#

zur Blogübersicht

Betroffenenrechte aus der DSGVO

Jan 24, 2022

Wie die meisten Unternehmen bereits wissen gibt die Datenschutz-Grundverordnung der EU (DSGVO) Betroffenen eine Fülle an Rechten an die Hand. Was vielen jedoch nicht bewusst ist, diese können von jeder Person gegenüber jedem Unternehmen geltend gemacht werden. Und selbst wenn dem Unternehmen die Person überhaupt nicht bekannt ist, sind diese zu einer Reaktion verpflichtet. Damit Sie hier nichts falsch machen, möchten wir im Folgenden die aus der DSGVO kommenden Rechte ein wenig genauer beleuchten.

Betroffenenrechte nach den Art. 15-22 DSGVO

Wie bereits erwähnt kann jede Person ihre Betroffenenrechte gegenüber jedem Unternehmen geltend machen.
Dies beinhaltet insbesondere das Recht auf Auskunft, Berichtigung sowie Löschung von personenbezogenen Daten, als auch das Recht auf Einschränkung und ein Recht Widerspruch gegen die Verarbeitung von personenbezogenen Daten, beispielsweise gegen eine Verwendung von Daten zu Werbezwecken.

Machen Betroffene von ihren Ansprüchen Gebrauch, sollte grundsätzlich jede/r Beschäftigte eines Unternehmens einen solchen Anspruch unverzüglich (juristisch heißt das “ohne schuldhaftes zögern”) an die Geschäftsführung weiterleiten, die, sofern vorhanden, die Anfrage sodann an den Datenschutzbeauftragten weiterleitet. Wie diese Weiterleitung erfolgt ist nicht gesetzlich geregelt, so dass diese Weiterleitung z.B. auch per E-Mail erfolgen kann.

Der Datenschutzbeauftragte oder die Geschäftsführung wird die Anfrage dokumentieren und diese unverzüglich, spätestens aber innerhalb eines Monats nach Eingang der Anfrage der Betroffenen, gegenüber den Betroffenen beantworten. Ausnahmen von dieser Monatsfrist sind wenn überhaupt nur bei sehr komplexen Anfragen möglich.

Problematisch hierbei: Selbst wenn das Gesetz grundsätzlich eine Bearbeitungszeit von bis zu einem Monat vorsieht, wissen das die Betroffenen selbst oft gar nicht, so dass sie sich ggf. bereits nach zwei Wochen an die für das Unternehmen zuständige Aufsichtsbehörde wendet, welche daraufhin verpflichtet ist das Unternehmen entsprechend zu kontrollieren. Von daher sollte eine zeitnahe und rechtlich korrekte Bearbeitung einer solchen Anfrage eine hohe Priorität besitzen.

Ist ein Datenschutzbeauftragter vorhanden, wird dieser die Unternehmensleitung über besonders sensible oder umfangreiche Betroffenenanfragen informieren und bei der Beantwortung sicherstellen, dass vor der Erteilung von Informationen an die Betroffenen sichergestellt wurde, dass die anfragende Person auch diejenige ist für die sie sich ausgibt. Dies soll verhindern, dass personenbezogene Daten an Unbefugte gelangen. Zudem sollte z. B. bei einer Auskunftserteilung per E-Mail zuvor die Einwilligung der Betroffenen eingeholt werden, dass diese Informationen auch tatsächlich per E-Mail zur Verfügung gestellt werden sollen. Zwar ist ein Abfangen von per E-Mail versandten Informationen in den letzten Jahren durch eine heutzutage im Normalfall gegebene Transportverschlüsselung schwieriger geworden, jedoch sollte bei dem Fehlen einer solchen Zustimmung der sichere Weg gewählt und die Auskunft schriftlich erteilt werden.

Überblick über die Betroffenenrechte

Wie erwähnt gibt die DSGVO aber auch andere Norman Betroffenen eine Vielzahl von Rechten an die Hand. Diese möchten wir im folgenden kurz vorstellen.

Informationsrechte (bei der Verarbeitung personenbezogener Daten)…

  • bei der Erhebung bei dem Betroffenen (Art. 13 DSGVO)
  • bei der Erhebung von anderen Stellen (Art. 14 DSGVO)
  • bei der elektronischen Kommunikation (E-Privacy-Verordnung)
  • bzgl. des Verantwortlichen, der (sofern vorhanden= Kontaktdaten des Datenschutzbeauftragten, Zwecke und Rechtsgrundlagen der Verarbeitung, Datenübermittlungen, Dauer der Speicherung
  • bzgl. die den Betroffenen zustehenden Rechte einschließlich dem Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (Rechtsbelehrung)
  • bzgl. Zweckänderungen (in diesen Fällen sind die Betroffenen vor einer Weiterverarbeitung über die Zweckänderung zu informieren)

Die Informationsrechte / -pflichten entfallen nur, wenn die Betroffenen bereits über die Informationen verfügen und, in Fällen des Art. 14 DSGVO u. a. auch, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand verursachen würde. Bei der Anwendung dieser Ausnahmevorschrift ist jedoch Vorsicht geboten, da hier Unternehmen, die sich darauf berufen hatten, in der Vergangenheit bereits zu hohen Bußgeldern herangezogen wurden.

Die oben genannten Informationen sind den betroffenen Personen bei der Erhebung ihrer Daten in geeigneter Weise, z. B. durch einen Hinweis in Schriftform, zur Verfügung zu stellen. Dabei sind immer die in Art. 12 DSGVO aufgeführten Modalitäten einzuhalten.

Sind die verarbeiteten Daten nicht direkt bei der betroffenen Person erhoben worden, ist diese über die Erhebung fristgemäß, spätestens innerhalb eines Monats nach Erhalt der Daten, über diesen Umstand zu informieren. Sofern vorhanden sollte Inhalt und Verfahren zur Information der Betroffenen mit dem betrieblichen Datenschutzbeauftragten abgestimmt werden.

Zudem ist die Geschäftsführung dafür verantwortlich, die Datenschutzerklärung vollständig und aktuell zu halten. Auch diese sollten mit dem Datenschutzbeauftragten erarbeitet werden, Form und Inhalt sollten ebenfalls mit ihm abgestimmt werden.

Recht auf Auskunft

Auf deren Anforderung muss ein Unternehmen Betroffenen mitteilen, ob personenbezogene Daten von Ihnen vorliegen, die verarbeitet werden. Ist dies der Fall muss die Bestätigung folgende Aspekte beinhalten:

  • Zwecke der Verarbeitung und ob ein Profiling stattfindet
  • Kategorien der verarbeiteten Daten
  • Ob Datenübermittlungen erfolgen, insbesondere in sog. unsichere Drittländer sowie die hierfür vorliegenden Garantien
  • Dauer der Speicherung
  • Rechte der Betroffenen einschließlich des Beschwerderechts bei der Aufsichtsbehörde
  • Recht auf Erhalt einer Kopie der verarbeiteten Daten – hierbei ist die erste Kopie kostenfrei zur Verfügung zu stellen, danach kann ein angemessenes Entgelt verlangt werden

Sofern Betroffene ihren Antrag in elektronischer Form stellen,  sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern die Betroffenen nichts anderes angeben.

Recht auf Berichtigung (bei Unrichtigkeit)

Betroffene haben zudem das Recht auf Berichtigung.

Dies umfasst:

  • Recht auf Berichtigung unrichtiger Daten
  • Vervollständigung unrichtiger Daten (ggf. mittels einer ergänzenden Erklärung)
  • Benachrichtigung von Empfängern bei erfolgten Übermittlungen
  • Auf Verlangen Unterrichtung des Betroffenen über die Berichtigung und Benachrichtigung der Empfänger

Recht auf Löschung, Vergessenwerden

Des Weiteren räumt die DSGVO Betroffenen das Recht ein, die Löschung ihrer Daten zu verlangen.

Dieses Recht findet Anwendung in folgenden Fällen:

  • Wegfall der Erforderlichkeit der Daten für die Verarbeitungszwecke oder die Daten wurden unrechtmäßig verarbeitet
  • Widerruf einer Einwilligung oder Widerspruch gegen Werbung oder aufgrund einer besonderen Situation des Betroffenen (Art. 21 DSGVO)
  • Löschpflicht aufgrund einer rechtlichen Verpflichtung

Ausnahmen von der Löschpflicht

  • U. a. bei der Erforderlichkeit der Daten zur Erfüllung einer rechtlichen Verpflichtung, zur Ausübung öffentlicher Gewalt, oder aus Gründen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder für öffentliche historische Archivzwecke
  • Nichtautomatisierte Verarbeitung und Unmöglichkeit der Löschung oder unverhältnismäßig hohem Aufwand und geringem Interesse des Betroffenen an einer Löschung
  • Satzungsmäßige oder vertragliche Aufbewahrungsvorschriften
  • Verletzung schutzwürdiger Interessen der Betroffenen

 Recht auf Einschränkung der Verarbeitung

  • Bei Daten, deren Richtigkeit bestritten ist für die Dauer der Überprüfung
  • Bei unrechtmäßiger Verarbeitung, wenn der Betroffene die Löschung der Daten ablehnt
  • Bei Daten, die für die Zweckerreichung nicht mehr, aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen noch erforderlich sind
  • Bei eingelegtem Widerspruch für die Dauer einer eventuellen Klärung der berechtigten Gründe des Verantwortlichen und der Interessen des Betroffenen

Eine Verarbeitung dieser Daten ist nur mit Einwilligung des Betroffenen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen einer anderen Person zulässig. Vor einer Nutzung ist der Betroffene zu benachrichtigen.

Bei einer Datenübermittlung sind zudem die Empfänger über die Einschränkung der Verarbeitung zu unterrichten.

 Recht auf Datenübertragbarkeit (auf andere Stellen)

Wenn die Daten durch den Betroffenen zur Verfügung gestellt wurden, liegt unter Umständen ein Rechts auf Datenübertragbarkeit vor.

Voraussetzungen:

  • Bereitstellung der Daten durch den Betroffenen und
  • Verarbeitung auf der Grundlage einer Einwilligung oder eines Vertrags und
  • Verarbeitung mithilfe automatisierter Verfahren

Betroffene können bei Vorliegen dieser Voraussetzungen eine direkte Übertragung der Daten an eine andere Stelle (anderes Unternehmen) im Rahmen der technischen Möglichkeiten in einem gängigen Format verlangen.

Widerspruchsrecht

Es besteht ein Widerspruchsrecht gegen die Verarbeitung der eigenen personenbezogenen Daten bei besonderen Situationen sowie Werbung. So können Betroffene z. B. Direktwerbung jederzeit und ohne Begründung widersprechen. Dies gilt auch für Profiling zum Zweck der Direktwerbung.

Die Betroffenen sind über ihr Widerspruchsrecht zu informieren:

  • bei der Datenerhebung, spätestens aber
  • zum Zeitpunkt der ersten Kommunikation (z. B. bei einer Werbemaßnahme)

Im Fall eines Widerspruchs dürfen die Daten für Werbung und ein damit ggf. zusammenhängendes Profiling nicht mehr verwendet werden.

Recht auf Beschwerde bei der Aufsichtsbehörde und auf einen gerichtlichen Rechtsbehelf Recht auf Beschwerde

Sind Betroffene der Ansicht, ein Unternehmen würde nicht datenschutzkonform mit personenbezogenen Daten arbeiten, steht es jedem/r frei, sich diesbezüglich bei einer Aufsichtsbehörde für den Datenschutz zu beschweren, z. B.:

  • bei der Aufsichtsbehörde des Aufenthaltsortes
  • in dem Mitgliedsstaat des Arbeitsplatzes
  • am Ort des mutmaßlichen Datenschutzverstoßes

Die Aufsichtsbehörde unterrichtet den Beschwerdeführer über den Stand der Ergebnisse und die Möglichkeit eines gerichtlichen Rechtsbehelfes.

Automatisierte Entscheidungen im Einzelfall, einschließlich Profiling (Art. 22 DSGVO)

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Recht auf Schadenersatz (Art. 82 DSGVO)

Fügt eine verantwortliche Stelle (z. B. Unternehmen) dem Betroffenen durch eine nach dem Gesetz unzulässige oder unrichtige Verarbeitung seiner/ihrer personenbezogenen Daten einen Schaden zu, ist diese dem Betroffenen unabhängig von einem Verschulden zum Schadensersatz verpflichtet.

Verantwortlichkeiten

Vorgänge über die Wahrnehmung von Rechten der Betroffenen (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und ggf. des Rechts auf Datenübertragbarkeit), sollten dem Datenschutzbeauftragten unverzüglich zugeleitet werden. Die Bearbeitung von Anträgen der Betroffenen zur Wahrnehmung ihrer Rechte ist eng mit dem Datenschutzbeauftragten abzustimmen.

Beschwerden der Betroffenen in Datenschutzangelegenheiten sollten ebenfalls unverzüglich dem Datenschutzbeauftragten mitgeteilt werden.

Aktuelle Beiträge