14 DSGVO) hat dabei keine inhaltlichen Auswirkungen, kann aber im Zweifel zur Klarstellung für beide Normen dienen. So wird beispielsweise durch die in Art. 14 Abs. 1 lit. f DSGVO gewählte Formulierung („Empfänger in einem Drittland“ statt „Absicht ... an ein Drittland“) deutlicher, dass es sich um eine Information über die Empfänger in den Drittstaaten handelt. Die bloße Nennung des Drittlandes kann daher weder bei der Information im Rahmen des Art. 13 DSGVO noch im Zusammenhang der Information nach Art. 14 DSGVO den Erfordernissen der Datenschutz-Grundverordnung entsprechen.20
8
Abweichend von den Informationserfordernissen nach Art. 13 DSGVO, verlangt Art. 14 Abs. 1 lit. d DSGVO vom Verantwortlichen die Information der betroffenen Person über die Kategorien der verarbeiteten personenbezogenen Daten. Hintergrund dieser zusätzlichen Information ist, dass anders als bei einer Direkterhebung nach Art. 13 DSGVO, der betroffenen Person sonst nicht bewusst sein dürfte, um welche Daten es sich eigentlich handelt. Es reicht jedoch, wenn der Verantwortliche der betroffenen Person hierzu allgemeine Angaben macht, durch die diese in die Lage versetzt wird, die mit der Verarbeitung verbundenen Risiken abzuschätzen.21 Will die betroffene Person über die im Rahmen der Information erhaltenen Angaben hinaus detailliertere Kenntnisse zu den über sie verarbeiteten Daten erhalten, muss dies gegebenenfalls über einen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht werden.22
IV. Informationspflichten nach Abs. 2
9
In Abs. 2 verlangt Art. 14 DSGVO ebenfalls denen von Art. 13 Abs. 2 DSGVO vergleichbare Informationen.23 So besteht auch nach Abs. 2 lit. a DSGVO die Verpflichtung des Verantwortlichen, die betroffene Person über die Dauer der Datenspeicherung zu informieren (vgl. Art. 13 Abs. 2 lit. a DSGVO). Daneben verpflichtet Abs. 2 lit. b den Verantwortlichen zur Information über das berechtigte Interesse (vgl. Art. 13 Abs. 1 lit. d DSGVO). Die Pflicht der betroffenen Person, ihre Betroffenenrechte mitzuteilen, findet sich in Abs. 2 lit. c (vgl. Art. 13 Abs. 2 lit. b DSGVO). Abs. 2 lit d enthält ebenfalls eine Verpflichtung, über die Möglichkeit des Widerrufs einer Einwilligung zu informieren (Art. 13 Abs. 2 lit. c DSGVO) und die Informationspflicht zum Beschwerderecht ergibt sich aus Abs. 2 lit. e (vgl. Art. 13 Abs. 2 lit. d). Zuletzt enthält Abs. 2 lit. g noch die Pflicht zur Information über automatisierte Entscheidungsfindung (vgl. Art. 13 Abs. 2 lit. f DSGVO).24 Darüber hinaus muss der Verantwortliche aber außerdem die betroffene Person noch über die Quelle der erhobenen Daten informieren (Abs. 2 lit. f). Diese zusätzliche Informationspflicht im Rahmen des Art. 14 DSGVO ist aus Sicht der transparenten Datenverarbeitung nur konsequent, besteht doch lediglich auf diese Weise die Möglichkeit der betroffenen Person, die Rechtmäßigkeit der ursprünglichen Datenerhebung überprüfen zu können. Ebenso kann die betroffene Person aufgrund dieser Information feststellen, wer für die eigentliche Datenerhebung verantwortlich war und gegebenenfalls dort ihre Betroffenenrechte geltend machen (bspw. auf Berichtigung, Löschung usw.).25
10
Dabei ist der Begriff der „Quelle“ weit zu verstehen, sodass sowohl die Methode als auch das Instrument zur Datenerhebung genannt werden muss, sofern dies für die betroffene Person relevant ist, um das Risiko der Datenverarbeitung abschätzen zu können (Gegenstand und Mittel).26 So werden sowohl Personen als auch Institutionen, welche die Daten an den Verantwortlichen übermitteln, von der Informationspflicht erfasst und sind mit Name oder Bezeichnung sowie den Kontaktdaten zu benennen.27 Doch ebenso bei Veröffentlichung der Daten oder auch nur Spuren, die durch die betroffene Person hinterlassen wurden, sind gegebenenfalls als Quelle anzugeben, indem die Fundstelle bzw. die Art und der Fundort angegeben werden.28
11
Darüber hinaus kann es aufgrund der besonderen Risiken für die betroffene Person notwendig sein, das Mittel der Datenerhebung zu benennen, zumindest, wenn sich dies nicht bereits aus dem Gegenstand der Datenverarbeitung ohne Weiteres ergibt. Das kann zumindest im Fall einer verdeckten Erhebung oder der Verwendung eines komplexen Analyseverfahrens notwendig sein, da dann der betroffenen Person nicht von vorneherein die Hintergründe bekannt sind.29 Ebenso sind der betroffenen Person die Entnahme der Daten aus öffentlich zugänglichen Quellen mitzuteilen.30 Das gilt auch dann, wenn mehrere Quellen genutzt wurden, sofern nicht ausnahmsweise die Datenquelle deswegen nicht benannt werden kann, weil erst die Analyse einer Vielzahl von Daten aus verschiedenen Quellen die maßgebliche Erhebung personenbezogener Daten ermöglicht hat. In diesem Fall reicht ausnahmsweise eine allgemein gehaltene Information aus (vgl. ErwG 61), bei der lediglich die Mittel der Datenerhebung, die genutzten Datenbestände und/oder das System benannt werden.31
12
Anders als nach Art. 13 Abs. 2 lit. e DSGVO sind im Rahmen des Art. 14 Abs. 2 DSGVO konsequenterweise keine Informationen über die Pflicht oder die Obliegenheit zur Bereitstellung der personenbezogenen Daten notwendig.32
V. Zeitpunkt der Information (Abs. 3)
13
Abs. 3 lit. a enthält zunächst einmal eine allgemeine Regelung zum Zeitpunkt der Information der betroffenen Person, die ausdrücklich erst nach Erlangung der Daten, also nach Datenerhebung erfolgen soll. Es ist jedoch zu bedenken, dass es Fälle geben kann, in denen die Datenerhebung vom Willen der betroffenen Person abhängt, wie dies beispielsweise bei einer Einwilligung, aber auch bei einem Vertrag möglich ist. In diesem Fall ist die Information der betroffenen Person bereits vor der Datenerhebung zu erteilen und die mögliche Frist bis zur Informationserteilung sozusagen faktisch auf null reduziert.33
1. Spezifische Umstände (Abs. 3 lit. a)
14
Als längster für die Information möglicher Zeitraum gilt im Sinne des Abs. 3 lit. a demgegenüber die Frist von einem Monat. Diesen Zeitraum darf der Verantwortliche jedoch nur dann ausschöpfen, sofern nach den Umständen keine kürzere Frist geboten ist, worauf schon die Wortwahl „längstens“ schließen lässt. Der Verantwortliche hat die betroffene Person demnach innerhalb einer angemessenen Frist zu informieren, ohne dass die Vorschrift selbst hierfür einen konkreten Zeitraum benennt.34 Zur Bestimmung müssen folglich die spezifischen Umstände der Verarbeitung berücksichtigt werden, was eine entsprechende Abwägung des Verantwortlichen erforderlich macht.35 Dabei müssen auf Seiten der betroffenen Person die Informationsinteressen zugrunde gelegt werden, nämlich wie dringend die Informationen zur Ausübung ihrer Rechte benötigt werden. Auf der anderen Seite sind demgegenüber die Möglichkeiten des Verantwortlichen zur Informationserteilung und der damit verbundene Aufwand zu berücksichtigen.36 Eventuell bestehende Geheimhaltungsinteressen des Verantwortlichen sind hingegen Gegenstand von Abs. 5 lit. b und lit. d sowie gegebenenfalls von weiteren Beschränkungsregelungen nach Maßgabe des Art. 23 DSGVO und finden insoweit bei der Abwägung im Rahmen des Abs. 3 lit. a keine Berücksichtigung.37
15
Indirekt wirkt die Regelung auf eine datenschutzgerechte technische und organisatorische Konfiguration von Datenverarbeitungsprozessen hin, indem sie bei einer gleichartigen Datenverarbeitung in einer Vielzahl von Einzelfällen die Durchführung der Abwägung in typisierter Form verlangt.38 Werden daher in großem Ausmaß zur automatisierten Weiterverarbeitung Datenbestände erhoben (bspw. im Internet), dann wird vom Verantwortlichen eine Einrichtung des Systems vorausgesetzt, die eine unmittelbare Information an die betroffenen Personen nach der Datenerhebung ermöglicht.39 Demgegenüber kann im Einzelfall ein etwas längerer Zeitraum für die Informationserteilung noch als ausreichend zu erachten sein, wenn dadurch der betroffenen Person ein größerer bzw. besserer Überblick verschafft wird (bspw. bei der Entnahme aus mehreren Quellen, erst nachdem feststeht, welche Quellen dies im Einzelnen betrifft). Doch muss auch dann in die Abwägung einfließen, ob durch den längeren Zeitraum besondere Risiken für die betroffene