Betroffenenrechte

Die Betroffenenrechte der DSGVO im Überblick

Die Datenschutz-Grundverordnung (DSGVO) regelt an verschiedenen Stellen, welche Rechte betroffene Personen haben. Im Mittelpunkt stehen dabei die Rechte, die Kapitel III der DSGVO enthält. Dieses Kapitel trägt die Überschrift „Rechte der betroffenen Person“. Dort sind folgende Betroffenenrechte verankert:

Recht auf Information über die Verarbeitung (Art. 12–14 DSGVO)
Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art. 18, 19 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
Recht auf Unterlassung einer ausschließlich automatisierten Entscheidung (Art. 22 DSGVO)

Weitere Betroffenenrechte

Außer in Kapitel III regelt die DSGVO Rechte der betroffenen Person auch noch an anderen Stellen. Zu nennen sind hier vor allem das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) und das Recht auf Schadensersatz (Art. 82 DSGVO).

Unterschiedliche Voraussetzungen

Die Voraussetzungen der einzelnen Rechte sind völlig unterschiedlich. Manche Betroffenenrechte muss der Verantwortliche von sich aus beachten, ohne dass die betroffene Person sie ausdrücklich geltend machen müsste.

Das gilt für das Recht auf Information über die Verarbeitung (Art. 12–14 DSGVO), aber auch für das Recht auf Unterlassung einer ausschließlich automatisierten Entscheidung (Art. 22 DSGVO).

Bei den anderen Rechten ist es dagegen Sache der betroffenen Person, sich ausdrücklich auf sie zu berufen. Beispiel: Auskunft gemäß Art. 15 DSGVO muss der Verantwortliche nur erteilen, wenn die betroffene Person dies ausdrücklich fordert.

Wieder andere Rechte haben eine Art Doppelnatur. Das gilt vor allem für das Recht auf Löschung (Art. 17 DSGVO):

Zum einen hat die betroffene Person das Recht, eine Löschung zu fordern, wenn die Voraussetzungen dafür vorliegen.
Zum anderen muss der Verantwortliche aber auch von sich aus darauf achten, dass er Daten löscht, wenn die Voraussetzungen dafür gegeben sind.

Inhaber der Betroffenenrechte

Die dargestellten Rechte stehen im Normalfall nur einer betroffenen Person zu. Darunter ist eine identifizierte oder identifizierbare natürliche Person zu verstehen (Art. 4 Nr. 1 Halbsatz 1 DSGVO).

Eine Ausnahme hiervon gilt für das Recht auf Schadenersatz (Art. 82 DSGVO). Es steht nicht nur einer betroffenen Person zu, sondern darüber hinaus jeder Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist (Art. 82 Abs. 1 DSGVO).

Das kann von praktischer Bedeutung sein, wenn die Daten einer betroffenen Person verarbeitet werden und dadurch einer anderen Person (etwa einem Angehörigen) ein Schaden entsteht.

Adressat der Betroffenenrechte

Die beschriebenen Rechte bestehen im Regelfall nur gegenüber dem Verantwortlichen. Das ist die Person oder Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

Auch von diesem Grundsatz gibt es jedoch Ausnahmen. So kann ein Anspruch auf Schadensersatz nicht nur gegenüber dem Verantwortlichen, sondern auch gegenüber einem Auftragsverarbeiter bestehen (Art. 82 Abs. 1 DSGVO).

Auftragsverarbeiter ist jede Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

Das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) richtet sich seiner Natur nach nur an die Aufsichtsbehörde und nicht an irgendeine andere Stelle.

Verfassungsrechtlicher Hintergrund

Wesentliche Rechte der betroffenen Personen, wenn auch nicht alle, sind unmittelbar im EU-Verfassungsrecht verankert. Das ist von großer praktischer Bedeutung. Würde eine betroffene Person beispielsweise in einem Vertrag auf ihre Rechte verzichten, läge darin gleichzeitig ein Verzicht auf ihre Grundrechte.

Es liegt auf der Hand, dass ein solcher Verzicht rechtlich nicht wirksam sein kann. Niemand hat die rechtliche Befugnis, auf seine Grundrechte zu verzichten.

Erwägungsgrund 1 zur DSGVO bringt den grundrechtlichen Hintergrund deutlich zum Ausdruck: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union […] sowie gemäß Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Grundrechte-Charta

Art. 8 der Grundrechte-Charta trägt die Überschrift „Schutz personenbezogener Daten“ und lautet wie folgt:

„(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“

Besonders wichtig ist bei dieser Vorschrift die unmittelbare Verankerung der Rechte auf Auskunft (siehe Art. 15 DSGVO) und auf Berichtigung (siehe Art. 16 DSGVO) in Abs. 2.

Weitere Rechte, etwa das Recht auf Löschung (siehe Art. 17 DSGVO), sind dort nicht ausdrücklich genannt. Sie ergeben sich jedoch mittelbar daraus, dass das Recht auf Schutz der eigenen personenbezogenen Daten in Abs. 1 allgemein als Grundrecht vorgesehen ist. Mit diesem Schutz wäre es nicht zu vereinbaren, wenn beispielsweise Daten nicht gelöscht würden, obwohl sie für den festgelegten Zweck nicht mehr benötigt werden.

Dieses Beispiel zeigt, dass mittelbar auch solche Rechte von Art. 8 der Grundrechte-Charta erfasst werden, die dort nicht ausdrücklich erwähnt sind.

Vertrag über die Arbeitsweise der EU

Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union lautet wie folgt: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Er wiederholt damit den Wortlaut von Art. 8 Abs. 1 der Grundrechte-Charta. Daraus ergeben sich keine zusätzlichen Erkenntnisse. Die Bestimmung unterstreicht das, was sich schon aus Art. 8 der Grundrechte-Charta ergibt.

Mehr anzeigen Weniger anzeigen

Selbstkontrolle über Nutzerdaten

DP+

Die meisten Nutzer sehen sich selbst in der Verantwortung für die Sicherheit ihrer Daten. Tools zur Selbstkontrolle über die Nutzerdaten können dabei helfen.

Bild: iStock.com / Laurence Dutton

Datenschutz-Software

Selbstkontrolle über Nutzerdaten

Können Betroffene ihre Daten selbst kontrollieren, ist nicht nur ein wesentliches Ziel des Datenschutzes erreicht. Es hilft auch der Wirtschaft, das Vertrauen in die Digitalisierung zu steigern. Verschiedene Lösungen bieten sich für die Selbstkontrolle über Nutzerdaten an.

Gesichtserkennung: Europaparlament fordert Verbot

Gratis

Die Mehrheit der EU-Parlamentarier stimmen klar für ein Verbot der automatischen Gesichtserkennung. Sie kämpfen für die Aufnahme im KI-Gesetz.

Bild: doble-d / iStock / Getty Images Plus

Datenschutz in Europa

Gesichtserkennung: Europaparlament fordert Verbot

Das Europaparlament lehnt biometrische Verfahren zur Massenüberwachung in der Öffentlichkeit ab und fordert ein Verbot der automatischen Gesichtserkennung. Die Abgeordneten stellen sich damit gegen die Position der EU-Kommission und der EU-Ratspräsidentschaft.

Rechtswidriger Datenhandel: Wurde auch Ihr Kreditscore berechnet?

Gratis

Die Kreditauskunftei CRIF Bürgel missbraucht Adressdaten zur Berechnung der Kreditwürdigkeit Millionen Deutscher. Fast jeder ist betroffen!

Bild: invincible_bulldog / iStock / Getty Images Plus

Datenhandel

Rechtswidriger Datenhandel: Wurde auch Ihr Kreditscore berechnet?

Die deutsche Kreditauskunftei CRIF Bürgel handelt rechtswidrig mit personenbezogenen Daten von Millionen Deutschen. Der Datenschutzverein none of your business (noyb) reichte deshalb am 18. Oktober 2021 Beschwerde gegen das Unternehmen und gegen den Adresshändler Acxiom ein.

Betroffenenanfragen: So gelingt der Umgang damit

DP+

Ablage P ist die denkbar schlechteste Möglichkeit, auf Anfragen von betroffenen Personen zu reagieren

Bild: iStock.com / Who_I_am

Betroffenenrechte Schritt für Schritt

Betroffenenanfragen: So gelingt der Umgang damit

Anfragen von betroffenen Personen sind mittlerweile sehr häufig. Zeigen Sie anhand von Praxisbeispielen etwa zur telefonischen Auskunft, wie die Kolleginnen und Kollegen mit Betroffenenrechten korrekt verfahren.

TikTok: Irische Datenschutzbehörde ermittelt

Gratis

Verarbeitet TikTok Daten von Kindern und gibt diese nach China weiter? Irische Datenschutzbehörde leitet Untersuchungen ein. Tiktok streitet die Vorwürfe ab.

Bild: Sinenkiy / iStock / Getty Images Plus

Datenschutz & Soziale Medien

TikTok: Irische Datenschutzbehörde ermittelt

Hat das Videoportal TikTok Daten von Kindern verarbeitet und Kundendaten nach China weitergegeben? Diese Vorwürfe stehen schon seit längerer Zeit im Raum – nun hat die irische Data Protection Commission (DPC) Untersuchungen eingeleitet.

Urteil: BGH sieht umfassenden Auskunftsanspruch

Gratis

Der BGH sieht in seinem Urteil einen umfassenden Auskunftsanspruch

Bild: iStock.com / z_wei

Auskunft: Was müssen Verantwortliche herausgeben?

Urteil: BGH sieht umfassenden Auskunftsanspruch

Zu den wesentlichen Neuerungen der DSGVO gehört der Auskunftsanspruch betroffener Personen gemäß Art. 15 DSGVO. Unternehmen, die zur Auskunft verpflichtet sind, versuchen immer wieder, die Auskunft zu begrenzen. Der Bundesgerichtshof (BGH) will davon allerdings nichts wissen.

Handreichung für Hochschulen: Online-Prüfungen datenschutzkonform organisieren

Gratis

Wie können online-Prüfungen an Hochschulen richtig abgehalten werden? Die neue Handreichnung des LfDI Baden-Württemberg setzt einen Standard.

Bild: nadia_bormotova / iStock / Getty Images Plus

Datenschutz an Universitäten und Hochschulen

Handreichung für Hochschulen: Online-Prüfungen datenschutzkonform organisieren

Wie können Hochschulen ihre online-Prüfungen für Studierende so organisieren, dass sie den datenschutzrechtlichen Anforderungen genügen? Das erklärt die neue Handreichung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg.

TTDSG: Neues Datenschutzgesetz verabschiedet

Gratis

Ab 1. Dezember 2021 tritt das neue TTDSG in Kraft und somit gelten neue Regelungen für Coockies und PIMS.

Bild: peterschreiber.media / iStock / Getty Images Plus

TTDSG - Neue Regelungen für Cookies und PIMS

TTDSG: Neues Datenschutzgesetz verabschiedet

Wie kommen wir zu mehr Klarheit und Rechtsicherheit bei den Datenschutzbestimmungen im Telekommunikationsbereich? Was bedeutet das für Cookies und „Personal Information Management Services“ (PIMS)? Darüber diskutieren Politik und Verbände schon seit Langem – und nun steht das Ergebnis fest: Der Bundestag verabschiedete am 20. Mai 2021 das „Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG).

Löschkonzept: Personenbezogene Daten richtig löschen

Gratis

Video zum Löschkonzept von LfDI BaWü veröffentlicht

Löschkonzept: Personenbezogene Daten richtig löschen

Wer muss wann personenbezogene Daten löschen? Warum und wie sollte das gemacht werden? Und was passiert, wenn das nicht ordentlich geschieht? Antworten darauf gibt das Video „Löschkonzept“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BaWü).

So geht Identifizierung bei Auskunftsersuchen (nicht)

DP+

Ohne Identifizierung kann ein Auskunftsersuchen schnell zur Datenpanne werden

Bild: iStock.com / z_wei

Betroffenenrechte und Sicherheit der Identitäten

So geht Identifizierung bei Auskunftsersuchen (nicht)

Wie lässt sich die Identität einer Auskunft suchenden betroffenen Person überprüfen, insbesondere im Rahmen von Online-Diensten? Kann die Online-Ausweisfunktion des Personalausweises helfen? Wie sind andere digitale Identitätsdienste zu beurteilen?

1 2 … 6 7

1 von 7