DA+

Aufsatz : Das System der Betroffenenrechte nach der Datenschutz- Grundverordnung (DS-GVO) : aus der RDV 3/2016, Seite 111 bis 120

Lesezeit 29 Min.

Ein unionsweiter wirksamer Schutz personenbezogener Daten erfordert die Stärkung und präzise Festlegung der Rechte der betroffenen Personen.“ So heißt es ausdrücklich in Erwägungsgrund (ErwGr) Nr. 11 der Europäischen Datenschutz-Grundverordnung. Der folgende Beitrag führt das in RDV 3/2015 entworfene System der Betroffenenrechte[1] fort und ordnet dabei unter anderem die neuformulierten Einzelansprüche auf Vergessenwerden, Datenübertragbarkeit und Vertretung ein.

I. Überblick

Die DS-GVO soll die in die Jahre gekommene Datenschutzrichtlinie 95/46/EG nicht nur ersetzen, sondern endlich für die lange angestrebte Vollharmonisierung sorgen.[2] Hierzu setzt sie unmittelbar für alle Mitgliedsstaaten anwendbares Recht. Am 14. April 2016 ist die von Kommission, Rat und Parlament erarbeitete Kompromissfassung[3] der bisherigen Entwurfstexte verabschiedet worden. Zu den wesentlichen Neuerungen gehören demnach umfassende Transparenzpflichten, das Recht auf Vergessenwerden, das Recht auf Datenportabilität, eine Niederlegung der Grundsätze von Datenschutz „by design“ und „by default“ sowie ein ausgesprochen drastisches Sanktionsregime.

Betroffenenrechte sind Ansprüche und Gestaltungsmöglichkeiten, die den Berechtigten aufgrund ihrer Betroffeneneigenschaft zukommen und einen hinreichend konkreten, idealerweise vollstreckungsfähigen Inhalt besitzen. Die beabsichtigte Stärkung der Betroffenenrechte erschöpft sich nicht allein in der Formulierung neu erdachter Einzelansprüche, sondern verleiht ihnen auch insgesamt mehr Gewicht. Die anhand des BDSG entwickelte und in der Lehre bewährte Systematisierung nach fünf Zielrichtungen gilt unterdessen fort: Permissionsrechte gestatten Datenverarbeitungen, die an sich ausgeschlossen wären; Interventionsrechte vermögen bestimmte Datenverarbeitungen zu verhindern; Informationsrechte vermitteln ein Bild darüber, was mit den Daten geschieht; Petitionsrechte verbriefen Beschwerdemöglichkeiten und Kompensationsrechte gewähren Schadensersatz bzw. Entschädigung.

II. Betroffenenrechte nach Zielen

1. Permission

a) Allgemeine Einwilligung

Die datenschutzrechtliche Einwilligung bewahrt „auch im digitalisierten Lebensalltag eine Entscheidungsmacht des Einzelnen über das Ausmaß der Offenbarung personenbezogener Informationen.“[4] Sie wird definiert in Art. 4 Nr. 11 DS-GVO als „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“ Das hergebrachte Verbot mit Erlaubnisvorbehalt liegt auch der DS-GVO zugrunde und lebt in ErwGr Nr. 40 fort. Die Einwilligung wird deswegen bei Datenverarbeitungen nach Art. 6 Abs. 1 lit. a DS-GVO erforderlich, darüber hinaus müssen ggf. besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 2 lit. a DS-GVO für die Verarbeitung freigegeben werden. Es besteht kein grundsätzliches Schriftformerfordernis mehr, ErwGr Nr. 32 stellt insoweit fest, dass die Einwilligung schriftlich, elektronisch oder auch mündlich abgegeben werden kann. Die Erteilung der Einwilligung muss jedoch nach Art. 7 Abs. 1 DS-GVO nachweisbar sein. Ein stillschweigendes Einverständnis soll es nach ErwGr Nr. 32 nicht geben. Art. 7 Abs. 4 DS-GVO und ErwGr Nr. 42 widmen sich der Freiwilligkeit und geben Anhaltspunkte für deren Bewertung.

Nach bisheriger herrschender Meinung kann eine Einwilligung nach § 4a BDSG auch den Verzicht auf technisch-organisatorische Maßnahmen rechtfertigen, da sowohl das „Ob“ als auch das „Wie“ der Verarbeitung umfasst sind.[5] Eine Bank oder Versicherung kann daher per unverschlüsselter eMail mit dem Betroffenen kommunizieren, wenn dieser dem zugestimmt hat, obwohl anderweitige Kommunikationswege zur Verfügung stünden. Ob diese Möglichkeit allerdings nach Art. 6 Abs. 1 lit. a DS-GVO weiter bestehen wird, ist höchst fraglich.[6] Die Einwilligung wird künftig ausdrücklich an bestimmte Verarbeitungszwecke, also die inhaltliche Datenverarbeitung, geknüpft. Das Datensicherheitsniveau ist demgegenüber objektiv nach Art. 32 DS-GVO zu bestimmen,[7] zudem wird der Datensicherheit durch die neuformulierten Grundsätze des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen nach Art. 25 DSGVO eine größere Aufmerksamkeit zuteil. Eine abweichende Vereinbarung mit Bordmitteln der DS-GVO erscheint daher auf den ersten Blick unzulässig.[8]

b) Einwilligung von Kindern

Bislang können auch Minderjährige je nach Verwendungszusammenhang in Ansehung ihrer persönlichen Einsichtsfähigkeit wirksam einwilligen[9]. Eine Neuerung bringt insoweit Art. 8 Abs. 1 DS-GVO, wonach eine Altersgrenze von mindestens 16 Jahren bei Angeboten für Dienste der Informationsgesellschaft[10] eingezogen wird.[11] Social Networks, Online-Spiele, Webshops oder die Verknüpfung eines Smartphones mit einem Appstore bzw. Cloud-Speicher werden hiervon erfasst.[12] In all diesen Fällen müssen die Eltern einwilligen, der Einwilligung des Kindes zuvor zustimmen oder diese nachträglich genehmigen.[13] Zugleich muss der für die Verarbeitung Verantwortliche gem. Art. 8 Abs. 2 DSGVO technisch sicherstellen, dass die Erklärung der Eltern nachweisbar vorliegt.[14]

Die starre Altersgrenze[15] von 16 Jahren stößt auf erhebliche rechtliche Bedenken.[16] Zum einen erschließt sich die besondere Gefährdungslage von Diensten der Informationsgesellschaft gegenüber etwa einer Einwilligung nach Art. 9 Abs. 2 lit. a DS-GVO nicht. Der Parlamentsentwurf bezog sich insoweit noch auf sämtliche Angebote von Waren und Dienstleistungen. Jedenfalls aber ist nach Art. 8 Abs. 2 S. 1 GRCh die Einwilligung der betroffenen Person stets nach Treu und Glauben zu ermöglichen. Der Wegfall der Einwilligungsmöglichkeit eines eigentlich einsichtsfähigen Kindes stellt insofern einen ungerechtfertigten Eingriff in ein Betroffenenrecht dar.

c) Werbeeinwilligung

Die Einwilligung hinsichtlich konkreter Werbemaßnahmen per Telefon-, Fax-, eMail- und SMS-Werbung richtet sich nach § 7 UWG. Formvorschriften gelten hierbei nicht, im eigenen Interesse sollten Werbetreibende jedoch eine Nachweismöglichkeit schaffen[17]. Die Werbeeinwilligung fußt ihrerseits auf europarechtlichen Vorgaben und wird insbesondere in Ansehung von Art. 95 DS-GVO unangetastet bleiben.

d) Schweigepflichtentbindung

Die Entbindung von der Schweigepflicht stellt eine Offenbarungsbefugnis im Sinne des § 203 StGB dar. Sie kann ebenfalls formfrei erfolgen. Verschwiegenheitspflichten der Berufsgeheimnisträger bleiben nach Art. 90 Abs. 1 DS-GVO unberührt.

e) Erlass

Der Erlass (§ 397 Abs. 1 BGB) datenschutzrechtlicher Pflichten ist bislang nur eingeschränkt möglich. § 6 Abs. 1 BDSG steht einer (dauerhaften) rechtsgeschäftlichen Abbedingung der Ansprüche auf Auskunft, Berichtigung, Löschung oder Sperrung entgegen. Der Betroffene ist diesbezüglich schlichtweg nicht dispositionsbefugt[18]. Die DS-GVO enthält demgegenüber keine dem § 6 Abs. 1 BDSG vergleichbare Vorschrift.

f) Löschwiderspruch

Durch den Löschwiderspruch sorgt der Betroffene dafür, dass Daten länger als nötig vorgehalten werden. § 35 Abs. 2 S. 2 Nr. 4 BDSG hat insoweit eher eine untergeordnete Rolle gespielt und wird ersatzlos entfallen. Stattdessen kann der Betroffene nach Art. 18 Abs. 1 lit. b DS-GVO bei unrechtmäßiger Verarbeitung eine sog. „Einschränkung der Verarbeitung“ erwirken.

2. Intervention

a) Widerruf der Einwilligung

Die datenschutzrechtliche Einwilligung ist bereits heute grundsätzlich frei widerruflich. Durch den Widerruf werden weitere Datenverarbeitungen zukünftig gem. Art. 7 Abs. 3 S. 2 DS-GVO ex nunc gehindert, es sei denn, die verantwortliche Stelle kann sich auf einen anderen Erlaubnistatbestand stützen[19]. Der Rückgriff auf gesetzliche Erlaubnistatbestände kann jedoch ausgeschlossen sein, sofern in der Datenschutzerkärung zugesichert wird, ausschließlich auf Grundlage einer Einwilligung personenbezogene Daten verarbeiten zu wollen. Der Widerruf der Einwilligung muss dem Betroffenen so einfach gemacht werden wie die Erteilung derselben. Ausnahmsweise ist der Widerruf der Einwilligung ausgeschlossen, wenn er in rechtsmissbräuchlicher Weise erfolgt (§§ 226, 242 BGB), hieran sind jedoch hohe Anforderungen zu stellen.

b) Widerspruch

Art. 21 DS-GVO enthält mehrere Widerspruchsrechte. Verarbeitungen auf Grundlage von Art. 6 Abs. 1 litt. e und f DSGVO kann aus Gründen widersprochen werden, die sich aus der besonderen Situation der betroffenen Person ergeben. Der Widerspruch richtet sich ausschließlich gegen Verarbeitungen im öffentlichen Interesse oder im Rahmen einer Interessenabwägung bzw. ein auf diese Bestimmungen gestütztes Profiling. Wie sich aus ErwGr Nr. 69 ergibt, kommen hier Aspekte zum Tragen, die der verantwortlichen Stelle etwa zum Zeitpunkt der Interessenabwägung noch unbekannt waren. Der Betroffene hat insoweit eine Initiativverantwortung, entgegenstehende Gesichtspunkte der verantwortlichen Stelle zur Kenntnis zu bringen.[20] Da der Verantwortliche ggf. zwingende schutzwürdige Gründe für die Verarbeitung ins Feld führen kann, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, besteht eine Begründungspflicht für den Widerspruch.[21]

Ähnlich verhält es sich mit dem Widerspruch gegen Datenverarbeitungen zu wissenschaftlichen, historischen Forschungs- oder statistischen Zwecken nach Art. 21 Abs. 6 DS-GVO. Art. 21 Abs. 2 und 3 DS-GVO betrifft Datenverarbeitungen zum Zwecke des Direktmarketings inklusive des Profilings zu Werbezwecken. Etwaige Gegenrechte der verantwortlichen Stelle sind nicht vorgesehen, eine Begründungspflicht entfällt daher. ErwGr Nr. 70 stellt stattdessen klar, dass der Werbewiderspruch jederzeit und unentgeltlich gewährleistet sein muss. Der Widerspruch gegen konkrete Werbemaßnahmen nach § 7 UWG wird parallel geregelt bleiben.

c) Allgemeiner Unterlassungsanspruch

Ein allgemeiner Unterlassungs- und Beseitigungsanspruch ergibt sich aus den §§ 1004 Abs. 1 analog, 823 Abs. 1 und 2 BGB i.V.m. mit dem allgemeinen Persönlichkeitsrecht bzw. konkreten datenschutzrechtlichen Vorschriften. Er hat neben den spezialgesetzlichen Unterlassungsansprüchen auf Löschung, Einschränkung oder Berichtigung seine Bedeutung keineswegs verloren. So gewährt § 1004 Abs. 1 BGB bei Wiederholungs- oder Erstbegehungsgefahr einen Titel auf zukünftige Unterlassung, der in den spezielleren Anspruchsgrundlagen nicht ausdrücklich enthalten ist.

d) Unterlassung automatisierter Verarbeitung

Das Verbot der automatisierten Verarbeitung einschließlich Profiling in Art. 22 Abs. 1 DS-GVO ist als besonderer Unterlassungsanspruch ausgestaltet. Ausnahmen sind in Abs. 2 festgelegt. Funktional hätte es dieses Anspruches nicht bedurft, er entspricht wegen der enthaltenen Ausnahmeregelung eher einem Erlaubnistatbestand ähnlich Art. 6 DS-GVO. Die Öffnungsklausel zur Beschränkung von Betroffenenrechten in Art. 23 Abs. 1 DS-GVO schlägt hierdurch in eine Öffnungsklausel für bestimmte Datenverarbeitungen um.

e) Gegendarstellung

Der datenschutzrechtliche Gegendarstellungsanspruch nach § 35 Abs. 6 S. 2 BDSG wird ersatzlos entfallen. Das medienrechtliche Pendant bleibt hingegen spezialgesetzlich in den Pressegesetzen der Länder (Zeitungen und Zeitschriften) sowie § 56 RStV (Fernsehen, Radio, Internetveröffentlichungen) erhalten. Das Anspruchsbegehren richtet sich gegen Tatsachenbehauptungen, wobei die Gegendarstellung in Platzierung und Umfang der ursprünglichen Äußerung entsprechen muss. Bei zulässiger Verdachtsberichterstattung besteht kein Anspruch auf Gegendarstellung, sondern lediglich auf die Mitteilung, dass der Verdacht ausgeräumt ist[22].

f) Löschung

Die Löschverpflichtung nach Art. 17 Abs. 1 DS-GVO greift bei

  • Zweckerreichung (lit. a),
  • Widerruf der Einwilligung (lit. b),
  •  Widerspruch (lit. c),
  • unrechtmäßiger Verarbeitung (lit. d),
  • rechtlicher Verpflichtung nach Unions- oder nationalstaatlichem Recht (lit. e) oder bei
  • Erhebung der Daten für Dienste der Informationsgesellschaft nach Art. 8 Abs. 1 DS-GVO (lit. f).

Die letzte Tatbestandsvariante meint ausweislich ErwGr Nr. 65 vor allem Konstellationen, in denen die betroffene Person ihre Einwilligung noch im Kindesalter gegeben hat und insofern die mit der Verarbeitung verbundenen Gefahren nicht in vollem Umfang absehen konnte. Jede Löschung hat ohne unangemessene Verzögerung zu erfolgen.

Ausnahmen finden sich in Art. 17 Abs. 3 DS-GVO, namentlich sind dies

  • Gründe der Meinungs- und Informationsfreiheit (lit. a),
  • die rechtliche Verpflichtung nach Unions- oder nationalstaatlichem Recht bzw. die Wahrnehmung öffentlicher Interessen (lit. b)[23],
  • Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (lit. c),
  • im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche, historische Forschungs- oder statistische Zwecke (lit. d) oder schließlich
  • die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (lit. e)[24].

Da die Löschung nicht nur auf Verlangen der betroffenen Person, sondern gerade auch auf Initiative der verantwortlichen Stelle vonstattengehen soll, müssen zuvor taugliche Löschkonzepte erstellt werden.

g) Recht auf Vergessenwerden

Eine der konkreten Neuerungen findet sich in Art. 17 Abs. 2 DS-GVO mit dem sog. „Recht auf Vergessenwerden“. Die Formulierung ist identisch mit derjenigen, die der sog. „Google-Spain“-Entscheidung des EuGH zugeschrieben wird.[25]

In der Sache ging es bei „Google-Spain“ um eine Sperrverpflichtung von Suchmaschinenbetreibern, die über die Löschplichten der eigentlichen Webseitenbetreiber hinausgeht.[26] Das Recht auf Vergessenwerden in Art. 17 Abs. 2 DS-GVO zäumt nun das Pferd von hinten auf. Der für die Verarbeitung Verantwortliche, der personenbezogene Daten öffentlich gemacht hat und zur Löschung verpflichtet ist, hat Dritte darüber zu informieren, dass die betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten auch vom Dritten verlangt hat. Suchmaschinen, Linkaggregatoren oder News-Sites, die ihrerseits zur Löschung eines Links verpflichtet sind, müssen also den Erstveröffentlichenden vom Löschbegehren in Kenntnis setzen. Gleichzeitig ist der Erstveröffentlichende gehalten, auf jeden Dritten einzuwirken, der die Daten nun weiterverarbeitet.[27] Eine eigenständige Löschverpflichtung Dritter wird durch die Mitteilung nicht begründet, diese richtet sich originär nach Art. 17 Abs. 1 DS-GVO. Etwaige Ausnahmen vom Recht auf Vergessenwerden sind in Art. 17 Abs. 3 DS-GVO geregelt und decken sich mit denjenigen der Löschung.

Dieses Recht auf Vergessenwerden kann nur greifen, wenn der zur Löschung Verpflichtete die jeweiligen Dritten identifizieren kann. So fordert Art. 17 Abs. 2 DS-GVO angemessene Maßnahmen zur Gewährleistung dieses Rechts unter Berücksichtigung der verfügbaren Technologie und der jeweiligen Implementierungskosten.[28] Wie diese angemessenen Maßnahmen aussehen könnten, darüber schweigt sich der Entwurf aus.[29] Eine neue Vorratsdatenspeicherung zur Abbildung und späteren Verfolgung sämtlicher Informationsströme kann jedenfalls nicht gemeint sein. Disruptive DRMTechnologien würden in unzulässiger Weise in die Löschsouveränität der Dritten nach Art. 17 Abs. 3 DS-GVO eingreifen.

h) Einschränkung der Verarbeitung

Ein Recht auf Sperrung in Form der §§ 20 Abs. 3 und 4, 35 Abs. 3 und 4 BDSG wird es künftig nicht mehr geben. Als funktionales Äquivalent tritt die sog. „Einschränkung der Verarbeitung“ nach Art. 18 DS-GVO an deren Stelle. Einschränkung bedeutet in diesem Zusammenhang, dass die Daten (abgesehen von ihrer Speicherung) nur noch unter besonders engen Voraussetzungen und besonderen Zweckbestimmungen verarbeitet werden dürfen.[30] Der Anspruch nach Art. 18 Abs. 1 DS-GVO besteht nur,

  •  wenn die Richtigkeit der Daten bestritten wird (lit. a),
  • wenn die Verarbeitung unzulässig war, aber ein Löschwiderspruch eingegangen ist (lit. b),
  • nach Zweckerreichnung sofern der Betroffene die Daten noch zur Geltendmachung von Rechtsansprüchen benötigt (lit. c) oder
  • wenn ein Widerspruch nach Art. 21 Abs. 1 DS-GVO eingelegt wurde (lit. d).

ErwGr Nr. 67 präzisiert die Methoden zur Einschränkung dahingehend, dass etwa ausgewählte Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentlichte Daten vorübergehend von einer Website entfernt werden.

i) Berichtigung

Der Berichtigungsanspruch nach Art. 16 S. 1 DS-GVO gehört zu den prohibitiven Betroffenenrechten. Der Rechtskreis der datenverarbeitenden Stelle wird durch die Berichtigung nicht erweitert, vielmehr handelt es sich um einen speziellen Unterlassungsanspruch bezogen auf die Verarbeitung unzutreffender Daten. Im Gegensatz zum Wortlaut der §§ 20 Abs. 1, 35 Abs. 1 BDSG ist in Art. 16 S. 2 DS-GVO nunmehr auch die Vervollständigung unvollständiger Daten ausdrücklich enthalten. Die Berichtigung ist ohne unangemessene Verzögerung durchzuführen.

3. Information

a) Informationspflichten

Die Erhebung von Daten löst Informationspflichten aus. Art. 13 DS-GVO betrifft die Direkterhebung, Art. 14 DS-GVO regelt alle übrigen Fälle. Der Transparenzgrundsatz gehört zu den Kernanliegen der Reform und ergibt sich ausweislich ErwGr Nr. 39 aus Treu und Glauben. Die Grundsätze einer fairen und transparenten Verarbeitung machen es mindestens erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird.[31] Sämtliche Informationen sollen leicht zugänglich, verständlich sowie in klarer und einfacher Sprache abgefasst sein und können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden (Art. 12 DSGVO).

aa) Erhebung bei betroffener Person

Zum Zeitpunkt der Erhebung sind gem. Art. 13 Abs. 1 DSGVO mitzuteilen:

  • Kontaktinformationen der verantwortlichen Stelle nebst Vertreter und ggf. Datenschutzbeauftragtem (litt. a und b),
  •  Zwecke und Rechtsgrundlagen der Verarbeitung (lit. c),
  • berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DS-GVO (lit. d),
  • Empfänger oder Kategorien von Empfängern (lit. e) sowie
  • ein etwaiger Drittlandsbezug nebst Angemessenheitsbeschlusses der Kommission (lit. f).

Nach Art. 13 Abs. 2 DS-GVO sind darüber hinaus zur Verfügung zu stellen:

  • die Speicherdauer oder Kriterien zur Festlegung derselben (lit. a),
  • Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit (lit. b),
  • Bestehen des Rechts auf Widerruf der Einwilligung für Fälle der Artt. 6 Abs. 1 S. 1 lit. a und 9 Abs. 2 lit. a DSGVO (lit. c),
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (lit. d),
  • gesetzliche oder vertragliche Erforderlichkeit und mögliche Folgen einer Nichtbereitstellung (lit. e),
  • Durchführung automatisierter Entscheidungsfindung einschließlich Profiling nebst aussagekräftiger Informationen über die verwendete Logik (lit. f).

Die Unterscheidung von „mitteilen“ und „zur Verfügung stellen“ in den Abs. 1 und 2 hat keine Bedeutung, im englischen Entwurfstext wird gleichermaßen das Verb „to provide“ verwendet.

Pikant ist die Forderung nach aussagekräftigen Informationen über die verwendete Logik bei Profiling und automatisierter Einzelentscheidung. Der pauschale Verweis auf Betriebs- und Geschäftsgeheimnisse wie im Schufa-Urteil des BGH[32] wird in Zukunft vss. nicht mehr fruchten.

Art. 13 Abs. 3 DS-GVO statuiert eine erneute Mitteilungspflicht, sofern sich der Zweck der Datenverarbeitung ändert. Ausnahmen von der Mitteilungspflicht bestehen nach Art. 13 Abs. 4 DS-GVO nur, wenn und soweit die betroffene Person bereits über die Informationen verfügt.

bb) Erhebung nicht bei betroffener Person

Der Katalog des Art. 14 Abs. 1 und 2 DS-GVO ist nahezu identisch mit demjenigen des Art. 13 DS-GVO. In Art. 14 Abs. 2 lit. f DS-GVO treten lediglich Angaben zur Datenquelle hinzu, insbesondere, ob es sich um öffentlich zugängliche Quellen handelt. Ein Äquivalent zu Art. 13 Abs. 2 lit. e DS-GVO erübrigt sich außerhalb der Direkterhebung. Für die nachträgliche Zweckänderung gilt Art. 14 Abs. 4 DS-GVO. Art.

14 Abs. 3 DS-GVO enthält dafür Fristenregelungen. Grundsätzlich ist innerhalb einer angemessenen Frist nach Erlangung der Daten (spätestens nach einem Monat) zu benachrichtigen (lit. a). Sollen die Daten vor Ablauf der Monatsfrist zur Kommunikation mit der betroffenen Person verwendet werden, hat die Mitteilung spätestens zum Zeitpunkt der ersten Kontaktaufnahme zu erfolgen (lit. b). Sofern hingegen eine Weitergabe beabsichtigt ist, ist der Zeitpunkt der ersten Weitergabe maßgeblich (lit. c).

Auch der Katalog an Ausnahmetatbeständen ist außerhalb der Direkterhebung umfangreicher. Nach Art. 14 Abs. 5 DS-GVO wird von der Benachrichtigung abgesehen,

  • wenn die betroffene Person bereits informiert ist (lit. a), – wenn sich die Benachrichtigung als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde (lit. b),
  • wenn die Erlangung bzw. Weitergabe durch Unions- oder mitgliedsstaatliches Recht ausdrücklich geregelt ist und geeignete Maßnahmen zum Schutz der Person vorgesehen sind (lit. c) oder
  • wenn Daten einem Berufsgeheimnis bzw. einer satzungsmäßigen Geheimhaltungspflicht unterliegen (lit. d).

Die Vorschrift erreicht zwar nicht die Regelungsdichte des bisherigen § 33 Abs. 2 BDSG, die Öffnungsklauseln in Art. 14 Abs. 4 litt. c und d DS–GVO leisten jedoch einem gewissen Wildwuchs Vorschub.

cc) Form

Die Menge an bereitgestellten Informationen geht insgesamt weit über das hinaus, was derzeit in den §§ 4 Abs. 3 und 33 Abs. 1 BDSG gefordert wird. Insoweit stellt sich die Frage nach einer geeigneten Darreichungsform. Bei Vorgängen im Internet wird eine elektronische Wiedergabe genügen, wenn die dauerhafte Speichermöglichkeit besteht.[33] Die Frage ist allerdings, ob etwa bei Verwendung von Papierunterlagen oder auch einer Videoüberwachung eine körperliche Wiedergabe der Transparenzinformationen nötig ist.

Art. 12 Abs. 1 S. 2 DS-GVO stellt insofern klar, dass die Transparenzinformationen sowohl dem Einzelnen als auch der Öffentlichkeit in elektronischer Form bereitgestellt werden können. Art. 12 Abs. 7 DS-GVO betrifft darüber hinaus die Verwendung von standardisierten Bildsymbolen in elektronischer und maschinenlesbarer Form. Der leichte Zugang wird stets betont[34], insofern dürfte neben der Angabe essentieller Informationen z.B. ein Verweis auf eine Kurz-URL nebst QR-Code genügen.

dd) Folgen eines Transparenzverstoßes

Handelt es sich bei den Artt. 13 und 14 DS-GVO nun um bloße Ordnungsvorschriften oder um echte Rechtmäßigkeitsvoraussetzungen? Die Entwurfsfassung äußert sich hierzu nicht ausdrücklich. ErwGr Nr. 39 macht deutlich, dass jede Verarbeitung personenbezogener Daten rechtmäßig und nach Treu und Glauben erfolgen sollte und führt sodann in die Transparenzpflichten ein. Dies ist jedoch zu wenig, um aus einem Transparenzverstoß unmittelbar die Rechtswidrigkeit der gesamten Verarbeitung zu folgern und dementsprechend drastische Sanktionen zu verhängen. Etwaigen Transparenzverstößen sollte daher vielmehr durch Bußgeldtatbestände im Sinne von Art. 84 Abs. 1 DS-GVO begegnet werden.

b) Datenpannen

Die Meldepflicht bei Datenpannen nach den Artt. 33 und 34 DS-GVO soll physische, materielle oder immaterielle Schäden verhüten helfen[35] und wartet mit vielfältigen Neuerungen gegenüber der bisherigen Rechtslage auf. So wird die bisherige Unterscheidung in Risiko- und sonstige Daten aufgegeben.[36] Die Meldepflicht trifft öffentliche und private Stellen künftig gleichermaßen.[37] Vor allem aber beschränkt sich die tatbestandliche Definition der „Verletzung des Schutzes personenbezogener Daten“ nicht mehr nur auf die unrechtmäßige Kenntnisnahme durch Dritte. Auch Verfügbarkeits- und Integritätsverletzungen sind nun umfasst.[38] Selbst die unbefugte interne Weitergabe kann als Schutzverletzung angesehen werden.[39] Die Meldepflicht des Auftragsverarbeiters gegenüber dem Auftraggeber ist in Art. 33 Abs. 2 DS-GVO gesetzlich niedergelegt.[40]

aa) Meldung an die Aufsichtsbehörde

Ohne unangemessene Verzögerung und möglichst binnen 72 Stunden ist gem. Art. 33 Abs. 1 und 3 DS-GVO eine Meldung an die Aufsichtsbehörde abzusetzen, die im Wesentlichen derjenigen nach § 42a S. 3 und 4 BDSG gleicht. Von der Meldung kann abgesehen werden, sofern der Vorfall voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen führt. Eine Regelung, die den Grundsatz der Selbstbelastungsfreiheit[41] nach Art. 14 Abs. 3 IPbpR bzw. Art. 6 Abs. 1 S. 1 EMRK berücksichtigen würde, fehlt komplett. Hier müsste ggf. auf Sanktionsebene im Rahmen von Art. 84 Abs. 1 DS-GVO nachgebessert werden.

bb) Meldung an die betroffene Person

Besteht ein wahrscheinlich hohes Risiko für die persönlichen Rechte und Freiheiten, ist daneben grds. den Betroffenen eine Meldung nach Art. 34 Abs. 1 und 2 DS-GVO zuzuleiten. Nach Art. 34 Abs. 3 DS-GVO kann die Benachrichtigung wiederum entfallen,

  • wenn geeignete technische und organisatorische Sicherheitsvorkehrungen (insb. Verschlüsselung) eingesetzt wurden (lit. a)[42],
  • das hohe Risiko durch nachfolgende Maßnahmen aller Wahrscheinlichkeit nach eingedämmt wurde (lit. b) oder – die Meldung mit einem unverhältnismäßigen Aufwand verbunden wäre (lit. c). In letzterem Fall tritt an die Stelle der Einzelbenachrichtigung eine öffentliche Bekanntmachung.

c) Allgemeine datenschutzrechtliche

Auskunft Das allgemeine Auskunftsrecht erfasst nicht nur die vorhandenen Daten, sondern nach Art. 15 Abs. 1 Hs. 1 DS-GVO auch ausdrücklich die Frage, ob überhaupt Daten vorhanden sind.[43]

aa) Inhalt

Der für die Verarbeitung Verantwortliche hat nach Art. 15 Abs. 1 Hs. 2 DS-GVO Auskunft zu erteilen über

  • die Verarbeitungszwecke (lit. a),
  • die Kategorien personenbezogener Daten (lit. b),
  •  Empfänger oder Kategorien von Empfängern (lit. c),
  • die Speicherdauer oder Kriterien für die Festlegung derselben (lit. d),
  • umfassende Betroffenenrechte (litt. e und f),
  • die verfügbaren Informationen über die Herkunft der Daten außerhalb der Direkterhebung (lit. g) sowie
  • das Bestehen einer automatisierten Entscheidungsfindung nebst aussagekräftiger Informationen über die verwendete Logik (lit. h)[44].

Nach Art. 15 Abs. 2 DS-GVO besteht zudem ein Unterrichtungsrecht hinsichtlich geeigneter Datenschutzgarantien bei unsicheren Drittländern.

Art. 19 S. 2 DS-GVO enthält an etwas versteckter Stelle noch einen weiteren Anspruch auf Information darüber, welchen Empfängern die Berichtigung, Löschung oder Einschränkung von Daten mitgeteilt wird. Diese Information muss allerdings durch den Betroffenen konkret angefragt werden.

Das Auskunftsrecht wird nach Art. 15 Abs. 4 DS-GVO nur durch Rechte und Freiheiten anderer Personen beschränkt.[45] Dies darf entsprechend ErwGr Nr. 63 jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird.

bb) Form und Entgelt

Der für die Verarbeitung Verantwortliche stellt gem. Art. 15 Abs. 3 S. 1 DS-GVO eine Kopie der angefragten Daten zur Verfügung. Die erste Kopie ist kostenfrei, für jede weitere Kopie darf ein „angemessenes“ Entgelt verlangt werden. Wird der Antrag in elektronischer Form gestellt, so soll die Auskunft nach Art. 15 Abs. 3 S. 3 DS-GVO ebenfalls auf gängigem elektronischem Wege erfolgen, sofern der Betroffene nichts anderes angibt. Dies stellt jedoch keinen Freibrief zum Unterlaufen technisch-organisatorischer Maßnahmen nach Art. 32 DS-GVO dar. Nach Vorstellung des Verordnungsgebers könnte der Verantwortliche z.B. den Fernzugang zu einem sicheren System bereitstellen, um den Betroffenen direkten Zugang zu ihren personenbezogenen Daten zu ermöglichen.[46] Nach ErwGr Nr. 64 sollten allerdings alle vertretbaren Mittel genutzt werden, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen.

d) Spezielle Einsichtsrechte

Die Einsicht in Personalakten nach § 83 BetrVG bzw. § 110 BBG oder Einsicht in Patientenakten nach § 630g BGB werden nach Inkrafttreten der DS-GVO voraussichtlich erhalten bleiben. Zu den uneigentlichen Betroffenenrechten[47] gehören ferner das vertragliche Informationsrecht nach den §§ 311, 242 BGB[48] und das Urkundeneinsichtsrecht nach § 810 BGB[49]. Für die Urkundeneinsicht bedarf es eines konkreten rechtlichen Interesses. Dieses fehlt, wenn der Anspruchsteller nur auf Grund vager Vermutungen Material für eine spätere Rechtsverfolgung sammeln möchte[50].

e) Recht auf Datenübertragbarkeit

Das Recht auf „data portability“ in Art. 20 Abs. 1 DS-GVO ist ein Informationsanspruch mit gesetzlich festgelegter, besonderer Form. Es geht um die Herausgabe strukturierter und maschinenlesbarer Daten[51] zwecks Übertragung zu einem anderen Dienstleister. Die Daten werden dabei nicht nur über die Bande des heimischen Rechners gespielt, sondern nach Art. 20 Abs. 2 DS-GVO auf Wunsch auch direkt zwischen den konkurrierenden Anbietern transferiert, soweit dies technisch möglich ist.

Der Anspruch besteht nur, sofern die Datenverarbeitung auf Grundlage einer Einwilligung (Artt. 6 Abs. 1 S. 1 lit. a bzw. 9 Abs. 2 lit. a DS-GVO) oder einer vertraglichen Verpflichtung (Art. 6 Abs. 1 lit. b DS-GVO) erfolgt und bezieht sich ausschließlich auf Daten, die die betroffene Person selbst bereitgestellt hat.

Ursprünglich war der Anspruch für den Umzug von socialmedia-Profilen zu konkurrierenden Anbietern gedacht,[52] erfasst aber nunmehr alle automatisierten Verarbeitungen auf Grundlage von Einwilligung und Vertrag.[53] Wegen der Möglichkeit des Direkttransfers nach Art. 20 Abs. 2 DS-GVO ist der Anspruch vor allem für den Wechsel des CloudspeicherAnbieters bei großen Datenmengen interessant.

Das Recht auf Datenportabilität gilt nicht bei Verarbeitungen im öffentlichen Interesse (Art. 20 Abs. 3 S. 2 DSGVO) oder, soweit Rechte und Freiheiten anderer Personen beeinträchtigt werden (Art. 20 Abs. 4 DS-GVO).

4. Petition

a) Datenschutzbeauftragter

Erste Anlaufstelle bei Beschwerden, gewissermaßen als „Anwalt der Betroffenen“, ist der betriebliche oder behördliche Datenschutzbeauftragte.[54] Nach Art. 38 Abs. 4 DS-GVO kann der Datenschutzbeauftragte durch Betroffene in allen Fragen zu Rate gezogen werden, die mit der Verarbeitung von personenbezogenen Daten oder mit der Wahrnehmung von Betroffenenrechten in Zusammenhang stehen.

b) Betriebsrat

Über Fragen des Beschäftigtendatenschutzes wacht zudem gem. § 80 Abs. 1 Nr. 1 BetrVG der Betriebsrat, er kann gem. § 85 Abs. 1 BetrVG angerufen werden.[55] Die Vorschriften des Betriebsverfassungsgesetzes werden vss. Bestand haben.

c) Datenschutzaufsichtsbehörde

Jede betroffene Person kann sich nach Art. 77 Abs. 1 DSGVO bei einer Aufsichtsbehörde beschweren, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten gegen Vorgaben der DS-GVO verstößt. Nach Art. 78 Abs. 2 DS-GVO muss die Behörde künftig den Betroffenen innerhalb von drei Monaten über den Stand oder das Ergebnis der Beschwerde unterrichten.[56]

Die jeweiligen Zuständigkeiten ergeben sich aus den Artt. 55 ff. DS-GVO und wurden aus Betroffenensicht stark vereinfacht.[57] Schlichtweg jede Aufsichtsbehörde ist nach Art. 56 Abs. 2 DS-GVO für die Entgegennahme von Beschwerden zuständig, alles Weitere regeln die Behörden untereinander. Zur weiteren Erleichterung wird in ErwGr Nr. 141 angeregt, Maßnahmen wie die Bereitstellung eines elektronischen Beschwerdeformulars zu ergreifen.

d) Vertretung

Das Verbandsklagerecht bei Datenschutzverstößen nach dem UKlaG ist noch druckfrisch.[58] Verbraucherschutzverbände können seit dem 24. Februar 2016 intervenieren, wenn die Erhebung personenbezogener Daten eines Verbrauchers durch einen Unternehmer in rechtswidriger Weise erfolgt oder wenn die Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung, des Betreibens einer Auskunftei, des Erstellens von Persönlichkeits- und Nutzungsprofilen, des Adresshandels, des sonstigen Datenhandels oder zu vergleichbaren kommerziellen Zwecken erhoben, verarbeitet oder genutzt werden.[59] Die Verbände werden dieses Instrument nach Art. 80 Abs. 2 DS-GVO behalten.

Art. 80 Abs. 1 DS-GVO gewährt den Betroffenen darüber hinaus auch die Möglichkeit, Einrichtungen, Organisationen oder Vereinigungen konkret mit der Durchsetzung ihrer Betroffenenrechte zu beauftragten. Vertretungsberechtigt sind nur solche Institutionen, die keinen Erwerbszweck verfolgen, deren satzungsmäßige Ziele von öffentlichem Interesse sind und die bereits im Bereich des Datenschutzes tätig sind. Erfasst sind das Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DS-GVO), die justiziellen Rechte (Artt. 78 f. DS-GVO) sowie die Inanspruchnahme wegen Schadensersatzes (Art. 82 DS-GVO). Es handelt sich hierbei nicht um ein gewillkürt-standschaftliches Verhältnis, sondern um ein reines Vertretungsrecht.[60]

e) Standesrechtliche Gremien

Berufs- und gewerbespezifische Strukturen bieten ebenfalls Ansprechpartner für Fragen des Datenschutzes. Verstöße gegen berufsrechtliche Verschwiegenheitspflichten können insofern weiterhin von den jeweiligen Kammern standesrechtlich geahndet werden. Auch andere standesrechtliche Gremien, wie z.B. der Rat der deutschen Markt- und Sozialforschung bieten eigenständige Beschwerdemöglichkeiten[61].

f) Staatsanwaltschaft

Strafrechtliche Datenschutzverstöße nach den §§ 201 ff. und 303a f. StGB, § 33 KUG[62] oder auch § 17 UWG können schließlich gem. § 158 Abs. 1 StPO bei Staatsanwaltschaft und Polizei zur Anzeige gebracht werden.

5. Kompensation

a) Art. 82 DS-GVO

Die allgemeine Schadensersatznorm findet sich in Art. 82 DS-GVO. Bei Verstoß gegen die Verordnung sind sowohl Verantwortliche als auch Auftragsverarbeiter zum Ersatz des materiellen bzw. immateriellen Schadens verpflichtet. Der Begriff des Schadens soll ausweislich ErwGr Nr. 146 „im Lichte der Rechtsprechung des Europäischen Gerichtshofs“ weit ausgelegt werden, und zwar auf eine Art und Weise, die den Zielen der DS-GVO in vollem Umfang entspricht.

Wie beim bisherigen § 7 BDSG handelt es sich um eine Haftung für vermutetes Verschulden (Art. 82 Abs. 3 DSGVO). Auftragsverarbeiter können sich gem. Art. 82 Abs. 2 S. 2 DS-GVO exkulpieren, wenn sie ihren speziellen gesetzlich auferlegten Pflichten nachgekommen sind und unter Beachtung der rechtmäßig erteilten Anweisungen des Auftraggebers gehandelt haben.

Sind mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter wegen derselben Verarbeitung ersatzpflichtig, greift eine gesamtschuldnerische Haftung nebst Innenausgleich nach Art. 82 Abs. 4 und 5 DS-GVO.

b) Sonstiges Schadensersatzrecht

Das Schicksal von spezialgesetzlichen Anspruchsgrundlagen wie § 44 TKG oder auch § 82 SGB X ist bislang noch ungewiss. Die §§ 280 ff. BGB für die vertragliche sowie die §§ 823 ff. BGB für die deliktische Haftung werden jed och auch weiterhin Anwendung finden und durch Art. 77 DS-GVO nicht verdrängt. Bei einem Verstoß gegen die DSGVO als solche besteht insoweit Anspruchsgrundlagenkonkurrenz.

III. Zusammenfassung und Ausblick

Die neuen Vorschriften haben unmittelbaren Einfluss auf die Datenschutzorganisation. Nach ErwGr Nr. 59 und dem darauf aufbauenden Art. 12 DS-GVO gilt es, Modalitäten festzulegen, die es einer betroffenen Person ermöglichen, die ihr zustehenden Rechte wahrzunehmen, darunter insbesondere auch Mechanismen, die dafür sorgen, dass sie unentgeltlich den Zugang zu Daten, deren Berichtigung bzw. Löschung beantragen oder von ihrem Widerspruchsrecht Gebrauch machen kann. Anträge sollen spätestens innerhalb eines Monats beantwortet werden, Ablehnungen sind zu begründen.

 In RDV 3/2015 hieß es, eine Zergliederung der Betroffenenrechte nach ihren fünf Zielrichtungen werde „das Verständnis der neuen Regelungen erleichtern und das Selbstbewusstsein der Betroffenen stärken.“[63] In der Tat hat das anhand geltenden Rechts erarbeitete Schema weiterhin Bestand. Die neuen Vorschriften fügen sich nahtlos in das System der Betroffenenrechte ein. Das Instrumentarium erscheint auch durchaus geeignet, die beabsichtigte Stärkung und Präzisierung herbeizuführen.[64] Freilich ergeben sich Detailabweichungen zur bisherigen Rechtslage, jedoch sind diese im Interesse eines gesamteuropäischen Regelwerkes hinzunehmen. Spannend bleibt unterdessen die Frage, welche Einschränkungen von Betroffenenrechten der nationale Gesetzgeber auf Grundlage von Art. 23 DSGVO schaffen oder beibehalten wird.

Dr. iur. Lorenz Franck ist Referent für Beschäftigten-, Sozial- und Gesundheitsdatenschutz bei der Gesellschaft für Datenschutz und Datensicherheit e.V. in Bonn sowie Lehrbeauftragter für Datenschutzrecht an der TH Köln.

[1] Franck, RDV 2015, 137 ff

[2] Näher ErwGr Nr. 9 DS-GVO; vgl. aber Leucker, PinG 2015, 195 ff. ausdrücklich zum „Harmonisierungsmärchen“ bzw. Buchner, DuD 2016, 155, 160.

[3]Http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE.

[4] Albrecht, CR 2016, 88, 91. Zur Bedeutung der Einwilligung nach der DS-GVO Buchner, DuD 2016, 155, 158 ff.

[5] VG Berlin, Urt. v. 24.05.2011, Az.: I K 133.10 (https://dejure.org/2011,29976); Koch, DuD 2014, 691, 692; Franck, RDV 2015, 137; Lotz/Wendler, CR 2016, 31, 35.

[6] Noch unentschieden Lotz/Wendler, CR 2016, 31, 36.

[7] Nach § 9 S. 2 BDSG sind Maßnahmen nur erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Art. 32 Abs. 1 DS-GVO fordert hingegen ein dem Risiko angemessenes Schutzniveau.

[8] Zu entsprechenden Lösungsmöglichkeiten wie der grundrechtskonformen Auslegung von Art. 6 DS-GVO bzw. der unmittelbar aus Art. 8 GRCh abgeleiteten Einwilligung sui generis siehe Franck, in: CR 2016, 238 ff.

[9] Simitis, in: Simitis, BDSG, 8. Aufl. 2014, § 4a Rn. 20 f.; Kühling, in: Wolff/Brink, Datenschutzrecht, 2013, § 4a Rn. 32; Gola/Schulz, ZD 2012, 475, 478.

[10] Art. 4 Nr. 25 DS-GVO definiert Dienste der Informationsgesellschaft als solche im Sinne von Art. 1 Nr. 2 der Richtlinie 98/34/EG, also „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“.

[11] Hierzu insb. Gola/Schulz, ZD 2012, 475 ff

[12] Oder bspw. die Anmeldung eines DeMail-Kontos, vgl. § 3 Abs. 3 S. 4 DeMailG

[13] Schwebende Unwirksamkeit, vgl. parallel § 108 Abs. 1 BGB.

[14] Vgl. diesbezüglich Apple Family Sharing, https://support.apple.com/en-us/HT201084.

[15] Nach nationalstaatlichem Recht kann ein anderes Alter zugrundegelegt werden, nicht jedoch unter 13 Jahren.

[16] So auch Albrecht, CR 2016, 88, 97, der „vollkommen unrealistische Altersgrenzen“ moniert

[17] OLG München, Urt. v. 27.09.2012, 29 U 1682/12 (openjur. de/u/566511.html).

[18] Der Gesetzgeber beabsichtigte ausdrücklich eine Einschränkung der Privatautonomie im Interesse der Betroffenen, BT-Drs. 11/4306, S. 41.

[19] Umkehrschluss aus Art. 17 Abs. 1 lit. b DS-GVO.

[20] Nach derzeitiger Rechtslage können dies etwa Fälle sein, in der eine bereits von Datenschutzverstößen betroffene Person weiteren Beeinträchtigungen vorbeugen will, Brink, in: Wolff/Brink, Datenschutzrecht in Bund und Ländern, 2013, § 35 BDSG Rn. 76.

[21] Dies jedoch ggf. erst auf weitere Nachfrage. Durch Art. 21 Abs. 5 DSGVO wird immerhin auch die Verwendung automatisierter Verfahren zur Ausübung des Widerspruchsrechts ermöglicht (zur „Do-not-track“- Einstellung des Browsers Albrecht, CR 2016, 88, 93).

[22] BGH, Urt. v. 18.11.2014 – Az. VI ZR 76/14 (http://dejure.org/2014, 35148).

[23] Etwa handels- und steuerrechtliche Aufbewahrungsfristen (§ 257 HGB; § 147 AO) oder anderweitige Archivierungspflichten (§ 10 Abs. 3 MBO-Ä; § 28 RöntgenVO, § 6 PBV).

[24] Hierbei sind insbesondere Verjährungs- und Klageausschlussfristen zu beachten, vgl. etwa §§ 195 f. BGB; § 438 BGB; § 4 S. 1 KSchG; § 21 Abs. 5 AGG.

[25] EuGH, Urt. v. 13.05.2014, Az. C-131/12 (https://dejure.org/2014, 9457).

[26] Kritisch hierzu Arning/Moos/Schefzig, CR 2014, 447, 450 ff.; Holznage/Hartmann, MMR 2016, 228, 231 f. Zur Herleitung ausführlich Boehme-Neßler, NVwZ 2014, 825, 827 ff.

[27] So bereits jetzt BGH, Urt. v. 28.06.2015, Az. VI ZR 340/14 (https://dejure.org/2015,21630). Die Urteilsbegründung verweist sogar ausdrücklich auf Art. 17 des DS-GVO-Ratsentwurfs.

[28] Siehe auch ErwGr Nr. 66.

[29] Kritisch hierzu auch Kipker/Voskamp, DuD 2012, 737, 742; Orthwein/ Rücker, DuD 2014, 613, 617.

[30] Vgl. Art. 18 Abs. 2 DS-GVO: Einwilligung; Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen; Schutz der Rechte einer anderen natürlichen oder juristischen Person; wichtiges öffentliches Interesse.

[31] ErwGr Nr. 60

[32] BGH, Urt. v. 28.01.2014, Az. VI ZR 156/13 (https://dejure.org/2014, 492)

[33] Ggf. in Anlehnung an die Form einer Widerrufsbelehrung, vgl. BGH, Urt. v. 15. Mai 2014, Az. III ZR 368/13 (https://dejure.org/2014, 11644).

[34] ErwGr Nrn. 39, 58; Art. 12 Abs. 1 S. 1, 12 Abs. 7 DS-GVO

[35] ErwGr Nr. 85 zählt mögliche Fallkonstellationen auf.

[36] Vgl. § 42a S. 1 Nrn. 1-4 BDSG

[37] Kritisch zur Beschneidung des Adressatenkreises nach § 42a BDSG Franck, GDD-Ratgeber Datenpannen, 2. Aufl. 2015 (http://t1p.de/Datenpannen2015), S. 18 m.w.N.

[38] Definition in Art. 4 Nr. 12 DS-GVO. Näher hierzu Marschall, DuD 2015, 183, 184; anschauliches Fallbeispiel bei der Art. 29-Gruppe, Opinion 3/2014 on Personal Data Breach Notification, 693/14/EN, (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp213_en.pdf), S. 5.

[39] Marschall, DuD 2015, 183, 184.

[40] Vgl. stattdessen die vertragliche Ausgestaltung nach geltendem Recht, Franck, Datenpannen (Fn. 41), S. 41 f.

[41] Vgl. insoweit § 42a S. 6 BDSG, näher hierzu Franck, Datenpannen (Fn. 41), S. 31 ff.

[42] Vgl. hierzu § 109a Abs. 1 S. 3 TKG, näher Franck, Datenpannen (Fn. 41), S. 44.

[43] Entsprechend der bisherigen h.M. zu § 34 BDSG, vgl. Weichert, NVwZ 2007, 1004, 1005; Dix, in: Simitis, BDSG, 8. Aufl. 2014, § 34 Rn. 18; Schmidt-Wudy, in: Wolff/Brink, Datenschutzrecht in Bund und Ländern, 2013, § 34 Rn. 14; Franck, ZD-Aktuell 2015, 04740.

[44] Zur Offenbarung von Algorithmen siehe oben, Abschn. II. 3. a) aa).

[45] Der umfangreiche Ausnahmenkatalog des § 34 Abs. 7 BDSG scheint damit abgeschafft. Über die Öffnungsklausel in Art. 23 DS-GVO bleibt dem nationalen Gesetzgeber jedoch einiges an Spielraum.

[46] ErwGr Nr. 63.

[47] „Uneigentlich“, siehe Franck, RDV 2015, 137, 141.

[48] BGH, Urt. v. 23.11.1982, VI ZR 222/79 (dejure.org/1982,125); LG Bochum, Urt. v. 22.08.2008, I-5 S 72/08 (openjur.de/u/133343. html); AG München, Urt. v. 24.02.2009, 282 C 26259/08 (openjur. de/u/474499.html).

[49] LG Kiel, Urt. v. 04.04.2008, 8 O 50/07 (openjur.de/u/167342.html)

[50] BGH, Beschl. v. 20.06.2013, IX ZB 50/12 (openjur.de/u/643776.html).

[51] Also Datenbankformate (XML, kommaseparierte Liste, SQlite etc.) oder Ordnerstrukturen. Eine bloße Wiedergabe in HTML wird nicht genügen, Kipker/Voskamp, DuD 2012, 737, 740. ErwGr Nr. 68 regt insoweit die Entwicklung interoperabler Formate an; näher zur Frage von Interoperabilität und Strukturierung auch Schätzle, PinG 2016, 71, 74.

[52] Zum Sinn dessen Kipker/Voskamp, DuD 2012, 137, 140 f.

[53] So z.B. auch das Arbeitsverhältnis. Zur Übertragung von Fahrverhaltensdaten von einem Fahrzeug-Leasinggeber zum nächsten Schätzle, PinG 2016, 71, 73, obschon sich die Frage stellt, ob diese Daten tatsächlich „bereitgestellt“ wurden im Sinne von Art. 20 Abs. 1 DS-GVO.

[54] Eingehend Jaspers/Reif, RDV 2016, 61 ff.

[55] Näher Kort, NZA 2015, 1345 ff.; Franck/Reif, ZD 2015, 405, 408.

[56] Anders bisher, da überhaupt keine Frist zur Äußerung angenommen wurde, vgl. VG Neustadt, Beschl. v. 22.12.2015, Az. 4 K 867/15.NW (https://dejure.org/2015,40610). Auch wenn weitere Untersuchungen oder die Abstimmung mit einer anderen Aufsichtsbehörde nötig wird, sollte hierüber informiert werden, ErwGr Nr. 141.

[57] Zum sog. „one-stop-shop“-Prinzip Gierschmann, ZD 2016, 51, 51 f

[58] BGBl. 2016 I, S. 233 ff.

[59] Im Einzelnen Gola, RDV 2016, 17 ff.; Spindler, ZD 2016, 114 ff.; Jaschinski/Piltz, WRP 2016, 420 ff.; Halfmeier, NJW 2016, 1126 ff.

[60] Die englische Textfassung „lodge the complaint on his or her behalf” ließe auch eine Standschaft zu, die redaktionelle Überschrift “Vertretung”/”Representation” dürfte jedoch eindeutig sein.

[61] Einzelheiten unter http://rat-marktforschung.de/beschwerde/.

[62] Das KUG wird vss. erhalten bleiben.

[63] Franck, RDV 2015, 137, 141

[64] Zustimmend Gierschmann, ZD 2016, 51,55; Albrecht, CR 2016, 88, 92.