Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Betroffenenrechte

Die Datenschutz-Grundverordnung (DSGVO) regelt an verschiedenen Stellen, welche Rechte betroffene Personen haben. Im Mittelpunkt stehen dabei die Betroffenenrechte in Kapitel 3 der DSGVO. Was bedeuten sie, wie setzen Verantwortliche sie um?

➜ zum Überblick über die Betroffenenrechte

Das Auskunftsrecht gehört nach der Datenschutz-Grundverordung (DSGVO ) zu den grundlegenden Rechten von betroffenen Personen. Doch wie erfüllen Sie dieses Recht, ohne zu viel Aufwand zu betreiben?

Betroffenenrechte

Das Auskunftsrecht hatte zu einem großen Aufschrei geführt: Wie soll eine öffentliche Stelle – insbesondere eine Kommunalverwaltung – dem nachkommen, ohne sich bei der Recherche nach diesen Daten komplett zu verzetteln? Ein Muster auf Basis des VVT schafft Abhilfe.

Bedeutung und Umsetzung

Einer der zentralen Grundsätze der Datenverarbeitung in der Datenschutz-Grundverordnung (DSGVO) ist die Datenrichtigkeit. Der Grundsatz ist nicht neu – mit Anwendbarkeit der Verordnung aber beachtenswerter denn je. Denn eine Verletzung ist bußgeldbewehrt. Was gehört alles zur Datenrichtigkeit?

So haben Sie die Datenlöschung sicher im Griff
Bild: wildpixel / iStock / Thinkstock
Aufbewahrungs- und Löschfristen

Archivlösungen unterstützen Unternehmen dabei, die relevanten Dokumente automatisch abzulegen. Doch wie stellen Sie sicher, dass sie auch fristgerecht gelöscht werden?

Eine ganz zentrale Forderung bei den Betroffenenrechten: Daten sind unter bestimmten Voraussetzungen auch wieder zu löschen!
Bild: Spectral-Design / iStock / Thinkstock
Datenschutzorganisation

Datenschutz ist nur sinnvoll, wenn Betroffene das Recht haben, ihre Ansprüche durchzusetzen. Die Datenschutz-Grundverordnung (DSGVO) greift die schon früher unter dem altem Bundesdatenschutzgesetz geltenden Rechte auf und entwickelt sie weiter. Die interne Datenschutzorganisation muss diese Betroffenenrechte umsetzen können.

Datenschutz im Marketing

Der Widerruf einer Einwilligung löst Pflichten für den Werbeversender aus. Allerdings zeigt die Praxis, dass die betroffenen Personen manchmal die Umsetzung dieser Pflichten erschweren oder gar vereiteln. Mit dieser Spannungslage muss der Verantwortliche umgehen (können).

Das Auskunftsrecht nach Art. 15 DSGVO

Zum Auskunftsrecht nach DSGVO gibt es bereits drei interessante Entscheidungen. Was können Sie Ihren Kolleginnen und Kollegen in Ihrer Datenschutzunterweisung derzeit zu diesem Thema mitgeben?

Auskunftsanspruch nach Art. 15 DSGVO

Manchmal reden Urteile bei den entscheidenden Fragen gefühlt um den heißen Brei. Manchmal bieten sie aber auch Klartext. So hier: Das OLG Köln bezieht eindeutig Position zur Frage, ob sich der Auskunftsanspruch nach Art. 15 DSGVO auch auf Gesprächsnotizen und Telefonvermerke erstreckt.

Rechtslage bei Arbeitsverhältnissen

Welchen Grenzen unterliegt der Auskunftsanspruch gemäß Art. 15 DSGVO im Arbeitsverhältnis? Kann der Auskunftsanspruch auch Unterlagen umfassen, die Angaben eines „Hinweisgebers“ enthalten? Kann er sich auch auf die Mails beziehen, die ein Arbeitnehmer geschrieben, gesendet und empfangen hat? Diese Fragen sind Gegenstand eines Urteils des Landesarbeitsgerichts Baden-Württemberg.

Das Löschen ist ein wichtiger bestandteil des Datenschutzes
Bild: iStock.com / Anatoliy Babiy
Entscheidung einer Datenschutzaufsichtsbehörde

Nach Artikel 17 der Datenschutz-Grundverordnung (DSGVO) haben betroffene Personen das Recht, von einer verantwortlichen Stelle zu verlangen, dass sie ihre personenbezogenen Daten löscht. In Österreich musste sich die Aufsichtsbehörde mit der Frage beschäftigen, wie dieses Recht in der Praxis umzusetzen ist. Mit einer auf den ersten Blick überraschenden Antwort.

5 von 6

Eines der erklärten Ziele der DSGVO ist eine faire und transparente Verarbeitung von personenbezogenen Daten.

Für die betroffene Person muss die Datenverarbeitung nachvollziehbar sein. Daraus ergeben sich für die Verarbeiter Pflichten, die sie erfüllen müssen.

Die Betroffenenrechte – ein Überblick

Kapitel 3 der DSGVO trägt die Überschrift „Rechte der betroffenen Person“. Dort sind folgende Betroffenenrechte verankert:

Recht auf transparente Information und Kommunikation (Art. 12 DSGVO)

Wo in der Vergangenheit eher IT-Kauderwelsch und Fachchinesisch die Information und Kommunikation bestimmten, verlangt die DSGVO in den Betroffenenrechten, die Kommunikation so zu gestalten, dass selbst jeder weniger gebildete Mensch verstehen kann, worum es geht.

Recht auf Information (Art. 13 und 14 DSGVO) – proaktive Information

Unter Transparenz versteht die DSGVO nicht, dass jeder die ihm zustehende Information erst bekommt, wenn er danach fragt. Sie sieht schon im Vorfeld umfangreiche Informationen vor, die der Verantwortliche bereitstellen muss (Informationspflichten). Hierbei unterscheidet die DSGVO zwischen

  • der Erhebung unmittelbar bei der betroffenen Person, wie sie zum Beispiel am Messestand oder bei einem Gewinnspiel üblich ist, und
  • der Erhebung bei jemand anderem, etwa wenn es sich um gekaufte Adressbestände handelt.

Sie können darauf verzichten, die betroffene Person zu informieren, wenn diese bereits über alle Informationen verfügt, die die DSGVO nennt.

Erheben Verantwortliche die Daten nicht direkt bei der betroffenen Person, kann die Information ebenfalls entfallen,

  • wenn es unmöglich ist, sie zu informieren, etwa weil keinerlei Kontaktdaten vorliegen, oder
  • wenn die Information einen unverhältnismäßigen Aufwand darstellen würde.

Verzichtet der Verantwortliche auf die Information, ist es ratsam, die Gründe nachvollziehbar zu dokumentieren. Schließlich drohen bei einem Verstoß Bußgelder von bis zu 20.000.000 € oder 4 % des Jahresumsatzes.

Geht es um Daten, die der Kommunikation mit der betroffenen Person dienen, muss die Information spätestens zum Zeitpunkt der ersten Mitteilung erfolgen.

Recht auf Auskunft (Art. 15 DSGVO) – reaktive Information

Zur Transparenz für die betroffene Person gehört auch das Auskunftsrecht. Das bedeutet, dass sie auf Nachfrage erfährt,

  • welche Daten zu ihrer Person wie und wozu verarbeitet werden,
  • woher sie stammen,
  • wohin der Verantwortliche sie übermittelt und
  • wie lange diese Daten voraussichtlich verarbeitet werden (sofern dies möglich ist).

Recht auf Berichtigung (Art. 16 DSGVO)

Personenbezogene Daten, die fehlerhaft sind, muss der Verantwortliche korrigieren, wenn es die betroffene Person verlangt. Das ist das Recht auf Berichtigung.

Haben weitere Empfänger diese Daten bekommen, muss der Verantwortliche sie zur Korrektur auffordern.

Recht auf Löschung (Art. 17 DSGVO)

Zu den Betroffenenrechten gehörtdarüber hinaus das Recht auf Löschung. Hier kann die betroffene Person verlangen, dass der Verantwortliche und die möglichen Datenempfänger ihre personenbezogenen Daten löschen. Dieser Anspruch muss ausschließlich dann umgesetzt werden, wenn die weitere Verarbeitung nicht mehr erforderlich ist.

Weiterhin erforderlich sind die Daten etwa, wenn noch steuerrechtliche Aufbewahrungspflichten zu erfüllen sind, zum Beispiel bei Kaufverträgen.

Fällt der Zweck oder die Rechtsgrundlage der Verarbeitung weg, ist jede weitere Verarbeitung unzulässig, und die Daten müssen gelöscht (mindestens anonymisiert) werden.

Recht auf Einschränkung (Art. 18 DSGVO)

Lassen sich die personenbezogenen Daten nur schwer löschen oder ist es erforderlich, dass sie weiterhin gespeichert sind, kann der Verantwortliche die Verarbeitung dieser Daten einschränken (Recht auf Einschränkung der Verarbeitung).

Hierzu muss er die Daten kennzeichnen, um sie von zukünftigen Verarbeitungen auszuschließen. Das kann etwa durch den Vermerk „Gesperrt“ im Datensatz erfolgen.

Recht auf Widerspruch (Art. 21 DSGVO)

Die betroffene Person kann der weiteren Verarbeitung ihrer personenbezogenen Daten widersprechen. Daraufhin müssen der Verantwortliche und mögliche Datenempfänger die Verarbeitung einstellen. Dieses Widerspruchsrecht gilt insbesondere gegenüber Direktwerbung (Art. 21 Abs. 2 DSGVO).

Ausnahme: Der Verantwortliche weist zwingende schutzwürdige Gründe für die Verarbeitung nach, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen. Oder aber die Verarbeitung dient dazu, Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Jede betroffene Person darf verlangen, dass ihr der Verantwortliche ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellt (Recht auf Datenübertragbarkeit). Informationen, die der Verantwortliche eigenständig hinzugefügt hat, sind davon nicht betroffen.

Der Verantwortliche darf niemanden daran hindern, diese Daten anderen zur Verfügung zu stellen. Das betrifft Social-Media-Plattformen ebenso wie neue Lieferanten. Das strukturierte Format ist nicht näher definiert. Es kann also zum Beispiel eine Tabelle sein oder eine CSV-Datei (comma separated value).

Recht auf nicht ausschließlich automatisierte Entscheidungen (Art. 22 DSGVO)

Jede betroffene Person hat Anspruch darauf, dass Entscheidungen, die ihr gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen, nicht ausschließlich automatisiert getroffen werden.

So darf beispielsweise ein online beantragter Kredit nicht allein aufgrund mathematischer Algorithmen gewährt oder abgelehnt werden.

Weitere Betroffenenrechte

Außer in Kapitel 3 regelt die DSGVO Rechte der betroffenen Person auch noch an anderen Stellen. Zu nennen sind hier vor allem das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), das Recht, den Datenschutzbeauftragten zu konsultieren (Art. 38 DSGVO) und das Recht auf Schadensersatz (Art. 82 DSGVO).

Unterschiedliche Voraussetzungen

Die Voraussetzungen der einzelnen Rechte sind völlig unterschiedlich. Manche Betroffenenrechte muss der Verantwortliche von sich aus beachten, ohne dass die betroffene Person sie ausdrücklich geltend machen müsste.

Das gilt für das Recht auf Information über die Verarbeitung (Art. 12–14 DSGVO), aber auch für das Recht auf Unterlassung einer ausschließlich automatisierten Entscheidung (Art. 22 DSGVO).

Bei den anderen Rechten ist es dagegen Sache der betroffenen Person, sich ausdrücklich auf sie zu berufen. Beispiel: Auskunft gemäß Art. 15 DSGVO muss der Verantwortliche nur erteilen, wenn die betroffene Person dies ausdrücklich fordert.

Wieder andere Betroffenenrechte haben eine Art Doppelnatur. Das gilt vor allem für das Recht auf Löschung (Art. 17 DSGVO):

  • Zum einen hat die betroffene Person das Recht, eine Löschung zu fordern, wenn die Voraussetzungen dafür vorliegen.
  • Zum anderen muss der Verantwortliche aber auch von sich aus darauf achten, dass er Daten löscht, wenn die Voraussetzungen dafür gegeben sind.

Inhaber der Betroffenenrechte

Die dargestellten Rechte stehen im Normalfall nur einer betroffenen Person zu. Darunter ist eine identifizierte oder identifizierbare natürliche Person zu verstehen (Art. 4 Nr. 1 Halbsatz 1 DSGVO).

Eine Ausnahme hiervon gilt für das Recht auf Schadenersatz (Art. 82 DSGVO). Es steht nicht nur einer betroffenen Person zu, sondern darüber hinaus jeder Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist (Art. 82 Abs. 1 DSGVO).

Das kann von praktischer Bedeutung sein, wenn die Daten einer betroffenen Person verarbeitet werden und dadurch einer anderen Person (etwa einem Angehörigen) ein Schaden entsteht.

Adressat der Betroffenenrechte

Die beschriebenen Rechte bestehen im Regelfall nur gegenüber dem Verantwortlichen. Das ist die Person oder Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

Auch von diesem Grundsatz gibt es jedoch Ausnahmen. So kann ein Anspruch auf Schadensersatz nicht nur gegenüber dem Verantwortlichen, sondern auch gegenüber einem Auftragsverarbeiter bestehen (Art. 82 Abs. 1 DSGVO).

Auftragsverarbeiter ist jede Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

Das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) richtet sich seiner Natur nach nur an die Aufsichtsbehörde und nicht an irgendeine andere Stelle.

Verfassungsrechtlicher Hintergrund

Wesentliche Rechte der betroffenen Personen, wenn auch nicht alle, sind unmittelbar im EU-Verfassungsrecht verankert. Das ist von großer praktischer Bedeutung. Würde eine betroffene Person beispielsweise in einem Vertrag auf ihre Rechte verzichten, läge darin gleichzeitig ein Verzicht auf ihre Grundrechte.

Es liegt auf der Hand, dass ein solcher Verzicht rechtlich nicht wirksam sein kann. Niemand hat die rechtliche Befugnis, auf seine Grundrechte zu verzichten.

Erwägungsgrund 1 zur DSGVO bringt den grundrechtlichen Hintergrund deutlich zum Ausdruck: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union […] sowie gemäß Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Grundrechte-Charta

Art. 8 der Grundrechte-Charta trägt die Überschrift „Schutz personenbezogener Daten“ und lautet wie folgt:

„(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“

Besonders wichtig ist bei dieser Vorschrift die unmittelbare Verankerung der Rechte auf Auskunft (siehe Art. 15 DSGVO) und auf Berichtigung (siehe Art. 16 DSGVO) in Abs. 2.

Weitere Rechte, etwa das Recht auf Löschung (siehe Art. 17 DSGVO), sind dort nicht ausdrücklich genannt. Sie ergeben sich jedoch mittelbar daraus, dass das Recht auf Schutz der eigenen personenbezogenen Daten in Abs. 1 allgemein als Grundrecht vorgesehen ist. Mit diesem Schutz wäre es nicht zu vereinbaren, wenn beispielsweise Daten nicht gelöscht würden, obwohl sie für den festgelegten Zweck nicht mehr benötigt werden.

Dieses Beispiel zeigt, dass mittelbar auch solche Rechte von Art. 8 der Grundrechte-Charta erfasst werden, die dort nicht ausdrücklich erwähnt sind.

Vertrag über die Arbeitsweise der EU

Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union lautet wie folgt: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Er wiederholt damit den Wortlaut von Art. 8 Abs. 1 der Grundrechte-Charta. Daraus ergeben sich keine zusätzlichen Erkenntnisse. Die Bestimmung unterstreicht das, was sich schon aus Art. 8 der Grundrechte-Charta ergibt.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.