Die Datenschutz-Grundverordnung (DS-GVO) hat zu einigen Neuerungen geführt. Was jetzt nach der Datenschutz-Grundverordnung bei den Betroffenenrechten zu beachten ist, erklären wir Ihnen jetzt.
Was sind Betroffenenrechte?
Der Begriff Betroffenenrechte beschreibt die Rechte, der von einer Datenverarbeitung betroffenen Person. Der Betroffene hat sowohl während und auch nach der Verarbeitung mehrere Rechte, die genutzt werden können, um sich vor einer ungewollten oder fehlerhaften Verarbeitung oder Weiterverwendung seiner personenbezogenen Daten zu schützen.
Wer ist Betroffener?
Eine betroffene Person ist nach Art. 4 Nr. 1 DS-GVO jede identifizierte bzw. identifizierbare natürliche Person. Dies bedeutet, dass es sich dabei unter anderem um Kunden und Mitarbeiter – deren personenbezogene Daten verarbeitet werden – handelt. Juristische Personen wie beispielsweise Stiftungen, Anstalten, GmbHs oder OHG etc., fallen im Regelfall nicht unter diesen Begriff.
Wer muss sich an die Betroffenenrechte halten?
Der Anspruch der Betroffenen richtet sich grundsätzlich an den Verantwortlichen. Ein sog. „Verantwortlicher“ ist nach Art. 4 Nr. 7 DS-GVO, eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen Stellen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche ist dazu verpflichtet, dem Betroffenen die Ausübung seiner Rechte zu erleichtern (Art. 12 Abs. 2 DS-GVO).
Betroffenenrechte nach Art. 12 ff. DS-GVO
Was für Rechte der Betroffene hat wird in Art. 12 ff. der Datenschutz-Grundverordnung geregelt. Demnach hat der Betroffene unter anderem ein:
- Informationsrecht
- Auskunftsrecht
- Widerspruchsrecht
- Recht auf Löschung bzw. Vergessenwerden
- Recht auf Sperrung
- Recht auf Berichtigung
- Recht auf Datenportabilität
Informationspflichten des Verantwortlichen
Gemäß den Art. 13 und 14 der DS-GVO ist der Verantwortliche dazu verpflichtet, bei der indirekten oder direkten Erhebung personenbezogener Daten eines Betroffen, z. B. bei der Bestellung eines Produkts, diesen über die Verarbeitung seiner Daten zu informieren. Dem Betroffenen ist dabei unter anderem Folgendes mitzuteilen:
- Name und Kontaktdaten des Verantwortlichen, ggf. auch die Kontaktdaten des Vertreters
- die Kontaktdaten des Datenschutzbeauftragten
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sowie die Rechtgrundlage(n) für die Verarbeitung
- Kategorien der personenbezogenen Daten, die verarbeitet werden
- der Empfänger oder die Kategorie der Empfänger der personenbezogenen Daten
- die Mitteilung der Absicht des Verantwortlichen, die Daten des Betroffenen in ein Drittland oder an eine internationale Organisation zu übermitteln sowie die Aufklärung über das Fehlen oder Vorhandensein eines Angemessenheitsbeschlusses der Kommission oder geeigneter Garantien
- Dauer der Verarbeitung der personenbezogenen Daten
- Widerrufrechte, sofern die Verarbeitung auf einer Einwilligung beruht
- Möglichkeit der Beschwerde bei der zuständigen Aufsichtsbehörde
- Quelle aus den die personenbezogenen Daten entnommen wurden (wenn nicht bei Betroffenen erhoben)
- Mitteilung über die involvierte Logik bei einem Profiling-Verfahren
Auskunftsrecht
Nach Art. 15 DS-GVO hat der Betroffene das Recht von dem Verantwortlichen eine Bestätigung zu verlangen, dass seine personenbezogenen Daten von dem Verantwortlichen verarbeitet werden. Ist dies der Fall, so kann der Betroffene Auskunft verlangen, unter anderem über:
- die Verarbeitungszwecke
- die Kategorien der Daten, die verarbeitet werden
- die Empfänger oder Kategorien der Empfänger gegenüber denen die personenbezogenen Daten offengelegt werden
- die Speicherdauer der personenbezogenen Daten
- das Bestehen eines Rechts auf Berichtigung, Sperrung und Löschen der personenbezogenen Daten
- das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
- die Herkunft der Daten, sofern diese nicht direkt vom Betroffenen erhoben wurden
- das Bestehen einer automatischen Entscheidungsfindung einschließlich Profiling nach Art. 22 Abs. 1 und 4 DS-GVO
- das Vorliegen ausreichender Garantien bei Drittlandsübertragung
Der Verantwortliche hat weiterhin eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Dabei darf für die erste Kopie kein Entgelt verlangt werden. Für jede weitere Kopie kann der Verantwortliche ein angemessenes Entgelt (auf Grundlage der Verwaltungskosten) verlangen.
Die Beantwortung der Anfrage eines Betroffenen hat unverzüglich, spätestens innerhalb eines Monats nach Eingang der Anfrage zu erfolgen. Bei unverschuldeten Verzögerungen oder einer komplexeren Anfrage kann die Frist auf 2 Monate verlängert werden. Eine Verlängerung bedarf jedoch eines konkreten Grundes, der je nach Einzelfall auf Angemessenheit zu prüfen wäre. Der Betroffene muss in diesem Fall über die Gründe der Verzögerung innerhalb eines Monats informiert werden.
Recht auf Berichtigung
Das Recht auf Berichtigung wird im Art. 16 DS-GVO geregelt. Demnach hat der Betroffene das Recht, eine unverzügliche Berichtigung von dem Verantwortlichen zu verlangen, wenn der Verantwortliche unrichtige personenbezogene Daten verarbeitet. Dabei kann der Betroffene auch eine Vervollständigung unvollständiger Angaben – auch mittels – einer Erklärung verlangen.
Gemäß Art. 19 DS-GVO teilt der Verantwortliche allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede vorgenommene Berichtigung mit, sofern dies nicht unmöglich ist oder einen unverhältnismäßigen Aufwand bedeutet.
Sollte der Verantwortliche nicht tätig werden, so muss dieser dem Betroffenen die Gründe dafür nennen sowie die Möglichkeit, Beschwerde bei der Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen.
Recht auf Löschung bzw. Recht auf Vergessenwerden
Das Recht auf Löschung bzw. Recht auf Vergessenwerden wird in Art. 17 DS-GVO geregelt. Der Betroffene hat das Recht von dem Verantwortlichen zu verlangen, betreffende personenbezogene Daten unverzüglich zu löschen, wenn folgende Gründe vorliegen:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 a oder Art. 9 Abs. 2 a DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Die betroffene Person legt gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DS-GVO
Widerspruch gegen die Verarbeitung ein. - Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die personenbezogenen Daten wurden in Bezug auf angebotenen Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben.
Die Pflicht zur Löschung erstreckt sich dabei nicht nur auf die Bestände, die der Verantwortliche selbst verarbeitet hat, sondern trifft auch die betreffenden Daten, welche weitergeleitet wurden.
Das Recht auf Löschung besteht dann nicht, wenn die personenbezogenen Daten erforderlich sind
- für die Durchführung des Rechts auf freie Meinungsäußerung und Information
- zur Erfüllung rechtlicher Verpflichtungen
- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
- für im öffentlichen Interesse liegende Archivzwecken, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecken, die ohne die Daten nicht möglich sind oder stark beeinträchtigt wären
- für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Recht auf Einschränkung der Verarbeitung bzw. Sperrung
Das Recht auf eingeschränkte Verarbeitung bzw. Sperrung wird in Art. 18 DS-GVO geregelt. Nach diesem kann der Betroffene eine Einschränkung der Verarbeitung seiner Daten verlangen, wenn
- die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
- die betroffene Person Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DS-GVO eingelegt hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Sobald die Verarbeitung eingeschränkt wurde, dürfen die personenbezogenen Daten, abgesehen von der Speicherung, nur dann verarbeitet werden, sofern dies
- mit Einwilligung des Betroffenen geschieht
- aufgrund der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist
- zum Schutz der Rechte einer natürlichen oder juristischen Person geschieht oder
- aufgrund eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedsstaates unabdingbar ist.
Der Betroffene, der die Einschränkung bewirkt hat, wird vor der Aufhebung der Einschränkung von dem Verantwortlichen darüber informiert.
Recht auf Datenportabilität
Der Betroffene hat nach Art. 20 DS-GVO das Recht, seine Daten, die er einem Verantwortlichen bereitgestellt hat, in einer strukturieren, gängigen und einem maschinenlesbaren Format bereitgestellt zu bekommen (z.B. Excel-Format). Ebenso kann der Betroffene von dem Verantwortlichen verlangen, dass seine Daten an einen anderen Verantwortlichen übertragen werden (z.B. bei dem Wechsel zu einem anderen Telefonanbieter), sofern dies technisch durchführbar ist und die Rechte und Freiheiten anderen Personen nicht entgegenwirkt. Voraussetzung für die Inanspruchnahme des Rechts auf Datenübertragung ist, dass
- die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht sowie
- die Verarbeitung mithilfe eines automatischen Verfahrens erfolgt.
Dieses Recht gilt jedoch nicht für eine Verarbeitung, die für die Wahrung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurden.
Konsequenzen bei Nicht-Beachtung der Betroffenenrechte
Die Nicht-Beachtung der Betroffenenrechte stellt einen datenschutzrechtlichen Verstoß dar, welcher mit einem Bußgeld von bis zu 20 Mio. Euro oder 4 % des gesamten erzielten weltweiten Jahresumsatzes des vorangegangenen Jahres belegt werden kann.