63.
Nach Artikel 12 der DSGVO muss der Verantwortliche die betroffenen Personen bei der Kommunikation mit den betroffenen Personen „inprägnanter, transparenter, verständlicher und leicht zugänglicher Weise in klarer und einfacher Sprache [...]“über die vorgenommenen Verarbeitungen informieren.
a. Recht auf vorherige Unterrichtung
Gemäß Artikel 13.2 Buchstabe a (Informationen, die bereitzustellen sind, wenn personenbezogene Daten bei der betroffenen Person erhoben werden) und Artikel 14.2 Buchstabe a (Informationen, die bereitzustellen sind, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden) der DSGVO muss der Verantwortliche die betroffenen Personen über die Dauer der Speicherung der Daten (oder, wenn dies nicht möglich ist, über die Kriterien für die Festlegung dieser Dauer) informieren. Genaue Informationen über die Speicherfristen sind nämlich wichtig, um eine faire und transparente Verarbeitung zu gewährleisten, da sie dazu beitragen, dass die betroffenen Personen die Kontrolle über die Verarbeitung ihrer Daten haben.[1]
64.
In Anbetracht dieser Bestimmungen erinnert die CNPD daran, dass Zahlungsdienstleister über die Aufbewahrungsfristen für personenbezogene Daten der Nutzer transparent sein müssen, insbesondere nach der Schließung ihres Kontos. Dies beinhaltet auch eine Information über die Rechtmäßigkeitsgrundlagen, die für die Speicherung ihrer Daten angewendet werden (die Bestimmung dieser Rechtmäßigkeitsgrundlagen ermöglicht es insbesondere, ihre in der DSGVO vorgesehenen Rechte zu bestimmen). In Bezug auf Artikel 6.1 Buchstabe f der DSGVO sollte die Art des berechtigten Interesses, das der Verantwortliche verfolgt, in den den betroffenen Personen zur Kenntnis gebrachten Informationen angegeben werden. Darüber hinaus wird das Transparenzgebot verstärkt, wenn es um die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne der Art.[2]9 und 10 der DSGVO geht.
b. Recht auf Auskunft bei der Ausübung der Rechte, die derzeit verarbeitet werden
65.
Der Verantwortliche muss den betroffenen Personen auch klare Informationen zur Verfügung stellen, wenn diese ihre Rechte wie Auskunfts- und Löschungsrechte ausüben (Artikel 12.1 DSGVO).
66.
Wendet sich eine betroffene Person im Rahmen der Ausübung ihrer DSGVO-Rechte an einen Zahlungsdienstleister und hat die betroffene Person Fragen im Zusammenhang mit der Speicherung ihrer Daten (z. B. einen Antrag auf Löschung), muss der Verantwortliche in der Lage sein, genaue Informationen zu erteilen: Speicherzwecke, Rechtmäßigkeitsgrundlagen, Ereignis, das die Speicherdauer auslöst, genaue(s) Datum(e) der Löschung, löschbare Daten und zu speichernde Daten (Informationen, die bereits im Verarbeitungsregister des Zahlungsdienstleisters enthalten sind).
-----------------------------------------------------------------------------------------------------------------------------------------------
[1] Siehe Commission Nationale de l’Informatique et des Libertés, Délibération de la formation restreinte n°SAN-2024-002 du 31 janvier 2024 concernant la société DE PARTICULIER A PARTICULIER – EDITIONS NERESSIS (Nationale Kommission für Informatik und Freiheiten, Beratung der beschränkten Ausbildung Nr. SAN-2024-002 vom 31. Januar 2024 über die Gesellschaft DE PARTICULIER A PARTICULIER A PARTICULIER – EDITIONS NERESSIS)
[2] Footnote LDT EDPB Transparenz
Beispiel 6: Ein Nutzer (betroffene Person) beantragt die Löschung aller seiner Daten (auf der Grundlage von Artikel 17 Absatz 1 Buchstabe a der DSGVO) bei einem Zahlungsdienstleister, nachdem er seinen Vertrag mit ihm gekündigt hat. Der Zahlungsdienstleister, der als Verantwortlicher handelt, wird aufgrund der für ihn geltenden rechtlichen Verpflichtungen (Artikel 17.3 (b) DSGVO) nicht in der Lage sein, einen Großteil der Daten der betroffenen Person zu löschen. In seiner Antwort an die betroffene Person müssen die vom für die Verarbeitung Verantwortlichen bereitgestellten Informationen gemäß Artikel 12.1 der DSGVO spezifischer sein als in seiner Datenschutzerklärung und insbesondere Ausführungen zu den geltenden Rechtsvorschriften und den Datenkategorien enthalten, die nicht gelöscht werden können. Ein bloßer Verweis auf die „im Finanzsektor geltenden rechtlichen Verpflichtungen“ kann im Hinblick auf Art. 12.1 der DSGVO nicht als ausreichend angesehen werden.
Beispiel 7: Während der Archivierungsphase widerspricht ein Nutzer (betroffene Person) auf der Grundlage von Art. 21.1 der DSGVO und aus Gründen, die sich aus seiner besonderen Situation ergeben, der Verarbeitung seiner Daten auf der Grundlage des berechtigten Interesses des PSP. Nach einer etwaigen Einschränkung der Verarbeitung gemäß Artikel 18.1 Buchstabe d DSGVO muss der Verantwortliche entweder (i) die Daten gemäß Artikel 17.1 Buchstabe c DSGVO löschen oder (ii) nachweisen, dass zwingende schutzwürdige Gründe für die Verarbeitung vorliegen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Artikel 21.1 DSGVO). In diesem Fall obliegt es dem Zahlungsdienstleister, der betroffenen Person genaue Informationen über die Verarbeitung und insbesondere über die berechtigten und zwingenden Gründe für die Verarbeitung, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, zur Verfügung zu stellen.