jedoch nicht mit der Verpflichtung einher, diese auch tatsächlich vornehmen zu müssen, da der Wortlaut des Art. 12 Abs. 3 S. 1 („kann“) insofern keine Verpflichtung des Verantwortlichen statuiert.[67]
39
Die Frage nach dem zulässigen Medienbruch wird von der DS-GVO nicht beantwortet.[68] Lediglich ein leichter Zugang wird an verschiedenen Stellen innerhalb der DS-GVO betont.[69] Die Form einer Übermittlung korreliert daher eng mit den Geboten der Zugänglichkeit und Verständlichkeit sowie dem jeweiligen Kontext der Datenverarbeitung.[70] Eine Einschränkung wäre jedenfalls aber dann geboten, wenn im konkreten Einzelfall nach dem Grundsatz von Treu und Glauben i.S.v. Art. 5 Abs. 1 lit. a DS-GVO ein Medienbruch in der Informationsvermittlung unzumutbar wäre.[71] Dies könnte bspw. dann der Fall sein, wenn dem Betroffenen hierdurch ein erheblicher Mehraufwand entstünde und dieser deshalb von der Wahrnehmung seiner Betroffenenrechte abgeschreckt sein könnte.[72] Die DSK erkennt den Medienbruch an.[73]
5. Rechtsfolgen einer Verletzung
40
Verstößt der Verantwortliche gegen das Transparenzgebot des S. 1 oder die Formvorschriften der S. 2 und 3, hat dies zur unmittelbaren Rechtsfolge, dass die gebotenen Informationen dem Betroffenen nicht ordnungsgemäß bereitgestellt wurden. Hängt die weitere Datenverarbeitung von der ordnungsgemäßen Information ab, kann sich aus dem Verstoß wiederum ein Verarbeitungsverbot ergeben. Dies betrifft jedenfalls die Informationspflichten aus Art. 13 und 14 sowie 18 Abs. 3. Dagegen kann der Betroffene bei Informationspflichten, die einen Antrag voraussetzen, bei einem Verstoß gegen die in Abs. 1 genannten Vorgaben, von dem Verantwortlichen, Nacherfüllung verlangen. Zusätzlich kann eine Verletzung gegen Art. 12 Abs. 1 gem. Art. 83 Abs. 5 lit. b stets mit eine Geldbuße geahndet werden.[74]
IV. Rechtewahrnehmung (Abs. 2)
41
Abs. 2 begründet eine Pflicht des Verantwortlichen zur Erleichterung der Rechteausübung durch die Betroffenen. Den Verantwortlichen trifft gem. Art. 12 Abs. 2 S. 1 die allgemeine und nicht näher spezifizierte Pflicht, die Ausübung der Rechte aus den Art. 15 bis 22 zu erleichtern. Die Pflicht aus Abs. 2 S. 1 besteht dabei stets nur in dem Umfang, indem die genannten Betroffenenrechte bestehen[75].
1. Pflicht zur Erleichterung
42
Zunächst ist es dem Verantwortlichen durch die Pflicht zur Erleichterung der Rechteausübung untersagt, diese aktiv zu behindern bspw. indem für die Geltendmachung zusätzliche inhaltliche oder formale Hürden aufgestellt werden. Eine Rechtsverteidigung des Verantwortlichen bleibt hiervon allerdings unberührt[76]. Wie ErwG 59 klarstellt, kann eine solche Erleichterung bspw. durch das Vorsehen einer Möglichkeit zur elektronischen Antragstellung erreicht werden.
43
Die Modalitäten der Vereinfachung bzw. die konkret zu ergreifenden Maßnahmen sind von dem Verantwortlichen festzulegen[77] und liegen im Einzelnen in dessen Ermessen. Da die Ausübung nur erleichtert werden muss, bleibt die Verantwortung für die tatsächliche Rechtsausübung beim Betroffenen[78]. Der Betroffene muss also selbst aktiv werden, während der Verantwortliche ihm hierfür geeignete Zugangswege zur Verfügung stellen muss, z.B. durch die Bereitstellung elektronischer Kommunikationseinrichtungen oder der Benennung von Ansprechpartnern.
2. Ausnahme bei mangelnder Identifizierbarkeit
44
Hat die betroffene Person einen Antrag zur Wahrnehmung ihrer Rechte gestellt, so hat der Verantwortliche diesen grundsätzlich zu bearbeiten und insbesondere zu prüfen ob und inwieweit er diesem nachkommt. Eine Verweigerung des Tätigwerdens ist nur zulässig, wenn der Verantwortliche glaubhaft macht, dass er die betroffene Person nicht identifizieren kann und ein Fall des Art. 11 Abs. 2 vorliegt.
45
Ein Fall des Art. 11 Abs. 2 liegt vor, wenn der Verantwortliche in Fällen des Art. 11 Abs. 1 nachweisen kann, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. Daher ist über die Nicht-Identifizierbarkeit hinaus erforderlich, dass für die Zwecke der Datenverarbeitung eine Identifizierung des Betroffenen nicht (mehr) erforderlich ist. Andernfalls wird der Verantwortliche in der Regel ohnehin von sich aus weitere Daten erheben oder anfordern, um den Betroffenen identifizieren zu können und so die Betroffenenrechte zur Anwendung bringen.
46
Der Verantwortliche ist zur Identifizierung außerstande, wenn er mittels der ihm vorliegenden Informationen die Identität des Betroffenen nicht bestimmen kann. Identifizierbarkeit setzt voraus, dass der Verantwortliche in der Lage ist, mittels der vorhandenen Informationen die Identität des Betroffenen zu bestimmen, dass er mithin die Daten einer bestimmten Person zuordnen kann. Dabei muss der Verantwortliche zwar die ihm möglichen und zumutbaren Maßnahmen zur Identifizierung (erfolglos) ergriffen haben, indes gehört zu diesen Maßnahmen, wie Art. 11 Abs. 1 zeigt, nicht die Anforderung weiterer Informationen. Denn diese soll gerade nicht verpflichtend sein.
47
Berücksichtigt werden müssen vielmehr (nur) solche Mittel, die nach allgemeinem Ermessen von dem Verantwortlichen oder von Dritten wahrscheinlich zur Identifizierung genutzt werden[79]. Dies wiederum bestimmt sich nach objektiven Kriterien, insbesondere dem zeitlichen und finanziellen Aufwand.
48
Identifizierbar ist der Betroffene bspw. dann, wenn seine Daten bei dem Verantwortlichen in pseudonymisierter Form vorliegen und der Verantwortliche zudem über die zur Zuordnung zu dem Betroffenen erforderlichen weiteren Informationen, bspw. eine Pseudonymisierungstabelle, verfügt.[80]
49
Dagegen ist der Betroffene für den Verantwortlichen nicht identifizierbar, wenn er über dessen Daten nur in anonymisierter Form verfügt[81], da aus diesen keinerlei Rückschlüsse auf die Identität des Betroffenen möglich sind. Einer Person zugeordnete Kennungen (Cookies, IP-Adressen) können hingegen nur in Verbindung mit weiteren Informationen die Identifizierbarkeit begründen. Auch wenn diese Kennungen u.U. ein Aussondern einer abstrakten Person aus einer Menge von Personen ermöglichen können, so ist eine Zuordnung zu einer konkreten Person für den Verantwortlichen regelmäßig gerade nicht möglich.
50
Hat
