

Datenschutz extern kommunizieren

Welche besonderen Anforderungen gelten in der Kommunikation datenschutzrechtlicher Aspekte gegenüber Exernen? Das erfahren Sie in unserem Blog-Beitrag der nächsten Woche!

Dieser Beitrag war ein Bestandteil der Jahrestagung des Sächsischen Museumsbundes e.V. unter dem Titel „Museen und digitale Kommunikation“
am 21. März 2022 in Hoyerswerda.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 24. November 2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – kurz: DSK) gegen die Stimme Sachsens einen Beschluss zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO auf ausdrücklichen Wunsch betroffener Personen gefasst. Der Inhalt des Beschlusses sowie seine möglichen Auswirkungen für die Praxis sollen im nachstehenden Beitrag näher erörtert werden.

WAS BEINHALTET DER BESCHLUSS?

Durch Ziff. 1 folgt direkt die erste diskussionswürdige Aussage: „Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.“ So weit so gut. Die zentrale Frage, welche hier aufgeworfen werden muss ist, warum die DSK davon ausgeht, dass es sich bei Art. 32 DS-GVO um eine „objektive Rechtspflicht“ handelt. Unter den Terminus objektives Recht sind gemeinhin alle Rechtsvorschriften eines Rechtsstaates in ihrer Gesamtheit zu fassen. Vom objektiven Recht ist das subjektive Recht abzugrenzen, welches den Anspruch bzw. ein sonstiges Recht eines jeden Einzelnen beschreibt. Sofern die DSK in Bezug auf Art. 32 DS-GVO nunmehr eine objektive Rechtspflicht annimmt, verwundert dies mit Blick auf Art. 8 Charta der Grundrechte der Europäischen Union (GRCh) sowie Art. 1 DS-GVO doch sehr. Ausweislich des Art. 1 Abs. 2 DS-GVO werden „die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten“ zu Regelungsgegenstand der Datenschutz-Grundverordnung erklärt. Primäres Schutzgut ist also das Grundrecht auf Datenschutz nach Art. 8 GRCh. Nichts anderes gilt im Hinblick auf Art. 32 DS-GVO. Der Zweck dieser Vorschrift ist die Unterstützung und Durchsetzung der in der Datenschutz-Grundverordnung geregelten Vorschriften durch technische und organisatorische Maßnahmen. Die Norm ist in erster Linie auf den Schutz der Rechte und Freiheiten der von der Datenverarbeitung betroffenen Person gerichtet und fungiert insoweit als Ausgestaltung der Grundsätze von Integrität und Vertraulichkeit aus Art. 5 Abs. 1 lit. f) DS-GVO. Das Grundrecht auf den Schutz personenbezogener Daten in seiner Gänze und mithin auch Art. 32 DS-GVO müssen bereits nach dem grundlegenden Verständnis zur Disposition des Grundrechtsträgers, also der betroffenen Person stehen. Es muss der betroffenen Person also auch unbenommen sein, in alle Umstände der Verarbeitungen ihrer personenbezogenen Daten einzuwilligen, sei es die Frage des „Ob“ oder des „Wie“ der Verarbeitung, auch vor dem Hintergrund, dass die Erklärungen möglicherweise als nachteilig oder schädlich für die betroffene Person selbst wahrgenommen werden. Es wird in diesem Zusammenhang vermutlich stets auf den Grad an Informiertheit im Vorfeld der Abgabe der Erklärung abzustellen sein.

Weiter wird in Ziff. 2 wie folgt festgesetzt: „Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig.“ Mit Blick auf Ziff. 1 des Beschlusses sind die vorstehenden Ausführungen nahezu stringent. Nichts desto trotz verwundert diese Gesamtschau. Hatte sich doch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmdBfDI) in einem Aktenvermerk ursprünglich anders in dieser Thematik positioniert. Wir haben dazu bereits berichtet. Nunmehr schließt die DSK die Möglichkeit einer Einwilligungserklärung zum Verzicht bzw. zu Absenkung des vorzuhaltenden Standards der Sicherheit der Verarbeitung nach allem Anschein nach kategorisch aus.

Nach dem zuvor Gesagten erfahren diese Grundsätze in Ziff. 3 anschließend dann doch eine Ausnahme: „Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.“ Mit Blick auf die Ziffern 1 und 2 des Beschlusses sind die Kernaussagen der Ziff. 3 doch sehr verwunderlich. Nachdem vorab starr ein Ausschluss der Möglichkeit des Abbedingens oder Absenkens des Schutzniveaus bekundet wird, erfolgt anschließend doch eine „Rolle rückwärts“ und die DSK lässt unter strengen Voraussetzungen Ausnahmen zu. Hier bleiben bei genauer Betrachtung der Voraussetzungen allerdings viele Fragen offen. Einzig zutreffend dürfte der Hinweis auf die Beachtung des Selbstbestimmungsrechts der betroffenen Person sein. Fraglich ist hingegen, wann es zu dokumentierenden Einzelfällen (eine zahlenmäßige Beschränkung gleich welcher Art scheint dogmatisch nicht vertretbar) kommt und welche Anforderungen an einen ausdrücklichen, eigeninitativen Wunsch der informierten betroffenen Person zu stellen sein wird.

Die Ziff. 4 des Beschlusses kommt letztendlich nahezu unspektakulär daher, da es insoweit nur heißt: „Kapitel V der DSGVO (Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen) bleibt hiervon unberührt.“ Dies dürfte insoweit nicht zu beanstanden sein und wird daher nicht weiter vertieft.

WIE GEHT ES NUN WEITER?

Der HmdBfDI hat in Reaktion auf den Beschluss der DSK seinen eigenen Aktenvermerk überarbeitet. Nach Ansicht der Aufsichtsbehörde ist – dies ist insoweit auch mit den Ausführungen in dem Beschluss übereinstimmend – ein Verzicht der betroffenen Person auf die Anwendung von technischen und organisatorischen Maßnahmen möglich. Hierfür ist erforderlich, dass Verantwortliche die nach Art. 32 DS-GVO erforderlichen Maßnahmen überhaupt bereit hält und dass die Verzichtserklärung der betroffenen Person den Anforderungen des Art. 7 DSGVO analog genügt. In Bezug auf die Verzichtserklärung führt der HmdBfDI aus: „Die DSGVO enthält mit Art. 7 DSGVO grundsätzliche Maßstäbe zur Beurteilung, wie eine Einwilligung der betroffenen Person zu gestalten ist. Diese beziehen sich zwar unmittelbar nur auf das „Ob“ der Verarbeitung, sind jedoch entsprechend auch auf das „Wie“ anzuwenden. Der Verzicht auf die technische Umsetzung („Wie“) einer Verarbeitung ist sinnvollerweise nach denselben Maßstäben zu beurteilen, wie die Frage, ob die Verarbeitung nach Art. 6 DSGVO zulässig ist („Ob“).“ Weiter heißt es: „Eigeninitiativ bedeutet dabei, dass die betroffene Person an den Verantwortlichen mit einem entsprechenden Wunsch herantreten muss. Dies setzt ein aktives Handeln der betroffenen Person voraus. Ein solches aktives Handeln kann eine mündliche oder schriftliche Bitte sein, aber auch das Anklicken eines entsprechenden Auswahlfeldes in einem (Online-)Formular. Ein eigeninitiatives Handeln liegt allerdings nicht vor, wenn die betroffene Person ohne ein eigenes Zutun auf die Anwendung von TOM „verzichtet“, etwa indem sie ein Online-Formular abschickt, bei welchem ein entsprechendes Feld („ich verzichte auf eine verschlüsselte elektronische Kommunikation“) bereits vorausgewählt ist.“

Für die Praxis ergibt sich nach den Ausführungen des HmdBfDI demnach die Erforderlichkeit der Gestaltung einer Verzichtserklärung in der Gestalt bzw. unter den Voraussetzungen einer Einwilligungserklärung, aber eben nicht als solche deklariert. Insbesondere hinsichtlich der Anforderungen an die Freiwilligkeit, Bestimmtheit und Informiertheit der Verzichtserklärung dürften diese als im Einklang mit der Datenschutz-Grundverordnung zu sehen sein, da auf den ersten Blick insoweit keine strengeren Anforderungen aufgestellt werden. Inwieweit die Anforderungen an den eigeninitativen Wunsch der betroffenen Person über die Anforderungen der DS-GVO hinaus gehen oder letztendlich „nur“ eine Umformulierung hinsichtlich der Betätigung des freien Willens ist, wird noch zu erörtern und mit Sicherheit Gegenstand zahlreicher Diskussion sein. Mit Blick auf die oben dargestellten Schutzsphäre des Grundrechtes auf Datenschutz aus Art. 8 GRCh muss ein mögliches Aufstellen strengerer Anforderungen an die Ausübung bzw. Sicherung der Rechtsposition des Grundrechtsträgers dann logischerweise trefflich in Frage gestellt werden.

FAZIT

Die zentrale Problematik des Beschlusses zeigt sich in der Praxis typischerweise anhand der (E-Mail-)Verschlüsselung. In den zu betrachtenden Fällen ergibt eine Abwägung nach Art. 32 DS-GVO – auch im Hinblick auf die von der DSK in der Orientierungshilfe Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail festgelegten Grundsätze – allzu häufig, dass eine Ende-zu-Ende-Verschlüsselung geboten ist. Dies führt nicht zuletzt vermehrt bei den Gruppen der Berufsgeheimnisträgern selbst unter dem Gesichtspunkt, dass die datenschutzrechtlichen Verantwortlichen die erforderlichen entsprechende technische und organisatorische Maßnahmen in Form von Verschlüsselungstechnologien vorhalten, immer wieder zu Nutzerakzeptanzproblemen seitens der betroffenen Personen. Insofern wäre eine vertiefte Auseinandersetzung mit der Problematik seitens der DSK wünschenswert gewesen. Allerdings ist ein Beschluss nun einmal nur ein Beschluss und muss nicht weitergehend begründet werden. Unter Bezugnahme auf die Selbstbestimmtheit der betroffenen Personen erscheint es allerdings nahezu zwingend, dass zu den dispositiven Bestimmungen eben auch jene über die Sicherheit der Verarbeitung zählt. Ob es dafür eines dogmatischen Umweges über eine Verzichtserklärung bedarf oder doch der Gang über eine Einwilligung möglich ist, wird zu beobachten sein. Letztendlich bedarf es in dieser Sache vermutlich einer Klärung durch die Rechtsprechung.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.