Mitteilungspflicht – Artikel 19 DSGVO
Daten werden ja gerne als das Öl des 21. Jahrhunderts bezeichnet. In jedem Fall haben Daten mit Öl gemeinsam, dass sie hierhin und dorthin fließen. Fließen sie dorthin und werden sie hier berichtigt, gelöscht, eingeschränkt, dass muss der Empfänger der Daten ggf. darüber informiert werden. Der nachfolgende Beitrag befasst sich mit dem Inhalt und Umfang dieses Anspruchs, greift Praxisprobleme auf und gibt Tipps zum Umgang mit diesem Recht der betroffenen Person. In einem einführenden Video gebe ich einen Überblick in die Materie und, wenn Sie möchten, können Sie sich den Beitrag vorlesen lassen. Eben multimedial, so wie Sie es von der datenrecht.ACADEMY gewohnt sind.
Einen ersten Eindruck von der Regelung vermittelt meine Video-Kurzkommentierung zu Artikel 19 DSGVO.
Teilen Sie diesen Beitrag zur DSGVO:
Der Anspruch
Daten werden ja gerne als das Öl des 21. Jahrhunderts bezeichnet. In jedem Fall haben Daten mit Öl gemeinsam, dass sie fließen. Datenströmen erfolgen dabei innerhalb der verantwortlichen Stelle, so z.B. wenn verschiedene Abteilungen mit denselben Kundendaten operieren. Sie verlassen aber auch natürlich die Einflusssphäre des Verantwortlichen, so z.B. wenn sie einem Auftragsverarbeiter zur unterstützenden Verarbeitung übermittelt oder rechtmäßig einer anderen verantwortlichen Stelle übertragen werden.
Welchen Weg Daten in oder außerhalb eines Unternehmens nehmen, ist ein spannendes und von vielen Unternehmen unterschätztes Thema, das uns noch an manchen Stellen beschäftigen soll.
In jedem Fall ahnen wir, dass die unterschiedliche Zuständigkeit und Einflusssphäre von Daten dazu führen kann, dass Berichtigungen oder Löschungen ins Leere laufen können, wenn sie nicht an allen beteiligten Stellen Beachtung und Umsetzung finden. Aus diesem Grunde bestimmt Artikel 19 Satz 1 DSGVO:
Sinn und Zweck der Vorschrift ist also, dass Betroffene in den Fällen einer »Offenlegung« personenbezogener Daten, gemeinhin also durch eine »Übermittlung«, die Rechte aus Artikel 16 DSGVO bis Artikel 18 DSGVO nicht eigenständig gegenüber den »Empfängern« der Daten geltend machen muss.
Zum einen soll verhindert werden, dass betroffene Personen ihren Daten sozusagen hinterherlaufen müssen. Zum anderen trägt die Vorschrift dem Umstand Rechnung, dass die verantwortliche Stelle vielfach lediglich über die »Kategorien von Empfängern« unterrichten muss und die Betroffenen vor diesem Hintergrund oftmals gar nicht genau wissen, wer eigentlich die tatsächlichen Empfänger der Daten sind.
Übermittlung personenbezogener Daten
Wir wollen die Chance nutzen und uns an dieser Stelle mit dem Begriff der Übermittlung personenbezogener Daten auseinandersetzen. Dieser Begriff wird nämlich gerne unterschätzt, bzw. in seinem Umfang missverstanden.
Der Begriff der Übermittlung selbst ist in der DSGVO nicht definiert. In Artikel 4 Nummer 2 DSGVO heißt es aber: »Verarbeitung« bezeichnet (…) die Offenlegung durch Übermittlung (…).
Damit signalisiert uns die DSGVO, dass das entscheidende Ergebnis einer Übermittlung die Offenlegung, also das Zugänglichmachen. Übermittelt sind mithin Daten, wenn eine andere Stelle sie zur Kenntnis nehmen kann.
Warum ist das nun so wichtig? Nun, wenn wir »Übermittlung« hören, dann hört sich das immer so an, als ob hier Daten von A nach B »getragen« wurden. Ich will Ihnen ein Beispiel aus meiner Beratungspraxis geben. Ein Unternehmen mit Sitz in Deutschland bekommt eine neue Konzernmutter in den USA. Kunden- und Mitarbeiterdatenbanken bleiben auf den Servern in Deutschland; es findet keine physische Verlagerung der Server oder der Daten von Deutschland in die USA statt. Die Geschäftsführung in den USA erhält aber online Zugang den Daten, weil sie sich natürlich über die Geschäfts- und Mitarbeiterentwicklung unterrichten möchte. Datenübermittlung ja oder nein?
Weshalb ist das überhaupt wichtig? Nun, wenn wir die Übermittlung in diesem Fall bejahen, dann handelt es sich um eine Übermittlung mit Drittlandbezug. Wir müssen also gemäß den Artikeln 44 ff. DSGVO sicherstellen, dass diese »Übermittlung« rechtmäßig erfolgt. Das erstaunt, oder? Die Daten verlassen die Europäische Union überhaupt nicht und trotzdem müssen wir die »Übermittlung« in ein Drittland abklären? Genau so ist es. Und es liegt daran, dass es für eine Übermittlung ausreicht, dass Personen aus einem Drittland Zugriff auf die Daten erhalten, ihnen diese also offengelegt werden.
Dieser Umstand ist vielen nicht bekannt und führt damit im wahrsten Sinne des Wortes zu ungeahnten Herausforderungen.
Vor diesem Hintergrund sollte auch deutlich werden, weshalb es unerheblich ist, dass Cloud-Anbieter aus den USA wie Amazon ihre Server in Europa stehen haben. Es handelt sich, wie gerade dargestellt, dennoch um eine Drittlandübermittlung, die seit der sog. »Schrems-II-Entscheidung« des EuGH nur unter sehr eingeschränkten Bedingungen möglich ist.
Es gibt nur eine Einschränkung, die unter dem Strich aber keine ist. Bei dem Adressaten der Offenlegung muss es sich um einen Empfänger iSd. Artikel 4 Nummer 9 DSGVO handeln. Aber Empfänger ist nach der Definition eben »eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.« Das klingt irgendwie wie ein Zirkelschluss oder wie die berühmt berüchtigte Schlange, die sich in den Schwanz beißt. Tatsächlich liegt der entscheidende Schwerpunkt der Definition in der Feststellung, dass es nicht darauf ankommt, ob es beim Empfänger um einen Dritten handelt (vgl. Artikel 4 Nummer 10 DSGVO). Damit können eben u.a. auch Auftragsverarbeiter Empfänger sein.
Nach richtiger Ansicht sind Mitarbeiter des Verantwortlichen und andere ihm zurechenbare Personen und Stellen grundsätzlich keine Empfänger, weshalb der Verantwortliche ihnen auch nicht Daten i.S.d. Art. 4 Nr. 2 DSGVO offenlegt, wenn er ihnen Daten mitteilt.
Unterrichtungspflicht gegenüber der betroffenen Person – Artikel 19 Satz 2 DSGVO
Neben der Mitteilungspflicht gegenüber den Empfängern gemäß Artikel 19 Satz 1 DSGVO enthält Artikel 19 Satz 2 auch noch ein Informationsrecht der betroffenen Person. Sofern diese es verlangt, muss die verantwortliche Stelle sie danach über die Empfänger informieren, denen die relevanten personenbezogenen Daten offengelegt wurden oder werden.
Nur auf diese Weise ist es der betroffenen Person möglich, gegebenenfalls auch gegenüber den Empfängern ihre Rechte unmittelbar geltend zu machen.
Wie auch bei den anderen Betroffenenrechten gilt auch hier, dass die betroffene Person sich nicht ausdrücklich auf das jeweilige Recht berufen muss, sondern sich das konkrete Verlangen auch aus den Umständen ergeben kann. Der Anspruch aus Artikel 19 Satz 2 DSGVO wird in der Praxis allerdings, unwissend, fahrlässig oder vorsätzlich, gerne ignoriert.
Bestehen tatsächlich Unklarheiten, muss der Verantwortliche gemäß Artikel 12 Absatz 2 Satz 1 DSGVO bei der betroffenen Person nachfragen.
Ausnahmen von der Mitteilungspflicht
Die Mitteilungspflicht nach Artikel 19 Satz 1 DSGVO entfällt, wenn sie sich als unmöglich erweist oder sie mit einem unverhältnismäßigen Aufwand verbunden ist, Artikel 19 Satz 1 a.E. DSGVO. Nach richtiger Betrachtung muss dies aber auch für die Unterrichtungspflicht des Artikel 19 Satz 2 DSGVO gelten.
Modalitäten
Die verantwortliche Stelle muss die Empfänger der Daten nach Artikel 19 Satz 1 eigenständig informieren. Eines entsprechenden Antrags der betroffenen Person bedarf es hierfür nicht. Nur für die Unterrichtung der betroffenen Person nach Artikel 19 Satz 2 DSGVO bedarf es eines (formlosen) Antrags, mit der sie ihr Recht auf Unterrichtung über die Empfänger geltend macht. Dieser kann sich aber wie oben dargestellt auch aus den Umständen ergeben.
Kostenlose* Webinare der datenrecht.ACADEMY
*Die Teilnahme an den aufgeführten Webinaren kostet kein Geld. Als Gegenleistung für die Teilnahme an einem der genannten Webinare notiere ich Sie als Empfänger meines regelmäßigen Newsletters und von Werbeinformationen über die datenrecht.ACADEMY. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter und vom Empfang von Werbung per E-Mail an mail@andreasriehn.biz oder durch Anklicken des Abmelde-Links am Ende des Newsletters abmelden. Weitere Informationen finden Sie in meiner Datenschutzerklärung (Menüpunkt »Datenschutz«).
