Gratis
27. September 2016 - DSGVO und BDSG im Vergleich

Betroffenenrechte in der Datenschutz-Grundverordnung

Drucken

Datenschutz ist nur sinnvoll, wenn Betroffene das Recht haben, ihre Ansprüche durchzusetzen. Die Datenschutz-Grundverordnung (DSGVO) greift die bisherigen Rechte des Bundesdatenschutzgesetzes (BDSG) auf und entwickelt sie weiter. Justieren Sie die interne Datenschutzorganisation deshalb an einigen Stellen nach.

Betroffenenrechte in der Datenschutz-Grundverordnung Bei den Rechten auf Berichtigung und auf Löschung ergeben sich v.a. bei veröffentlichten Daten Veränderungen (Bild: Spectral-Design / iStock / Thinkstock)

Mit der Neuordnung des Datenschutzes auf europäischer Ebene ändern sich auch die Rechte der Betroffenen – nicht grundsätzlich, aber im Detail. Auf weiten Strecken bleiben die Rechte zwar unverändert. In Teilen werden sie jedoch ausgeweitet.

Die Datenschutz-Grundverordnung bzw. DSGVO, die ab dem 25. Mai 2018 anwendbar ist, listet die Rechte der Betroffenen in Kapitel III auf. Dieses Kapitel wiederum ist unterteilt in fünf Abschnitte mit elf Artikeln, die im Folgenden aus dem Blickwinkel des Praktikers vorgestellt werden.

Betroffenenrechte Übersicht

Gründlichere Information: Datenschutzerklärung wird wichtiger

Betroffene sind zukünftig über den Umgang mit ihren Daten gründlicher als bisher zu unterrichten. Deshalb werden Datenschutzerklärungen eine deutlich größere Rolle spielen. Denn immer dann, wenn verantwortliche Stellen Daten erheben, müssen sie zukünftig eine Erklärung zum Datenschutz abgeben.

Diese Erklärung hat „schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“ zu erfolgen (Art. 12 Abs. 1 Satz 2 DSGVO). Es bietet sich die Veröffentlichung auf einer Website im Internet an, wenn es sich um eine unbestimmte Zahl von Betroffenen handelt.

Die Inhalte der Datenschutzerklärung richten sich nach Art. 13 oder Art. 14 DSGVO. Das hängt davon ab, ob die Informationen direkt beim Betroffenen oder bei einem Dritten erhoben werden.

Das muss zukünftig in der Datenschutzerklärung stehen

Sie muss v.a. Angaben enthalten über

  • die verantwortliche Stelle (Name und Kontaktdaten),
  • den Datenschutzbeauftragten (Kontaktdaten),
  • Zwecke der Datenverarbeitung und Rechtsgrundlagen, soweit die Datenverarbeitung auf berechtigten Interessen beruht (gem. Art. 6 Abs. 1 Buchst. f DSGVO): ausdrückliche Nennung dieser Interessen,
  • Empfänger der Daten, soweit Daten übermittelt werden,
  • Datenübermittlungen in Drittländer, soweit dies geplant ist,
  • sowie weitere namentlich in der Verordnung aufgezählte Auskünfte, um den Betroffenen umfassend zu informieren.

Diese Angaben dürfen zukünftig auch durch standardisierte Bildsymbole ergänzt werden (z.B. Icons oder Piktogramme), damit die Betroffenen sie leichter erfassen können. Wie die Bildsymbole aussehen sollen, wird die EU-Kommission noch mittels eines delegierten Rechtsakts festschreiben.

Handlungsbedarf bei den Informationspflichten

Um die Informationspflichten nach Art. 13 oder 14 DSGVO umzusetzen, stellen Sie fest, wann und wo überall personenbezogene Daten erhoben werden. Prüfen Sie dann, welche Inhalte den Betroffenen mitgeteilt werden müssen und in welcher Form dies geschehen kann.

Auskunftsrecht wird umfangreicher

Auch zukünftig besitzen Betroffene das Recht, zu erfragen, ob und ggf. welche Daten über sie gespeichert sind. Art. 15 DSGVO unterscheidet sich insofern nicht grundsätzlich von der derzeitigen Rechtslage.

Zum bisherigen Auskunftsumfang kommt jedoch neu hinzu, dass der Verantwortliche auch Auskunft erteilen bzw. informieren muss über die folgenden Punkte:

  • die Dauer der Datenspeicherung bzw. die Kriterien zur Bestimmung dieser Frist
  • die Rechte auf Berichtigung,
    Löschung oder Einschränkung der Verarbeitung
  • das Beschwerderecht bei der Aufsichtsbehörde

Neu ist zudem die Pflicht, diese Auskunft innerhalb eines Monats zu erteilen (Art. 12 Abs. 3 DSGVO). Nur in begründeten Ausnahmen kann sich die Frist um bis zu zwei Monate verlängern.

Handlungsbedarf bei den Auskunftspflichten

Treffen Sie Vorkehrungen, um Auskünfte rechtzeitig erteilen zu können, beispielsweise durch einen Ablaufplan oder eine Prozessbeschreibung.

Berichtigung und Löschung

Die Rechte auf Berichtigung falscher Daten (Art. 16 DSGVO) und auf Löschung (Art. 17 DSGVO) sind ähnlich zur bestehenden Rechtslage geregelt. An die Stelle der bisherigen Sperrung von Daten tritt das „Recht auf Einschränkung der Verarbeitung“ (Art. 18 DSGVO).

Starke Aufmerksamkeit hat bereits während des Gesetzgebungsverfahrens das Recht auf Löschung („Recht auf Vergessenwerden“) erfahren. Es besagt, dass personenbezogene Daten gelöscht werden müssen, wenn

  • der Zweck entfällt,
  • der Betroffene seine Einwilligung zurückzieht oder
  • ein anderer Fall des Art. 17 Abs. 1 DSGVO eintritt.

Insofern bleibt die Rechtslage unverändert. Neu ist jedoch: Wenn eine Stelle personenbezogene Daten veröffentlich hat (z.B. im Internet), umfasst die Verpflichtung zur Löschung auch den „Rückruf“ der Daten bei anderen Stellen. Zumindest muss sie „angemessene Maßnahmen“ ergreifen, um andere Stellen über den Löschungsanspruch des Betroffenen zu informieren (Art. 17 Abs. 2 DSGVO).

Das Recht auf Löschung wird wie bisher nicht schrankenlos gewährt, sondern z.B. gemäß Art. 17 Abs. 3 DSGVO beschränkt durch

  • das Recht auf freie Meinungsäußerung,
  • andere rechtliche Verpflichtungen oder
  • Forschungszwecke.

Mitteilungspflichten nach Übermittlungen

Immer dann, wenn der Verantwortliche personenbezogene Daten an Dritte übermittelt hat und der Betroffene danach seine Rechte auf Berichtigung, Löschung oder Verarbeitungseinschränkung ausübt, trifft den Verantwortlichen eine neue, zusätzliche Verpflichtung: Er muss die Empfänger davon unterrichten (Art. 19 DSGVO).

Die Verpflichtung zur Benachrichtigung entfällt nur dann, wenn sie sich „als unmöglich“ erweist oder wenn sie „mit einem unverhältnismäßigen Aufwand verbunden“ ist.

Wenn der Betroffene es verlangt, ist er darüber aufzuklären, an welche Empfänger seine Daten übermittelt wurden.

Handlungsbedarf bei den Mitteilungspflichten

Dokumentieren Sie jede Datenübermittlung im Einzelfall, um der Verpflichtung aus Art. 19 DSGVO nachkommen zu können.

Recht auf Datenübertragbarkeit (Datenportabilität)

Neu ist auch das Recht, die eigenen Daten vom Verantwortlichen in einem digitalen Format zu fordern (Art. 20 DSGVO). Der Gesetzgeber dachte dabei z.B. an Profildaten in sozialen Netzwerken, damit Betroffene leichter zu einem alternativen Anbieter wechseln können.

Ein Anspruch auf Herausgabe der Daten besteht allerdings nur, wenn der Verantwortliche sie aufgrund einer Einwilligung oder eines Vertrags automatisiert verarbeitet hat.

Recht auf Widerspruch wird erweitert

Derzeit bezieht sich das Widerspruchsrecht v.a. auf Werbung (§ 28 Abs. 4 BDSG). Zukünftig wird es im Rahmen des neuen Art. 21 DSGVO weiter verstanden.

Der Betroffene kann auch Widerspruch einlegen gegen Datenverarbeitungen, die auf Grundlage eines „berechtigten Interesses“ erfolgen (Art. 6 Abs. 1 Buchst. f DSGVO – bisher § 28 Abs. 1 Nr. 2 BDSG). Darunter fällt auch, aber nicht nur Direktwerbung.

Das bedeutet: Stellt ein Betroffener die berechtigten Interessen in Abrede, wäre die weitere Datenverarbeitung untersagt – mit folgender Ausnahme: Der Verantwortliche weist seinerseits „zwingende schutzwürdige Gründe für die Verarbeitung [nach], die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen“ (Art. 21 Abs. 1 Satz 2 DSGVO).

Damit läuft es letztlich auf eine Abwägung der Interessen hinaus, so wie das auch bisher schon im Rahmen des § 28 Abs. 1 Nr. 2 BDSG der Fall ist. Neu ist jedoch, dass der Betroffene bereits bei der Datenerhebung informiert werden muss über die konkreten „berechtigten Interessen“ sowie über das bestehende Widerspruchsrecht.

Und noch etwas bleibt ohne inhaltliche Änderung: Der Widerspruch gegen Direktwerbung ist immer unmittelbar zu berücksichtigen, ohne dass es zu einer Abwägung kommt (Art. 21 Abs. 3 DSGVO).

Automatisierte Entscheidungen

Ebenfalls eher unverändert bleiben die Regelungen zu automatisierten Entscheidungen im Einzelfall (Art. 22 DSGVO, bisher § 6a BDSG).

Entscheidungen, die nicht von Menschen getroffen werden, die aber eine rechtliche Wirkung entfalten (z.B. ein Online-Kreditantrag oder ein Online-Einstellungsverfahren), sind im Grundsatz unzulässig. Sie sind ausnahmsweise nur dann zulässig, wenn

  • die Entscheidung für einen Vertragsabschluss notwendig ist (z.B. Bonitätsprüfung)
  • es nationale Rechtsvorschriften gibt (Öffnungsklausel) oder
  • der Betroffene eingewilligt hat.

Folgen bei Verstößen: Hohe Bußgelder

Zum Abschluss bleibt die Frage, was passiert, wenn ein Verantwortlicher gegen die Rechte der Betroffenen verstößt. Das bisher geltende BDSG sieht in einigen Fällen gar keine Sanktionen vor, in anderen Bußgelder von maximal 300.000 Euro.

Mit der Datenschutz-Grundverordnung ändert sich das grundlegend. Hier kann jeder Verstoß ein Bußgeld auslösen. Und die maximale Bußgeldhöhe hat sich vervielfacht: Bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 Buchst. b DSGVO).

Aus deshalb ist es unabdingbar, sich rechtzeitig mit den neuen Regeln auseinanderzusetzen und zu prüfen, wo und welcher Handlungsbedarf besteht.

Andreas Grimme
Andreas Grimme ist Mitarbeiter der fox-on Datenschutz GmbH. Er berät andere Datenschutzbeauftragte und Unternehmen in Datenschutzfragen sowie zur EU-Datenschutz-Grundverordnung.