1. Dauer der Datenspeicherung (Abs. 2 lit. a)
18
Sofern dem Verantwortlichen die konkrete Speicherdauer bekannt ist, muss er diese der betroffenen Person mitteilen. Lässt sich eine feste Frist zum Zeitpunkt der Datenerhebung hingegen nicht benennen, ist es als ausreichend zu erachten, wenn der Verantwortliche die Kriterien benennt, nach denen sich die Speicherdauer richtet. Diese Information muss dann allerdings so vollständig und präzise sein, dass anhand der angegebenen Kriterien die Speicherdauer durch die betroffene Person zumindest annäherungsweise selbst bestimmt werden kann, sodass zum Beispiel zumindest ein Hinweis auf einzuhaltende Aufbewahrungsfristen zu erwarten ist.57 Nach Ablauf der Speicherdauer muss der Verantwortliche die Daten löschen (vgl. Art. 17 Abs. 1 lit. a DSGVO), sofern nicht die Voraussetzungen zur Weiterverarbeitung aufgrund eines anderen Zwecks erfüllt sind. Diese können sich aufgrund gesetzlicher Aufbewahrungsfristen ergeben, beispielsweise aus dem Handelsrecht (§ 257 HGB) oder dem Steuerrecht (§ 147 AO).58
2. Betroffenenrechte (Abs. 2 lit. b)
19
Der betroffenen Person sind überdies ihre Betroffenenrechte mitzuteilen, d.h. sie ist über das Recht auf Auskunft über gespeicherte Daten (Art. 15 DSGVO), auf Berichtigung unzutreffender Daten (Art. 16 DSGVO), auf Löschung von Daten (Art. 17 DSGVO), auf Einschränkung der Verarbeitung von Daten (Art. 18 DSGVO), auf die Möglichkeit der Datenübertragbarkeit (Art. 20 DSGVO) sowie des Rechts auf Widerspruch gegen eine unzumutbare Datenverarbeitung (Art. 21 DSGVO) zu informieren. Hierbei erscheint eine allgemeine Mitteilung sowie Erläuterung der bestehenden Betroffenenrechte als ausreichend, da auf den Einzelfall bezogene konkrete Hinweise auf bestimmte Betroffenenrechte zum Zeitpunkt der Datenerhebung nicht möglich sind. Dies gilt aber nur dann, wenn nicht schon bei Erteilung der Information absehbar ist, dass bestimmte Rechte durch den Betroffenen überhaupt nicht wahrgenommen werden können, weil beispielsweise eine bestimmte Datenverarbeitungsform eine Datenübertragbarkeit (Art. 20 DSGVO) von vorneherein ausschließt.59 In diesem Fall ist beim Inhalt der Information auf die tatsächlich zustehenden Rechte der betroffenen Person abzustellen, um falsche Vorstellungen bzw. den Anschein von mehr als wirklich bestehenden Rechten bei der betroffenen Person auszuschließen.60
20
Die Information über Betroffenenrechte wirkt hingegen nicht konstitutiv, sodass ein fälschlich genanntes Recht (bspw. ein nicht bestehendes Widerspruchsrecht) bei mangelndem Vorliegen der notwendigen Voraussetzungen nicht zur Bindung des Verantwortlichen an die Einhaltung dieses Betroffenenrechts führt.61
3. Widerrufsmöglichkeit der Einwilligung (Abs. 2 lit. c)
21
Der Verantwortliche hat die betroffene Person, sofern die Datenerhebung durch eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO oder gem. Art. 9 Abs. 2 lit. a DSGVO, sowohl auf die Möglichkeit des bestehenden Widerrufsrechts als auch auf dessen Ex-nunc-Wirkung (Rechtmäßigkeit der Verarbeitung bis zum Widerruf) zu informieren.62 Bei einer fälschlichen Zusicherung des Verantwortlichen, dass aufgrund einer Einwilligung die Daten erhoben werden, führt dies in diesem Fall (anders als bei der Angabe eines nicht vorhandenen Betroffenenrechts) jedoch dazu, dass kein Rückgriff auf andere Erlaubnistatbestände möglich ist, der Verantwortliche ist vielmehr an die Möglichkeit des Widerrufs bei dessen Wahrnehmung durch die betroffene Person gebunden.63
4. Beschwerderecht (Abs. 2 lit. d)
22
Die betroffene Person ist außerdem über die nach Art. 77 Abs. 1 DSGVO bestehende Möglichkeit der Beschwerde bei einer Aufsichtsbehörde zu informieren. Inwieweit dabei eine zuständige Aufsichtsbehörde zu benennen ist, bei der eine möglichst niedrigschwellige Beschwerdemöglichkeit besteht, wird unterschiedlich beurteilt.64 Auf jeden Fall ist aber zu berücksichtigen, dass die betroffene Person oftmals gar nicht wissen wird, was für eine Aufsichtsbehörde für sie zuständig ist, weshalb schon aufgrund des Transparenzgrundsatzes die Angabe der Aufsichtsbehörde und deren Kontaktdaten geboten erscheint.65 Gegebenenfalls kann dies durch die Aufnahme eines Links erfolgen, unter dem die entsprechenden Kontaktdaten aufgeführt sind.66
5. Verpflichtung oder Obliegenheit zur Bereitstellung der Daten (Abs. 2 lit. e)
23
Ist die betroffene Person zur Bereitstellung der Daten gesetzlich oder vertraglich verpflichtet, so muss der Verantwortliche sie sowohl darüber als auch über die möglichen Folgen einer Nichtbereitstellung informieren. Hat eine betroffene Person daher beispielsweise aufgrund einer gesetzlichen Grundlage die Pflicht zur Auskunft oder zur körperlichen Untersuchung, so muss sie die entsprechende Information darüber erhalten. Damit der Verantwortliche jedoch überhaupt in die Lage versetzt wird, die konkreten Inhalte der zu erteilenden Information zu bestimmen, kann es hilfreich sein, die von Abs. 2 lit. e erfassten Fallkonstellationen zu analysieren und entsprechend zu unterteilen, um den Inhalt der jeweiligen Konstellation anzupassen.67
Grob unterteilt lassen sich danach drei Gründe unterscheiden, nämlich zum einen die Notwendigkeit der Datenbereitstellung aufgrund einer konkreten Verpflichtung, zum anderen der Grund des zu erwartenden Nachteils für die betroffene Person, wenn sie die Daten nicht bereitstellt und zuletzt noch der Fall, dass es der betroffenen Person freisteht, die Daten zur Verfügung zu stellen.68 Sofern eine konkrete Verpflichtung der betroffenen Person zur Datenbereitstellung besteht, ist es zunächst einmal denkbar, dass sich die Pflicht zur Bereitstellung der Daten aus einem Vertrag ergibt, der zur Datenerhebung nach Art. 6 Abs. 1 lit. b DSGVO berechtigt. Die Pflicht kann außerdem nach Art. 6 Abs. 1 lit. c und e DSGVO aufgrund einer gesetzlichen Regelung bestehen, die in Art. 6 Abs. 2 und Abs. 3 DSGVO vorgesehen sind. Demnach besteht in diesen Fällen eine gesetzliche bzw. vertragliche Pflicht der betroffenen Person zur Bereitstellung der Daten, worüber der Verantwortliche die betroffene Person entsprechend informieren muss. Hingegen nicht von der Mitteilungspflicht des Verantwortlichen umfasst ist die Angabe darüber, ob die Datenerhebung aufgrund einer Pflicht oder einer Befugnis bzw. einer Berechtigung des Verantwortlichen zur Datenerhebung erfolgt, da dies allein den Verantwortlichen betrifft und die betroffene Person und die Wahrnehmung möglicher Betroffenenrechte in diesem Zusammenhang völlig unwesentlich ist.69 Der Verantwortliche muss hingegen die möglichen Folgen einer Weigerung der betroffenen Person mitteilen, d.h. wenn es spezifische Sanktionen oder Durchsetzungsmechanismen gibt (bspw. Bußgeld oder Strafe), was jedoch keine allgemeinen Ausführungen zum Verwaltungsvollstreckungs- oder Zivilprozessrecht erfordert.70
24
Neben der Pflicht zur Bereitstellung der Daten durch die betroffene Person, ist es aber außerdem denkbar, dass es sich lediglich um eine Obliegenheit der betroffenen Person bzw. um die Voraussetzung eines Vertragsabschlusses handelt, also allenfalls Rechtsnachteile drohen, wenn die Daten nicht bereitgestellt werden. Auch hier muss der Verantwortliche die betroffene Person sowohl über die bestehende Verpflichtung zur Datenbereitstellung als auch darüber informieren, aus welcher vertraglichen oder gesetzlichen Grundlage sich die Obliegenheit ergibt.71 Dies ist vor allem dann wichtig, wenn sich die Datenerhebungserlaubnis aus einer anderen Rechtsgrundlage als die Obliegenheit ergibt (z.B. im Rahmen eines Versicherungsverhältnisses, wenn sich die Obliegenheit zur Einreichung bestimmter Unterlagen durch den Versicherungsnehmer aus den Tarifbedingungen, die Erlaubnis der Datenerhebung durch den Versicherer demgegenüber aus Art. 6 Abs. 1 Satz 1 lit. a oder b DSGVO