Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat Checklisten Cookies Corona Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 02/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat Checklisten Cookies Corona Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen

Betroffenenrechte

Die Datenschutz-Grundverordnung (DSGVO) regelt an verschiedenen Stellen, welche Rechte betroffene Personen haben. Im Mittelpunkt stehen dabei die Betroffenenrechte in Kapitel III der DSGVO. Was bedeuten sie, wie setzen Verantwortliche sie um?

➜ zum Überblick über die Betroffenenrechte

EuGH: Auskunft über die konkreten Datenempfänger

EuGH: Verantwortliche müssen Empfänger von Daten ganz konkret benennen
Bild: Andrew_Rybalko / iStock / Getty Images Plus
Grundsatzentscheidung des Europäischen Gerichtshofs
EuGH: Auskunft über die konkreten Datenempfänger

Beim Auskunftsanspruch betroffener Personen nach Art. 15 DSGVO sind viele Fragen offen. In einem wichtigen Punkt hat der Europäische Gerichtshof (EuGH) jetzt Klarheit geschaffen. Betroffene Personen können im Regelfall verlangen, dass der Verantwortliche ihnen ganz genau sagt, an wen er ihre Daten übermittelt hat.

Urteil
23. Januar 2023

Datenschutzerklärung für Websites: Was muss drinstehen?

DP+
Eine rechtskonforme Datenschutz­erklärung ist ein Aushängeschild, gleich ob bei großen oder kleinen Unternehmen. Die nötige Zeit zu investieren, um sie korrekt zu gestalten, lohnt sich also. Zudem bietet eine rechtssichere Datenschutzerklärung keine Angriffsfläche für Abmahner.
Transparenz als oberstes Gebot
Datenschutzerklärung für Websites: Was muss drinstehen?

Jedes Unternehmen mit einer Website muss transparent informieren, was es mit den dort verarbeiteten Daten tut. Wie lässt sich das in Zeiten von Abmahnungen wegen Google Fonts, von Analysetools, TTDSG und nötigen Belehrungen über Joint-Controller-Verhältnisse umsetzen?

Ratgeber
21. September 2022

Saugen, wischen, Daten sammeln: Saugroboter und Amazon

Amazon will den Hersteller von Saugrobotern iRobot kaufen und damit auch Millionen Kundendaten. Datenschützer warnen vor Spionage!
Bild: eternalcreative / iStock / Getty Images Plus
online-Handel
Saugen, wischen, Daten sammeln: Saugroboter und Amazon

Spionieren Saugroboter Wohnungen aus? Zumindest sammeln sie viele Daten – und deshalb halten Datenschützer sie schon lange für heikel. Nun könnten sie zum echten Problem werden, denn der Internetkonzern Amazon will iRobot kaufen, den führenden Hersteller von Roboterstaubsaugern. Dabei geht es wohl auch um die Daten von Millionen Kunden in aller Welt.

News
9. August 2022

Das Erleichterungsgebot beim Werbewiderspruch

DP+
Gerade beim Werbewiderspruch machen manche Verantwortliche es den betroffenen Personen (zu) schwer, wenn es nach der DSGVO geht
Bild: iStock.com / anyaberkut
In der DSGVO häufig übersehen
Das Erleichterungsgebot beim Werbewiderspruch

Art. 12 Abs. 2 Satz 1 DSGVO regelt die Pflicht des Verantwortlichen, den betroffenen Personen die Ausübung ihrer Rechte zu erleichtern. Die Praxis verkennt diese Pflicht speziell mit Blick auf das Recht auf Werbewiderspruch häufig. Doch Untätigkeit kann eine Pflichtverletzung sein.

Ratgeber
31. Mai 2022

Datenschutzhinweise: So lassen sie sich in der Praxis einbinden

DP+
Jeder, der einen Online-Auftritt hat und z.B. Online-Bestellungen ermöglicht, braucht Datenschutzhinweise
Bild: iStock.com / svetikd
Informationspflichten
Datenschutzhinweise: So lassen sie sich in der Praxis einbinden

Mit den Datenschutzhinweisen (der „Datenschutzerklärung“) setzen Unternehmen die Informationspflichten von Art. 13 und Art. 14 DSGVO um. Doch wie lassen sich die vorgeschriebenen Angaben praxisgerecht zur Verfügung stellen? Diese Vorschläge können Sie als DSB machen.

Ratgeber
21. Mai 2022

Auskunftsanspruch nach der DSGVO: ein Update

DP+
Auf die Motive eines Antragstellers kommt es beim Auskunftsanspruch nach DSGVO nicht an, auch nicht darauf, wie aufwendig es für einen Verantwortlichen ist, die Auskunft zu erteilen
Bild: iStock.com / anyaberkut
Manches ist klar, anderes nicht
Auskunftsanspruch nach der DSGVO: ein Update

Inzwischen ist der Auskunftsanspruch nach Art. 15 DSGVO in vielen Unternehmen gefürchtet. Der Beitrag gibt einen Überblick über die Struktur des ­Auskunftsrechts und über Streitfragen. Die neuen Leitlinien des EDSA zum Auskunftsanspruch sind besonders berücksichtigt.

Analyse
18. März 2022

Recht auf Auskunft: EDSA beschließt Leitlinien

Das Auskunftsrecht wird oft in Anspruch genommen. Die neuen Leitlinien der EDSA stärken nun die Rechte der Betroffenen.
Bild: nortonrsx / iStock / Getty Images Plus
Datenschutz in Europa
Recht auf Auskunft: EDSA beschließt Leitlinien

Welche Unternehmen und Behörden speichern welche Daten über mich? Wer das wissen will, kann – laut Europäischer Datenschutz-Grundverordnung (DSGVO) – sein Recht auf Auskunft geltend machen. Für mehr Einheitlichkeit und Klarheit dabei sorgt der Europäische Datenschutzausschuss (EDSA). Er hat gerade Leitlinien zum Auskunftsrecht verabschiedet.

News
26. Januar 2022

Alles Klar(na)? Super-App hat Probleme mit dem Datenschutz

Klarna steht derzeit massiv in der Kritik. In der Berliner Datenschutzbehörde sind bereits mehrere Beschwerden über den Online-Bezahldienst aufgelaufen.
Bild: Chainarong Prasertthai / iStock / Getty Images Plus
Datenschutz beim online-Shopping
Alles Klar(na)? Super-App hat Probleme mit dem Datenschutz

Kaufen Sie gerne online ein? Dann haben Sie sicher schon den Online-Bezahldienst Klarna genutzt. Der ist nun massiv in die Kritik geraten wegen seines Umgangs mit persönlichen Daten und seiner viel zu langen und unverständlichen Datenschutzerklärung.

News
11. Januar 2022

Selbstkontrolle über Nutzerdaten

DP+
Die meisten Nutzer sehen sich selbst in der Verantwortung für die Sicherheit ihrer Daten. Tools zur Selbstkontrolle über die Nutzerdaten können dabei helfen.
Bild: iStock.com / Laurence Dutton
Datenschutz-Software
Selbstkontrolle über Nutzerdaten

Können Betroffene ihre Daten selbst kontrollieren, ist nicht nur ein wesentliches Ziel des Datenschutzes erreicht. Es hilft auch der Wirtschaft, das Vertrauen in die Digitalisierung zu steigern. Verschiedene Lösungen bieten sich für die Selbstkontrolle über Nutzerdaten an.

Analyse
26. November 2021

Auskunftsersuchen: So gehen Sie richtig damit um

Auskunftsersuchen: So gehen Sie richtig damit um
Bild: iStock.com / z_wei
Was wie herausgeben?
Auskunftsersuchen: So gehen Sie richtig damit um

Ohne das Recht auf Auskunft wäre Datenschutz ein zahnloser Tiger. Denn nur wer weiß, was ein anderer über ihn weiß, kann sich frei entfalten. Aus Sicht desjenigen, der ein Auskunftsbegehren beantworten muss, gibt es jedoch einige Fallstricke, die er im Auge behalten sollte.

Ratgeber
26. Oktober 2021
1 von 7

Die Betroffenenrechte – ein Überblick

Dieses Kapitel trägt die Überschrift „Rechte der betroffenen Person“. Dort sind folgende Betroffenenrechte verankert:

Weitere Betroffenenrechte

Außer in Kapitel III regelt die DSGVO Rechte der betroffenen Person auch noch an anderen Stellen. Zu nennen sind hier vor allem das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) und das Recht auf Schadensersatz (Art. 82 DSGVO).

Unterschiedliche Voraussetzungen

Die Voraussetzungen der einzelnen Rechte sind völlig unterschiedlich. Manche Betroffenenrechte muss der Verantwortliche von sich aus beachten, ohne dass die betroffene Person sie ausdrücklich geltend machen müsste.

Das gilt für das Recht auf Information über die Verarbeitung (Art. 12–14 DSGVO), aber auch für das Recht auf Unterlassung einer ausschließlich automatisierten Entscheidung (Art. 22 DSGVO).

Bei den anderen Rechten ist es dagegen Sache der betroffenen Person, sich ausdrücklich auf sie zu berufen. Beispiel: Auskunft gemäß Art. 15 DSGVO muss der Verantwortliche nur erteilen, wenn die betroffene Person dies ausdrücklich fordert.

Wieder andere Rechte haben eine Art Doppelnatur. Das gilt vor allem für das Recht auf Löschung (Art. 17 DSGVO):

  • Zum einen hat die betroffene Person das Recht, eine Löschung zu fordern, wenn die Voraussetzungen dafür vorliegen.
  • Zum anderen muss der Verantwortliche aber auch von sich aus darauf achten, dass er Daten löscht, wenn die Voraussetzungen dafür gegeben sind.

Inhaber der Betroffenenrechte

Die dargestellten Rechte stehen im Normalfall nur einer betroffenen Person zu. Darunter ist eine identifizierte oder identifizierbare natürliche Person zu verstehen (Art. 4 Nr. 1 Halbsatz 1 DSGVO).

Eine Ausnahme hiervon gilt für das Recht auf Schadenersatz (Art. 82 DSGVO). Es steht nicht nur einer betroffenen Person zu, sondern darüber hinaus jeder Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist (Art. 82 Abs. 1 DSGVO).

Das kann von praktischer Bedeutung sein, wenn die Daten einer betroffenen Person verarbeitet werden und dadurch einer anderen Person (etwa einem Angehörigen) ein Schaden entsteht.

Adressat der Betroffenenrechte

Die beschriebenen Rechte bestehen im Regelfall nur gegenüber dem Verantwortlichen. Das ist die Person oder Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

Auch von diesem Grundsatz gibt es jedoch Ausnahmen. So kann ein Anspruch auf Schadensersatz nicht nur gegenüber dem Verantwortlichen, sondern auch gegenüber einem Auftragsverarbeiter bestehen (Art. 82 Abs. 1 DSGVO).

Auftragsverarbeiter ist jede Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

Das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) richtet sich seiner Natur nach nur an die Aufsichtsbehörde und nicht an irgendeine andere Stelle.

Verfassungsrechtlicher Hintergrund

Wesentliche Rechte der betroffenen Personen, wenn auch nicht alle, sind unmittelbar im EU-Verfassungsrecht verankert. Das ist von großer praktischer Bedeutung. Würde eine betroffene Person beispielsweise in einem Vertrag auf ihre Rechte verzichten, läge darin gleichzeitig ein Verzicht auf ihre Grundrechte.

Es liegt auf der Hand, dass ein solcher Verzicht rechtlich nicht wirksam sein kann. Niemand hat die rechtliche Befugnis, auf seine Grundrechte zu verzichten.

Erwägungsgrund 1 zur DSGVO bringt den grundrechtlichen Hintergrund deutlich zum Ausdruck: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union […] sowie gemäß Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Grundrechte-Charta

Art. 8 der Grundrechte-Charta trägt die Überschrift „Schutz personenbezogener Daten“ und lautet wie folgt:

„(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“

Besonders wichtig ist bei dieser Vorschrift die unmittelbare Verankerung der Rechte auf Auskunft (siehe Art. 15 DSGVO) und auf Berichtigung (siehe Art. 16 DSGVO) in Abs. 2.

Weitere Rechte, etwa das Recht auf Löschung (siehe Art. 17 DSGVO), sind dort nicht ausdrücklich genannt. Sie ergeben sich jedoch mittelbar daraus, dass das Recht auf Schutz der eigenen personenbezogenen Daten in Abs. 1 allgemein als Grundrecht vorgesehen ist. Mit diesem Schutz wäre es nicht zu vereinbaren, wenn beispielsweise Daten nicht gelöscht würden, obwohl sie für den festgelegten Zweck nicht mehr benötigt werden.

Dieses Beispiel zeigt, dass mittelbar auch solche Rechte von Art. 8 der Grundrechte-Charta erfasst werden, die dort nicht ausdrücklich erwähnt sind.

Vertrag über die Arbeitsweise der EU

Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union lautet wie folgt: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Er wiederholt damit den Wortlaut von Art. 8 Abs. 1 der Grundrechte-Charta. Daraus ergeben sich keine zusätzlichen Erkenntnisse. Die Bestimmung unterstreicht das, was sich schon aus Art. 8 der Grundrechte-Charta ergibt.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.