25
Handelt es sich hingegen um eine freiwillige Bereitstellung von Daten der betroffenen Person, so muss der Verantwortliche auch darauf hinweisen. Diese Verpflichtung besteht umso mehr, wenn es sich um behördliche Stellen handelt, selbst wenn diese lediglich um eine Auskunftserteilung bitten, da der betroffenen Person bei Schreiben öffentlicher Stellen nicht immer bewusst sein wird, ob die Stelle nicht eventuell doch hoheitlich handelt und daher Nachteile in Form staatlicher Sanktionen befürchtet.74
26
Unabhängig von den aufgezeigten Konstellationen ist bei der Informationserteilung durch den Verantwortlichen darauf zu achten, dass die nach Abs. 2 lit. e notwendigen Angaben die betroffene Person in die Lage versetzen sollen, ihre rechtliche Stellung gegenüber dem Verantwortlichen bzw. der Datenerhebung einschätzen zu können. Für den Umfang der notwendigen Information nach Abs. 2 lit. e kommt es daher vor allem darauf an, ob die betroffene Person diese Einschätzung auf Grundlage der erhaltenen Informationen auch wirklich vornehmen kann.75 Gerade den Angaben nach Abs. 2 lit. e kommt daher für eine faire und transparente Datenverarbeitung gegenüber der betroffenen Person eine erhebliche Bedeutung zu. Die in diesem Zusammenhang notwendigen Informationen sollten vom Verantwortlichen daher möglichst konkret formuliert werden und an die betroffene Person unabhängig davon erfolgen, ob abweichend von der hier vertretenen Auffassung, die Angabe der nach Abs. 2 notwendigen Informationen nur nach vorheriger Risikobewertung erfolgt.76
6. Automatisierte Entscheidungsfindung und Profiling (Abs. 2 lit. f)
27
Zuletzt verlangt Abs. 2 lit. f noch die Information der betroffenen Person, wenn personenbezogene Daten über diese automatisiert verarbeitet werden sollen, um eine für die betroffene Person rechtlich relevante oder sonst nachteilige Entscheidung zu fällen oder vorzubereiten. Relevant ist dies vor allem für die zulässige automatisierte Entscheidungsfindung nach Art. 22 Abs. 1 oder Abs. 4 sowie bei Profilingmaßnahmen im Sinne des Art. 4 Nr. 4 DSGVO, auch wenn die Entscheidung nicht ausschließlich darauf beruht.77 Mangels Profiling, gehören reine Marketingzwecke nicht dazu, dies lässt sich im Umkehrschluss dem Art. 21 Abs. 1 Satz 1 Hs. 2 und Abs. 2 Hs. 2 DSGVO entnehmen.78
28
Neben der immer zu erteilenden Information der Absicht einer solchen Maßnahme, kann außerdem eine erweiterte Informationspflicht bestehen, nach der zusätzlich die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person ebenfalls mitzuteilen sind.79 Diese erweiterte Informationspflicht besteht zumindest immer dann, wenn eine automatisierte Entscheidungsfindung vorliegt, die dem Art. 22 Abs. 1 oder Abs. 4 unterfällt. Die Formulierung des Abs. 2 lit. f mit dem in Spiegelstrichen aufgenommenen Zusatz: „zumindest in diesen Fällen“, deutet jedoch darauf hin, dass eine erweiterte Informationspflicht auch bei anderen Profilingmaßnahmen bestehen soll. Gefordert wird allerdings in diesem Zusammenhang, dass es dann auf solche Profilingmaßnahmen beschränkt wird, durch die die Interessen der betroffenen Person erheblich berührt werden, was sich entweder durch Art und Ausmaß der verarbeiteten Daten sowie der Methode der Verarbeitung ergibt oder aber aufgrund des Gewichts der sich aus dem Profiling ergebenden Entscheidung notwendig erscheint.80 Der Formulierung lässt sich aber keine konkrete Gewichtung bzw. Abgrenzung entnehmen, weshalb es schwierig ist, hier konkrete Grenzen festzustellen und eher davon auszugehen ist, dass zumindest im Zweifel in der Praxis immer die erweiterten Informationen mit aufzunehmen sind.81
29
Inhalt der erweiterten Information ist zunächst einmal die bei der Entscheidungsfindung oder bei dem Profiling involvierte Logik, womit die Methoden und Kriterien der Datenverarbeitung, beispielsweise in Form eines Algorithmus zur Bildung eines Scorewertes, mitzuteilen sind.82 Die Notwendigkeit, Angaben über Datenverarbeitungsvorgänge zu machen, geht über die bloße Information zu den verarbeiteten Daten hinaus.83 Ein gewisses Spannungsverhältnis zu den Interessen des Verantwortlichen in Bezug auf seine Geschäftsgeheimnisse kann demnach nicht gänzlich ausgeschlossen werden.84 Eine Lösung wird darin gesehen, in Form des Art. 23 DSGVO eine Beschränkungsregelung zu sehen, wonach das Recht des Verantwortlichen bejaht wird, die mitgeteilten Informationen zu „verrauschen“ und so eine Nachahmung seines Verfahrens zu verhindern.85 Inwieweit die Gerichte dieser Ansicht jedoch zukünftig folgen, ist nur schwer einschätzbar.86 Im Zweifel bleibt es Sache des Verantwortlichen, die Möglichkeit von Sanktionen gegenüber der Herausgabe von Geschäftsgeheimnissen abzuwägen und entsprechend zu entscheiden, inwieweit er die betroffenen Personen über seine Verarbeitungsverfahren aufklären kann, ohne derartige Geschäftsgeheimnisse zu verraten.87
7. Unbenannte Informationen
30
Darüber hinaus kann es im Einzelfall notwendig sein, dass weitere Informationen zur Verfügung gestellt werden, die im Hinblick auf die konkrete Datenerhebung nach Berücksichtigung der besonderen Umstände und Rahmenbedingungen erforderlich erscheinen, um eine faire und transparente Verarbeitung im Sinne des Art. 13 DSGVO zu ermöglichen, worauf zumindest der ErwG 60 hindeutet.88 Dem ist insoweit zuzustimmen, als dass es durchaus sinnvolle Informationen gibt, die im Rahmen der sowieso notwendigen Informationen beispielsweise die Kontaktaufnahme erleichtern (z.B. Sprechstundenzeiten). Eine Verpflichtung hierzu oder sogar die Notwendigkeit, weitere Informationen in Form eines Verzeichnisses vorzuhalten, lässt sich dem Art. 13 DSGVO selbst aber nicht entnehmen. Neben lediglich sinnvollen Angaben, können jedoch andere Regelungen der Datenschutz-Grundverordnung weitere Informationspflichten enthalten, die demgegenüber verpflichtend mit aufzunehmen sind.89
V. Zweckänderung (Abs. 3)
31
Neben den Pflichten der Information bei der Datenerhebung entstehen weitere Informationspflichten, sofern der Verantwortliche die Daten zu einem anderen Zweck als dem ursprünglichen Erhebungszweck verarbeiten möchte. Dies gilt unabhängig von der Rechtsgrundlage. Ausreichend ist es bereits, wenn der Zweck der Erhebung sich ändert, auch wenn die weiteren Verarbeitungszwecke möglicherweise noch nicht im Detail bekannt sind (bspw. zur Vorhaltung der personenbezogenen Daten in einer Datensammlung, deren weitere Verwendung noch unklar ist).90 Die Verpflichtung trifft den Verantwortlichen der ursprünglichen Datenerhebung und umfasst dann gegebenenfalls die vorher noch nicht mitgeteilte Übermittlung an Dritte, zur Verarbeitung eines anderen Zwecks.91 Maßgebend ist demzufolge, welchen Zweck der Verantwortliche gegenüber der betroffenen Person vorher im Rahmen der Informationen festgelegt hat.
32
Gegenstand der Information ist es zunächst einmal, die vollständige und detaillierte Angabe des neuen Zwecks der Datenverarbeitung der betroffenen Person mitzuteilen, sodass diese ausreichende Kenntnis darüber erlangt, welche weitere Datenverarbeitung mit ihren Daten geplant ist.92 Bezüglich der weiteren Inhalte verweist Abs. 3 sodann lediglich auf den Informationsinhalt aus Abs. 2, mit der Folge, dass nicht alle nach Abs. 1 mitzuteilenden Informationen nochmals erfasst werden. Sofern aber zum vollständigen Verständnis der betroffenen Person der geplanten Datenverarbeitung gerade die in Abs. 1 genannten Informationen notwendig sind, verlangt schon der Grundsatz von Treu und Glauben die (erneute) Information darüber.93 Dies betrifft vor allem die Nennung der Rechtsgrundlage, erst recht, wenn sich diese geändert haben sollte. Ebenso sind gegebenenfalls die Informationen zur Darlegung des berechtigten