DSGVO – Rechte als Betroffene

Dieser Artikel gibt einen einfachen Überblick über die Rechte, die Sie als Betroffener einer Verarbeitung personenbezogener Daten gegenüber den Unternehmen – der verarbeitenden Stelle – nach den Art. 12 bis 22 DSGVO geltend machen können. Die EU-Datenschutz-Grundverordnung versucht den Betroffenen grundsätzlich stärkere Rechte zu gewähren. In gewissen Bereichen erweitert die DSGVO die Rechte der Betroffenen. Die neuen Transparenz- und Informationspflichten für Unternehmen bieten dem Betroffenen einen deutlich stärkeren Schutz als die aktuell geltenden Regelungen des Bundesdatenschutzgesetzes.

Die Rechte des Betroffenen im Überblick?

  • Auskunfts- und Widerspruchsrecht
  • Informationsrecht
  • Recht auf Datenübertragbarkeit
  • Recht auf Berichtigung, Löschung und Einschränkung

I. Auskunftsrecht

Dem Betroffenen steht ein Auskunftsrecht gegen das Unternehmen zu.

Welche Informationen zählt die DSGVO dazu?

Nach Art. 15 DSGVO zählen dazu:

  • Zwecke der Datenverarbeitung
  • Kategorien der Daten
  • Empfänger oder Kategorien von Empfängern
  • Dauer der Speicherung
  • Herkunft der Daten (wenn nicht bei Betroffenen erhoben – sind nun zwei Jahre zu speichern)
  • Recht auf Berichtigung, Löschung und Widerspruch
  • Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  • Übermittlung an Dritte
  • Beschwerderecht bei einer Aufsichtsbehörde

Wie müssen Sie den Betroffenen informieren?

Hier kommt eine Neuerung der DSGVO zum Vorschein. Dem Betroffenen müssen Unternehmen durch Kopie aller seiner personenbezogenen Daten auf gängigem elektronischem Weg (bei Antrag in elektronischer Form) verfügbar machen. Dafür muss ein Unternehmen ein Prozedere und eine Schnittstelle schaffen.

In angemessenen Abständen dürfen Betroffene eine wiederholte Anfrage tätigen.

II. Informationsrecht

Im Wege des Informationsrechts müssen dem Betroffenen schnellstmöglich alle Informationen zur Verfügung gestellt werden.

Zeitpunkt, in dem informiert werden muss?

Nach Art. 13 DSGVO muss der Betroffene sofort bei Erhebung der Daten informiert werden, so z. B. bei Bestellung eines Newsletters.

Es besteht keine Informationspflicht, wenn der Betroffene schon über diese Informationspflicht verfügt.

Welche Informationen müssen offengelegt werden?

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  • Zweck und Rechtgrundlage der Verarbeitung
  • Berechtigte Interessen, so z.B. nach Art. 6 DSGVO
  • Empfänger bzw. Kategorien von Empfängern
  • Übermittlung in Drittland oder an internationale Organisation
  • Dauer der Speicherung
  • Bestehen eines Rechts auf Widerspruch der Einwilligung
  • Vorliegen einer automatisierten Entscheidungsfindung einschließlich Profiling
  • Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Vorliegen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit
  • Information über eine Zweckänderung der Datenverarbeitung

Was ist Profiling?

Beim Profiling erstellen Unternehmen ein umfassendes Nutzerprofil durch Zusammenfügen von unterschiedlichen Daten zu einer Person.

Was regelt dann Art. 14 DSGVO?

Art. 14 DSGVO regelt Fälle, wenn die Daten nicht beim Betroffenen erhoben werden. Das kann z. B. eine Anfrage bei einer Auskunftei sein. Es müssen dann Informationen über die Herkunft der Daten mitgeteilt werden bzw. ggf. ob sie aus öffentlich zugänglichen Quellen stammen. Dabei müssen keine Informationen gegeben werden, ob die Bereitstellung der Daten gesetzlich oder vertraglich erforderlich ist oder was die Folgen der Nichtbereitstellung sind.

Ausnahmen der Informationspflicht nach Art. 14 DSGVO

Sie müssen dem Betroffenen keine Informationen gewähren, wenn…

  • die Mitteilung sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert,
  • der Betroffene bereits die Informationen kennt,
  • geheimhaltungspflichtige Daten wie z. B. Berufsgeheimnisse vorliegen oder
  • die Verarbeitung aufgrund einer EU- oder nationalen Rechtsgrundlage ausdrücklich geregelt ist.

Sofortige Benachrichtigung bei Art. 14 DSGVO?

Es stellt sich die Frage, ob der Betroffene bei Art. 14 DSGVO auch direkt benachrichtigt werden muss. Er muss innerhalb einer angemessenen Frist benachrichtigt werden. Diese beträgt nach Kenntnis maximal einen Monat.

III. Recht auf Berichtigung und Löschung

Die Betroffenen haben ein Recht auf Berichtigung und Löschung ihrer Daten.

Berichtigung nach Art. 16 DSGVO

Das Recht nach Art. 16 DSGVO gibt den Betroffenen die Möglichkeit, die Vervollständigung seiner personenbezogenen Daten zu verlangen. Dies müssen Unternehmen ohne unangemessene Verzögerung durchführen.

Löschung nach Art. 17 DSGVO

Des Weiteren hat ein Betroffener ein Recht auf Vergessenwerden. Die Löschung seiner Daten nach Art. 17 DSGVO hat zu erfolgen, wenn…

  • die Daten unrechtmäßig verarbeitet wurden,
  • die Speicherung der Daten nicht mehr notwendig ist (Zweck aufgehoben wurde),
  • der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat oder
  • eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht

Wann findet das Recht auf Vergessenwerden keine Anwendung?

Die Frage ist, wann das Recht auf Vergessenwerden des Betroffenen keine Anwendung findet. Der Betroffene hat kein Recht, wenn…

  • die Speicherung zur Weiterverfolgung von Rechtsansprüchen erforderlich ist,
  • das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt,
  • das Recht auf freie Meinungsäußerung bzw. die Informationsfreiheit überwiegt,
  • die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient oder
  • Archivzwecke oder Forschungszwecke entgegenstehen.

Wie erfolgt die praktische Umgesetzung?

Der für die Veröffentlichtung der Daten Verantwortliche muss alles in seinem Bereich möglichen Tun, um den Wünschen gerecht zu werden. Dazu muss er unter Berücksichtigung der verfügbaren Technologie angemessene Maßnahmen treffen, um die die Daten verarbeiten, über den Löschungswunsch einer betroffenen Person zu informieren. Alle Links zu dessen personenbezogenen Daten oder Kopien oder Replikationen dieser Daten müssen dann gelöscht oder ihm zur Verfügung gestellt werden.

Einschränkung der Verarbeitung nach Art. 18 DSGVO

Der Betroffene hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn…

  • die Richtigkeit der Daten vom Betroffenen bestritten wird,
  • die Verarbeitung unrechtmäßig ist,
  • sich der Zweck der Verarbeitung erledigt hat, die Daten aber zur Geltendmachung von Rechtsansprüchen des Betroffenen notwendig sind oder
  • ein Widerspruch des Betroffenen nach Art. 21 DSGVO vorliegt

Mitteilungspflicht nach Art. 19 DSGVO

Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mit. Eine Ausnahme besteht dann, wenn dies sich als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden ist. Wenn der Betroffene den Wunsch äußert, muss der für die Verarbeitung Verantwortliche die Informationen über die Empfänger, an die Daten weitergegeben wurden, an den Betroffenen mitteilen.

IV. Recht auf Datenübertragbarkeit

Der Betroffene hat zudem ein Recht auf Datenübertragbarkeit.

Datenübertragbarkeit nach Art. 20 DSGVO

Betroffene sollen befugt sein, die von ihm zur Verfügung gestellten Daten von einer automatisierten Anwendung auf eine andere Anwendung übertragen lassen zu können. Der Vorteil der Betroffenen liegt darin, leicht von einem Anbieter zu einem anderen wechseln können. Dabei können vorhandene Datensätze mitgenommen werden,  ohne den Verlust ihrer Daten befürchten zu müssen.

V. Nationale Abweichungen

Die DSGVO möchte zwar eine Rechtsangleichung schaffen, aber es sind nach Art. 23 DSGVO nationale Abweichungen bei den einzelnen Mitgliedstaaten auf bestimmten Gebieten möglich.

Was sind die Ausnahmen?

Ausnahmen sind beispielsweise bei

  • der Landesverteidigung,
  • wichtigen Zielen des allgemeinen öffentlichen Interesses,
  • der Unabhängigkeit der Justiz und
  • natürlich bei der nationalen und öffentlichen Sicherheit

möglich.