DSGVO – Rechte als Betroffene
Dieser Artikel gibt einen einfachen Überblick über die Rechte, die Sie als Betroffener einer Verarbeitung personenbezogener Daten gegenüber den Unternehmen – der verarbeitenden Stelle – nach den Art. 12 bis 22 DSGVO geltend machen können. Die EU-Datenschutz-Grundverordnung versucht den Betroffenen grundsätzlich stärkere Rechte zu gewähren. In gewissen Bereichen erweitert die DSGVO die Rechte der Betroffenen. Die neuen Transparenz- und Informationspflichten für Unternehmen bieten dem Betroffenen einen deutlich stärkeren Schutz als die aktuell geltenden Regelungen des Bundesdatenschutzgesetzes.
Die Rechte des Betroffenen im Überblick?
- Auskunfts- und Widerspruchsrecht
- Informationsrecht
- Recht auf Datenübertragbarkeit
- Recht auf Berichtigung, Löschung und Einschränkung
I. Auskunftsrecht
Dem Betroffenen steht ein Auskunftsrecht gegen das Unternehmen zu.
Welche Informationen zählt die DSGVO dazu?
Nach Art. 15 DSGVO zählen dazu:
- Zwecke der Datenverarbeitung
- Kategorien der Daten
- Empfänger oder Kategorien von Empfängern
- Dauer der Speicherung
- Herkunft der Daten (wenn nicht bei Betroffenen erhoben – sind nun zwei Jahre zu speichern)
- Recht auf Berichtigung, Löschung und Widerspruch
- Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
- Übermittlung an Dritte
- Beschwerderecht bei einer Aufsichtsbehörde
Wie müssen Sie den Betroffenen informieren?
Hier kommt eine Neuerung der DSGVO zum Vorschein. Dem Betroffenen müssen Unternehmen durch Kopie aller seiner personenbezogenen Daten auf gängigem elektronischem Weg (bei Antrag in elektronischer Form) verfügbar machen. Dafür muss ein Unternehmen ein Prozedere und eine Schnittstelle schaffen.
In angemessenen Abständen dürfen Betroffene eine wiederholte Anfrage tätigen.
II. Informationsrecht
Im Wege des Informationsrechts müssen dem Betroffenen schnellstmöglich alle Informationen zur Verfügung gestellt werden.
Zeitpunkt, in dem informiert werden muss?
Nach Art. 13 DSGVO muss der Betroffene sofort bei Erhebung der Daten informiert werden, so z. B. bei Bestellung eines Newsletters.
Es besteht keine Informationspflicht, wenn der Betroffene schon über diese Informationspflicht verfügt.
Welche Informationen müssen offengelegt werden?
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Zweck und Rechtgrundlage der Verarbeitung
- Berechtigte Interessen, so z.B. nach Art. 6 DSGVO
- Empfänger bzw. Kategorien von Empfängern
- Übermittlung in Drittland oder an internationale Organisation
- Dauer der Speicherung
- Bestehen eines Rechts auf Widerspruch der Einwilligung
- Vorliegen einer automatisierten Entscheidungsfindung einschließlich Profiling
- Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- Vorliegen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit
- Information über eine Zweckänderung der Datenverarbeitung
Was ist Profiling?
Beim Profiling erstellen Unternehmen ein umfassendes Nutzerprofil durch Zusammenfügen von unterschiedlichen Daten zu einer Person.
Was regelt dann Art. 14 DSGVO?
Art. 14 DSGVO regelt Fälle, wenn die Daten nicht beim Betroffenen erhoben werden. Das kann z. B. eine Anfrage bei einer Auskunftei sein. Es müssen dann Informationen über die Herkunft der Daten mitgeteilt werden bzw. ggf. ob sie aus öffentlich zugänglichen Quellen stammen. Dabei müssen keine Informationen gegeben werden, ob die Bereitstellung der Daten gesetzlich oder vertraglich erforderlich ist oder was die Folgen der Nichtbereitstellung sind.
Ausnahmen der Informationspflicht nach Art. 14 DSGVO
Sie müssen dem Betroffenen keine Informationen gewähren, wenn…
- die Mitteilung sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordert,
- der Betroffene bereits die Informationen kennt,
- geheimhaltungspflichtige Daten wie z. B. Berufsgeheimnisse vorliegen oder
- die Verarbeitung aufgrund einer EU- oder nationalen Rechtsgrundlage ausdrücklich geregelt ist.
Sofortige Benachrichtigung bei Art. 14 DSGVO?
Es stellt sich die Frage, ob der Betroffene bei Art. 14 DSGVO auch direkt benachrichtigt werden muss. Er muss innerhalb einer angemessenen Frist benachrichtigt werden. Diese beträgt nach Kenntnis maximal einen Monat.
III. Recht auf Berichtigung und Löschung
Die Betroffenen haben ein Recht auf Berichtigung und Löschung ihrer Daten.
Berichtigung nach Art. 16 DSGVO
Das Recht nach Art. 16 DSGVO gibt den Betroffenen die Möglichkeit, die Vervollständigung seiner personenbezogenen Daten zu verlangen. Dies müssen Unternehmen ohne unangemessene Verzögerung durchführen.
Löschung nach Art. 17 DSGVO
Des Weiteren hat ein Betroffener ein Recht auf Vergessenwerden. Die Löschung seiner Daten nach Art. 17 DSGVO hat zu erfolgen, wenn…
- die Daten unrechtmäßig verarbeitet wurden,
- die Speicherung der Daten nicht mehr notwendig ist (Zweck aufgehoben wurde),
- der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat oder
- eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht
Wann findet das Recht auf Vergessenwerden keine Anwendung?
Die Frage ist, wann das Recht auf Vergessenwerden des Betroffenen keine Anwendung findet. Der Betroffene hat kein Recht, wenn…
- die Speicherung zur Weiterverfolgung von Rechtsansprüchen erforderlich ist,
- das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt,
- das Recht auf freie Meinungsäußerung bzw. die Informationsfreiheit überwiegt,
- die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient oder
- Archivzwecke oder Forschungszwecke entgegenstehen.
Wie erfolgt die praktische Umgesetzung?
Der für die Veröffentlichtung der Daten Verantwortliche muss alles in seinem Bereich möglichen Tun, um den Wünschen gerecht zu werden. Dazu muss er unter Berücksichtigung der verfügbaren Technologie angemessene Maßnahmen treffen, um die die Daten verarbeiten, über den Löschungswunsch einer betroffenen Person zu informieren. Alle Links zu dessen personenbezogenen Daten oder Kopien oder Replikationen dieser Daten müssen dann gelöscht oder ihm zur Verfügung gestellt werden.
Einschränkung der Verarbeitung nach Art. 18 DSGVO
Der Betroffene hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn…
- die Richtigkeit der Daten vom Betroffenen bestritten wird,
- die Verarbeitung unrechtmäßig ist,
- sich der Zweck der Verarbeitung erledigt hat, die Daten aber zur Geltendmachung von Rechtsansprüchen des Betroffenen notwendig sind oder
- ein Widerspruch des Betroffenen nach Art. 21 DSGVO vorliegt
Mitteilungspflicht nach Art. 19 DSGVO
Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mit. Eine Ausnahme besteht dann, wenn dies sich als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden ist. Wenn der Betroffene den Wunsch äußert, muss der für die Verarbeitung Verantwortliche die Informationen über die Empfänger, an die Daten weitergegeben wurden, an den Betroffenen mitteilen.
IV. Recht auf Datenübertragbarkeit
Der Betroffene hat zudem ein Recht auf Datenübertragbarkeit.
Datenübertragbarkeit nach Art. 20 DSGVO
Betroffene sollen befugt sein, die von ihm zur Verfügung gestellten Daten von einer automatisierten Anwendung auf eine andere Anwendung übertragen lassen zu können. Der Vorteil der Betroffenen liegt darin, leicht von einem Anbieter zu einem anderen wechseln können. Dabei können vorhandene Datensätze mitgenommen werden, ohne den Verlust ihrer Daten befürchten zu müssen.
V. Nationale Abweichungen
Die DSGVO möchte zwar eine Rechtsangleichung schaffen, aber es sind nach Art. 23 DSGVO nationale Abweichungen bei den einzelnen Mitgliedstaaten auf bestimmten Gebieten möglich.
Was sind die Ausnahmen?
Ausnahmen sind beispielsweise bei
- der Landesverteidigung,
- wichtigen Zielen des allgemeinen öffentlichen Interesses,
- der Unabhängigkeit der Justiz und
- natürlich bei der nationalen und öffentlichen Sicherheit
möglich.