Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 497

IX. Sanktionen

Оглавление

30

Wird eine betroffene Person durch den Verantwortlichen nicht nach Abs. 1, Abs. 2 oder Abs. 4 informiert bzw. der nach Abs. 3 einzuhaltende Zeitraum überschritten, handelt es sich um eine Informationspflichtverletzung, welche gemäß Art. 83 Abs. 5 lit. b DSGVO mit einer Geldbuße geahndet werden kann.73 Die Verletzung der Informationspflichten führt aber nicht zwingend zur Rechtswidrigkeit der Datenerhebung, vielmehr kommt es auch im Rahmen des Art. 14 Abs. 1 und Abs. 2 DSGVO darauf an, ob die Datenerhebung von der Entscheidung der betroffenen Person abhing, sie also die Entscheidung mangels der notwendigen Informationen nicht treffen konnte.74 Hätte die Information demnach schon bei der Datenerhebung erfolgen müssen (bspw. bei einer notwendigen Einwilligung oder der Vorbereitung eines Vertragsverhältnisses), so ist deren Weiterverarbeitung rechtswidrig. Dies ist auch dann der Fall, wenn die Weiterverarbeitung nach einer Zweckänderung gemäß Abs. 4 vom Willen der betroffenen Person abhängt.75 Ansonsten bleibt die Weiterverarbeitung rechtmäßig, die Informationen müssen allerdings durch den Verantwortlichen umgehend nachgeholt werden.76

1 Zur Bestrebung, die Betroffenenrechte zu stärken und die Verantwortlichen mehr in die Pflicht zu nehmen, siehe u.a. bei Thode, in: Schläger/Thode, Handbuch Datenschutzrecht und IT-Sicherheit, Kapitel A m.w.N. 2 Zur sog. „aktiven Transparenz“ und den Betroffenenrechten im Einzelnen siehe außerdem Franck, RDV 2015, 137, 141. 3 Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 1, Art. 14 Rn. 1. 4 Dazu Franck, in: Gola, DS-GVO, Art. 13 Rn. 1, Art. 14 Rn. 1. 5 Im Einzelnen bei Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 13 Rn. 1. 6 Für die weitere Anwendung des TMG, solange die E-Privacy-Richtlinie nicht kommt, so noch Venzke-Caparese, DuD 2018, 156; siehe aber auch die Meinung der Aufsichtsbehörden, DSK v. 26.4.2018; darüber hinaus wurde inzwischen das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) beschlossen, welches bereits ab dem 1.12.2021 gilt, mit dem Ziel, die Datenschutzbestimmungen des Telekommunikationsgesetzes (TKG) sowie des Telemediengesetzes (TMG) an die Datenschutzgrundverordnung anzupassen, bestehende Rechtsunsicherheiten zu beseitigen und die Datenschutzbestimmungen von TKG und TMG zusammenzufassen, hierzu näher unter https://www.gdd.de/aktuelles/startseite/gdd-veroeffentlicht-praxishilfe-das-neue-telekommunikation-telemedien-datenschutz-gesetz-ttdsg-im-ueberblick (zuletzt abgerufen am 15.7.2021). 7 Die Vorschrift als Pedant zu Art. 13 bezeichnend Franck, in: Gola, DS-GVO, Art. 14 Rn. 1. 8 Dazu Franck, in: Gola, DS-GVO, Art. 14 Rn. 2; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 4; noch zu den Betroffenenrechten nach BDSG a.F. siehe Franck, RDV 2015, 137; nach DSGVO Franck, RDV 2016, 111. 9 Jedoch nicht den Auftragsverarbeiter, vgl. bereits oben unter Rn. 2. 10 Zur weiten Auslegung des Begriffs Datenerhebung vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 11; noch zu Art. 11 DSRl Brühann, in: Grabitz/Hilf, DSRl, Art. 11 Rn. 4; demgegenüber anders noch bei Dammann/Simitis, DSRl, Art. 10 Rn. 3; insoweit handelt es sich um eine Art Auffangnorm, vgl. Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 2a. 11 Vgl. Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 2; Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 9; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 1. 12 Bzw. inwieweit andere Regelungen gelten, hierzu Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 9. 13 Paal/Hennemann, in: Paal/Pauly, DS-GVO BDSG, Art. 14 Rn. 13; zum Problem der Reichweite auch bei Kugelmann, DuD 2016, 566, 568. 14 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 13. 15 Dazu bereits unter Art. 13 Rn. 12 ausführlich; aber auch für Art. 14 zur entgegengesetzten Auffassung, dass die Information nach Abs. 2 situationsbedingt sein soll, Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 22; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 11. 16 Dazu unter Art. 13 Rn. 8f. 17 Dazu unter Art. 13 Rn. 10ff.; dazu allgemein auch bei Buchner, DuD 2016, 155. 18 Dazu unter Art. 13 Rn. 14f. 19 Dazu Art. 13 Rn. 16. 20 Zum Vergleich mit anderen Sprachfassungen bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 16. 21 Zum Ganzen bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 17; Kategorien von Daten als ausreichend erachtend Lorenz, VuR 2019, 213, 219; zusammenfassende thematische Beschreibung verlangen nach Art. 12 DSRl noch Dammann/Simitis, DSRl, Art. 12 Rn. 4; auch hier besteht die Notwendigkeit, dass eine betroffene Person die Reichweite erkennt, vgl. ähnlich noch zur informierten Einwilligung nach BDSG a.F. Lindner, Die datenschutzrechtliche Einwilligung nach §§ 4 Abs. 1, 4a BDSG – ein zukunftsfähiges Institut?, S. 131. 22 Vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 17; Lorenz, VuR 2019, 213, 219; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 8. 23 Auch hier keine Trennung in Pflichtinformationen und sonstige Informationen, so aber für Art. 13 DSGVO Schantz, NJW 2016, 1841, 1845. 24 Zu möglichen Formulierungen im Bereich des Gesundheitswesens siehe bspw. bei Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/8.1. 25 Vgl. Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 38; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 17. 26 Insbesondere auch die Abgrenzung, ob öffentlich zugängliche Quelle, vgl. Franck, in: Gola, DS-GVO, Art. 14 Rn. 13; für weites Verständnis Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 19. 27 Vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 20; wohl auch Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 38. 28 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 20; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 17. 29 Zu weiteren Beispielen bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 21; Werkmeister/Brandt, CR 2016, 233, 236. 30 Franck, in: Gola, DS-GVO, Art. 14 Rn. 14; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 17. 31 Vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 23. 32 Zur möglichen Regelungslücke, die aber praktisch wenig Auswirkung hat, siehe Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 24ff.; siehe auch Franck, RDV 2016, 111, 115. 33 Zur Notwendigkeit, dass bei einer Einwilligung dies dann schon ein Erfordernis der informierten Einwilligung ist, siehe auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 32. 34 Ähnlich wohl auch Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/9. 35 So wohl auch Franck, in: Gola, DS-GVO, Art. 14 Rn. 18, der von einer Berücksichtigung der spezifischen Umstände spricht. 36 Ähnlich Franck, in: Gola, DS-GVO, Art. 14 Rn. 18. 37 Vgl. ebenso Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 28. 38 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 29. 39 Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 14. 40 Siehe bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 30; Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 20. 41 Dazu näher Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 34. 42 Ebenso mit Hinweis auf sprachliche Unterschiede in den Fassungen der Mitgliedstaaten, siehe Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 35. 43 Dazu auch Franck, RDV 2016, 111, 115f.; bei der es sich aber um die Maximaldauer handelt, Franck, in: Gola, DS-GVO, Art. 14 Rn. 21. 44 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 40; ähnlich noch zu Art. 11 DSRl Dammann/Simitis, DSRl, Art. 11 Rn. 2. 45 Zum Ganzen und zum Beispiel der Weiterleitung von Bewerberdaten an eine Firma zur Personalberatung, siehe bei Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 38. 46 In Art. 13 Abs. 3 DSGVO wurde die Formulierung „erhoben wurde“ verwendet, dazu auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 45; Franck, in: Gola, DS-GVO, Art. 14 Rn. 17. 47 Zur Notwendigkeit dieser Informationen siehe unter Art. 13 Rn. 31ff. 48 Dazu unter Art. 13 Rn. 32. 49 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 49. 50 Zum Vergleich mit dem § 33 Abs. 2 BDSG, siehe Härting, Datenschutz-Grundverordnung, Rn. 74f. 51 Dazu unter Art. 13 Rn. 38f. 52 Vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 52. 53 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 54. 54 Vgl. Franck, in: Gola, DS-GVO, Art. 14 Rn. 25; so auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 54. 55 Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 26; ggf. sind geeignete Maßnahmen zu ergreifen, um die Rechte und Freiheiten der betroffenen Personen zu schützen, vgl. Franck, in: Gola, DS-GVO, Art. 14 Rn. 25. 56 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 55. 57 Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 27. 58 Vgl. auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 56. 59 Zum Ganzen Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 59 mit Hinweis darauf, dass es sich nicht um eine verarbeitungsübergreifende Ausschlussvorschrift handelt. 60 Dazu Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 63. 61 Nicht eindeutig bei Franck, in: Gola, DS-GVO, Art. 14 Rn. 25; dazu außerdem Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 29. 62 Dies zumindest als eines der Hauptanwendungsfälle erachtend Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 66; schon insoweit zu Art. 11 Abs. 2 DSRl noch Dammann/Simitis, DSRl, Art. 11 Rn. 7. 63 EuGH, Urt. v. 1.10.2015 – C-201/14, ECLI:EU:C:2015:638, Rn. 45 – Bara u.a. 64 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 65; schon insoweit noch zu Art. 11 Abs. 2 DSRl bei Dammann/Simitis, DSRl, Art. 11 Rn. 7; Meldepflichten als Beispiel nennend Däubler, in: Däubler/Wedde/Weichert/Sommer, EU-DSGVO und BDSG, Art. 14 Rn. 30. 65 Dazu schon EuGH, Urt. v. 1.10.2015 – C-201/14, ECLI:EU:C:2015:638, Rn. 45 – Bara u.a. 66 Zum Ganzen ebenfalls Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 67. 67 Dazu Franck, in: Gola, DS-GVO, Art. 14 Rn. 27. 68 Dazu bei Venzke-Caprarese, in: Buchner, Das neue Datenschutzrecht im Gesundheitswesen, Kapitel B/8.2. 69 Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 71f. 70 Vgl. unter Art. 13 Rn. 34ff., und Art. 12 Rn. 8ff. 71 Zur Einwilligung nach altem Recht bei von Zimmermann, Die Einwilligung im Internet, S. 252; Rogosch, Die Einwilligung im Datenschutzrecht, S. 72f. 72 Vgl. Knyrim, in: Ehmann/Selmayr, DS-GVO, Art. 14 Rn. 12. 73 Zur Möglichkeit und Höhe der Geldbuße nach Datenschutzgrundverordnung siehe u.a. bei Eckhard/Menz, DuD 2018, 139; Mester, DuD 2018, 181; Steffen, DuD 2018, 145, 147. 74 Vgl. Franck, RDV 2016, 111, 116. 75 Dazu insgesamt auch Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 50. 76 Information bildet keine rechtliche Voraussetzung der Datenverarbeitung, vgl. Bäcker, in: Kühling/Buchner, DS-GVO BDSG, Art. 14 Rn. 44; mit Hinweis auf Art. 6 und dessen fehlendem Hinweis auf Art. 14, siehe Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Rn. 8.

DSGVO - BDSG - TTDSG

Подняться наверх