Aufsätze : Die Mitteilungspflicht nach Art. 19 DS-GVO
Die Mitteilungspflicht im Zuge einer Einschränkung der Verarbeitung, einer Berichtigung oder Löschung personenbezogener Daten nach Art. 19 DS-GVO. Die Mitteilungspflicht im Zuge einer Einschränkung der Verarbeitung, einer Berichtigung oder Löschung personenbezogener Daten nach Art. 19 DS-GVO (auch „Nachberichtspflicht“ genannt) findet in der fachlichen Diskussion bislang wenig Beachtung, obwohl ihre Auswirkungen für die Praxis recht erheblich sein können. Verantwortliche können oft nicht einschätzen, ob und in welchem Umfang eine Verpflichtung zur Information von anderen Empfängern von Daten besteht.
Im Folgenden werden die Tatbestandsvoraussetzungen des Art. 19 DS-GVO im Einzelnen betrachtet und es wird dargestellt, unter welchen Voraussetzungen eine Nachberichtspflicht einschlägig ist, in welchem Umfang dieser nachzukommen ist und wo sich möglicherweise praxisrelevante Kollisionen oder Unklarheiten durch die Vorgaben des Gesetzgebers erkennen lassen.
I. Tatbestandsvoraussetzungen des Art. 19 S. 1 DS-GVO
1. Der Verantwortliche teilt [mit]
Art. 19 S. 1 DS-GVO begründet eine aktive Pflicht des Verantwortlichen zur Weitergabe einer Information. Demnach muss eine gezielte Kommunikation gegenüber einem Empfänger stattfinden. Allerdings ist die Kommunikation auch einziger Inhalt des Artikels in der Variante des Satz 1. Eine Gewährleistung oder Sicherstellung weitergehender Handlungen auf Seite des Kommunikationsempfängers besteht für den mitteilungspflichtigen Verantwortlichen nicht. Insbesondere trifft den Verantwortlichen daher nicht die Pflicht, bei Empfängern sicherzustellen, dass die Daten dort auch entsprechend berichtigt oder gelöscht werden. Die Mitteilungspflicht des Art. 19 S. 1 DS-GVO ist eine Informations-, aber keine Umsetzungspflicht.
2. Allen Empfängern, denen personenbezogene Daten offengelegt wurden
a) Empfänger
Die Kommunikation muss gegenüber allen Empfängern der betroffenen personenbezogenen Daten erfolgen. Der Empfängerbegriff ist hierbei weit zu verstehen und umfasst jeden, demgegenüber Daten in irgendeiner Weise offengelegt wurden. Eine Unterscheidung zwischen inländischen oder im Ausland und möglicherweise in Drittstaaten ansässigen Empfängern macht die Norm nicht, weshalb die Mitteilungspflicht grundsätzlich Geltung in Bezug auf alle Empfänger hat, unabhängig ob innerhalb der EU oder in einem Drittstaat. Das „Empfangen“ der Daten kann sich aus jeder Art der Übermittlung, Verbreitung oder der sonstigen Bereitstellung ergeben und umfasst demnach auch Abrufverfahren, im Zuge derer Dritten der Zugriff auf Daten auf Piltz/zur Weihen, Die Mitteilungspflicht nach Art. 19 DS-GVO eigenes Handeln hin ermöglicht wird, ohne dass durch den Verantwortlichen selbst ein aktiver „Sendevorgang“ erfolgen muss.
Auch ist der Begriff „Empfänger“ nicht auf „Dritte“ im Sinne des Art. 4 Nr. 10 DS-GVO beschränkt. Empfänger im Sinne des Art. 4 Nr. 9 DS-GVO ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht“. Dritter im Sinne des Art. 4 Nr. 10 DS-GVO ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten“.
Empfänger können mithin Dritte sein, aber eben nicht nur solche. Der Begriff „Empfänger“ reicht weiter als jener des „Dritten“. Demnach umfasst der Begriff des „Empfängers“ auch z.B. Auftragsverarbeiter, wobei für diese zu berücksichtigen ist, dass eine weitergehende Handlung in Bezug auf die verarbeiteten Daten – also eine weitergehende Umsetzung von Folgemaßnahmen wie Löschung, Berichtigung oder Einschränkung der Verarbeitung – nur auf gesonderte Weisung des Verantwortlichen erfolgen kann. Demnach bestünde im Hinblick auf Auftragsverarbeiter für einen Verantwortlichen, der einer Mitteilungspflicht des Art. 19 S. 1 DS-GVO unterliegt, neben der bloßen Pflicht zur Mitteilung auch eine weitergehende Verpflichtung zur Umsetzung von Folgemaßnahmen bei seinem Auftragsverarbeiter, da die personenbezogenen Daten, die durch den Auftragsverarbeiter verarbeitet werden, dem Verantwortlichen zugerechnet werden müssen.
Für öffentliche Stellen hält die DS-GVO eine wichtige Ausnahme bereit: nach ErwG 31 DS-GVO sollten Behörden, gegenüber denen personenbezogene Daten aufgrund einer rechtlichen Verpflichtung für die Ausübung ihres offiziellen Auftrags offengelegt werden, wie Steuer- und Zollbehörden, Finanzermittlungsstellen, unabhängige Verwaltungsbehörden oder Finanzmarktbehörden, die für die Regulierung und Aufsicht von Wertpapiermärkten zuständig sind, nicht als Empfänger gelten, wenn sie personenbezogene Daten erhalten, die für die Durchführung eines einzelnen Untersuchungsauftrags im Interesse der Allgemeinheit erforderlich sind. In diesem Fall ist Art. 19 S. 1 DS-GVO mithin nicht anwendbar.
b) Offenlegung
Der Begriff der „Offenlegung“ wird in der Literatur umfassender verstanden, als der Begriff der „Weitergabe“. Der Begriff der „Offenlegung“ wird nach Art. 4 Nr. 2 DS-GVO als Oberbegriff der Übermittlung, Verbreitung oder Bereitstellung definiert. Während der Begriff der „Weitergabe“ eine aktive Handlung des Verantwortlichen unterstellt, ermöglicht die Offenlegung auch die Aneignung der Daten bzw. ihre Inempfangnahme auf sonstige Weise. Demnach kann die Offenlegung insbesondere durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung erfolgt sein; dazu zählt also auch die Veröffentlichung. Die Offenlegung muss an „Empfänger“ i.S.v. Art. 4 Nr. 9 DS-GVO erfolgen, also nicht notwendigerweise an „Dritte“ i.S.v. Art. 4 Nr. 10 DS-GVO. Auch die Offenlegung an Auftragsverarbeiter oder an Filialen oder Außenstellen eines Unternehmens führt daher zu der Mitteilungspflicht nach Art. 19 S. 1 DS-GVO.
Ob jedoch auch interne Organisationseinheiten eines Verantwortlichen als „Empfänger“ im Sinne des Art. 4 Nr. 9 DS-GVO zu werten sind, ist umstritten. Entscheidend für die Einordnung ist, ob die Empfänger-Definition eine rechtliche Eigenständigkeit voraussetzt. Der Wortlaut der Norm legt den Schluss nahe, dass diese Eigenständigkeit vorliegen muss, um von einem Empfänger sprechen zu können. Stellen, die demselben Verantwortlichen als Teil zuzuordnen sind, dürften demnach also nicht als Empfänger angesehen werden.
3. Jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Art. 16, Art. 17 Abs. 1 und Art. 18
Auslösendes Kriterium für die Mitteilungspflicht ist jede berechtigte Maßnahme nach Art. 16, 17 Abs. 1 oder 18 DSGVO in Form der Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung. Im Hinblick auf die Löschung nach Art. 17 Abs. 1 DS-GVO ist zu berücksichtigen, dass einerseits ein Recht auf Löschung der betroffenen Person, aber auch unabhängig davon die Pflicht zur Löschung von personenbezogenen Daten durch den Verantwortlichen besteht, wobei letztere auch einschlägig ist, ohne dass ein aktives Handeln der Betroffenen im Hinblick auf Geltendmachung ihres Rechts notwendig ist.
Demnach ließe sich dem Wortlaut des Art. 17 Abs. 1 DS-GVO entnehmen, dass jede Löschung, unabhängig von ihrem auslösenden Grund, eine Mitteilung nach Art. 19 S. 1 DS-GVO erfordert.
Es wird argumentiert, dass die antraglose Löschung von Daten, z.B. aufgrund des Wegfalls des Verarbeitungszwecks, die Rechte der betroffenen Person dahingehend einschränken würde, dass dieser nach Art. 18 Abs. 1 lit. c DSGVO eigentlich auch die Wahlmöglichkeit zur Einschränkung der Verarbeitung der betroffenen Daten offenstehen würde und somit eine Löschung nicht unbedingt zwingend erforderlich wäre.
Übertragen auf die Mitteilungspflicht könnte man argumentieren, dass die Information des Empfängers aus Sicht der betroffenen Person ebenfalls nicht gewollt ist bzw. diese der betroffenen Person weitere Rechte abschneidet. Gegen diese Auffassung könnte allerdings sprechen, dass der Verantwortliche schon aus dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DS-GVO verpflichtet ist, auch bei der Mitteilung nach Art. 19 S. 1 DS-GVO den Umfang der mitgeteilten Daten auf das für den Zweck dieser Mitteilung Erforderliche zu beschränken. Die Mitteilung an den Empfänger stellt eine Übermittlung personenbezogener Daten dar, für die dann die Anforderungen des Art. 5 Abs. 1 DS-GVO gelten. Die Mitteilung muss daher so beschaffen sein, dass der Empfänger keine für die Wahrnehmung seiner Pflichten nicht erforderlichen zusätzlichen Rückschlüsse aus den Daten ziehen kann.
In der Literatur wird auch die Sichtweise vertreten, dass Art. 19 S. 1 DS-GVO nur dann anwendbar ist, wenn die betroffene Person explizit ihr Recht erfolgreich geltend gemacht hat, was sich auch auf das Recht der Löschung von Daten erstrecken soll, wonach eine Mitteilungspflicht ohne entsprechendes Aktivwerden der betroffenen Person nicht existiert. Eine weitere Begründung für diese Sichtweise wird allerdings nicht angeführt.
In der Gesamtbetrachtung der Literaturmeinungen muss wohl davon ausgegangen werden, dass tendenziell eine Nachberichtspflicht auch aufgrund eines selbstständigen (bzw. aufgrund eines jeden) Löschvorgangs angenommen wird, unabhängig davon, ob die betroffene Person dies aktiv verlangt. In praktischer und systematischer Hinsicht überzeugt dies allerdings aus mehreren Gründen nicht. Zum einen lässt sich der informative Mehrwert einer solchen allgemeinen Mitteilungspflicht in Frage stellen, da etwa der reine Ablauf von Speicherfristen bei einem Verantwortlichen, der eine Löschung begründen kann, nicht zwingend auch den Ablauf von Speicherfristen bei einem anderen Empfänger auslösen muss. In der Folge hätte die Information des Empfängers, dass Daten nunmehr wegen eines Ablaufs der Aufbewahrungsfrist gelöscht werden, im Zweifel keinen Mehrwert für diesen Empfänger, da der Empfänger die Daten selbst weiter aufbewahren darf (oder gar muss). Im Grunde würde die Mitteilungspflicht, so man sie auch auf Fälle erstreckt, in denen der Betroffene nicht aktiv sein Recht ausübt, zu einer zusätzlichen Verarbeitung personenbezogener Daten führen, die im Ergebnis jedoch keinen Mehrwert bietet.
Zum anderen wird in Art. 16 DS-GVO bezüglich der Berichtigung von Daten auch keine parallele Pflicht (wie bei der Löschung) zur selbständigen Korrektur falscher Daten definiert, welche aber im Hinblick auf den realen Geschäftsverkehr und die korrekte Abwicklung von Auftragsverhältnissen (z.B. bei falschen Adressen) möglicherweise viel relevanter ist als eine selbständige Löschpflicht. Mithin würde das Bestehen einer Mitteilungspflicht aufgrund einer antraglosen Löschverpflichtung, aber nicht aufgrund einer antragslosen Berichtigungspflicht, systematisch und inhaltlich einen Widerspruch darstellen.
Dennoch sollte, aufgrund des Wortlauts und wohl auch der überwiegenden Literaturmeinungen, die mögliche Nachberichtspflicht bei jedweden Löschvorgängen beachtet und im Zweifel geprüft werden, ob der zu erwartende Aufwand für die Erteilung der Informationen unter Berücksichtigung zeitlicher und wirtschaftlicher Aspekte nicht eventuell unter einen der nachfolgend behandelten Ausnahmetatbestände fällt.
4. Normierte Ausnahmen von der Mitteilungspflicht
Ausdrückliche Ausnahmen der Nachberichtspflicht sieht Art. 19 S. 1 DS-GVO für zwei Fälle vor: im Fall der faktischen Unmöglichkeit der Kommunikation oder wenn sich die Informationserteilung nur mit einem unverhältnismäßigen Aufwand realisieren lässt.
a) Unmöglichkeit
Nach Art. 19 S. 1 DS-GVO besteht eine Pflicht zur Mitteilung gegenüber Empfängern von Daten dann nicht, wenn die Informationserteilung sich als unmöglich erweist. Hinsichtlich des Ausnahmetatbestands der Unmöglichkeit ist auf eine faktische Unmöglichkeit abzustellen, z.B. wenn der betreffende Empfänger der Daten nicht mehr existiert, etwa bei Tod oder Liquidation. Jedoch darf die Unmöglichkeit nicht dadurch herbeigeführt worden sein, dass die entsprechenden Datenweitergaben nicht dokumentiert wurden. Die Unmöglichkeit darf also nicht selbst und bewusst herbeigeführt werden.
b) Unverhältnismäßiger Aufwand
Weiterhin besteht nach Art. 19 S. 1 DS-GVO eine Pflicht zur Mitteilung nicht, wenn die Erteilung der Informationen mit einem unverhältnismäßigen Aufwand verbunden ist. Für die Einschätzung, ob ein zu betreibender Aufwand als unverhältnismäßig anzusehen ist, sind mehrere Faktoren wie Kosten oder organisatorische Maßnahmen zu berücksichtigen. Allerdings ist hierbei auch zu beachten, dass der Verantwortliche bereits im Vorfeld die Vorgaben des Art. 25 DS-GVO (Privacy by Design und by Default) zu beachten hat, wonach ihn die vorbereitende Pflicht trifft, technische Maßnahme insoweit zu implementieren, dass die Rechte der betroffenen Personen entsprechend umgesetzt werden können.
Insofern bedarf es für die Ermittlung der (Un)Verhältnismäßigkeit des Aufwands einer Interessensabwägung. So wird die Mitteilungspflicht beispielsweise in Bezug auf die Berichtigung marginaler Fehler, wie offensichtliche Schreibversehen oder andere unerhebliche Korrekturen, als nicht einschlägig erachtet. Berücksichtigt werden kann auch, ob der Übermittlungszweck beim Empfänger inzwischen entfallen ist und die Daten bereits ohnehin gelöscht sein müssten.
c) Unerheblichkeit
In der Praxis entfaltet der „Aspekt der Marginalität“ allerdings wohl kaum Relevanz. Die Nachberichtspflicht aus einer Datenberichtigung wird dem Wortlaut des Art. 16 DS-GVO nach nur durch eine aktive Geltendmachung der betroffenen Person ausgelöst. Von einer Marginalität oder einem unerheblichen Schreibversehen ließe sich aber wohl dann nicht mehr ausgehen, wenn der Korrekturbedarf der betroffenen Person schon so hoch ist, dass sie aktiv ihr Recht auf Datenberichtigung geltend macht. Zumindest bestünde in diesem Fall ein Risiko, dass aus Sicht der Person gerade nicht nur ein „kleiner Fehler“ vorliegt.
In jedem Fall wäre einzelfallabhängig zu prüfen, ob ein zu berichtigender Fehler nur marginal und demnach für die Mitteilungspflicht vernachlässigbar sein soll. Wenn eine betroffene Person etwa auf einen fehlenden Buchstaben in ihrem Namen hinweist, kann dies zwar als marginaler Schreibfehler angesehen werden. Dieser kann aber zum Beispiel dann erhebliche Relevanz entfalten, wenn etwa eine andere Person mit dem Namen in der fälschlichen Schreibweise unter derselben Anschrift, etwa in einem großen Mietshaus, wohnt. In diesem Fall müsste wohl aufgrund der faktischen Erheblichkeit auch von einer bestehenden Nachberichtspflicht, etwa gegenüber Transportdienstleistern, ausgegangen werden, da anderenfalls die korrekte Zustellung von Bestellungen nicht gewährleistet werden könnte. Die Information gegenüber externen Datenhostern dürfte dagegen eher weniger relevant sein, da die einfache Speicherung der Daten von dem Schreibfehler in keiner Weise beeinträchtigt wird. Demnach muss in jedem Einzelfall auf den konkreten Zweck der jeweiligen Datenweitergabe an Empfänger abgestellt werden, um abschließend beurteilen zu können, ob ein Korrekturanspruch als marginal einzuschätzen ist und daher im Rahmen der Ausnahme des unverhältnismäßigen Aufwandes keine Mitteilung erfolgen muss.
d) Zweckerreichung beim Empfänger
Das zweite Argument, dass eine Nachberichtspflicht dann nicht vorliegen soll, wenn der Zweck der Weitergabe und der danach folgenden Verwendung der Daten konkret für diesen Zweck beim Empfänger entfallen ist, könnte in der Praxis dazu führen, dass in den allermeisten Fällen keine Nachberichtspflicht besteht. Im Fall des Einzelhandels beispielsweise müsste man annehmen, dass für die Abwicklung der Bestellung eines Kunden seine Daten zum Zweck der Bezahlung an einen Zahlungsdienstleister übermittelt werden und zum Zweck der Zustellung der Ware an ein Logistikunternehmen. Sobald die Zahlung oder Zustellung final vollzogen sind, wäre, wenn man der oben genannten Ansicht folgt, vom Entfall des Übermittlungszwecks auszugehen und eine Nachberichtspflicht für den übermittelnden Verantwortlichen nicht mehr gegeben.
Ob eine Löschpflicht bei dem jeweiligen Empfänger besteht oder gegebenenfalls eigene gesetzliche Aufbewahrungsfristen gelten, entzieht sich in aller Regel dem Wissen des ursprünglich übermittelnden Verantwortlichen. Daher ist das Argument des entfallenen Zwecks und der eingetretenen Löschverpflichtung in Kombination für die Praxis kaum nutzbar, weil der Verantwortliche ansonsten jedwede gesetzlichen Aufbewahrungsfristen der jeweiligen Empfänger kennen müsste. Die Auffassung, dass ein solches Wissen bei dem übermittelnden Verantwortlichen vorliegen muss, scheinen jedoch einige Aufsichtsbehörden zu vertreten. Der LfDI Baden-Württemberg geht mit Blick auf Art. 19 DS-GVO davon aus, dass der Verantwortliche diese Kenntnis besitzen muss.
Nach seiner Auffassung ist die Nachberichtspflicht immer dann einschlägig, wenn die Daten beim Empfänger noch gespeichert sind.
Eine losgelöste Betrachtung der Argumente des entfallenen Übermittlungszwecks und einer eingetretenen Löschverpflichtung erscheint aber sinnvoll. Wenn der Übermittlungszweck entfallen ist, hätte auch eine Umsetzung der Nachberichtspflicht nach Art. 19 S. 1 DS-GVO keinen inhaltlichen Mehrwert mehr für den Empfänger. Demnach erscheint es auch in Hinblick auf den möglichen Fortfall des Übermittlungszweckes sinnvoll, einzelfallabhängig zu prüfen, ob der eigentliche Zweck für die Datenübermittlung entfallen ist, wie eben im Falle von Transportdienstleistern oder Zahlungsdienstleistern.
Die Tatsache, dass es sich um eine große Zahl von Empfängern handelt, begründet noch keinen unverhältnismäßigen Aufwand, zumal regelmäßig eine automatisierte Information möglich sein wird.
5. (Mögliche) nicht normierte Ausnahmen
Neben den ausdrücklich im Wortlaut des Art. 19 S. 1 DS-GVO definierten Ausnahmen werden in der Literatur auch weitere Umstände diskutiert, die eine mögliche Ausnahme von der Mitteilungspflicht des Art. 19 S. 1 DS-GVO begründen könnten.
a) Nachteilig für den Betroffenen
Strittig ist, ob die Nachberichtspflicht stets an eine Vorteilhaftigkeit für die betroffene Person gekoppelt ist. Art. 19 DS-GVO geht scheinbar davon aus, dass die Mitteilung des Verantwortlichen gegenüber den Datenempfängern stets im Interesse des Betroffenen liegen dürfte, da Art. 19 DS-GVO keine Ausnahme von der Nachberichtspflicht für den Fall bestimmt, dass die Mitteilung mit negativen Konsequenzen für die betroffene Person verbunden sein könnte. Der Betroffene kann aber auch ein Interesse daran haben, dass die Datenempfänger gerade nicht über eine Berichtigung, Löschung oder Einschränkung der Verarbeitung informiert werden, etwa wenn die neuen Daten für den Betroffenen ungünstiger sind und der Empfänger diese Daten nicht zu seiner Aufgabenerfüllung benötigt.
Es wird daher die Ansicht vertreten, dass in solchen Fällen mit Blick auf den Schutzzweck der Norm eine teleologische Reduktion des Art. 19 S. 1 DS-GVO geboten sei, die eine Nachberichtspflicht ausschließt, wenn schutzwürdige Interessen des Betroffenen entgegenstünden. Jedoch ist zu beachten, dass diese Beschränkung keine Grundlage im Wortlaut der Norm findet. Für die Praxis ist diese Diskussion aber wohl irrelevant. Die Nachberichtspflicht auf Grundlage der Ausübung eines Rechts auf Berichtigung (Art. 16 DS-GVO) oder Einschränkung der Verarbeitung (Art. 18 DS-GVO) erfordert die vorherige aktive Geltendmachung durch die betroffene Person. Da der Betroffene hier selbst aktiv werden muss, lässt sich wohl nicht annehmen, dass er sein Recht ausübt, wenn dies negative Auswirkungen für ihn selbst hätte. So könnte eine betroffene Person auch ein Interesse an der Berichtigung oder Löschung seiner Daten nur gegenüber einem einzelnen Unternehmen haben und nicht auch gleichzeitig gegenüber sämtlichen Empfängern der Daten.
Selbst wenn man davon ausginge, dass sich der Betroffene etwaiger negativer Konsequenzen für ihn selbst nicht bewusst war, ließe sich nicht erkennen, weshalb der Verantwortliche im Nachgang eine Interessenabwägung für die betroffene Person dahingehend anstellen müsste, ob die Mitteilung gegenüber anderen Datenempfängern für die betroffene Person hinsichtlich ihrer Konsequenzen als positiv oder negativ zu bewerten ist. Im Zweifel fehlen dem Verantwortlichen ohnehin die für diese Abwägung erforderlichen Informationen. Daher dürfte der Verantwortliche im Zweifel gar nicht in der Lage sein, abschließend einzuschätzen, ob eine Information der Empfänger der Daten für die betroffene Person eventuell nachteilig sein könnte. Demnach kann nicht davon ausgegangen werden, dass die mögliche Nachteilhaftigkeit einer Nachberichtspflicht durch den Verantwortlichen zu berücksichtigen ist.
b) Ausschließlich persönliche oder familiäre Zwecke – keine Anwendbarkeit der DS-GVO
Zudem lässt sich diskutieren, inwieweit eine Nachberichtpflicht möglicherweise nicht besteht, wenn Empfänger der Daten private natürliche Personen sind, die die betreffenden Daten ausschließlich für persönliche und familiäre Zwecke verarbeiten und in der Folge nach Art. 2 Abs. 2 lit. c DS-GVO nicht dem Regelungsbereich der DS-GVO unterfallen. Persönliche Tätigkeiten sind Tätigkeiten, die der eigenen Selbstentfaltung und Freiheitsausübung in der Freizeit oder im privaten Raum dienen. Nicht erforderlich ist, dass zu jeder betroffenen Person eine persönliche Beziehung besteht. So kann als persönliche Tätigkeit z.B. auch das Sammeln von Informationen über Film- oder Fußballstars gelten.
Zu den persönlichen Tätigkeiten gehört auch die Pflege von echten Freundschaften. Nicht zu dem Kreis der persönlichen Tätigkeiten können wohl die „Freundeslisten“ in sozialen Netzwerken gezählt werden, die über Hunderte von Freunden umfassen können und wenn sie öffentlich dargestellt werden.
Familiäre Tätigkeiten sind alle Tätigkeiten, die der Pflege familiärer Beziehungen und des familiären Zusammenhalts dienen. Der Begriff „familiär“ ist nicht rein familienrechtlich auszulegen. Er umfasst unabhängig von Ehe, Kindschaft und Verwandtschaft jede Beziehung, die eine vergleichbare persönliche Nähe aufweist und von der Verkehrsanschauung als familiär angesehen wird. Dies gilt für Lebenspartnerschaften oder ein eheähnliches Zusammenleben, je nach Nähe der Beziehungen sogar für Wohngemeinschaften, nicht aber für den Freundeskreis, mit dem der Datenverarbeiter nicht familienförmig zusammenlebt.
Weitere Beispiele für die rein persönliche oder familiäre Datenverarbeitung im Offline-Bereich sind persönliche Verzeichnisse von Telefonnummern, Gästelisten für ein privates Fest, Listen von Geburtstagen von Verwandten, Freunden und Bekannten oder die mit diesen geführte Korrespondenz. Auch der Umgang mit Daten des persönlichen Konsums, wie Bestellungen, Rechnungen und Kontoführungen oder im Bereich der Freizeit wie etwa Daten Vereinsfreunden fällt unter die Ausnahme. Die Verwaltung privaten Vermögens gehört ebenfalls zu den persönlichen Tätigkeiten, solange sie nach Form und Umfang nicht geschäftlichen Charakter annimmt und zum Erwerb des Lebensunterhalts dient. Auch außerhalb des Anwendungsbereichs bleiben Unterlagen zur Ahnenforschung und Stammbäume, handschriftliche oder elektronische Tagebücher sowie Fotos und Filme aus dem Urlaub oder von Familienfeiern.
In einem solchen Fall lässt sich allein schon mit dem Sinn und Zweck des Datenschutzes argumentieren, dass die Nachberichtspflicht keinen Nutzen erfüllen würde. Entsprechende Informationen zur Löschung oder Berichtigung von Daten weitergeben zu müssen, wenn die Daten an eine Stelle oder einen Empfänger übermittelt werden, die oder der nicht an die DS-GVO gebunden ist, bringt im Ergebnis nichts, denn der persönlich handelnde Empfänger der Information muss die bei ihm vorhandenen Daten nicht löschen oder berichtigen, da die DS-GVO keine Anwendung findet. Die empfangende Stelle ist nach der DS-GVO gar nicht verpflichtet, diese Daten z.B. zu berichtigen oder zu löschen. In der Folge hätten die übermittelten Informationen inhaltlich keine Relevanz.
Ziel der Nachberichtspflicht des Art. 19 S. 1 DS-GVO ist es, die Betroffenenrechte der Art. 16 ff. DS-GVO dadurch zu stärken, dass auch in denjenigen Fällen, in denen die relevanten personenbezogenen Daten an Empfänger weitergegeben worden sind, die Löschung, Berichtigung oder Einschränkung der Verarbeitung bei den Empfängern durchgesetzt werden kann. In der logischen Folge kann es nicht im Sinne der Vorschrift liegen, auch solche Empfänger zu informieren, denen gegenüber Betroffenenrechte in Ermangelung einer Anwendbarkeit der DS-GVO gar nicht geltend gemacht werden können.
6. Art. 19 S. 2 DS-GVO: Unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt
Ergänzend zu der Mitteilungspflicht kann durch die betroffene Person nach Art. 19 S. 2 DS-GVO optional verlangt werden, über die entsprechenden Empfänger der Daten informiert zu werden. Hier zeigt sich eine Parallele zum Auskunftsrecht nach Art. 15 DS-GVO. Ein Unterschied ergibt sich allerdings dahingehend, dass Art. 15 DS-GVO lediglich die Informationen über „Kategorien von Empfängern“ verlangt, wohingegen Art. 19 S. 2 DS-GVO die explizite Nennung der jeweiligen Empfänger vorgibt. Diese Wahlmöglichkeit muss durch den Betroffenen allerdings aktiv wahrgenommen und dem Verantwortlichen mitgeteilt werden.
II. Mögliche weitere erforderliche Kriterien
1. Aktives Handeln der betroffenen Person?
Art. 16 und 18 DS-GVO sind als Rechte der betroffenen Personen formuliert, die eine aktive Handlung des Betroffenen im Hinblick auf deren Geltendmachung erfordern. In der Folge dürfte auch eine Nachberichtspflicht nach Art. 19 S. 1 DS-GVO für Maßnahmen der Berichtigung oder Verarbeitungseinschränkung nur in diesem Fall vorliegen.
Im Gegensatz zu den Rechten aus Art. 16 und 18 DS-GVO ist Art. 17 Abs. 1 DS-GVO aber auch als unabhängige Pflicht des Verantwortlichen formuliert, wodurch an sich jede Löschungsmaßnahme (unabhängig von einem aktiven Einfordern der betroffenen Person) eine Nachberichtspflicht des Art. 19 S. 1 DS-GVO auslösen könnte. Wie unter Ziff. I. 3. bereits dargelegt, würde das Bestehen einer Mitteilungspflicht auch bei einer nicht beantragten Löschung, aber andererseits nicht aufgrund einer (antragslosen) Berichtigungspflicht, systematisch und inhaltlich einen Widerspruch darstellen.
2. Mittelbare Weisungspflicht gegenüber Auftragsverarbeitern
Anders stellt sich der Aspekt der eigenverantwortlichen Einhaltung der gesetzlichen Vorgaben der DS-GVO dar, wenn der betreffende Empfänger ein Auftragsverarbeiter ist. Hierbei ergibt sich die Pflicht zur Umsetzung des berechtigten Ersuchens im Zuge der Weisung an den Auftragsverarbeiter bereits aus der initialen Anfrage selbst und nicht aus der Nachberichtspflicht des Art. 19 S. 1 DS-GVO.
3. (Keine) Frist
Ausdrücklich nicht in Art. 19 DS-GVO geregelt ist die Frage, innerhalb welcher Zeitspanne die Nachberichtspflicht zu erfüllen ist. Es wird davon ausgegangen, dass die Nachberichtspflicht unverzüglich nach Vornahme der Berichtigung, Löschung oder Einschränkung der Verarbeitung durch den Verantwortlichen vorzunehmen ist. Eine Mitteilung vor der geplanten Berichtigung, Löschung oder Einschränkung der Verarbeitung ist nicht geboten.
Eine analoge Anwendbarkeit der Vorgaben des Art. 12 Abs. 3 DS-GVO, wonach eine entsprechende Mitteilung spätestens innerhalb eines Monats zu erfolgen hat, wird nur vereinzelt angenommen. Art. 12 Abs. 3 S. 1 DS-GVO bezieht sich nur auf eine Kommunikation mit der betroffenen Person selbst als Adressaten, nicht aber auf andere Empfänger. Eine analoge Anwendbarkeit des Art. 12 Abs. 3 DS-GVO wird daher zum Teil auch lediglich gegenüber der betroffenen Person angenommen, um ihr die Umsetzung der Nachberichtspflicht mitzuteilen.
Eine Pflicht zur Mitteilung innerhalb der Monatsfrist erscheint aber nicht nachvollziehbar, da Art. 19 S. 1 DS-GVO eine Mitteilungspflicht gegenüber der betroffenen Person selbst gar nicht vorsieht. Stattdessen wird ein optionales Recht der betroffenen Person über die Information der Empfänger von Daten in Art. 19 S. 2 DS-GVO ausdrücklich festgelegt. Einer Analogie über Art. 12 Abs. 3 DS-GVO bedarf es daher nicht.
4. Unentgeltlichkeit
Weiterhin muss die Mitteilung nach Art. 19 S. 1 DS-GVO und die Unterrichtung nach S. 2 unentgeltlich erfolgen; ein angemessenes Entgelt kann allenfalls ausnahmsweise bei offenkundig unbegründeten oder exzessiven Anträgen verlangt werden.
5. Form
Ein konkretes Formerfordernis für die Mitteilung gegenüber dem Empfänger definiert Art. 19 DS-GVO nicht. Unter Berücksichtigung der allgemein zu beachtenden Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO, sollte die Information aber schriftlich oder elektronisch (jedenfalls dokumentiert) erfolgen. Die Mitteilung sollte daher mindestens per E-Mail erfolgen.
III. Abgrenzung zu Art. 17 Abs. 2 DS-GVO
Art. 19 S. 1 DS-GVO definiert eine Informationspflicht gegenüber jedweden Empfängern von Daten. Empfänger stellen sich dabei als ein definierter Adressatenkreis dar, der einer eindeutigen Bestimmbarkeit unterliegt. Der Verantwortliche hat Kenntnis davon, wer auf welche Weise Daten aufgrund seines Tätigwerdens erhalten hat. Tatbestandlich ist die Mitteilungspflicht des Art. 19 S. 1 DS-GVO aber auch bei der Offenlegung einzelner Daten an unbestimmte Empfänger grundsätzlich einschlägig.
Art. 17 Abs. 2 DS-GVO wird insoweit jedoch als lex specialis (also als vorrangig) angesehen und geht Art. 19 DS-GVO in diesem Fall vor. Dieser Sichtweise ist auch zu folgen, da anderenfalls in vielen Fällen angenommen werden müsste, dass eine gezielte Information der Empfänger nach Art. 19 S. 1 DS-GVO aufgrund des undefinierten und unbekannten Empfängerkreises per se in dem Ausnahmetatbestand der Unmöglichkeit nach Art. 19 S. 1 DS-GVO münden würde. Die Ausnahme wäre also die Regel.
Im Gegensatz dazu bestimmt Art. 17 Abs. 2 DS-GVO eine möglichst weite Informationspflicht, sofern die betreffenden Daten öffentlich gemacht worden sind. Die Veröffentlichung der Daten grenzt sich demnach von der Offenlegung gegenüber bestimmbaren Empfängern in der Form ab, dass sie gegenüber einem unbestimmten Adressatenkreis erfolgt und im Nachgang keine eindeutige Identifikation der Stellen, die Kenntnis von den maßgeblichen Daten erlangt hat, mehr möglich ist.
In der Konsequenz wird aufgrund der faktischen Unmöglichkeit bei einer „unbegrenzten“ Veröffentlichung von Daten keine gezielte Nachberichtspflicht gegenüber Einzelnen verlangt, sondern lediglich das Ergreifen angemessener Maßnahmen, um (mögliche) andere Verantwortliche über ein Löschungsersuchen zu informieren. Zudem bezieht sich Art. 17 Abs. 2 DS-GVO ausdrücklich nur auf aktive Löschungsersuchen von Betroffenen, wohingegen die Nachberichtspflicht des Art. 19 S. 1 DS-GVO auch bei Löschungen, Berichtigungen oder Verarbeitungseinschränkungen aufgrund der gesetzlichen Vorgaben ausgelöst wird.
IV. Fazit
Die Nachberichtspflicht nach Art. 19 DS-GVO ist, ihrem reinen Wortlaut nach, sehr weit ausgestaltet und umfasst in der Praxis viele Datenweitergaben. Für Verantwortliche dürfte die Umsetzung dieser Pflicht einen relevanten Mehraufwand mit sich bringen. Bei der Anwendung der Norm sollte beachtet werden, dass sowohl ausdrücklich fixierte Ausnahmen als auch aus dem Sinn und Zweck der Regelung abgeleitete Ausnahmen eine praxistaugliche Umsetzung der gesetzlichen Vorgaben ermöglichen, ohne dabei die Rechte der betroffenen Person zu beschneiden.