Gratis
15. Januar 2016 - Datenschutz-Begriffe

Rechte des Betroffenen

Drucken

Um den Einzelnen davor zu schützen, dass seine Persönlichkeitsrechte verletzt werden, sehen gesetzliche Vorschriften wie die Datenschutz-Grundverordnung vor, dem Betroffenen zahlreiche Rechte gegenüber verantwortlichen Stellen einzuräumen.

Regelungen der DSGVO

Eines der erklärten Ziele der Datenschutz-Grundverordnung (DSGVO) ist eine faire und transparente Verarbeitung von personenbezogenen Daten.

Für die betroffene Person muss die Datenverarbeitung nachvollziehbar sein. Daraus ergeben sich für die Verarbeiter Pflichten, die sie erfüllen müssen.

Recht auf transparente Information und Kommunikation (Art. 12 DSGVO)

Wo in der Vergangenheit eher IT-Kauderwelsch und Fachchinesisch die Information und Kommunikation bestimmten, verlangt die DSGVO, die Kommunikation so zu gestalten, dass selbst jeder weniger gebildete Mensch verstehen kann, worum es geht.

Recht auf Information (Art. 13 und 14 DSGVO) – proaktive Information

Unter Transparenz versteht die DSGVO nicht, dass jeder die ihm zustehende Information erst bekommt, wenn er danach fragt. Sie sieht schon im Vorfeld umfangreiche Informationen vor, die der Verantwortliche bereitstellen muss. Hierbei unterscheidet die Grundverordnung zwischen

  • der Erhebung unmittelbar bei der betroffenen Person, wie sie zum Beispiel am Messestand oder bei einem Gewinnspiel üblich ist, und
  • der Erhebung bei jemand anderem, etwa wenn es sich um gekaufte Adressbestände handelt.

Sie können darauf verzichten, die betroffene Person zu informieren, wenn diese bereits über alle Informationen verfügt, die die DSGVO nennt.

Erheben Sie die Daten nicht direkt bei der betroffenen Person, kann die Information ebenfalls entfallen,

  • wenn es unmöglich ist, sie zu informieren, etwa weil Sie keinerlei Kontaktdaten haben, oder
  • wenn die Information einen unverhältnismäßigen Aufwand darstellen würde.

Verzichtet der Verantwortliche auf die Information, ist es ratsam, die Gründe nachvollziehbar zu dokumentieren. Schließlich drohen bei einem Verstoß Bußgelder von bis zu 20.000.000 € oder 4 % des Jahresumsatzes.

Geht es um Daten, die der Kommunikation mit der betroffenen Person dienen, muss die Information spätestens zum Zeitpunkt der ersten Mitteilung erfolgen.

Recht auf Auskunft (Art. 15 DSGVO) – reaktive Information

Zur Transparenz für die betroffene Person gehört darüber hinaus, dass sie auf Nachfrage erfährt,

  • welche Daten zu ihrer Person wie und wozu verarbeitet werden,
  • woher sie stammen,
  • wohin der Verantwortliche sie übermittelt und
  • wie lange diese Daten voraussichtlich verarbeitet werden (sofern dies möglich ist).

Recht auf Berichtigung (Art. 16 DSGVO)

Personenbezogene Daten, die fehlerhaft sind, muss der Verantwortliche korrigieren, wenn es die betroffene Person verlangt.

Haben weitere Empfänger diese Daten bekommen, muss der Verantwortliche sie zur Korrektur auffordern.

Recht auf Löschung (Art. 17 DSGVO)

Die betroffene Person kann verlangen, dass der Verantwortliche und die möglichen Datenempfänger ihre personenbezogenen Daten löschen. Dieser Anspruch muss ausschließlich dann umgesetzt werden, wenn die weitere Verarbeitung nicht mehr erforderlich ist.

Weiterhin erforderlich sind die Daten etwa, wenn noch steuerrechtliche Aufbewahrungspflichten zu erfüllen sind, zum Beispiel bei Kaufverträgen.

Fällt der Zweck oder die Rechtsgrundlage der Verarbeitung weg, ist jede weitere Verarbeitung unzulässig, und die Daten müssen gelöscht (mindestens anonymisiert) werden.

Recht auf Einschränkung (Art. 18 DSGVO)

Lassen sich die personenbezogenen Daten nur schwer löschen oder ist es erforderlich, dass sie weiterhin gespeichert sind, kann der Verantwortliche die Verarbeitung dieser Daten einschränken.

Hierzu muss er die Daten kennzeichnen, um sie von zukünftigen Verarbeitungen auszuschließen. Das kann etwa durch den Vermerk „Gesperrt“ im Datensatz erfolgen.

Recht auf Widerspruch (Art. 21 DSGVO)

Die betroffene Person kann der weiteren Verarbeitung ihrer personenbezogenen Daten widersprechen. Daraufhin müssen der Verantwortliche und mögliche Datenempfänger die Verarbeitung einstellen. Dieses Widerspruchsrecht gilt insbesondere gegenüber Direktwerbung (Art. 21 Abs. 2 DSGVO).

Ausnahme: Der Verantwortliche weist zwingende schutzwürdige Gründe für die Verarbeitung nach, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen. Oder aber die Verarbeitung dient dazu, Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Jede betroffene Person darf verlangen, dass ihr der Verantwortliche ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellt. Informationen, die der Verantwortliche eigenständig hinzugefügt hat, sind davon nicht betroffen.

Der Verantwortliche darf niemanden daran hindern, diese Daten anderen zur Verfügung zu stellen. Das betrifft Social-Media-Plattformen ebenso wie neue Lieferanten. Das strukturierte Format ist nicht näher definiert. Es kann also zum Beispiel eine Tabelle sein oder eine CSV-Datei (comma separated value).

Recht auf nicht ausschließlich automatisierte Entscheidungen (Art. 22 DSGVO)

Jede betroffene Person hat Anspruch darauf, dass Entscheidungen, die ihr gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen, nicht ausschließlich automatisiert getroffen werden.

So darf beispielsweise ein online beantragter Kredit nicht allein aufgrund mathematischer Algorithmen gewährt oder abgelehnt werden.

Recht auf Beschwerde bei einer Aufsichts­behörde (Art. 77 DSGVO)

Ist die betroffene Person der Auffassung, dass die Verarbeitung ihrer personenbezogenen Daten durch den Verantwortlichen oder einen Auftragsverarbeiter gegen ihre Rechte und Freiheiten verstößt, hat sie die Möglichkeit, sich unmittelbar an die zuständige Aufsichtsbehörde zu wenden.

Recht, den Datenschutzbeauftragten zu konsultieren (Art. 38 DSGVO)

Betroffene Personen dürfen den Datenschutzbeauftragten des Verantwortlichen zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß DSGVO betreffenden Fragen zurate ziehen.

Stefan Purder
Stefan Purder arbeitet seit vielen Jahren als betrieblicher Datenschutzbeauftragter.