Betroffenenrechte
Die Datenschutz-Grundverordnung (DSGVO) regelt an verschiedenen Stellen, welche Rechte betroffene Personen haben. Im Mittelpunkt stehen dabei die Betroffenenrechte in Kapitel 3 der DSGVO. Was bedeuten sie, wie setzen Verantwortliche sie um?
Eines der erklärten Ziele der DSGVO ist eine faire und transparente Verarbeitung von personenbezogenen Daten.
Für die betroffene Person muss die Datenverarbeitung nachvollziehbar sein. Daraus ergeben sich für die Verarbeiter Pflichten, die sie erfüllen müssen.
Die Betroffenenrechte – ein Überblick
Kapitel 3 der DSGVO trägt die Überschrift „Rechte der betroffenen Person“. Dort sind folgende Betroffenenrechte verankert:
Recht auf transparente Information und Kommunikation (Art. 12 DSGVO)
Wo in der Vergangenheit eher IT-Kauderwelsch und Fachchinesisch die Information und Kommunikation bestimmten, verlangt die DSGVO in den Betroffenenrechten, die Kommunikation so zu gestalten, dass selbst jeder weniger gebildete Mensch verstehen kann, worum es geht.
Recht auf Information (Art. 13 und 14 DSGVO) – proaktive Information
Unter Transparenz versteht die DSGVO nicht, dass jeder die ihm zustehende Information erst bekommt, wenn er danach fragt. Sie sieht schon im Vorfeld umfangreiche Informationen vor, die der Verantwortliche bereitstellen muss (Informationspflichten). Hierbei unterscheidet die DSGVO zwischen
- der Erhebung unmittelbar bei der betroffenen Person, wie sie zum Beispiel am Messestand oder bei einem Gewinnspiel üblich ist, und
- der Erhebung bei jemand anderem, etwa wenn es sich um gekaufte Adressbestände handelt.
Sie können darauf verzichten, die betroffene Person zu informieren, wenn diese bereits über alle Informationen verfügt, die die DSGVO nennt.
Erheben Verantwortliche die Daten nicht direkt bei der betroffenen Person, kann die Information ebenfalls entfallen,
- wenn es unmöglich ist, sie zu informieren, etwa weil keinerlei Kontaktdaten vorliegen, oder
- wenn die Information einen unverhältnismäßigen Aufwand darstellen würde.
Verzichtet der Verantwortliche auf die Information, ist es ratsam, die Gründe nachvollziehbar zu dokumentieren. Schließlich drohen bei einem Verstoß Bußgelder von bis zu 20.000.000 € oder 4 % des Jahresumsatzes.
Geht es um Daten, die der Kommunikation mit der betroffenen Person dienen, muss die Information spätestens zum Zeitpunkt der ersten Mitteilung erfolgen.
Recht auf Auskunft (Art. 15 DSGVO) – reaktive Information
Zur Transparenz für die betroffene Person gehört auch das Auskunftsrecht. Das bedeutet, dass sie auf Nachfrage erfährt,
- welche Daten zu ihrer Person wie und wozu verarbeitet werden,
- woher sie stammen,
- wohin der Verantwortliche sie übermittelt und
- wie lange diese Daten voraussichtlich verarbeitet werden (sofern dies möglich ist).
Recht auf Berichtigung (Art. 16 DSGVO)
Personenbezogene Daten, die fehlerhaft sind, muss der Verantwortliche korrigieren, wenn es die betroffene Person verlangt. Das ist das Recht auf Berichtigung.
Haben weitere Empfänger diese Daten bekommen, muss der Verantwortliche sie zur Korrektur auffordern.
Recht auf Löschung (Art. 17 DSGVO)
Zu den Betroffenenrechten gehörtdarüber hinaus das Recht auf Löschung. Hier kann die betroffene Person verlangen, dass der Verantwortliche und die möglichen Datenempfänger ihre personenbezogenen Daten löschen. Dieser Anspruch muss ausschließlich dann umgesetzt werden, wenn die weitere Verarbeitung nicht mehr erforderlich ist.
Weiterhin erforderlich sind die Daten etwa, wenn noch steuerrechtliche Aufbewahrungspflichten zu erfüllen sind, zum Beispiel bei Kaufverträgen.
Fällt der Zweck oder die Rechtsgrundlage der Verarbeitung weg, ist jede weitere Verarbeitung unzulässig, und die Daten müssen gelöscht (mindestens anonymisiert) werden.
Recht auf Einschränkung (Art. 18 DSGVO)
Lassen sich die personenbezogenen Daten nur schwer löschen oder ist es erforderlich, dass sie weiterhin gespeichert sind, kann der Verantwortliche die Verarbeitung dieser Daten einschränken (Recht auf Einschränkung der Verarbeitung).
Hierzu muss er die Daten kennzeichnen, um sie von zukünftigen Verarbeitungen auszuschließen. Das kann etwa durch den Vermerk „Gesperrt“ im Datensatz erfolgen.
Recht auf Widerspruch (Art. 21 DSGVO)
Die betroffene Person kann der weiteren Verarbeitung ihrer personenbezogenen Daten widersprechen. Daraufhin müssen der Verantwortliche und mögliche Datenempfänger die Verarbeitung einstellen. Dieses Widerspruchsrecht gilt insbesondere gegenüber Direktwerbung (Art. 21 Abs. 2 DSGVO).
Ausnahme: Der Verantwortliche weist zwingende schutzwürdige Gründe für die Verarbeitung nach, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen. Oder aber die Verarbeitung dient dazu, Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Jede betroffene Person darf verlangen, dass ihr der Verantwortliche ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellt (Recht auf Datenübertragbarkeit). Informationen, die der Verantwortliche eigenständig hinzugefügt hat, sind davon nicht betroffen.
Der Verantwortliche darf niemanden daran hindern, diese Daten anderen zur Verfügung zu stellen. Das betrifft Social-Media-Plattformen ebenso wie neue Lieferanten. Das strukturierte Format ist nicht näher definiert. Es kann also zum Beispiel eine Tabelle sein oder eine CSV-Datei (comma separated value).
Recht auf nicht ausschließlich automatisierte Entscheidungen (Art. 22 DSGVO)
Jede betroffene Person hat Anspruch darauf, dass Entscheidungen, die ihr gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen, nicht ausschließlich automatisiert getroffen werden.
So darf beispielsweise ein online beantragter Kredit nicht allein aufgrund mathematischer Algorithmen gewährt oder abgelehnt werden.
Weitere Betroffenenrechte
Außer in Kapitel 3 regelt die DSGVO Rechte der betroffenen Person auch noch an anderen Stellen. Zu nennen sind hier vor allem das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), das Recht, den Datenschutzbeauftragten zu konsultieren (Art. 38 DSGVO) und das Recht auf Schadensersatz (Art. 82 DSGVO).
Unterschiedliche Voraussetzungen
Die Voraussetzungen der einzelnen Rechte sind völlig unterschiedlich. Manche Betroffenenrechte muss der Verantwortliche von sich aus beachten, ohne dass die betroffene Person sie ausdrücklich geltend machen müsste.
Das gilt für das Recht auf Information über die Verarbeitung (Art. 12–14 DSGVO), aber auch für das Recht auf Unterlassung einer ausschließlich automatisierten Entscheidung (Art. 22 DSGVO).
Bei den anderen Rechten ist es dagegen Sache der betroffenen Person, sich ausdrücklich auf sie zu berufen. Beispiel: Auskunft gemäß Art. 15 DSGVO muss der Verantwortliche nur erteilen, wenn die betroffene Person dies ausdrücklich fordert.
Wieder andere Betroffenenrechte haben eine Art Doppelnatur. Das gilt vor allem für das Recht auf Löschung (Art. 17 DSGVO):
- Zum einen hat die betroffene Person das Recht, eine Löschung zu fordern, wenn die Voraussetzungen dafür vorliegen.
- Zum anderen muss der Verantwortliche aber auch von sich aus darauf achten, dass er Daten löscht, wenn die Voraussetzungen dafür gegeben sind.
Inhaber der Betroffenenrechte
Die dargestellten Rechte stehen im Normalfall nur einer betroffenen Person zu. Darunter ist eine identifizierte oder identifizierbare natürliche Person zu verstehen (Art. 4 Nr. 1 Halbsatz 1 DSGVO).
Eine Ausnahme hiervon gilt für das Recht auf Schadenersatz (Art. 82 DSGVO). Es steht nicht nur einer betroffenen Person zu, sondern darüber hinaus jeder Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist (Art. 82 Abs. 1 DSGVO).
Das kann von praktischer Bedeutung sein, wenn die Daten einer betroffenen Person verarbeitet werden und dadurch einer anderen Person (etwa einem Angehörigen) ein Schaden entsteht.
Adressat der Betroffenenrechte
Die beschriebenen Rechte bestehen im Regelfall nur gegenüber dem Verantwortlichen. Das ist die Person oder Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).
Auch von diesem Grundsatz gibt es jedoch Ausnahmen. So kann ein Anspruch auf Schadensersatz nicht nur gegenüber dem Verantwortlichen, sondern auch gegenüber einem Auftragsverarbeiter bestehen (Art. 82 Abs. 1 DSGVO).
Auftragsverarbeiter ist jede Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).
Das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) richtet sich seiner Natur nach nur an die Aufsichtsbehörde und nicht an irgendeine andere Stelle.
Verfassungsrechtlicher Hintergrund
Wesentliche Rechte der betroffenen Personen, wenn auch nicht alle, sind unmittelbar im EU-Verfassungsrecht verankert. Das ist von großer praktischer Bedeutung. Würde eine betroffene Person beispielsweise in einem Vertrag auf ihre Rechte verzichten, läge darin gleichzeitig ein Verzicht auf ihre Grundrechte.
Es liegt auf der Hand, dass ein solcher Verzicht rechtlich nicht wirksam sein kann. Niemand hat die rechtliche Befugnis, auf seine Grundrechte zu verzichten.
Erwägungsgrund 1 zur DSGVO bringt den grundrechtlichen Hintergrund deutlich zum Ausdruck: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union […] sowie gemäß Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
Grundrechte-Charta
Art. 8 der Grundrechte-Charta trägt die Überschrift „Schutz personenbezogener Daten“ und lautet wie folgt:
„(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“
Besonders wichtig ist bei dieser Vorschrift die unmittelbare Verankerung der Rechte auf Auskunft (siehe Art. 15 DSGVO) und auf Berichtigung (siehe Art. 16 DSGVO) in Abs. 2.
Weitere Rechte, etwa das Recht auf Löschung (siehe Art. 17 DSGVO), sind dort nicht ausdrücklich genannt. Sie ergeben sich jedoch mittelbar daraus, dass das Recht auf Schutz der eigenen personenbezogenen Daten in Abs. 1 allgemein als Grundrecht vorgesehen ist. Mit diesem Schutz wäre es nicht zu vereinbaren, wenn beispielsweise Daten nicht gelöscht würden, obwohl sie für den festgelegten Zweck nicht mehr benötigt werden.
Dieses Beispiel zeigt, dass mittelbar auch solche Rechte von Art. 8 der Grundrechte-Charta erfasst werden, die dort nicht ausdrücklich erwähnt sind.
Vertrag über die Arbeitsweise der EU
Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union lautet wie folgt: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“
Er wiederholt damit den Wortlaut von Art. 8 Abs. 1 der Grundrechte-Charta. Daraus ergeben sich keine zusätzlichen Erkenntnisse. Die Bestimmung unterstreicht das, was sich schon aus Art. 8 der Grundrechte-Charta ergibt.