§ 29 Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten
(1) Die Pflicht zur Information der betroffenen Person gemäß Artikel 14 Absatz 1 bis 4 der Verordnung (EU) 2016/679 besteht ergänzend zu den in Artikel 14 Absatz 5 der Verordnung (EU) 2016/679 genannten Ausnahmen nicht, soweit durch ihre Erfüllung Informationen offenbart würden, die ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Das Recht auf Auskunft der betroffenen Person gemäß Artikel 15 der Verordnung (EU) 2016/679 besteht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Die Pflicht zur Benachrichtigung gemäß Artikel 34 der Verordnung (EU) 2016/679 besteht ergänzend zu der in Artikel 34 Absatz 3 der Verordnung (EU) 2016/679 genannten Ausnahme nicht, soweit durch die Benachrichtigung Informationen offenbart würden, die nach einer Rechtsvorschrift oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Abweichend von der Ausnahme nach Satz 3 ist die betroffene Person nach Artikel 34 der Verordnung (EU) 2016/679 zu benachrichtigen, wenn die Interessen der betroffenen Person, insbesondere unter Berücksichtigung drohender Schäden, gegenüber dem Geheimhaltungsinteresse überwiegen.
(2) Werden Daten Dritter im Zuge der Aufnahme oder im Rahmen eines Mandatsverhältnisses an einen Berufsgeheimnisträger übermittelt, so besteht die Pflicht der übermittelnden Stelle zur Information der betroffenen Person gemäß Artikel 13 Absatz 3 der Verordnung (EU) 2016/679 nicht, sofern nicht das Interesse der betroffenen Person an der Informationserteilung überwiegt.
(3) Gegenüber den in § 203 Absatz 1, 2a und 3 des Strafgesetzbuchs genannten Personen oder deren Auftragsverarbeitern bestehen die Untersuchungsbefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 1 Buchstabe e und f der Verordnung (EU) 2016/679 nicht, soweit die Inanspruchnahme der Befugnisse zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Erlangt eine Aufsichtsbehörde im Rahmen einer Untersuchung Kenntnis von Daten, die einer Geheimhaltungspflicht im Sinne des Satzes 1 unterliegen, gilt die Geheimhaltungspflicht auch für die Aufsichtsbehörde.
§ 29 BDSG 2018 wurde neu gefasst mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU – vom 30.06.2017, BGBl. I, vom 05.07.2017, S. 2097 und tritt am 25.05.2018 in Kraft.
Die Vorschrift modifiziert die nach der DSGVO geregelten Rechte betroffener Personen in Bezug auf die Erteilung von Informationen und Befugnisse der Aufsichtsbehörden.
Absatz 1 beschränkt gegenüber Geheimnisträgern das Recht betroffener Personen auf Information, vgl. die Vorgängerregelung § 19a Absatz 3, § 19 Absatz 4 Nummer 3, § 33 Absatz 2 Satz 1 Nummer 3 BDSG a. F., § 19 Absatz 4 Nummer 3; § 34 Absatz 7 BDSG a. F.
Die Regelungen beruhen auf der Öffnungsklausel gemäß Artikel 23 Absatz 1 Buchstabe i DSGVO.
Im Anwendungsbereich von Absatz 1 Satz 1 ergeben sich Einschränkungen der Geheimhaltungspflichten unmittelbar aus Artikel 14 Absatz 5 Buchstabe d DSGVO.
Absatz 1 Satz 2 bewirkt eine Beschränkung der Rechte Betroffener für Fälle, in denen die Geheimhaltung von Informationen „nach einer Rechtsvorschrift“ vorgeschrieben ist.
Absatz 1 Sätze 3 und 4 bewirken eine Einschränkung von Benachrichtigungspflichten gemäß Artikel 34 DSGVO.
Absatz 2 beinhaltet Sonderregelungen zum Schutz der ungehinderten Kommunikation zwischen Mandant und Berufsgeheimnisträger und dient dem Schutz des Mandatsverhältnisses. Die Regelungen gelten z. B. für Rechtsanwälte und Wirtschaftsprüfer und beruhen auf den Besonderheiten, die mit der Verfolgung von Rechtsansprüchen (vgl. § 32 Absatz 1 Nummer 4) verbunden sind sowie mit den darüber hinaus gehenden Gegenständen der Beratung und damit einher gehenden Geheimhaltungsbedürfnissen, z. B. bei der Begleitung
von Unternehmenskäufen- und –verkäufen, Steuerberatung, bei der Erstellung von Gutachten). Dem Schutz des Mandatsverhältnisses ist es geschuldet, dass Mandanten nicht in jedem Fall sämtliche durch die Datenübermittlung an den Berufsgeheimnisträger betroffenen Personen über die Zwecke der Datenübermittlung, die Identität der beauftragten Berufsgeheimnisträger usw. informieren müssen.
Absatz 2 letzter Halbsatz beinhaltet eine Abwägungsklausel, die den Rechten der Betroffenen angemessen Rechnung trägt. Die Regelung zur Einschränkung der Informationspflicht beruht auf der Öffnungsklausel gemäß Artikel 23 Absatz 1 Buchstabe i DSGVO.
Absatz 3 trifft Regelungen zu Befugnissen von Aufsichtsbehörden.
Absatz 3 Satz 1 setzt die Öffnungsklausel nach Artikel 90 DSGVO um, vgl. dazu auch Erwägungsgrund 164 DSGVO. Gemäß Artikel 58 Absatz 1 Buchstaben e und f DSGVO haben die Aufsichtsbehörden die Befugnis, von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu erhalten zu allen für die Erfüllung ihrer Aufgaben notwendigen personenbezogenen Daten und Informationen sowie zu den Geschäftsräumen, einschließlich aller Datenverarbeitungsanlagen und Datenverarbeitungsgeräte. Artikel 90 Absatz 1 DSGVO eröffnet den Mitgliedstaaten die Möglichkeit, die Befugnisse der Aufsichtsbehörden im Sinne von Artikel 58 Absatz 1 Buchstaben e und f DSGVO gegenüber Geheimnisträgern zu regeln. Absatz 3 Satz 1 modifiziert die DSGVO dahingehend, dass Aufsichtsbehörden, anders als in Artikel 58 Absatz 1 Buchstabe e DSGVO vorgesehen, keinen Zugang zu Daten und Informationen haben, soweit dadurch die Geheimhaltungspflicht verletzt würde. Die Regelung dient der Vermeidung von Pflichtenkollisionen der Aufsichtsbehörden einerseits und der Geheimnisträger anderseits. Die Regelung wird der gerade bei den freien Berufen mit einem hohen Stellenwert geltenden berufsrechtlichen Schweigepflicht gerecht und dient damit auch dem Vertrauen des Mandanten und der Öffentlichkeit in den Berufsstand. Der Gesetzgeber wird damit auch der Rechtsprechung des Bundesverfassungsgerichts gerecht, die verlangt, dass das Mandatsverhältnis nicht mit Unsicherheiten in Bezug auf die Vertraulichkeit belastet sein darf (vgl. BVerfG, Urteil vom 12.04.2005 – 2 BvR 1027/02).
Absatz 3 Satz 2 erstreckt die Geheimhaltungspflicht auf die Aufsichtsbehörde: Die Aufsichtsbehörde unterliegt gleichermaßen der Geheimhaltungspflicht, wenn sie im Rahmen einer Untersuchung Daten zur Kenntnis nimmt.
Absatz 3 erstreckt die Einschränkung der Untersuchungsbefugnisse der Aufsichtsbehörden neben Berufsgeheimnisträgern auch auf deren Auftragsverarbeiteter, d. h. z. B. externe IT-Dienstleister.