Die DSGVO kennt viele Betroffenenrechte. Einige prominente, einige dagegen versteckter und unbekannter. Zu letzteren dürften die Pflichten nach Art. 19 DSGVO zählen. Insofern gibt der Beitrag einen kurzen Überblick über den Gehalt der Vorschrift, was Verantwortliche beachten sollten.
Der Inhalt im Überblick
Was für Pflichten stehen in Art. 19 DSGVO?
Anders als viele andere Regeln in der DSGVO ist Art. 19 eher kurz und knackig:
„Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.“
Was ist Zweck dieser Mitteilungspflichten?
Art. 19 DSGVO dient der effektiven und umfassenden Folgenbeseitigung bei der nachträglichen Berichtigung oder Löschung der Daten Betroffener. Gerade in Zeiten fluider globaler Datenflüsse war es dem europäischen Gesetzgeber ein Anliegen, dass sich nicht der Betroffene um die Löschung oder Berichtigung bei sekundären Empfängern seiner personenbezogenen nicht Daten bemühen müsse. Das auch, weil dem Betroffenen die Empfänger seiner Daten oftmals weniger bekannt sind. Daher weist Art. 19 DSGVO dem nach der DSGVO Verantwortlichen die Pflicht zu, bei einer Berichtigung oder Löschung von personenbezogenen Daten des Betroffenen die Empfänger zu benachrichtigen
Pflichten nach Art. 19 DSGVO
Liest man Art. 19 DSGVO, enthält dieser zwei Pflichten. Laut der ersten teilt
„der Verantwortliche allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.“
Das heißt im Kern: Wenn sich der Inhalt der verarbeiteten personenbezogenen Daten ändert, muss dies auch den Empfängern mitgeteilt werden, damit sie die Daten bei sich berichtigen können. Probleme bereitet jedoch die Frage, wann eine Benachrichtigung unmöglich oder unverhältnismäßig ist. „Unmöglichkeit” dürfte am ehesten im Sinne einer faktischen Unmöglichkeit zu interpretieren sein, das heißt, eine Benachrichtigung kann nicht erfolgen. Ähnlich kann die Frage beantwortet werden, wann ein unverhältnismäßiger Aufwand mit einer Benachrichtigung verbunden wäre. Eine Benachrichtigung wäre denkbar, der Aufwand stünde jedoch in keinem Verhältnis zum Transparenzinteresse Betroffenen.
Wann muss ich den Betroffenen die Empfänger mitteilen?
Korrespondierend mit der Mitteilungspflicht nach Art. 19 S. 1 DSGVO unterrichtet der Verantwortliche
„die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.“
Anders als bei der Pflicht nach Art. 19 S. 1 DSGVO, muss der Betroffene die Mitteilung verlangen, wer seine Daten erhalten hat. Eine besondere Form für das Verlangen bedarf es hierfür nicht. Seitens des Verantwortlichen ist es geboten, dass dieser seine Antwort dokumentiert, um seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen. Auch, wenn es hierzu bis dato noch keine Fälle gab, wäre die fehlende Nachweismöglichkeit potenziell bußgeldbewehrt.
Die Pflichten nach Art. 19 DSGVO – eine Haftungsfalle?
Das Art. 19 DSGVO zumindest für die Datenschutzrechtspraxis ein Mauerblümchen ist, zeigt sich daran, dass die Regelung bei der Aufklärung der Rechte nach Kapitel III in den Datenschutzerklärungen von Verantwortlichen oft fehlt. Das auch, weil die Pflicht nicht in Art. 13 Abs. 2 lit. b) auftaucht und deren Fehlen daher im Zweifel nicht durch die Konkurrenz oder durch Verbraucherverbände abgemahnt werden kann. Trotzdem sollte man sich der Pflicht gewahr sein. Schließlich ist es auch eine Pflicht nach Kapitel III der DSGVO, die bei Verletzung zum Schadensersatz nach Art. 82 DSGVO verpflichten kann.
