Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work KI Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 06/23

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework Drittland EuGH Fotos Homeoffice Hybrid Work KI Rechenschaftspflicht Schrems II Tätigkeitsberichte TTDSG Urteil Vorlagen

Betroffenenrechte

Die Datenschutz-Grundverordnung (DSGVO) regelt an verschiedenen Stellen, welche Rechte betroffene Personen haben. Im Mittelpunkt stehen dabei die Betroffenenrechte in Kapitel 3 der DSGVO. Was bedeuten sie, wie setzen Verantwortliche sie um?

➜ zum Überblick über die Betroffenenrechte

Datenschutzhinweise auf einen Blick: Datenschutz-Icons

DP+
Icons können Wegweiser durch die Datenschutzhinweise sein
Bild: iStock.com / Zdenek Sasek
Informationspflichten
Datenschutzhinweise auf einen Blick: Datenschutz-Icons

Wer kennt sie nicht: seitenlange Datenschutzhinweise, die Nutzerinnen und Nutzer bereits auf den ersten Blick erschlagen. Icons bieten eine Möglichkeit, die Informationen übersichtlicher zu gestalten.

Ratgeber
8. März 2023

Kein Auskunftsanspruch nach Art. 15 DSGVO für Erben

Ein Auskunftsanspruch geht nicht auf die Erben über
Bild: iStock.com / ipopba
Ein Anspruch, der nicht vererbt wird
Kein Auskunftsanspruch nach Art. 15 DSGVO für Erben

Das Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO geht sehr weit. Für Erben einer Person wäre es manchmal praktisch, wenn der Auskunftsanspruch dieser Person auf sie übergehen würde. Das ist aber nicht der Fall.

Urteil
2. Februar 2023

EuGH: Auskunft über die konkreten Datenempfänger

EuGH: Verantwortliche müssen Empfänger von Daten ganz konkret benennen
Bild: Andrew_Rybalko / iStock / Getty Images Plus
Grundsatzentscheidung des Europäischen Gerichtshofs
EuGH: Auskunft über die konkreten Datenempfänger

Beim Auskunftsanspruch betroffener Personen nach Art. 15 DSGVO sind viele Fragen offen. In einem wichtigen Punkt hat der Europäische Gerichtshof (EuGH) jetzt Klarheit geschaffen. Betroffene Personen können im Regelfall verlangen, dass der Verantwortliche ihnen ganz genau sagt, an wen er ihre Daten übermittelt hat.

Urteil
23. Januar 2023

Vorlageverfahren beim EuGH, Teil 3: Streitfragen rund um den Auskunftsanspruch

DP+
Vorlageverfahren beim EuGH sind enorm wichtig
Bild: Gerichtshof der Europäischen Union
Betroffenenrechte
Vorlageverfahren beim EuGH, Teil 3: Streitfragen rund um den Auskunftsanspruch

Beim Auskunftsanspruch nach Art. 15 DSGVO ist inzwischen fast alles umstritten. Gleich mehrere Vorlagen nationaler Gerichte geben dem EuGH Gelegenheit, Streitfragen zu klären. Wir präsentieren Ihnen eine Auswahl der wichtigsten Themen, um die es dabei geht.

Urteil
20. Dezember 2022

Datenschutzerklärung für Websites: Was muss drinstehen?

DP+
Eine rechtskonforme Datenschutz­erklärung ist ein Aushängeschild, gleich ob bei großen oder kleinen Unternehmen. Die nötige Zeit zu investieren, um sie korrekt zu gestalten, lohnt sich also. Zudem bietet eine rechtssichere Datenschutzerklärung keine Angriffsfläche für Abmahner.
Transparenz als oberstes Gebot
Datenschutzerklärung für Websites: Was muss drinstehen?

Jedes Unternehmen mit einer Website muss transparent informieren, was es mit den dort verarbeiteten Daten tut. Wie lässt sich das in Zeiten von Abmahnungen wegen Google Fonts, von Analysetools, TTDSG und nötigen Belehrungen über Joint-Controller-Verhältnisse umsetzen?

Ratgeber
21. September 2022

Das Erleichterungsgebot beim Werbewiderspruch

DP+
Gerade beim Werbewiderspruch machen manche Verantwortliche es den betroffenen Personen (zu) schwer, wenn es nach der DSGVO geht
Bild: iStock.com / anyaberkut
In der DSGVO häufig übersehen
Das Erleichterungsgebot beim Werbewiderspruch

Art. 12 Abs. 2 Satz 1 DSGVO regelt die Pflicht des Verantwortlichen, den betroffenen Personen die Ausübung ihrer Rechte zu erleichtern. Die Praxis verkennt diese Pflicht speziell mit Blick auf das Recht auf Werbewiderspruch häufig. Doch Untätigkeit kann eine Pflichtverletzung sein.

Ratgeber
31. Mai 2022

DSGVO: Aufräumen bei Papierdaten!

DSGVO: Aufräumen bei Papierdaten!
Bild: iStock.com / happymoon77
Vorgaben der DSGVO
DSGVO: Aufräumen bei Papierdaten!

Datenschutz – das hat etwas mit elektronischen Daten zu tun! So denken auch heute noch viele. Sie vergessen dabei, dass gerade die DSGVO Daten auf Papier im Ergebnis voll einbezieht. Das zwingt dazu, diese Art von Daten mehr denn je im Blick zu behalten.

Analyse
22. Mai 2022

Datenschutzhinweise: So lassen sie sich in der Praxis einbinden

DP+
Jeder, der einen Online-Auftritt hat und z.B. Online-Bestellungen ermöglicht, braucht Datenschutzhinweise
Bild: iStock.com / svetikd
Informationspflichten
Datenschutzhinweise: So lassen sie sich in der Praxis einbinden

Mit den Datenschutzhinweisen (der „Datenschutzerklärung“) setzen Unternehmen die Informationspflichten von Art. 13 und Art. 14 DSGVO um. Doch wie lassen sich die vorgeschriebenen Angaben praxisgerecht zur Verfügung stellen? Diese Vorschläge können Sie als DSB machen.

Ratgeber
21. Mai 2022

Auskunftsanspruch nach der DSGVO: ein Update

DP+
Auf die Motive eines Antragstellers kommt es beim Auskunftsanspruch nach DSGVO nicht an, auch nicht darauf, wie aufwendig es für einen Verantwortlichen ist, die Auskunft zu erteilen
Bild: iStock.com / anyaberkut
Manches ist klar, anderes nicht
Auskunftsanspruch nach der DSGVO: ein Update

Inzwischen ist der Auskunftsanspruch nach Art. 15 DSGVO in vielen Unternehmen gefürchtet. Der Beitrag gibt einen Überblick über die Struktur des ­Auskunftsrechts und über Streitfragen. Die neuen Leitlinien des EDSA zum Auskunftsanspruch sind besonders berücksichtigt.

Analyse
18. März 2022

Recht auf Auskunft: EDSA beschließt Leitlinien

Das Auskunftsrecht wird oft in Anspruch genommen. Die neuen Leitlinien der EDSA stärken nun die Rechte der Betroffenen.
Bild: nortonrsx / iStock / Getty Images Plus
Datenschutz in Europa
Recht auf Auskunft: EDSA beschließt Leitlinien

Welche Unternehmen und Behörden speichern welche Daten über mich? Wer das wissen will, kann – laut Europäischer Datenschutz-Grundverordnung (DSGVO) – sein Recht auf Auskunft geltend machen. Für mehr Einheitlichkeit und Klarheit dabei sorgt der Europäische Datenschutzausschuss (EDSA). Er hat gerade Leitlinien zum Auskunftsrecht verabschiedet.

News
26. Januar 2022
1 von 6

Eines der erklärten Ziele der DSGVO ist eine faire und transparente Verarbeitung von personenbezogenen Daten.

Für die betroffene Person muss die Datenverarbeitung nachvollziehbar sein. Daraus ergeben sich für die Verarbeiter Pflichten, die sie erfüllen müssen.

Die Betroffenenrechte – ein Überblick

Kapitel 3 der DSGVO trägt die Überschrift „Rechte der betroffenen Person“. Dort sind folgende Betroffenenrechte verankert:

Recht auf transparente Information und Kommunikation (Art. 12 DSGVO)

Wo in der Vergangenheit eher IT-Kauderwelsch und Fachchinesisch die Information und Kommunikation bestimmten, verlangt die DSGVO in den Betroffenenrechten, die Kommunikation so zu gestalten, dass selbst jeder weniger gebildete Mensch verstehen kann, worum es geht.

Recht auf Information (Art. 13 und 14 DSGVO) – proaktive Information

Unter Transparenz versteht die DSGVO nicht, dass jeder die ihm zustehende Information erst bekommt, wenn er danach fragt. Sie sieht schon im Vorfeld umfangreiche Informationen vor, die der Verantwortliche bereitstellen muss (Informationspflichten). Hierbei unterscheidet die DSGVO zwischen

  • der Erhebung unmittelbar bei der betroffenen Person, wie sie zum Beispiel am Messestand oder bei einem Gewinnspiel üblich ist, und
  • der Erhebung bei jemand anderem, etwa wenn es sich um gekaufte Adressbestände handelt.

Sie können darauf verzichten, die betroffene Person zu informieren, wenn diese bereits über alle Informationen verfügt, die die DSGVO nennt.

Erheben Verantwortliche die Daten nicht direkt bei der betroffenen Person, kann die Information ebenfalls entfallen,

  • wenn es unmöglich ist, sie zu informieren, etwa weil keinerlei Kontaktdaten vorliegen, oder
  • wenn die Information einen unverhältnismäßigen Aufwand darstellen würde.

Verzichtet der Verantwortliche auf die Information, ist es ratsam, die Gründe nachvollziehbar zu dokumentieren. Schließlich drohen bei einem Verstoß Bußgelder von bis zu 20.000.000 € oder 4 % des Jahresumsatzes.

Geht es um Daten, die der Kommunikation mit der betroffenen Person dienen, muss die Information spätestens zum Zeitpunkt der ersten Mitteilung erfolgen.

Recht auf Auskunft (Art. 15 DSGVO) – reaktive Information

Zur Transparenz für die betroffene Person gehört auch das Auskunftsrecht. Das bedeutet, dass sie auf Nachfrage erfährt,

  • welche Daten zu ihrer Person wie und wozu verarbeitet werden,
  • woher sie stammen,
  • wohin der Verantwortliche sie übermittelt und
  • wie lange diese Daten voraussichtlich verarbeitet werden (sofern dies möglich ist).

Recht auf Berichtigung (Art. 16 DSGVO)

Personenbezogene Daten, die fehlerhaft sind, muss der Verantwortliche korrigieren, wenn es die betroffene Person verlangt. Das ist das Recht auf Berichtigung.

Haben weitere Empfänger diese Daten bekommen, muss der Verantwortliche sie zur Korrektur auffordern.

Recht auf Löschung (Art. 17 DSGVO)

Zu den Betroffenenrechten gehörtdarüber hinaus das Recht auf Löschung. Hier kann die betroffene Person verlangen, dass der Verantwortliche und die möglichen Datenempfänger ihre personenbezogenen Daten löschen. Dieser Anspruch muss ausschließlich dann umgesetzt werden, wenn die weitere Verarbeitung nicht mehr erforderlich ist.

Weiterhin erforderlich sind die Daten etwa, wenn noch steuerrechtliche Aufbewahrungspflichten zu erfüllen sind, zum Beispiel bei Kaufverträgen.

Fällt der Zweck oder die Rechtsgrundlage der Verarbeitung weg, ist jede weitere Verarbeitung unzulässig, und die Daten müssen gelöscht (mindestens anonymisiert) werden.

Recht auf Einschränkung (Art. 18 DSGVO)

Lassen sich die personenbezogenen Daten nur schwer löschen oder ist es erforderlich, dass sie weiterhin gespeichert sind, kann der Verantwortliche die Verarbeitung dieser Daten einschränken (Recht auf Einschränkung der Verarbeitung).

Hierzu muss er die Daten kennzeichnen, um sie von zukünftigen Verarbeitungen auszuschließen. Das kann etwa durch den Vermerk „Gesperrt“ im Datensatz erfolgen.

Recht auf Widerspruch (Art. 21 DSGVO)

Die betroffene Person kann der weiteren Verarbeitung ihrer personenbezogenen Daten widersprechen. Daraufhin müssen der Verantwortliche und mögliche Datenempfänger die Verarbeitung einstellen. Dieses Widerspruchsrecht gilt insbesondere gegenüber Direktwerbung (Art. 21 Abs. 2 DSGVO).

Ausnahme: Der Verantwortliche weist zwingende schutzwürdige Gründe für die Verarbeitung nach, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen. Oder aber die Verarbeitung dient dazu, Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Jede betroffene Person darf verlangen, dass ihr der Verantwortliche ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellt (Recht auf Datenübertragbarkeit). Informationen, die der Verantwortliche eigenständig hinzugefügt hat, sind davon nicht betroffen.

Der Verantwortliche darf niemanden daran hindern, diese Daten anderen zur Verfügung zu stellen. Das betrifft Social-Media-Plattformen ebenso wie neue Lieferanten. Das strukturierte Format ist nicht näher definiert. Es kann also zum Beispiel eine Tabelle sein oder eine CSV-Datei (comma separated value).

Recht auf nicht ausschließlich automatisierte Entscheidungen (Art. 22 DSGVO)

Jede betroffene Person hat Anspruch darauf, dass Entscheidungen, die ihr gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen, nicht ausschließlich automatisiert getroffen werden.

So darf beispielsweise ein online beantragter Kredit nicht allein aufgrund mathematischer Algorithmen gewährt oder abgelehnt werden.

Weitere Betroffenenrechte

Außer in Kapitel 3 regelt die DSGVO Rechte der betroffenen Person auch noch an anderen Stellen. Zu nennen sind hier vor allem das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), das Recht, den Datenschutzbeauftragten zu konsultieren (Art. 38 DSGVO) und das Recht auf Schadensersatz (Art. 82 DSGVO).

Unterschiedliche Voraussetzungen

Die Voraussetzungen der einzelnen Rechte sind völlig unterschiedlich. Manche Betroffenenrechte muss der Verantwortliche von sich aus beachten, ohne dass die betroffene Person sie ausdrücklich geltend machen müsste.

Das gilt für das Recht auf Information über die Verarbeitung (Art. 12–14 DSGVO), aber auch für das Recht auf Unterlassung einer ausschließlich automatisierten Entscheidung (Art. 22 DSGVO).

Bei den anderen Rechten ist es dagegen Sache der betroffenen Person, sich ausdrücklich auf sie zu berufen. Beispiel: Auskunft gemäß Art. 15 DSGVO muss der Verantwortliche nur erteilen, wenn die betroffene Person dies ausdrücklich fordert.

Wieder andere Betroffenenrechte haben eine Art Doppelnatur. Das gilt vor allem für das Recht auf Löschung (Art. 17 DSGVO):

  • Zum einen hat die betroffene Person das Recht, eine Löschung zu fordern, wenn die Voraussetzungen dafür vorliegen.
  • Zum anderen muss der Verantwortliche aber auch von sich aus darauf achten, dass er Daten löscht, wenn die Voraussetzungen dafür gegeben sind.

Inhaber der Betroffenenrechte

Die dargestellten Rechte stehen im Normalfall nur einer betroffenen Person zu. Darunter ist eine identifizierte oder identifizierbare natürliche Person zu verstehen (Art. 4 Nr. 1 Halbsatz 1 DSGVO).

Eine Ausnahme hiervon gilt für das Recht auf Schadenersatz (Art. 82 DSGVO). Es steht nicht nur einer betroffenen Person zu, sondern darüber hinaus jeder Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist (Art. 82 Abs. 1 DSGVO).

Das kann von praktischer Bedeutung sein, wenn die Daten einer betroffenen Person verarbeitet werden und dadurch einer anderen Person (etwa einem Angehörigen) ein Schaden entsteht.

Adressat der Betroffenenrechte

Die beschriebenen Rechte bestehen im Regelfall nur gegenüber dem Verantwortlichen. Das ist die Person oder Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

Auch von diesem Grundsatz gibt es jedoch Ausnahmen. So kann ein Anspruch auf Schadensersatz nicht nur gegenüber dem Verantwortlichen, sondern auch gegenüber einem Auftragsverarbeiter bestehen (Art. 82 Abs. 1 DSGVO).

Auftragsverarbeiter ist jede Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

Das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) richtet sich seiner Natur nach nur an die Aufsichtsbehörde und nicht an irgendeine andere Stelle.

Verfassungsrechtlicher Hintergrund

Wesentliche Rechte der betroffenen Personen, wenn auch nicht alle, sind unmittelbar im EU-Verfassungsrecht verankert. Das ist von großer praktischer Bedeutung. Würde eine betroffene Person beispielsweise in einem Vertrag auf ihre Rechte verzichten, läge darin gleichzeitig ein Verzicht auf ihre Grundrechte.

Es liegt auf der Hand, dass ein solcher Verzicht rechtlich nicht wirksam sein kann. Niemand hat die rechtliche Befugnis, auf seine Grundrechte zu verzichten.

Erwägungsgrund 1 zur DSGVO bringt den grundrechtlichen Hintergrund deutlich zum Ausdruck: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union […] sowie gemäß Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Grundrechte-Charta

Art. 8 der Grundrechte-Charta trägt die Überschrift „Schutz personenbezogener Daten“ und lautet wie folgt:

„(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“

Besonders wichtig ist bei dieser Vorschrift die unmittelbare Verankerung der Rechte auf Auskunft (siehe Art. 15 DSGVO) und auf Berichtigung (siehe Art. 16 DSGVO) in Abs. 2.

Weitere Rechte, etwa das Recht auf Löschung (siehe Art. 17 DSGVO), sind dort nicht ausdrücklich genannt. Sie ergeben sich jedoch mittelbar daraus, dass das Recht auf Schutz der eigenen personenbezogenen Daten in Abs. 1 allgemein als Grundrecht vorgesehen ist. Mit diesem Schutz wäre es nicht zu vereinbaren, wenn beispielsweise Daten nicht gelöscht würden, obwohl sie für den festgelegten Zweck nicht mehr benötigt werden.

Dieses Beispiel zeigt, dass mittelbar auch solche Rechte von Art. 8 der Grundrechte-Charta erfasst werden, die dort nicht ausdrücklich erwähnt sind.

Vertrag über die Arbeitsweise der EU

Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union lautet wie folgt: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Er wiederholt damit den Wortlaut von Art. 8 Abs. 1 der Grundrechte-Charta. Daraus ergeben sich keine zusätzlichen Erkenntnisse. Die Bestimmung unterstreicht das, was sich schon aus Art. 8 der Grundrechte-Charta ergibt.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.