Privacy Litigation E-Book

ISBN: 978-3-8005-1762-6

© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main www.ruw.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Druck: WIRmachenDRUCK GmbH, Backnang

Printed in Germany

Vorwort

Der Datenschutzgrundverordung (DSGVO)1 eilte vor ihrer unmittelbaren Geltung in den Mitgliedsstaaten der zweifelhafte Ruf voraus, dass sie durch ihre exorbitant anmutenden Bußgeldandrohungen Unternehmen in die Knie zwingen würde. Und tatsächlich kam es in der Folge auch vereinzelt zu teils sehr hohen Bußgeldern.2 Dass aber ein Unternehmen wegen eines solchen Bußgeldes seinen Geschäftsbetrieb aufgeben musste, dürfte in keinem Fall vorgekommen sein. Ein solcher Fall ist mir jedenfalls seit Geltung der DSGVO nicht bekannt geworden. Der Start war für die DSGVO denkbar ungünstig. Auch hat die Akzeptanz in der Folge stark gelitten. Zum einen bedeutete dieses vermeintlich neue Datenschutzrecht für viele Unternehmen einen enormen Umsetzungsaufwand. Zum anderen ist die DSGVO in zahlreichen Fragen noch auslegungsbedürftig, was zu einer enormen Rechtsunsicherheit bei den Verantwortlichen führt. Diese Rechtsunsicherheit kann gerade bei der Einführung neuer, insbesondere digitaler Geschäftsmodelle als Innovationsbremse empfunden werden. Dabei ist die DSGVO eigentlich mit dem Ziel angetreten, die Rechte der von einer Datenverarbeitung betroffenen Personen zu stärken und dadurch ein positives Signal zu senden. Nach und nach machen auch immer mehr betroffene Personen von ihren Rechten Gebrauch, die ihnen von der DSGVO zur Verfügung gestellt werden. Die private Rechtsdurchsetzung durch die betroffenen Personen stellt Unternehmen vor neue Herausforderungen, insbesondere dann, wenn die einzelnen Sachverhalte gerichtlich durchgesetzt werden. Während sich das Unternehmen im Rahmen eines Bußgeldverfahrens lediglich mit einer Datenschutzaufsichtsbehörde auseinanderzusetzen hat, besteht bei einem Datenschutzvorfall, bei dem zahlreiche Kunden betroffen sein können, die Gefahr einer Inanspruchnahme durch mehrere tausend Einzelpersonen. Der Umgang mit solchen Sachverhalten ist für Unternehmen und deren Berater nicht nur logistisch mit einem hohen Einsatz verbunden, für das Unternehmen ist auch das finanzielle Risiko, insbesondere durch den neu geschaffenen Anspruch auf Ersatz eines immateriellen Schadens nach Art. 82 DSGVO, kaum vorhersehbar.

Die Anzahl der datenschutzrechtlichen Sachverhalte, die vor den Zivilgerichten zwischen dem verantwortlichen Unternehmen und der betroffenen Person ausgetragen werden, wird zunehmen. Das betrifft zum einen die Durchsetzung der Betroffenenrechte nach den Art. 15ff. DSGVO, aber vor allem die Durchsetzung von Ansprüchen auf Schadensersatz nach Art. 82 DSGVO. Diesem Umstand will das vorliegende Werk Rechnung tragen und einen Überblick über die materiellen und prozessualen Fragen bei der privaten Durchsetzung von datenschutzrechtlichen Ansprüchen geben. Das Werk soll dabei insbesondere eine Lücke zu der bestehenden datenschutzrechtlichen Literatur schließen, indem es sich ausschließlich auf die privatrechtliche Beziehung der Beteiligten konzentriert.

Die Arbeit an einem Werk wie dem Vorliegenden nimmt naturgemäß Zeit in Anspruch, die an anderer Stelle fehlt. Für die damit verbundene Geduld möchte ich meiner Frau und meiner Tochter herzlich danken. Euch ist dieses Buch gewidmet. Ein weiterer Dank gilt Herrn Gereon Walter für dessen tatkräftige Unterstützung.

Sebastian Laoutoumai

1

Verordnung (EU) 2016/679

2

Auswahl: LfD Niedersachsen verhängt Bußgeld in Höhe von 10.400.000,00 EUR; Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängt Bußgeld in Höhe von 35.258.708,00 EUR; Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg verhängt Bußgeld in Höhe von 1.240.000,00 EUR; Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängt Bußgeld in Höhe von 14.500.000,00 EUR.

Inhaltsverzeichnis

Vorwort

Einführung

1. Kapitel Die materiell-rechtlichen Ansprüche

A. Einleitung

B. Die Ansprüche der betroffenen Person im Einzelnen

I. Das Recht auf Information, Art. 13, 14 DSGVO

1. Gegenstand

2. Umfang

3. Voraussetzungen

a) Der Begriff der Erhebung

b) Personenbezogene Daten

c) Bei der betroffenen Person bzw. nicht bei der betroffenen Person

d) Verpflichtung des Verantwortlichen

e) Kein Ausschluss von der Informationspflicht

aa) Norminterne Ausnahmetatbestände

aaa) Betroffene Person verfügt bereits über Information

bbb) Unmöglichkeit oder unverhältnismäßiger Aufwand

ccc) Ausdrückliche Regelung

ddd) Berufsgeheimnisse und satzungsmäßige Geheimhaltungspflichten

bb) Ausnahmebestände außerhalb der DSGVO

4. Erfüllung

a) Inhalt

aa) Name und Kontaktdaten des Verantwortlichen/Vertreters

bb) Kontaktdaten des Datenschutzbeauftragten

cc) Zwecke und Rechtsgrundlagen der Verarbeitung

dd) Berechtigte Interessen

ee) Empfänger/Kategorien von Empfängern

ff) Übermittlung an Drittland oder internationale Organisationen

gg) Dauer der Datenspeicherung

hh) Rechte der betroffenen Personen

ii) Widerruflichkeit der Einwilligung

jj) Beschwerderecht bei Aufsichtsbehörde

kk) Freiwilligkeit der Bereitstellung

ll) Bestehen einer automatisierten Entscheidungsfindung

mm) Kategorien personenbezogener Daten

nn) Quelle der personenbezogenen Daten

b) Art der Informationsübermittlung

5. Folgen der Nicht-Erfüllung

II. Recht auf Auskunft, Art. 15 DSGVO

1. Gegenstand des Auskunftsrechtes

2. Umfang des Auskunftsrechts

3. Voraussetzungen

4. Erfüllung des Auskunftsbegehrens

a) Inhalt der Auskunft

aa) Verarbeitungszwecke

bb) Kategorien personenbezogener Daten

cc) Empfänger oder Kategorien von Empfängern

dd) Speicherdauer

ee) Rechtsbelehrung

ff) Informationen über die Herkunft der Daten

gg) Bestehen einer automatisierten Entscheidungsfindung

b) Abgabe von geeigneten Garantien

c) Zurverfügungstellung einer Kopie

d) Ausschluss des Auskunftsrechts

aa) Art. 12 V S. 2 lit. b) DSGVO

bb) Art. 15 IV DSGVO

cc) Sonstige Ausnahmen §§ 27ff. BDSG

aaa) § 27 II BDSG

bbb) § 28 II BDSG

ccc) § 29 I 2 BDSG

ddd) § 34 BDSG

e) Form und Frist der Auskunftserteilung

f) Auskunft gegenüber der richtigen Person (Identitätsprüfung)

5. Folgen der Nicht-Erfüllung

III. Recht auf Berichtigung, Art. 16 DSGVO

1. Gegenstand des Rechtes auf Berichtigung

2. Umfang

3. Voraussetzungen

a) Unrichtige personenbezogene Daten

b) Unvollständige personenbezogene Daten

4. Erfüllung

5. Folgen der Nicht-Erfüllung

IV. Recht auf Löschung, Art. 17 DSGVO

1. Gegenstand

2. Umfang

3. Voraussetzungen

a) Die einzelnen Gründe zur Löschung

aa) Zweckerfüllung

bb) Widerruf der Einwilligung

cc) Widerspruchsrecht

aaa) Widerspruch wegen besonderer Situation

bbb) Widerspruch gegen Verarbeitung zu Werbezwecken

dd) Unrechtmäßigkeit der Verarbeitung

ee) Verpflichtung zur Löschung

ff) Datenerhebung bei Minderjährigen

b) Gründe für den Ausschluss der Löschung

aa) Freie Meinungsäußerung und Information

bb) Rechtliche Verpflichtung/öffentliche Aufgaben

cc) Öffentliche Gesundheit

dd) Archivzwecke, statistische und Forschungszwecke

ee) Rechtsansprüche

ff) Weitere Ausnahmen

4. Erfüllung

a) die Person betreffende Daten

b) Unverzüglich

c) Löschung

d) Informationspflicht gem. Art. 17 II DSGVO

aa) Löschungs-/Informationsverlangen

bb) Informationspflicht

cc) Öffentlich gemachte Daten

dd) Angemessene Maßnahmen

5. Folgen der Nicht-Erfüllung

V. Anspruch auf Schadensersatz

1. Gegenstand

2. Verhältnis zu anderen Vorschriften

3. Voraussetzungen

a) Aktivlegitimation

b) Passivlegitimation

c) Kausalität

d) Verstoß gegen die DSGVO

e) Schaden

f) Haftungsausschluss

VI. Anspruch auf Unterlassung

1. Gegenstand

2. Umfang

3. Voraussetzungen

a) Abschließender Charakter der DSGVO

b) Regelungen der DSGVO als Schutzgesetze/absolute Rechte

aa) absolute Rechte

bb) Schutzgesetz

c) Grundsätzliche Voraussetzungen des Anspruchs aus §§ 1004 I analog, 823 BGB

d) Störer

e) bevorstehende oder fortdauernde Störung

f) keine Duldungspflicht

4. Erfüllung

5. Folgen der Nicht-Erfüllung

2. Kapitel Die Durchsetzung von Ansprüchen

A. Einleitung

B. Die außergerichtliche Geltendmachung von Ansprüchen

I. Die einfache Geltendmachung von Betroffenenrechten

II. Die förmliche Aufforderung

1. Ziele und Funktionen der außergerichtlichen Aufforderung

2. Inhalt und Form der außergerichtlichen Aufforderung

3. Die Unterlassungserklärung

4. Reaktion des Verantwortlichen

5. Kostenerstattung

6. Die Zuwiderhandlung gegen eine Unterlassungs- und Verpflichtungserklärung

C. Das gerichtliche Hauptsacheverfahren

I. Die erste Instanz

1. Vorüberlegungen

a) Individuelle Durchsetzung durch die betroffene Person

b) Individuelle Durchsetzung durch Mitbewerber

aa) Keine Klagebefugnis für Mitbewerber

bb) Rechtsdurchsetzung in der DSGVO nicht abschließend geregelt

cc) Bisherige Rechtsprechung

c) Kollektive Durchsetzung durch Verbraucherschutzverbände

d) Durchsetzung durch spezialisierte Anbieter

2. Die Zulässigkeit der Klage

a) Die internationale Zuständigkeit

b) Örtliche Zuständigkeit

c) Sachliche Zuständigkeit

aa) Ordentliche Gerichtsbarkeit

bb) Arbeitsgerichtsbarkeit

d) Die richtige Klageart

aa) Leistungsklage

bb) Feststellungsklage

cc) Gestaltungsklage

e) Bestimmtheit der Anträge

f) Einbeziehung Dritter in den Prozess

aa) Zulässigkeit der Streitverkündung

bb) Wirkung der Streitverkündung

3. Begründetheit der Klage

a) Anforderungen an den Klägervortrag

aa) Schlüssigkeit des Vortrages

bb) Wahrheitsgemäßer Vortrag

cc) Umfang des eigenen Vortrages

dd) Allgemeine Grundsätze zur Beweislast

ee) Darlegungs- und Beweislast bei der Geltendmachung datenschutzrechtlicher Ansprüche

b) Anforderungen an den Beklagtenvortrag

aa) Allgemeine Darlegungs- und Beweislast

bb) Gegenbeweis und Beweis des Gegenteils

cc) Sonstige Exkulpationsmöglichkeiten

c) Die Führung des notwendigen Beweises

aa) Der Beweisantritt

bb) Die Beweismittel

cc) Die Beweiserhebung

II. Die Berufungsinstanz

1. Zulässigkeit der Berufung

a) Statthaftigkeit der Berufung

b) Fristen im Berufungsverfahren

c) Form und Inhalt der Berufung und der Berufungsbegründung

2. Begründetheit der Berufung

a) Rechtsverletzung durch das Gericht erster Instanz

b) Kontrolle der Tatsachenentscheidung des Gerichts erster Instanz

3. Die Entscheidung des Berufungsgerichts

III. Die Revisionsinstanz

1. Zulässigkeit der Revision

a) Statthaftigkeit der Revision

b) Fristen im Revisionsverfahren

c) Form und Inhalt

2. Exkurs: Nichtzulassungsbeschwerde

3. Begründetheit der Revision

4. Entscheidung des Revisionsgerichts

III. Die Vorlage zum EuGH

D. Der zivilprozessuale Eilrechtsschutz

I. Einleitung

II. Zulässigkeit

1. Vorliegen eines Verfügungsgrundes

2. Keine Vorwegnahme der Hauptsache

III. Begründetheit

IV. Das Verfahren vor Erlass einer einstweiligen Verfügung

1. Die Entscheidung mit oder ohne vorherige mündliche Verhandlung

2. Die Hinterlegung einer Schutzschrift

V. Das Verfahren nach Erlass einer einstweiligen Verfügung

1. Vollziehung im Parteibetrieb

2. Widerspruch und Berufung

3. Das Abschlussverfahren

3. Kapitel Interviews aus der Praxis

A. Sechs Fragen an Tim Wybitul, Rechtsanwalt und Partner bei der Latham & Watkins LLP.

B. Sechs Fragen an Peter Hense, Rechtsanwalt und Partner der Spirit Legal Fuhrmann Hense Partnerschaft von Rechtsanwälten

Literaturverzeichnis

Einführung

Die Nachrichten über Datenschutzvorfälle, bei denen auch zahlreiche personenbezogene Daten von Kunden oder Mitarbeitern betroffen sind, mehren sich.3 Dabei können die Ursachen, die zu einem solchen Vorfall geführt haben, unterschiedlich sein. So kann der Datenschutzvorfall darauf zurückzuführen sein, dass Kriminelle von außen in Schädigungsabsicht auf die IT-Systeme des betroffenen Unternehmens zugreifen und sensible Kundendaten stehlen. Ein Datenschutzvorfall kann aber auch auf einer Nachlässigkeit im eigenen Unternehmen beruhen, weil beispielsweise ein Mitarbeiter eine Datei mit sensiblen Kundendaten aus Versehen unverschlüsselt an einen falschen Empfänger versendet. Auch die massenhafte, datenschutzwidrige Überwachung der eigenen Mitarbeiter kann einen solchen Datenschutzvorfall begründen. In all diesen Fällen können Unternehmen nach Art. 33 I DSGVO dazu verpflichtet sein, diesen Datenschutzvorfall innerhalb einer Frist von 72 Stunden nach Bekanntwerden der Verletzung, gegenüber der zuständigen Datenschutzaufsichtsbehörde, zu melden. Verhängt die zuständige Aufsichtsbehörde sodann ein Bußgeld, kommt es gerade bei sehr hohen Bußgeldern zu einer entsprechenden Pressemitteilung durch die Aufsichtsbehörde. Gemeinsam haben diese Sachverhalte auch, dass nicht nur eine einzelne Person von der Verletzung ihrer Rechte betroffen ist, sondern eine Vielzahl von Personen. Für diese ist der Umstand, wie es zu diesem Datenschutzvorfall gekommen ist, in der Regel auch zweitrangig. Maßgeblich sind für die betroffenen Personen die mit diesem Datenschutzvorfall verbundenen Folgen.

Für Unternehmen begründen solche Datenschutzvorfälle, selbst wenn sie diese nicht verschuldet haben, ein erhebliches zusätzliches Prozessrisiko. Denn durch das umfangreiche Anspruchssystem in der DSGVO tritt zunehmend neben das sog. Public Enforcement der Aufsichtsbehörden das sog. Private Enforcement durch die betroffenen Personen selbst. Der bei einem Datenschutzvorfall wichtigste Anspruch der betroffenen Personen ist der auf Ersatz immaterieller Schäden nach Art. 82 DSGVO, mit seinen vordergründig wenigen Anspruchsvoraussetzungen. Und gerade wegen dieser vergleichsweise überschaubaren Anspruchsvoraussetzungen und dem Umstand, dass bei einem Datenschutzvorfall viele Personen bei einem im wesentlichen gleichen Sachverhalt betroffen sind, formieren sich zunehmend Anbieter, die sich auf die klageweise Durchsetzung von Schadensersatzansprüchen spezialisiert haben. Selbst wenn dabei der Schadensersatzanspruch der einzelnen betroffenen Person vergleichsweise moderat ausfällt, so liegt es auf der Hand, dass das finanzielle Risiko des Unternehmens bei einer Vielzahl betroffener Personen ungleich größer ist. So haben bereits erste Gerichte den betroffenen Personen einen Anspruch auf Geldentschädigung nach Art. 82 DSGVO zugesprochen, wobei an dieser Stelle anzumerken ist, dass zahlreichen dieser Entscheidungen noch Einzelsachverhalte zugrunde lagen und selten Datenschutzvorfälle mit einer Vielzahl von betroffenen Personen. Es liegt aber auf der Hand, dass, wenn sich diese Rechtsprechung durchsetzen sollte, auch die Anzahl der Schadensersatzprozesse nach einem Datenschutzvorfall sprunghaft steigen wird. Nachstehende Tabelle soll einen Überblick bereits ergangener Entscheidungen geben, bei denen dem Kläger ein Schadensersatz zugesprochen wurde.4

Gericht

Aktenzeichen

Höhe des Schadensersatzes

AG Pforzheim

13 C 160/19

4.000,00 EUR

ArbG Dresden

13 Ca 1046/20

1.5000,00 EUR

ArbG Neumünster

1 Ca 247c/20

500,00 EUR

ArbG Köln bestätigt durch LAG Köln

5 Ca 4806/19 2 Sa 358/20

300,00 EUR

ArbG Düsseldorf

9 Ca 6557/18

5.000,00 EUR

ArbG Lübeck

1 Ca 538/19

1.000,00 EUR

LG Darmstadt

13 O 244/19

1.000,00 EUR

Demgegenüber stehen freilich auch Entscheidungen, die dem Kläger in der ersten Instanz keinen Schaden zugesprochen haben.

Gericht

Aktenzeichen

LG Landshut

51 O 513/20

LG Köln

28 O 71/20

LG Frankfurt am Main

2-27 O 100/20

LG Hamburg

324 S 9/19

LG Frankfurt am Main

2-03 O 48/19

AG Frankfurt am Main

385 C 155/19 (70)

AG Hannover

531 C 10952/19

OLG Dresden

4 U 1680/19

OLG Dresden

4 U 760/19

LG Karlsruhe

8 O 26/19

AG Diez

8 C 130/18

Die Rechtsprechung ist ersichtlich uneinheitlich. Es ist aber abzusehen, dass der EuGH zu wesentlichen Fragen hinsichtlich der richtigen Auslegung von Art. 82 DSGVO und dessen Voraussetzungen Stellung beziehen wird. Dabei ist eine für beide Seiten wesentliche Frage, die es zu beantworten gilt, die, ob es für die Geltendmachung eines Schadensersatzes eine Bagatellgrenze gibt. Die Beantwortung dieser Frage ist vor allem für Unternehmen, die eine Vielzahl von personenbezogenen Daten verarbeiten, von enormer praktischer und insbesondere wirtschaftlicher Bedeutung. Denn spricht sich der EuGH auf Vorlage eines nationalen Gerichts gegen eine Bagatellgrenze aus, befeuert das das Geschäftsmodell jener Anbieter, die nach einem bekanntgewordenen Datenschutzvorfall massenhaft Ansprüche auf Schadensersatz bündeln, um diese für die betroffenen Personen gegenüber den Unternehmen durchzusetzen. Die Anzahl der Verfahren vor den deutschen Zivilgerichten wird unabhängig hiervon zunehmen, denn die DSGVO gibt den betroffenen Personen, neben einem eigenen Schadensersatzanspruch in den Art. 15ff. DSGVO, auch weitere, umfassende Ansprüche gegen den Verantwortlichen. Diese Betroffenenrechte sollen es der betroffenen Person ermöglichen, die Verarbeitung der sie betreffenden personenbezogenen Daten kontrollieren zu können und notfalls auf die Löschung oder Berichtigung der gespeicherten personenbezogenen Daten hinwirken zu können. Wie das Beispiel des Auskunftsrechtes nach Art. 15 DSGVO zeigt, sind auch diese Rechte zwischen den Beteiligten streitanfällig.5

Gericht

Aktenzeichen

LG München I

3 O 909/19

LG Ulm

3 O 248/19

LG Stuttgart

18 O 333/19

LG Köln

20 O 241/19

LG Heidelberg

4 O 6/19

LG Dresden

6 O 76/20

OLG Köln

20 U 57/19

OLG Köln

20 U 75/18

LG Wiesbaden

8 O 14/19

LG Berlin

35 T 14/19

ArbG Bonn

3 Ca 2026/19

ArbG Düsseldorf

9 Ca 6557/18

LAG Düsseldorf

4 Ta 413/19

LAG Nürnberg

2 Ta 76/20

LAG Nürnberg

2 Ta 123/20

ArbG Neumünster

1 Ca 247c/20

Die dargestellte Übersicht ist nur ein kleiner Ausschnitt der bereits zum Auskunftsrecht nach Art. 15 DSGVO ergangenen Entscheidungen. Sie zeigt jedoch deutlich, dass auch Verfahren zur Durchsetzung der Betroffenenrechte vor den Zivilgerichten deutlich zunehmen werden.

Insgesamt wird die Bedeutung der privaten Durchsetzung von Rechten aus der DSGVO steigen und gleichbedeutend damit auch die Fallzahlen bei den Gerichten. Daher lohnt sich ein Blick auf die materiellrechtlichen Ansprüche (Kapitel 1) der betroffenen Personen sowie auf die prozessualen Aspekte (Kapitel 2), die ein solches Verfahren mit sich bringt.

3

Im Oktober 2020 wurde ein Hacker-Angriff auf Scalable Capital bekannt, bei dem auf die Kontodaten zahlreicher Kunden zugegriffen wurde (

Quelle

: Scalable Capital: Insider-Angriff auf Robo-Advisor – Digital – SZ.de (sueddeutsche.de)); Ebenfalls im Oktober 2020 wurde ein Datenschutzvorfall bei H&M bekannt, nachdem die zuständige Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 35 Mio. EUR gegen das Unternehmen verhängt hat (

Quelle

: H&M-News: Datenschutzbeauftragter verhängt Rekord-Bußgeld (handelsblatt.com)); bereits im Dezember 2019 wurde ein Datenschutzvorfall bei dem Arzneimittelgroßhändler Phoenix bekannt (

Quelle

: Datenpanne: Phoenix verschickt sensible Daten von 211 Apotheken | APOTHEKE ADHOC (apotheke-adhoc.de)).

4

Ausführliche Tabellen mit Kurzbegründungen der Entscheidungen finden sich bei

Wybitul

, DSB 2021, 42ff. und

Leibold

, ZD-Aktuell 2021, 05043.

5

Leibold

, ZD-Aktuell 2021, 04420 liefert eine Übersicht zu den aktuell festgesetzten Streitwerten für ein Auskunftsverlangen.

1. Kapitel Die materiell-rechtlichen Ansprüche

A. Einleitung

Die Datenschutzgrundverordnung enthält zahlreiche Rechte der betroffenen Person, die dazu dienen, die Einhaltung der datenschutzrechtlichen Vorgaben bei der Verarbeitung personenbezogener Daten auch durch die betroffene Person selbst kontrollieren zu können. Dabei stehen die hierdurch vermittelten Kontrollbefugnisse der betroffenen Person ausdrücklich neben denen der Aufsichtsbehörden. Hierdurch wird der Druck auf die Verantwortlichen erhöht, was allerdings insgesamt zu einem höheren Datenschutzniveau führen soll. Die Rechte der betroffenen Personen sind in Kapitel III. in den Art. 12 bis 23 DSGVO geregelt. Daneben regelt Art. 82 DSGVO einen eigenen Anspruch auf Ersatz des materiellen und des immateriellen Schadens einer betroffenen Person nach einer datenschutzwidrigen Verarbeitung. Ob daneben auch ein Anspruch auf Unterlassung besteht, ist derzeit noch nicht abschließend geklärt, die neuere Rechtsprechung tendiert allerdings dazu, der betroffenen Person auch einen Anspruch auf Unterlassung aus §§ 823, 1004 BGB in Verbindung mit der verletzten datenschutzrechtlichen Vorschrift zuzusprechen. Im nachfolgenden Kapitel soll ein Einblick in die materiell-rechtlichen Rechte und Ansprüche der betroffenen Person gegeben werden. Dabei beschränkt sich die Darstellung auf die Rechte der betroffenen Person, die derzeit am häufigsten Gegenstand von gerichtlichen Auseinandersetzungen sind.

B. Die Ansprüche der betroffenen Person im Einzelnen

I.Das Recht auf Information, Art. 13, 14 DSGVO

1.Gegenstand

Bei den Informationspflichten nach Art. 13, 14 DSGVO handelt es sich, streng genommen, nicht um Ansprüche im Sinne des § 194 BGB, deren Geltendmachung vom Willen der betroffenen Person abhängt, sondern um proaktive Informationspflichten6 des Verantwortlichen. Ähnlich wie in den §§ 33ff. BDSG (a.F.) wird hier kein Recht auf Auskunft festgehalten, sondern als notwendige Vorstufe der Rechtskontrolle bzw. Durchsetzung die betroffene Person informiert. Auch wenn kein direkt einklagbarer Anspruch auf Information nach Art. 13, 14 DSGVO besteht, sollen die Informationspflichten gleichwohl dargestellt werden, da deren Verletzung durchaus Gegenstand zivilrechtlicher Auseinandersetzungen sein kann.

2.Umfang

Der betroffenen Person sind grundsätzlich alle Informationen nach den Absätzen 1 und 2 für eine faire und transparente Verarbeitung zur Verfügung zu stellen,7 sofern nicht eine der gesetzlich vorgesehenen Ausnahmen8 greift.

3.Voraussetzungen

Voraussetzung für das Eingreifen der Pflicht zur Information ist im Fall des Art. 13 DSGVO die Erhebung (a) personenbezogener Daten (b) bei der betroffenen Person bzw. im Falle des Art. 14 DSGVO bei der nicht betroffenen Person (c). Die Pflicht richtet sich in beiden Fällen an den Verantwortlichen (d) und setzt voraus, dass die Anwendung der Informationspflichten nicht ausgeschlossen ist (e).

a)Der Begriff der Erhebung

Die Datenerhebung ist durch die DSGVO nicht definiert, findet sich jedoch als Begriff zum Beispiel in Art. 4 Nr. 2 DSGVO als Unterfall der Verarbeitung und in Art. 5 Nr. 1 b) DSGVO als Vorstufe der Weiterverarbeitung. Daraus folgt, dass die Datenerhebung am Anfang der Datenverarbeitung steht.9 Sie geht notwendig einer Datenspeicherung voraus, was allerdings nicht bedeutet, dass ihr auch zwingend eine Datenspeicherung folgen muss.10

Maßgebliches Kriterium der Datenerhebung ist in Anlehnung an § 3 III BDSG a. F die „gezielte Beschaffung“ von Daten in Abgrenzung zur bloßen Entgegennahme.11 Im Sinne eines effektiven Datenschutzes ist der Begriff der Erhebung jedenfalls weit zu verstehen und kann auch dann angenommen werden, wenn Daten auf Veranlassung der jeweiligen Anbieter (z.B. soziale Netzwerke oder sonstige Online-Plattformen) durch die Nutzer übermittelt werden12 bzw. nach der Übermittlung nicht durch den Empfänger gelöscht, sondern übernommen werden.13

b)Personenbezogene Daten

Der Begriff der personenbezogenen Daten ist weit zu verstehen und in Art. 4 Nr. 1 DSGVO legaldefiniert. Die erfassten Informationen werden nur dadurch beschränkt, dass sie sich auf eine identifizierbare oder identifizierte Person beziehen. Für weitere Details wird insoweit auf die einschlägige Literatur verwiesen.14

c)Bei der betroffenen Person bzw. nicht bei der betroffenen Person

Während der Begriff der betroffenen Person in Art. 4 Nr. 1 DSGVO zusammen mit den personenbezogenen Daten definiert wird, stellt sich die Frage, wann die Daten bei dieser Person erhoben werden. Einigkeit besteht insoweit, als dass es nicht auf den physischen Ort der Datenerhebung ankommt.

Allerdings ist – insbesondere im Hinblick auf verdeckte Maßnahmen wie Videoüberwachung, Vorratsdatenspeicherung etc. – fraglich, ob die Kenntnis bzw. aktive15 oder passive16 Mitwirkung der betroffenen Person erforderlich ist.17

Dieser Grenzbereich ist heftig umstritten. Für die Praxis dürfte jedoch ohnehin interessanter sein, welche Konsequenzen bzw. Unterschiede sich durch eine Zuordnung zu Art. 13 bzw. 14 DSGVO ergeben. Diese sind inhaltlich eher marginaler Natur18 und allenfalls relevant, soweit es um den Zeitpunkt19 der Informationspflicht oder die Ausnahmen von der Informationspflicht geht, die bei der Datenerhebung nicht bei der betroffenen Person weitgehender ausgestaltet sind.20

d)Verpflichtung des Verantwortlichen

Die Informationspflicht richtet sich an den oder die Verantwortlichen21 i.S.d. Art. 4 Nr. 7 DSGVO. Erheben mehrere Verantwortliche22 die Daten gemeinsam, so haben sie nach Art. 26 DSGVO festzulegen, wer von ihnen welche Verpflichtung erfüllt.

e)Kein Ausschluss von der Informationspflicht

Ein Ausschluss der Informationspflicht kann sich aus den norminternen Ausnahmetatbeständen Art. 13 IV bzw. 14 V DSGVO (aa) oder normexternen Ausnahmetatbeständen (bb) ergeben.

aa) Norminterne Ausnahmetatbestände

aaa) Betroffene Person verfügt bereits über Information

Sowohl in Bezug auf Art. 13 als auch auf Art. 14 DSGVO sind die Informationspflichten ausgeschlossen bzw. eine Information der betroffenen Person entbehrlich, wenn und soweit die betroffene Person bereits über die Informationen verfügt, Art. 13 IV, 14 V a) DSGVO. Aus der Formulierung „soweit“, die sich im Falle des Art. 14 V auf alle Unterabsätze bezieht, ergibt sich eindeutig, dass die Ausnahme für jeden Informationsbestandteil gesondert vorliegen muss und ggf. zu prüfen ist.23

Zudem muss die betroffene Person (genau) über die mitzuteilenden Informationen verfügen, darf also weder zu wenige noch zu viele Informationen erhalten. Genauso ausgeschlossen, wie dass die betroffene Person aus zu wenigen oder unpräzisen Informationen auf die mitzuteilenden Informationen schließen müsste,24 ist es, der betroffenen Person schon vor der Erhebung oder generell überobligatorische Informationen zur Verfügung zu stellen,25 aus denen sie sich dann die exakten Informationen für den Einzelfall heraussuchen müsste. Ersteres folgt dabei schon aus dem Wortlaut der jeweiligen Normen und Letzteres aus dem Transparenzgebot des Art. 12 DSGVO.

Des Weiteren ist Voraussetzung, dass die betroffene Person auch über die Informationen verfügt. Hierfür reicht es nicht aus, dass die betroffene Person zum Beispiel auf gesetzliche Grundlagen im Netz zugreifen kann,26 sondern die Informationen müssen in ihrem Herrschaftsbereich vorhanden, wenn auch nicht zwingend zur Kenntnis genommen27 oder vom Verantwortlichen selbst übermittelt28 worden, sein. Diese Ausnahme greift also zum Beispiel dann ein, wenn eine weitere Datenerhebung durch denselben Verantwortlichen erfolgt, der bei der ersten Erhebung vollumfänglich gem. Art. 13 DSGVO informiert hat und sich an den Informationen nichts geändert hat.29 Diese Konstellation setzt freilich voraus, dass auch die weitere Datenerhebung zum gleichen Zweck erfolgt wie bereits die vorangegangene. Ändert sich der Zweck auch nur minimal, muss auch über diese sowie die entsprechende Rechtsgrundlage informiert werden. Es empfiehlt sich daher, stets ganz genau zu prüfen, ob eine erneute Information tatsächlich entbehrlich ist oder, ob sich durch eine auch nur minimale Zweckänderung nicht doch die Pflicht ergibt, die betroffene Person vollständig zu informieren. Jedenfalls trägt der Verantwortliche das Risiko, dass er aufgrund einer Fehlentscheidung eine erforderliche Information unterlässt.

bbb) Unmöglichkeit oder unverhältnismäßiger Aufwand

Die Ausnahme der Unmöglichkeit bzw. des unverhältnismäßigen Aufwandes wird explizit nur in Art. 14 V b) DSGVO genannt. Allerdings wird hierauf auch in Erwägungsgrund 62 verwiesen, ohne dass dabei zwischen Art. 13 DSGVO und Art. 14 DSGVO differenziert wird. Hieraus wird teilweise eine (analoge) Anwendbarkeit des Art. 14 V b) DSGVO auf den Art. 13 DSGVO gefolgert.30

Dem ist jedoch entgegenzuhalten, dass nicht die Erwägungsgründe, sondern der Gesetzestext verbindliche Wirkung entfalten31 und sich etwaige Extremfälle auch durch eine teleologische Reduktion32 des Tatbestandes lösen lassen, es somit an der für eine Analogie erforderlichen Regelungslücke fehlt.33 Darüber hinaus handelt es sich bei Art. 14 V b) DSGVO um eine Ausnahmevorschrift, sodass zweifelhaft ist, ob diese überhaupt analogiefähig ist.

Die genaue Konturierung des Art. 14 V b) DSGVO ist umstritten. Einigkeit besteht jedenfalls insoweit, dass die Anforderungen an die Unmöglichkeit hoch sind. Wobei für diese wiederum ungeklärt ist, ob es sich um objektive34 oder subjektive35 Unmöglichkeit handeln muss. Es steht zu erwarten, dass sich eine genauere Festlegung des Tatbestandes erst in Folge der Judikatur ergeben wird.36

Bezüglich der Unverhältnismäßigkeit ist die bisherige Spannbreite der vertretenen Meinungen jedenfalls sehr weit. Während zum Teil für die Annahme der Unverhältnismäßigkeit auf ein von der Artikel-29 Datenschutzgruppe ersonnenes Beispiel abgestellt wird, bei dem Geschichtsforscher eine Datenbank mit 20.000 Betroffenen, die vor 50 Jahren erstellt wurde, auswerten wollen,37 lassen andere hierfür schon ausreichen, wenn die betroffene Person in einer E-Mail in CC gesetzt wurde.38

Überzeugend scheint hier eine Abwägung zwischen dem Aufwand, die betroffene Person zu ermitteln bzw. zu informieren einerseits und dem Informationsinteresse der betroffenen Person andererseits, das sich danach richtet, wie wichtig die Benachrichtigung für die Rechtsdurchsetzung ist und wie sensibel die erhobenen Daten sind.39

Dies gilt auch für „Big – Data“-Anwendungen, so dass allein aufgrund der Vielzahl der erhobenen Datensätze nicht pauschal von einer Unverhältnismäßigkeit ausgegangen werden kann.40 Gerade in diesem Zusammenhang spielt die Verpflichtung aus Art. 14 V b) DSGVO eine wichtige Rolle, die eine Veröffentlichung der Informationen erfordern kann.41

Eine gewisse Orientierung bei der Abwägung können freilich die in Art. 14 V b) DSGVO aufgeführten Kriterien sowie Erwägungsgrund 6242 bieten.43

Für die Praxis kann vorerst nur geraten werden, von einer restriktiven Auslegung auszugehen und auch Altbestände von Kundendaten zu aktualisieren, um diese informieren zu können, falls die Daten in Zukunft für Forschung oder Statistik verwendet werden.44

Unabhängig davon, ob die Alternative, dass die Verwirklichung der Ziele unmöglich gemacht oder ernsthaft beeinträchtigt wird, indem man der Informationspflicht nach Absatz 1 nachkommt, einen eigenständigen Tatbestand darstellt oder nicht, ist diese weitestgehend selbsterklärend. Ohne Weiteres leuchtet es ein, dass die betroffene Person beispielsweise bei Ermittlungen durch einen Privatdetektiv45oder Anzeigen nach dem Geldwäschegesetz46 nicht informiert zu werden braucht.

Interessant ist vor allem, ob die Informationen nachgeholt werden müssen, sobald der Tatbestand des Art. 14 V b) DSGVO nicht mehr gegeben ist, dies wird zumindest von einer strengeren Ansicht bejaht.47 Und auch hier empfiehlt es sich aus Gründen der eigenen Vorsicht, den Anforderungen der insoweit strengsten Ansicht zu entsprechen, bis es hinsichtlich dieser Frage eine anderslautende, höchstrichterliche Entscheidung gibt.

ccc) Ausdrückliche Regelung

Art. 14 V c) DSGVO enthält eine Ausnahme für den Fall, dass die Erlangung oder Offenlegung der Informationen durch die Mitgliedstaaten oder die Union bereits ausdrücklich geregelt ist, sofern die betreffenden Rechtsvorschriften geeignete Maßnahmen vorsehen, um die Interessen der betroffenen Personen zu schützen. Auch wenn durch diese Ausnahme nicht weiter konkretisiert wird, wie die geeigneten Schutzmaßnahmen aussehen müssen,48 besteht weitgehende Einigkeit, dass die betreffenden Regelungen hinsichtlich Tatbestandsvoraussetzungen und Reichweite ausreichend detailliert sein müssen und die Ausnahme nicht bei Generalklauseln gilt.49 Wenn sich der Verantwortliche auf diese Ausnahme berufen will, ist ihm jedenfalls anzuraten, genau zu dokumentieren, auf welcher Grundlage und nach welchen Prüfungsschritten er die Information der betroffenen Person unterlassen hat.50 Eine solche (schriftliche) Dokumentation wird spätestens dann erforderlich, wenn die unterlassene Information, gegenüber der betroffenen Person, vor der Aufsichtsbehörde oder einem Gericht gerechtfertigt werden muss. Nur mit einer ausreichenden Dokumentation besteht überhaupt die Chance, sich gegen eine Inanspruchnahme wegen unterlassener Informationen zu verteidigen.

ddd) Berufsgeheimnisse und satzungsmäßige Geheimhaltungspflichten

Art. 14 V d) DSGVO enthält eine weitere Bereichsausnahme für den Schutz der Berufsgeheimnisse51. In der Norm wird zwar auf mitgliedstaatliches Recht verwiesen, man wird jedoch nichtsdestotrotz einen (weiten) unionsrechtlichen Begriff des Berufsgeheimnisses anlegen müssen, um zu verhindern, dass die Mitgliedstaaten beliebige behördliche Tätigkeiten durch weitgefasste Geheimhaltungspflichten pauschal den Informationspflichten des Art. 14 entziehen.52

Entsprechendes gilt für vertraglich vereinbarte Geheimhaltungsregeln zum Beispiel in Gesellschaftsverträgen53 oder das Bankgeheimnis, die kein Berufs- oder satzungsmäßiges Geheimnis i.S.d. Art. 14 V d DSGVO darstellen.54

Die Reichweite der Ausnahme richtet sich dabei grundsätzlich nach der Reichweite des Geheimnisschutzes, allerdings wird dieser oftmals verlangen, dass nicht einmal Teilinformationen preisgegeben werden, weil diese schon einen Rückschluss auf geschützte Informationen, wie zum Beispiel das Mandantenverhältnis, ermöglichen würden.55

bb) Ausnahmebestände außerhalb der DSGVO

Nach Art. 23 DSGVO können sowohl Union als auch der nationale Gesetzgeber weitere Ausnahmen vorsehen. Hiervon wurde zum Teil Gebrauch gemacht. Wichtige Ausnahmen finden sich beispielsweise im BDSG in: §§ 4 II, IV (Videoüberwachung), 29 (Geheimhaltungspflicht)56, 32 (Nur für Art. 13 DSGVO), 33 (öffentliche Belange); in § 32b AO (Steuergeheimnis)57 oder 82a SGB X (Sozialgeheimnis), auf die hier nur hingewiesen wird.58 Auch die Art. 85 und 89 DSGVO eröffnen die Möglichkeit für weitere Ausnahmen.

4.Erfüllung

Hinsichtlich der Erfüllung der Pflichten ist zu unterscheiden zwischen dem Inhalt der zur Verfügung zustellenden Information (a), der Art der Informationsübermittlung (b) und dem Zeitpunkt (c). Nachfolgend soll nur ein Überblick über die Anforderungen an die Erfüllung der Informationspflichten erfolgen. Für tiefergehende Ausführungen muss auf die entsprechende Kommentarliteratur verwiesen werden.

a)Inhalt

aa) Name und Kontaktdaten des Verantwortlichen/Vertreters

Zur Erfüllung der Informationspflichten ist der betroffenen Person der vollständige59 Name (bzw. die Firma) und zumindest eine zustellungsfähige Anschrift des Verantwortlichen mitzuteilen, damit eine Kontaktaufnahme problemlos möglich ist.60

bb) Kontaktdaten des Datenschutzbeauftragten

Die Nennung eines Namens bei den Angaben über den Datenschutzbeauftragten ist nicht erforderlich, da es allein auf die Funktion des Datenschutzbeauftragten ankommt.61 Zur Erfüllung genügt somit auch die Einrichtung und Angabe eines Funktionspostfachs.62

cc) Zwecke und Rechtsgrundlagen der Verarbeitung

Die Angabe des Zwecks und der Rechtsgrundlagen der Verarbeitung ermöglicht der betroffenen Person einerseits die Überprüfung der Rechtmäßigkeit, andererseits ist der angegebene Zweck Ausgangspunkt für die Kompatibilitätsprüfung bei der zweckändernden Weiterverarbeitung i.S.d. Art. 6 IV DSGVO.63

Aus Sicht des Verantwortlichen sollten daher alle auch nur geplanten Zwecke erfasst und mitgeteilt werden, schon weil hierdurch eine spätere (erneute) Mitteilung gem. Art. 13 III DSGVO bzw. Art. 14 IV DSGVO entbehrlich wird.64 Nicht zulässig ist jedoch eine Mitteilung aller erdenklichen Zwecke „auf Vorrat“,65 schon wegen des Transparenzgebotes aus Art. 12 I DSGVO, ebenso wenig die Mitteilung, dass die Zwecke noch nicht bekannt seien66.

Sowohl die Zwecke als auch die Rechtsgrundlagen67 sollten dabei möglichst präzise angegeben werden. Auch wenn der Wortlaut der Norm eine Angabe der zugrunde liegenden Vorschrift ausreichen lässt,68 sollte schon, aufgrund der eingangs beschriebenen Normzwecke, die Rechtslage einzelfallbezogen und vollständig dargelegt werden und nicht nur auf die teilweise sehr offenen Rechtsgrundlagen verwiesen werden.69 Allerdings muss man hier auch immer die Umstände des Einzelfalles beachten. Dort, wo ausschweifende Informationen aus Platzgründen nicht erteilt werden können oder nur unter erhöhtem Aufwand, ist eine Beschränkung auf die gesetzlich notwendigen Informationen nicht zu beanstanden.

dd) Berechtigte Interessen

Als Erweiterung der Informationspflichten aus Art. 13 I c) bzw. Art. 14 I c) DSGVO sind – wenn die Verarbeitung auf Art. 6 I f DSGVO beruht – die berechtigten Interessen des Verantwortlichen oder Dritten anzugeben. Die bislang im Rahmen der internen Vorprüfung erfolgte Abwägung und Begründung der berechtigten Interessen, ist der betroffenen Person so transparent zu machen, dass dieser die Wahrnehmung ihrer Rechte ermöglicht wird.

ee) Empfänger/Kategorien von Empfängern

Der Begriff des Empfängers ist in Art. 4 Nr. 9 DSGVO definiert und entsprechend weit zu verstehen.70 Im Gegensatz zur früheren Rechtslage besteht nun Einigkeit, dass auch Auftragsverarbeiter erfasst sind.71 Die Frage, ob es im Belieben des Verantwortlichen steht, den Empfänger oder die Kategorien von Empfängern anzugeben, ist umstritten.72 Für die Praxis kann aus Gründen der Rechtssicherheit nur empfohlen werden, die Empfänger namentlich anzugeben, soweit dies möglich ist.73

ff) Übermittlung an Drittland oder internationale Organisationen

Sollen die erhobenen Daten in ein Drittland oder eine internationale Organisation übermittelt werden, hat der Verantwortliche eine entsprechende Absicht der betroffenen Person mitzuteilen.74 Außerdem ist das Fehlen oder Vorliegen eines Angemessenheitsbeschlusses gem. Art. 45 DSGVO mitzuteilen bzw. im Falle der Übermittlung gem. Art. 46, 47 oder 49 DSGVO ein Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, eine Kopie zu erhalten oder wo sie verfügbar sind. Dies kann in der Praxis auch dazu führen, dass Binding Corporate Rules (BCR) offenzulegen sind.75

gg) Dauer der Datenspeicherung

Grundsätzlich ist die genaue Dauer der Datenspeicherung anzugeben. Da dies oftmals vorab nicht möglich ist, sind dann wenigstens die Kriterien anzugeben, aus denen sich die Speicherdauer ergibt. Dies impliziert nach überwiegender Auffassung die Notwendigkeit eines Löschkonzeptes.76

Nach Ablauf der (abstrakt) angegebenen Speicherdauer, besteht gem. Art. 17 I a) DSGVO die Pflicht zur Löschung, es sei denn, dass zu diesem Zeitpunkt die Voraussetzungen für eine Weiterverarbeitung zu einem anderen Zweck vorliegen.77

hh) Rechte der betroffenen Personen

Die betroffenen Personen sind über die ihnen zustehenden Rechte entsprechend einer Rechtsbehelfsbelehrung aufzuklären.78 Hierzu zählen die Rechte auf: Auskunft (Art. 15); Berichtigung (Art. 16); Löschung (Art. 17); Einschränkung der Verarbeitung (Art. 18); Widerspruch gegen die Verarbeitung (Art. 21); Datenübertragbarkeit (Art. 20).79 Nicht erfasst ist das Recht auf Mitteilung gem. Art. 19 S. 2 DSGVO.80 Nach einer Mindermeinung ist auch das Recht auf Vergessenwerden aus Art. 17 II DSGVO nicht erfasst.81

Inhaltlich wird ein Hinweis auf das abstrakte Bestehen der Rechte ausreichen, da das Vorliegen ihrer konkreten Voraussetzungen im Zeitpunkt der Mitteilung nicht absehbar ist.82 Wenn jedoch schon im Zeitpunkt der Mitteilung ausgeschlossen ist, dass die Voraussetzungen eines Rechts später eintreten,83 sollte auf dieses schon aus Transparenzgründen84 nicht hingewiesen werden.85

Nicht erforderlich ist die in der Praxis weit verbreitete Erläuterung zu einzelnen Rechten, eine Auflistung, wie sie in Art. 13 II b) bzw. Art. 14 II c) DSGVO enthalten ist, auch ohne Angabe der entsprechenden Artikel, reicht aus.86 Im Gegenteil kann eine zu ausführliche Erläuterung sogar ein Risiko für eine DSGVO-Verletzung erhöhen, etwa wenn die Informationen falsch oder irreführend sind und gegen das Transparenzgebot aus Art. 12 I DSGVO verstoßen.

ii) Widerruflichkeit der Einwilligung

Einen Sonderfall stellt die Information über die Widerruflichkeit der Einwilligung in den Fällen des Art. 6 1 a), 9 II a) DSGVO dar, da hier – nach überwiegender Auffassung – auch über die Rechtsfolge, die nur in die Zukunft gerichtet eintritt,87 unterrichtet werden muss.88

jj) Beschwerderecht bei Aufsichtsbehörde

Die betroffene Person ist über ihr Beschwerderecht gem. Art. 77 DSGVO bei einer Aufsichtsbehörde zu unterrichten. Umstritten ist dabei, ob zur Erfüllung der abstrakte Hinweis auf das Bestehen des Beschwerderechts genügt89 oder, ob eine konkrete Aufsichtsbehörde benannt werden muss.90 Für die Praxis kann nur geraten werden, die für den Verantwortlichen zuständige Aufsichtsbehörde mit Kontaktdaten anzugeben, da dies auch den strengeren Auffassungen gerecht wird.

kk) Freiwilligkeit der Bereitstellung

Nur im Fall der Datenerhebung bei der betroffenen Person i.S.d. Art. 13 DSGVO91 ist gem. Art. 13 II e) DSGVO über die Freiwilligkeit der Bereitstellung der Daten aufzuklären.92 Der Verantwortliche hat darüber zu informieren, ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich oder die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die Nichtbereitstellung hätte.

ll) Bestehen einer automatisierten Entscheidungsfindung

Wirtschaftliche Risiken können sich aus der Information über das Bestehen einer automatisierten Entscheidungsfindung inkl. Profiling ergeben, da gerichtlich noch nicht geklärt ist, inwieweit Ausnahmen für Geschäftsgeheimnisse93 bestehen.94

Der Anwendungsbereich der Norm ist mit Bezug zu Art. 22 DSGVO definiert, so dass bezüglich der Details auf die hier einschlägige Literatur verwiesen werden kann.95

mm) Kategorien personenbezogener Daten

Da die personenbezogenen Daten im Rahmen des Art. 14 DSGVO nicht bei der betroffenen Person erhoben wurden, ist diese gem. Art. 14 I d) DSGVO über die Kategorien personenbezogener Daten zu unterrichten. Hierzu reichen Obergriffe aus wie z.B. Adressdaten, Vertragsdaten, Kundendaten etc.,96 die eine Risikoabschätzung für die betroffene Person ermöglichen, da detaillierte Informationen über den Auskunftsanspruch aus Art. 15 DSGVO verlangt werden können.97

nn) Quelle der personenbezogenen Daten

Der Begriff der Quelle umfasst den Gegenstand der Datenerhebung, also etwa Personen, Institutionen, Veröffentlichungen, Spuren etc.98 und soll der betroffenen Person ermöglichen, die Rechtmäßigkeit der ursprünglichen Datenerhebung zu überprüfen und, ihre Betroffenenrechte geltend zu machen.99 Erforderlich ist hier die Angabe der konkret genutzten Quelle100 des Verantwortlichen und nicht etwa die Quelle der ersten Datenerhebung, da der betroffenen Person schon so ermöglicht wird, den Weg der Information zurückzuverfolgen.101 Neben der Quelle selbst ist auch die Art der Quelle zu benennen, also ob diese öffentlich oder nicht öffentlich ist,102 da hierdurch auch für die betroffene Person eine Warnung gegeben sein kann, ihre Informationen nicht leichtfertig zu veröffentlichen.103

Umstritten ist, ob aus Gründen der Transparenz auch das Mittel der Datenerhebung zu nennen ist.104 Kann der betroffenen Person nicht mitgeteilt werden, woher die Daten stammen, weil verschiedene Quellen benutzt wurden, so sollte die Unterrichtung gem. Erwägungsgrund 61 allgemein105 gehalten werden. In der Praxis sollten hier106 die Mittel der Datenerhebung, die genutzten Datenbestände und/oder das System benannt werden.107