ТОП просматриваемых книг сайта:
DSGVO - BDSG - TTDSG. Группа авторов
Читать онлайн.Название DSGVO - BDSG - TTDSG
Год выпуска 0
isbn 9783800594207
Автор произведения Группа авторов
Серия Kommunikation & Recht
Издательство Bookwire
20
Sofern keine anderen Mittel zur Identifizierung des Anfragenden zur Verfügung stehen, kann der Verantwortliche auch eine Personalausweis- oder Passkopie anfordern. Hierbei sind jedoch der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO sowie die ausweisrechtlichen sowie datenschutzrechtlichen Anforderungen nach § 20 Abs. 2 PAusweisG bzw. § 18 Abs. 3 PassG zu beachten. Aus dem Grundsatz der Datenminimierung ergibt sich zunächst, dass der Verantwortliche die anfragende Person darauf hinweisen muss, dass sie alle Angaben (einschließlich des Fotos) unkenntlich machen darf, die für die Zwecke der Identifizierung nicht erforderlich sind. Erforderlich sind zunächst nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer.44 Der Ausweis/Pass darf gem. § 20 Abs. 2 Satz 1 PAuswG/§ 18 Abs. 3 Satz 1 PassG nur vom Inhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Inhaber dürfen die Kopie gem. § 20 Abs. 2 Satz 2 PAusweisG/§ 18 Abs. 3 Satz 2 PassG nicht an Dritte weitergeben. Gem. § 20 Abs. 2 Satz 3 PAusweisG/§ 18 Abs. 3 Satz 3 PassG ist zudem für die Verarbeitung der durch die Ablichtung erhobenen personenbezogenen Daten aus dem Personalausweis/Pass die datenschutzrechtliche Einwilligung des Inhabers erforderlich. Die Anforderungen richten sich nunmehr nach Art. 7 DSGVO. Das Einwilligungserfordernis ist mit der DSGVO vereinbar, da es auf die Öffnungsklausel des Art. 87 DSGVO für nationale Kennziffern und andere Kennziffern von allgemeiner Bedeutung gestützt werden kann.45 Die Erfüllung der Anfrage nach Art. 15–22 DSGVO kann aber ohne Verstoß gegen Art. 7 Abs. 4 DSGVO von der Erteilung der Einwilligung abhängig gemacht werden, da eine ordnungsgemäße Identifizierung ansonsten nicht möglich ist.
V. Ausnahmetatbestände (Abs. 2 Satz 2, Abs. 4, Abs. 5 Satz 2, Satz 3)
1. Unmöglichkeit der Identifizierung
21
Gem. Art. 12 Abs. 2 Satz 2 DSGVO darf sich der Verantwortliche in den in Art. 11 Abs. 2 genannten Fällen nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Art. 15–22 DSGVO tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. Die Vorschrift ist allerdings deklaratorisch, da der Anwendungsbereich des Art. 12 Abs. 2 Satz 2 DSGVO und des Art. 11 Abs. 2 DSGVO deckungsgleich sind.46 Der fehlende Verweis auf Art. 21 und Art. 22 DSGVO in Art. 11 Abs. 2 Satz 2 DSGVO dürfte ein Redaktionsversehen sein.47 Art. 21 und Art. 22 DSGVO sind daher erfasst. Bei den zunächst unterschiedlichen Beweismaßstäben („nachweisen“ in Art. 11 Abs. 2 Satz 1 DSGVO, „glaubhaft machen“ in Art. 12 Abs. 2 Satz 2 DSGVO) handelt es sich schlicht um einen Übersetzungsfehler. In der englischen Fassung der DSGVO wird an beiden Stellen der identische Begriff „demonstrates“ bzw. „demonstrate“ verwendet. Aus einem Übersetzungsfehler kann kein unterschiedlicher Beweismaßstab hergeleitet werden. Die Ausnahme greift, wenn der Verantwortliche die anfragende betroffene Person nicht in seinem Datenbestand auffinden kann. Es geht nicht um die Identifizierung des Anfragenden als solchen. Dies richtet sich nach Art. 12 Abs. 6 DSGVO.
2. Offensichtlich unbegründete oder exzessive Anträge
22
Im Fall von offensichtlich unbegründeten oder exzessiven Anträgen kann sich der Verantwortliche gem. Art. 12 Abs. 5 Satz 2 DSGVO entweder weigern, tätig zu werden (lit. b) oder für die Erfüllung der Anfrage ein angemessenes Entgelt verlangen (lit. a). Offensichtlich unbegründet ist ein Antrag, wenn das Fehlen der Voraussetzungen auf der Hand liegt bzw. offen zutage tritt und der Antrag eindeutig aussichtlos ist.48 Dies kann der Fall sein, wenn eine unberechtigte Person, d.h. nicht der Betroffene oder sein Vertreter, die Betroffenenrechte geltend machen will oder wenn ein Löschungsverlangen gegenüber einem Verantwortlichen geltend gemacht wird, der keine Daten des Betroffenen gespeichert hat und den Antragsteller darüber in Kenntnis gesetzt hat.49 Bei einer reinen Negativauskunft liegt allerdings keine offensichtliche Unbegründetheit vor.50
23
Weiter sieht Art. 12 Abs. 5 Satz 2 DSGVO einen Ausschluss bei exzessiven Anträgen vor. Ein exzessiver Antrag liegt zunächst, ausweislich des Gesetzeswortlauts, in jedem Fall bei häufiger Wiederholung vor. Dies ist der Fall, wenn Anträge ohne tragfähigen Grund häufig wiederholt werden.51 Hierbei ist jedoch zu berücksichtigen, dass die betroffene Person ihr Recht grundsätzlich in angemessenen Abständen wahrnehmen kann, um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können.52 Durch die Verwendung des Wortes „insbesondere“ stellt der Gesetzgeber klar, dass er auch alle anderen Formen exzessiver Anträgen erfasst wissen möchte.53 Ein Exzess liegt auch dann vor, wenn die Antragstellung lediglich der Behinderung oder der Schikane des Verantwortlichen und nicht der Geltendmachung der eigenen Rechte dient. Dies ist beispielsweise der Fall, wenn Erfüllungsmodalitäten überspezifisch angegeben werden (z.B. kompletter Ausdruck einer Kopie auf Papier bei Art. 15 Abs. 1 DSGVO oder die singuläre Festlegung auf ein konkretes maschinenlesbares Format bei Art. 20 Abs. 1 DSGVO).54 Auch die Weigerung der betroffenen Person, den Auskunftsantrag in verhältnismäßiger Art und Weise weiter zu konkretisieren, kann zu einem Ausschluss des Auskunftsbegehrens insgesamt führen.55 Ein exzessiver Antrag liegt schließlich vor, wenn die Erfüllung des Antrags beim Verantwortlichen unverhältnismäßig hohe Kosten auslösen würde.56 Schließlich ist auch jeder Antrag exzessiv i.S.d. Art. 12 Abs. 5 Satz 2 DSGVO, der über den Sinn und Zweck des geltend gemachten datenschutzrechtlichen Betroffenenrechts hinausgeht.57 Ein Fall des Exzesses kann auch vorliegen, wenn die betroffene Person einer zulässigen Bitte um Präzisierung der Anfrage58 nicht nachkommt. Geheimhaltungsinteressen des Verantwortlichen oder Dritter oder der Schutz der Rechtsposition des Verantwortlichen fallen nicht unter Art. 12 Abs. 5 DSGVO, sondern unter ggf. vorhandene Ausnahmetatbestände der jeweiligen Rechte (z.B. Art. 15 Abs. 4 DSGVO oder § 29 Abs. 1 BDSG). Die Beweislast für das Vorliegen eines offensichtlich unbegründeten oder exzessiven Antrags liegt gem. Art. 12 Abs. 5 Satz 3 DSGVO beim Verantwortlichen. Es ist jedoch kein Strengbeweis erforderlich. Es genügt vielmehr, wenn der exzessive Charakter des Antrags zur Überzeugung des Gerichts feststeht.59
24
Im Fall von offensichtlich unbegründeten oder exzessiven Anträgen hat der Verantwortliche grundsätzlich ein Wahlrecht, ein angemessenes Entgelt zu verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden (Abs. 5 Satz 2 lit. a), oder aber überhaupt nicht tätig zu werden (Abs. 5 Satz 2 lit. b). Art. 12 Abs. 5 Satz 2 lit. b DSGVO ist nicht subsidiär zu Art. 12 Abs. 5 Satz 2 lit a DSGVO. Es mag zwar zunächst unbillig erscheinen, dass der Verantwortliche die Wahrnehmung der Rechte der betroffenen Person vollständig verweigern kann, wenn die betroffene Person zur Kostentragung bereit wäre. Hier ist aber zu berücksichtigen, dass der Antrag ja bereits offensichtlich unbegründet oder exzessiv ist und der Verantwortliche gegebenenfalls kein Interesse daran hat, Ressourcen abzustellen, die anderweitig benötigt werden, selbst wenn dies bezahlt würde.60 Der Entgeltanspruch ist auf die direkt zurechenbaren Kosten beschränkt, umfasst also nicht den Gemeinkostenanteil (z.B. allgemeine Personalkosten, Kosten für den Betrieb oder die Anschaffung von Anlagen), jedoch Material- und Portokosten bzw. Personal- und Maschinenkosten für den konkreten Antragslauf.61 Die Bildung von Pauschalen