von Phil Salewski

Datenschutzgrundverordnung: das Pflichtenprogramm nach Art. 12 DSGVO und seine Auswirkungen im Online-Handel

News vom 30.08.2017, 13:47 Uhr | Keine Kommentare

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) zum 25.05.2018 werden Online-Händler als personendatenverarbeitende Stellen verpflichtet sein, Betroffenen weitgehende Auskunfts- und Gestaltungsrechte einzuräumen. Der Aufzählung der einzelnen Rechte und der damit einhergehenden Verpflichtungen der Verantwortlichen ist in Art. 12 allerdings ein bisher wenig beachtetes eigenständiges Pflichtenprogramm vorangestellt, dessen Umsetzung nicht zuletzt aufgrund kryptischer Formulierung noch viele Fragen aufwirft. Der folgende Beitrag erläutert die Bedeutung und den Regelungsinhalt der Vorschrift und bietet Hilfestellungen für die Praxis.

I. Maßnahmen zur Informationsvermittlung

Während Art. 13 und 14 der DSGVO jeden Online-Händler zur umfänglichen Belehrung über Art, Umfang und Begleitumstände von Datenverarbeitungsvorgängen verpflichtet und Art. 15-22 DSGVO die bei Datenvorgängen existierenden Betroffenenrechte und die damit einhergehenden Handlungspflichten der Händler festlegt, fordert Art. 12. Abs. 1 DSGVO Online-Händler auf, bereits im Vorfeld einer jeden Datenverarbeitung geeignete Maßnahmen zu treffen, um dem Betroffenen alle nach Art. 13 und 14 DSGVO erforderlichen Informationen und alle nach Art. 15-22 DSGVO notwendigen Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Begründet wird hierdurch vor allem in formeller Hinsicht eine allgemeine Informationspflicht, welche die Art der Übermittlung der spezifischen Informationen nach Art. 13 und 14 DSGVO und der im Einzelfall erforderlichen Mitteilungen bezüglich der Betroffenenrechte konkretisiert.

1.) „Geeignete Maßnahmen“

Online-Händler werden durch Art. 12 Abs. 1 DSGVO zur Einrichtung geeigneter Maßnahmen gehalten, welche eine reibungslose Informationsvermittlung gegenüber Betroffenen ermöglichen.

Allerdings enthält die DSGVO keinerlei Konkretisierungen in Bezug auf etwaig umzusetzende Maßnahmen, sodass zwar jedem Händler bezüglich der Ausgestaltung seiner Informationspolitik ein eigenständiger Gestaltungsspielraum verbleibt, auf der anderen Seite aber nicht unerhebliche Rechtsunsicherheiten dahingehend begründet werden, welche Prozesse tatsächlich als „geeignet“ im Sinne der Verordnung gelten.

a) Anpassung der Datenschutzerklärung

Einigkeit in der Literatur besteht zumindest dahingehend, dass eine zwingend umzusetzende Maßnahme die Anpassung und Überarbeitung der bisher verwendeten Datenschutzerklärungen sein muss. Art. 13 DSGVO verpflichtet Online-Händler insofern nämlich zu umfangreichen Informationen über Datenverarbeitungsvorgänge, die inhaltlich deutlich über das hinausgehen, was bisher nach § 13 Abs.1 des Telemediengesetzes erforderlich war.

Hinweis: eine Darstellung des erweiterten Pflichtinformationspensums der DSGVO findet sich in diesem Beitrag der IT Recht-Kanzlei.

Diese Informationen müssen gemäß Art. 13 Abs. 1 DSGVO zwar grundsätzlich zu Beginn eines jeden Datenverarbeitungsvorgangs individuell mitgeteilt werden. Art. 13 Abs. 4 DSGVO erklärt Einzelmitteilungen aber für entbehrlich, sofern der Betroffene bereits über die relevanten Informationen verfügt. Hierdurch wird das grundsätzliche Vorhalten einer rechtskonformen Datenschutzerklärung an gut sichtbarer Stelle auf der Webseite des verantwortlichen Händlers anerkannt, welche bei entsprechender Wahrnehmbarkeit das Informationsbedürfnis des Betroffenen bereits so zu befriedigen geeignet ist, dass die Notwendigkeit einer singulären Belehrung entfällt.

Das Verfügbarhalten einer alle in Art. 13 Abs. 1 DSGVO genannten Umstände berücksichtigenden Datenschutzerklärung, wie es Art. 13 Abs. 4 DSGVO zulässt, steht nun in einer Wechselwirkung zu Art. 12 Abs. 1 DSGVO. Es gilt insofern selbst als geeignete Maßnahme, um dem Betroffenen die nach Art. 13 (und gegebenenfalls Art. 14) DSGVO erforderlichen Informationen bereitzustellen (Härting, Datenschutz-Grundverordnung, 2016, Rn. 668).

b) Muster-Mitteilungen für Fälle der Ausübung von Betroffenenrechten

Als weitere geeignete Maßnahme jenseits der Umsetzung der Initiativ-Informationspflichten aus Art. 13 und 14 DSGVO wird die Erstellung und Bereithaltung von Mustern für Mitteilungen diskutiert, die bei der Ausübung bestimmter Rechte durch den Betroffenen erforderlich werden.

Diese Muster sollen einer schnellen und effizienten Bearbeitung von Betroffenenanliegen dienen und ermöglichen, dass der jeweilige Online-Händler in einem vorgefertigten Rahmen jeweils nur noch die spezifisch vorgegebenen Informationen zusammentragen muss, um sie daraufhin an den Betroffenen weiterzuleiten (Gola, DS-GVO, 2016, Art. 12, Rn. 12).

Musterformulierungen für die folgenden Mitteilungen sind zu empfehlen:

  • Bestätigung der Verarbeitung von personenbezogenen Daten des anfragenden Betroffenen (Art. 15 Abs. 1 Satz 1 DSGVO)
  • Auskunft über Umfang und Zweck der bestätigten Verarbeitung (Art. 15 Abs. 1 Satz 2 DSGVO)
  • Unterrichtung über die bevorstehende Aufhebung der Verarbeitungseinschränkung (Art. 18 Abs. 3 DSGVO)
  • Unterrichtung über Drittempfänger von personenbezogenen Daten gegenüber dem Betroffenen (Art. 19 S. 2 DSGVO)
  • Auflistung der bereitgestellten personenbezogenen Daten zwecks der Übertragung an einen Dritten durch den Betroffenen (Art. 20 Abs.1 DSGVO)
1

2.) Form

Art. 12 Abs. 1 DSGVO reglementiert die Form der Informationsübermittlung in zweierlei Hinsicht, indem er zum einen Anforderungen an die stilistische Darstellung vorgibt und andererseits die Form der Übermittlung im Rechtssinne vorgibt.

a) Stilistische Kriterien

Gemäß Art. 12 Abs. 1 Satz 1 DSGVO sind Online-Händler künftig verpflichtet, den Betroffenen die Informationen und Mitteilungen im Sinne der Art. 13 ff. präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache zu übermitteln.

Die Präzision der Angaben wird angenommen, wenn diese einen hinreichenden Grad an Genauigkeit und Abgrenzungsschärfe, also eine zulängliche Eindeutigkeit aufweisen.

Demgegenüber wird in Anlehnung an Art. 5 Abs. 1 lit. a und Erwägungsgrund 39 der DSGVO die notwendige Transparenz durch die Nachvollziehbarkeit der Informationen, gepaart mit deren Vollständigkeit, erreicht.

Die Forderung nach Verständlichkeit gleicht insofern der Anforderung für die vorvertraglichen Informationspflichten im Fernabsatz aus Art. 246b § 1 EGBGB und nimmt vor allem die Verkehrssprache des maßgeblichen Mitgliedsstaates in Bezug. Demnach sind die notwendigen Informationen und Mitteilungen im Inland zwangsweise in deutscher Sprache zu verfassen, ohne dass hier ebenfalls ansässige Minderheiten sprachlich zu berücksichtigen wären (Gola, DS-GVO, Art. 12, Rn. 20) . Wenn es für den Adressatenkreis in Abhängigkeit der Ausrichtung des Gewerbes einen Mehrwert bietet, empfiehlt sich auch die parallele Vorhaltung der Hinweise in verschiedenen Sprachen.

Auch vom Kriterium der Verständlichkeit umfasst ist das Erfordernis, vor allem bei längeren und komplexeren Texten eine sinnvolle Ordnung und Untergliederung vorzunehmen.

Die leichte Zugänglichkeit betrifft zum einen das Textbild und zum anderen den Ort der Vorhaltung der Informationen. Sie verbietet zu kleine Textgrößen oder Beeinträchtigungen infolge der Schriftbare und Schriftbildstärke in gleicher Weise, wie sie gut sichtbare Verlinkungen auf Websites und die unkomplizierte Wiedergabe- und Anzeigemöglichkeit durch die gängigen Web-Browser voraussetzt.

In Bezug auf die sprachliche Ausgestaltung ist insbesondere auf die „Einfachheit“ der Sprache zu achten. Gemeint ist eine Form der Alltagssprache (Härting, Datenschutz-Grundverordnung, 2016, Rn. 67), die auch von Menschen mit schwächer ausgebildeten Lesefähigkeiten ohne Probleme verstanden werden kann. Texten in „einfacher Sprache“ liegt zwar kein allgemeinverbindliches Regelwerk zugrunde. Zu achten ist aber auf die Vermeidung oder zumindest die Erklärung von Fremdwörtern und eine relativ simple Satzstruktur, die Überschreitungen von 15 Wörtern pro Satz bestenfalls vermeidet (Gola, DS-GVO, Art. 12, Rn. 22).

b) Form im Rechtssinne

Im Gegensatz zu Art. 12 Abs. 1 Satz 1 DSGVO regeln die Sätze 2 und 3 die rechtsförmliche Art und Weise der Informationsübermittlung, für die explizit die schriftliche und die elektronische Form genannt werden. Während die Schriftform im Sinne des § 126 BGB die Unterschrift des Unterfertigenden (also des Online-Händlers) beinhalten muss, setzt die elektronische Form eine qualifizierte elektronische Signatur im Sine des § 126a BGB voraus.
Zugelassen, und als voraussichtlich gängigstes Format etabliert, ist zudem die Textform nach § 126b BGB, welche eine schriftliche Belehrung entweder auf Papier oder via elektronischem Übertragungsweg (insbesondere eMail) für ausreichend erklärt.

Zu beachten ist, dass Ansprüche oder Gesuche, die auf elektronischem Weg von Seiten des Betroffenen geltend gemacht werden, gemäß Art. 12 Abs. 3 Satz 4 DSGVO auch auf eben diesem Weg beantwortet werden sollten, sofern der Betroffene keinen anderen Mitteilungsweg wünscht.

Möglich, in der zukünftigen Praxis mit großer Wahrscheinlichkeit aber unüblich, ist letztlich die mündliche Information, welche an die Voraussetzung geknüpft ist, dass die betroffene Person diese Form ausdrücklich verlangt und von Seiten des Händlers keine Zweifel an ihrer Identität bestehen. Um die mündliche Belehrung als ausreichend beweisen zu können, sollte eine solche vom Händler stets dokumentiert werden.

II. Pflicht zur Erleichterung der Rechtsausübung

Neben der Festlegung der Modalitäten für die verpflichtenden datenschutzrechtlichen Informationen und Mitteilungen enthält Art. 12 der DSGVO in Abs. 2 die Pflicht für Händler, Betroffenen die Ausübung ihrer in den Art. 15-22 DSGVO verfassten Rechte zu erleichtern.

Auch diese Verpflichtung ist durchaus allgemein gefasst und konkretisiert Maßnahmen, die zur Erleichterung der Rechts- und Interessenwahrnehmung im Sinne der Verordnung beitragen würden, gerade nicht.

1.) Fest- und Offenlegung von Zuständigkeiten

In der Kommentarliteratur wird zur Umsetzung der Mitwirkungspflicht insofern empfohlen, zum einen klare Zuständigkeiten und Ansprechpartner gerade für Gesuche im Zusammenhang mit der datenschutzrechtlichen Rechtsausübung nicht nur fest- , sondern auch an leicht zugänglicher Stelle auf der Website (etwa im Rahmen der Datenschutzerklärung) gegenüber etwaigen Betroffenen offenzulegen. Förderlich ist in diesem Rahmen die Angabe der Kontaktdaten des verantwortlichen Händlers, ggf. dessen Stellvertreters und des Datenschutzbeauftragten (Gola, DS-GVO, Art. 12, Rn. 13).

2.) Internes Prozessmanagement

Als nach Art. 12 Abs. 2 DSGVO erforderliche Mitwirkungshandlung wird ebenfalls die Einrichtung einer effektiven, unternehmensinternen Weiterleitungs- und Bearbeitungspolice diskutiert. Diese soll sicherstellen, dass Anträge von betroffenen Personen unmittelbar als solche erkannt, kategorisiert und firmenintern an die prädefinierte zuständige Stelle weitergeleitet werden (Härting, Datenschutz-Grundverordnung, 2016, Rn. 668).

Bei kleinen und mittleren Online-Shops dürfte sich eine derartige Festlegung von Prozessketten in Anbetracht der geringen Unternehmensgröße sowie der meist simplen Personalverteilung zwar erübrigen. Dennoch ist es auch hier empfehlenswert, mittels technischer Maßnahmen Anfragen im Zusammenhang mit der Ausübung von Betroffenenrechten aus der üblichen geschäftlichen Kommunikation herauszufiltern, um sie sodann einer eigenständigen Bearbeitung zuzuführen.

3.) Kontaktformulare

Eine solche Filterung kann etwa durch die Bereitstellung spezifischer Kontaktformulare erreicht werden, durch deren Bereitstellung auf der Website dem Betroffene ein direkter Kommunikationsweg für die Geltendmachung seiner Rechte geboten wird.
Das Vorhalten von elektronischen Kontaktformularen ermöglicht es dem Händler, datenschutzrechtliche Anfragen von vornherein als solche zu identifizieren und von der übrigen Kundenkommunikation zu trennen. Andererseits erweist es sich aus Betroffenensicht als besonders entgegenkommendes Instrument, weil dem Betroffenen die vorherige Eruierung eines für das Datenschutzrecht Zuständigen erspart wird.

Kontaktformulare für die Geltendmachung von Rechten sollten über eine eigenständige Rubrik auf der Webseite zugänglich sein, die sich kategorisch in die Sparten „Impressum“, „Datenschutzerklärung“ und „AGB“ einreiht. Nur dann ist gewährleistet, dass der Händler seiner Erleichterungspflicht aus Art. 12 Abs. 2 DSGVO zur Genüge nachkommt.

Als Überschrift kann beispielsweise „Kontaktformular Datenschutz“ oder „Anfragen zum Datenschutz“ gewählt werden.

4.) Löschkonzept für das „Recht auf Vergessenwerden“

Art. 17 DSGVO gewährt dem Betroffenen das Recht, bei Vorliegen spezifischer Gründe die Löschung der erhobenen und gespeicherten Daten zu seiner Person zu verlangen.

Für dieses Recht wird die in Art. 12 Abs. 2 DSGVO begründete Mitwirkungspflicht dahingehend konkretisiert, dass Online-Händler im Vorhinein zu Nachforschungen und zur Entscheidung für ein technologisches Konzept gehalten sind, welches die Befolgung des Löschungsanspruchs sicherstellt.

In Anlehnung an Erwägungsgrund 39 der DSGVO ist für die Mitwirkung bei der Rechtsausübung zudem erforderlich, dass der Händler Fristen für die Löschung oder regelmäßige Überprüfung der Daten vorsieht und alle zumutbaren Anstrengungen unternimmt, damit unrichtige personenbezogene Daten entweder gelöscht oder berichtigt werden (Gola, DS-GVO, Art. 12, Rn. 15).

Hinweis: ein anerkanntes Löschkonzept ist mittlerweile mit der DIN 66398 zertifiziert worden.

III. Pflicht zur unverzüglichen Statusmeldung

Art. 12 Abs. 3 DSGVO enthält eine dritte datenschutzrechtliche Pflicht für den Online-Handel, die als eigenständige Informationspflicht neben die Pflicht zur Einrichtung geeigneter Maßnahmen (Abs. 1) und die Mitwirkungspflicht (Abs. 2) tritt.
Händler werden insofern zukünftig gehalten sein, betroffenen Personen Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich bereitzustellen.

1.) Statusmeldung

Der abermals kryptisch formulierte Normtext legt den datenschutzrechtlich verantwortlichen Online-Händlern faktisch eine Pflicht zur Statusbenachrichtigung über eingegangene Gesuche bezüglich der Ausübung von Betroffenenrechten auf.

Die Statusmeldungen sind der konkreten Befolgung des jeweiligen Antrags vorgelagert und sind insofern nicht mit einer Mitteilung über die Erledigung des Gesuchs zu verwechseln. Sie sind vielmehr als Hinweis auf die zur Umsetzung des konkreten Betroffenenantrags ergriffenen Maßnahmen zu verstehen und müssen Informationen darüber beinhalten, wie mit dem jeweiligen Antrag in der Folgezeit zu verfahren ist, welche technischen Modalismen für die Bearbeitung eingesetzt werden und welche Prüfungskriterien für die etwaige Befolgung des Antrags evaluiert werden.

Festzuhalten ist, dass die Pflicht zur unverzüglichen Statusmeldung keinesfalls die Pflicht des Händlers begründet, dem Gesuch auch unverzüglich Folge zu leisten oder es bei entsprechender Berechtigung unverzüglich abzulehnen. Vielmehr soll die Statusmeldung dem Betroffenen anzeigen, dass sein Antrag das notwendige Gehör gefunden hat und eine konkrete Bearbeitung erfährt.

Unzureichend ist es aber, wenn die erforderliche Statusmeldung als bloße Empfangs- oder Eingangsbestätigung konzipiert wird. Ihr Informationsgehalt muss über eine solche hinausgehen.

Welche konkreten Anforderungen an eine hinreichende Statusmeldung zu stellen sind und wie eine solche rechtssicher zu formulieren ist, kann zum jetzigen Zeitpunkt nur vage skizziert werden. Eine Präzisierung durch Rechtsprechung und Praxis bleibt abzuwarten.

Empfehlenswert ist es aber bereits jetzt, für ein jedes der in den Art. 15-22 DSGVO katalogisierten Betroffenenrechte ein entsprechendes Statusmuster im Sinne eines „Rohlings“ zu erstellen, das – jeweils rechtsgebunden – über die konkreten zur Prüfung des Antrags eingesetzten Prozessabläufe und den Bearbeitungsverlauf informiert und nur singulär an das konkrete Gesuch angepasst werden muss.

2.) Fristen

Die Pflicht zur Statusmeldung ist als einzige in Art. 12 DSGVO niederlegte Verbindlichkeit fristgebunden.

Grundsätzlich soll die Statusmeldung unverzüglich erfolgen. Dies bedeutet aber nicht, dass die Benachrichtigung „sofort“ ergehen muss, sondern ist vielmehr in Anlehnung an § 121 Abs. 1 Satz 1 BGB so zu verstehen, dass Online-Händler die Meldung „ohne schuldhaftes Zögern“ übermitteln müssen. Insofern ist ein nach den Umständen des Einzelfalls zu bemessendes beschleunigtes Verhalten an den Tag zu legen (Gola, DS-GVO, Art. 12, Rn. 24).

Die durch den Unverzüglichkeitsbegriff eingeräumte, Unternehmensumstände berücksichtigende Zeitbestimmung erfährt in Art. 12 Abs. 3 Satz 1 Alt. 2 DSGVO allerdings eine Deckelung dadurch, dass als zulässige Höchstfrist für die Benachrichtigung eine Monatsfrist etabliert wird.

Die Monatsfrist folgt den §§ 186ff. BGB und beginnt am Tag nach Eingang des Antrags zu laufen. Geht ein Antrag etwa am 15.05. ein, läuft die Frist am 16.05. um 0:00 Uhr an und endet am 15.06. um 24:00 Uhr.

Ausnahmsweise kann die Reaktionsfrist für die Statusbenachrichtigung gemäß Art. 12 Abs. 3 Satz 2 DSGVO um weitere 2 Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl der insgesamt von Betroffenen gestellten Anträge konkret-individuell erforderlich ist.

Wird eine solche Verlängerung als notwendig angesehen, ist der Betroffene innerhalb eines Monats nach Antragseingang über die Fristverlängerung und die Gründe der Verzögerung zu informieren. Die eigentliche Statusmeldung hat dann spätestens 3 Monate (§§ 187 Abs. 1, 188 Abs. 2 BGB) zu erfolgen.

Hinweis: die etablierten Fristen betreffen nur die Pflicht zur Statusmeldung, nicht aber die Pflicht für die Erfüllung des Anspruchs selbst. Fristen für die Anspruchserfüllung existieren nur, soweit sie im jeweiligen Betroffenenrecht selbst angelegt sind (etwa Art. 14 Abs. 3 lit. a DSGVO und Art. 16 und 17 – „unverzüglich“).

IV. Tätigkeitsverweigerungsrecht

Nicht jeder Antrag der betroffenen Person verpflichtet den Händler zum Tätigwerden. Insofern werden in Art. 12 Abs. 2 Satz 2 DSGVO und in Abs. 5 Gründe festgelegt, die ein Untätigbleiben rechtfertigen und mithin ein Leistungsverweigerungsrecht etablieren.

Liegen die Voraussetzungen nach den genannten Vorschriften vor, ist der Händler weder zur Statusbenachrichtigung noch zur Beschäftigung mit dem jeweiligen Betroffenenantrag verpflichtet. Nach Art. 12 Abs. 4 ist er aber gehalten, spätestens innerhalb eines Monats (§§ 187 Abs. 1, 188 Abs. 2 BGB) nach Eingang des Antrags über die Gründe des Untätigbleibens sowie über die Beschwerdemöglichkeit bei einer Aufsichtsbehörde zu informieren.

1.) Grund 1: Unidentifizierbarkeit des Betroffenen

Dem Online-Händler ist es gestattet, das Tätigwerden aufgrund eines Betroffenenantrags zu verweigern, wenn es ihm nicht möglich ist, die betroffene Person zu identifizieren.

Macht der Betroffene in seinem Antrag insofern unzulängliche Angaben zu seiner Person, die dem Händler die Zuordnung zu Sätzen personenbezogener Daten erschweren oder gar unmöglich machen, kann er von einer Bearbeitung des Antrags absehen.

Der Händler ist insofern nicht verpflichtet, Datenbestände so zu organisieren, dass die Daten jederzeit einem bestimmten Betroffenen zugeordnet werden können (Härting, Datenschutz-Grundverordnung, 2016, Rn. 661). Vielmehr setzt die Ausübung von Rechten durch Betroffene eine bestimmte Kollaboration dieser in Bezug auf die Bestimmtheit und Kohärenz der Anträge voraus.

2.) Grund 2: Exzessive Anträge

Das Recht zum Untätigbleiben steht datenschutzrechtlich verantwortlichen Online-Händlern ferner zu, wenn ein Betroffener ein exzessives Antragsverhalten an den Tag legt.

Exzessiv ist ein Antrag gemäß Art. 12 Abs. 5 Satz 2 DSGVO dann, wenn er zu häufig wiederholt wird. Begründet wird die Exzessivität nur dann, wenn derselbe Antrag zu oft gestellt wird. Die Ausübung verschiedener Betroffenenrechte mittels diverser, unterschiedlicher Anträge begründet ein Leistungsverweigerungsrecht des Händlers dahingegen nicht.

Als Richtlinie für die Beurteilung der zu häufigen Wiederholung wird in der Literatur empfohlen, mehr als eine Anfrage pro Quartal als exzessiv zu beurteilen (Gola, DS-GVO, Art. 12, Rn. 34).

3.) Grund 3: Unbegründete Anträge

Verantwortliche Online-Händler sind schließlich zum Untätigbleiben berechtigt, wenn die Anträge der Betroffenen offenkündig unbegründet sind, wenn also die Tatbestandsvoraussetzungen für die Ausübung eines Betroffenenrechts auf den ersten Blick erkennbar nicht vorliegen. Ist demgegenüber zunächst eine Prüfung der Voraussetzungen erforderlich und können diese nicht bereits „prima vista“ abgelehnt werden, besteht das Verweigerungsrecht nicht.

V. Unentgeltlichkeit

Online-Händler sind gemäß Art. 12 Abs. 5 DSGVO grundsätzlich verpflichtet, Betroffenen sämtliche Informationen, Mitteilungen und Maßnahmen unentgeltlich zur Verfügung zu stellen. Sowohl Datenschutzhinweise und Statusbenachrichtigungen als auch Mitteilungen bei der Befolgung von Betroffenenrechten dürfen den Betroffenen also prinzipiell nicht berechnet werden.

Eine Ausnahme trifft Art. 15 Abs. 3 Satz 2 DSGVO im Zusammenhang mit dem Auskunftsrecht für den Fall, dass neben der ersten Kopie mit Informationen über die Art und dem Umfang der Verwendung personenbezogener Daten weitere Kopien verlangt werden. Hier kann der Händler ein angemessenes Entgelt in Rechnung stellen.

Eine weitere Ausnahme sieht Art. 12 Abs. 5 Satz 2 lit. a DSGVO im Falle des Vorliegens exzessiver oder unbegründeter Anträge vor. Anstatt die Erfüllung zu verweigern (s. unter IV.), kann der Händler für sein Tätigwerden wahlweise ein angemessenes Entgelt verlangen. Entscheidet sich der Händler anstatt des Untätigbleibens für die Entgeltlichkeit, kann er sein Tätigwerden von der vorherigen Begleichung des verlangten Entgeltes abhängig machen.

Der Entgeltanspruch ist auf die direkt zurechenbaren Kosten beschränkt und umfasst somit allein Verwaltungskosten für die Unterrichtung, Mitteilung und/oder Durchführung der beantragten Maßnahme sowie Material- und Portokosten bzw. Personal- oder Maschinenkosten für den konkreten Antragslauf (Gola, DS-GVO, Art. 12, Rn. 39).

Allgemeine Personal- und Betriebskosten sind demgegenüber nicht ersatzfähig.

VI. Konsequenzen bei Verstößen

Kommen Online-Händler den ihnen durch Art. 12 DSGVO auferlegten Pflichten nicht oder nur unzulänglich nach, kann dies gemäß Art. 83 Abs. 5 lit. b. DSGVO mit Geldbußen von bis zu 20.000.000 Euro oder im Falle eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes sanktioniert werden.

Gleichsam sind wettbewerbsrechtliche Konsequenzen in Form von Abmahnkosten und Unterlassungsverpflichtungen denkbar, weil Art. 12 DSGVO mit großer Wahrscheinlichkeit als Marktverhaltensnorm im Sinne des § 3a UWG zu klassifizieren sein wird.

VII. Fazit

Durch die Ausweitung der Betroffenenrechte und die Begründung neuer organisatorischer Verbindlichkeiten bringt die europäische Datenschutzgrundverordnung für den Online-Handel ein erheblich erweitertes Pflichtenpensum mit sich. Konzentriert auf die Umsetzung der ohnehin bereits weitreichenden und teils sehr spezifischen Anforderungen, ist mit Art. 12 DSGVO eine Grundsatznorm des neuen Regelwerkes dem Fokus der Pflichtigen größtenteils entrückt.
Allerdings ist die Beachtung dieser den Katalogrechten vorangestellten Vorschrift für eine rechtskonforme Umsetzung des neuen Datenschutzrechts von essentieller Bedeutung, weil sie nicht nur die Art der Umsetzung von Informations- und Mitteilungspflichten im Zusammenhang mit Betroffenen konkretisiert, sondern gleichsam ein eigenständiges Pflichtenprogramm aufstellt, das sich von anderen DSGVO-Verbindlichkeiten abhebt und ein Tätigwerden bereits im Vorfeld des Inkrafttretens der Verordnung erforderlich macht.

So etabliert Art. 12 DSGVO eine allgemeine Mitwirkungspflicht von Online-Händlern bei der Ausübung von Rechten durch Betroffene, die zu diversen unternehmensinternen Maßnahmen und informationstechnologischen Lösungen auf der Website anhält.
Ebenfalls legt die besagte Vorschrift eine Statusbenachrichtigungsverbindlichkeit fest, welche Händler zu fristgebundenen Reaktionen auf einen jeden eingegangenen Betroffenenantrag verpflichtet.

Der obige Beitrag intendiert, die größtenteils unpräzise und kryptisch formulierten Normbestimmungen aufzuschlüsseln und sie mit praktischen Umsetzungstipps und Beispielen zu kombinieren.

Bei weiteren Fragen zu den Anforderungen des Art. 12 DSGVO oder zur sonstigen Regelungen der Datenschutzgrundverordnung steht Ihnen die IT Recht-Kanzlei gerne persönlich zur Verfügung.

Bildquelle:
© Style-Photography - Fotolia.com
Autor:
Phil Salewski
(freier jur. Mitarbeiter der IT-Recht Kanzlei)

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2017 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller