Betroffenenrechte nach der Datenschutz-Grundverordnung (DS-GVO)

Die Datenschutz-Grundverordnung (DS-GVO) hat zu einigen Neuerungen geführt. Was jetzt nach der Datenschutz-Grundverordnung bei den Betroffenenrechten zu beachten ist, erklären wir Ihnen jetzt.

Was sind Betroffenenrechte?

Der Begriff Betroffenenrechte beschreibt die Rechte, der von einer Datenverarbeitung betroffenen Person. Der Betroffene hat sowohl während und auch nach der Verarbeitung mehrere Rechte, die genutzt werden können, um sich vor einer ungewollten oder fehlerhaften Verarbeitung oder Weiterverwendung seiner personenbezogenen Daten zu schützen.

Wer ist Betroffener?

Eine betroffene Person ist nach Art. 4 Nr. 1 DS-GVO jede identifizierte bzw. identifizierbare natürliche Person. Dies bedeutet, dass es sich dabei unter anderem um Kunden und Mitarbeiter – deren personenbezogene Daten verarbeitet werden – handelt. Juristische Personen wie beispielsweise Stiftungen, Anstalten, GmbHs oder OHG etc., fallen im Regelfall nicht unter diesen Begriff.

Wer muss sich an die Betroffenenrechte halten?

Der Anspruch der Betroffenen richtet sich grundsätzlich an den Verantwortlichen. Ein sog. „Verantwortlicher“ ist nach Art. 4 Nr. 7 DS-GVO, eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen Stellen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche ist dazu verpflichtet, dem Betroffenen die Ausübung seiner Rechte zu erleichtern (Art. 12 Abs. 2 DS-GVO).

Betroffenenrechte nach Art. 12 ff. DS-GVO

Was für Rechte der Betroffene hat wird in Art. 12 ff. der Datenschutz-Grundverordnung geregelt. Demnach hat der Betroffene unter anderem ein:

Informationsrecht
Auskunftsrecht
Widerspruchsrecht
Recht auf Löschung bzw. Vergessenwerden
Recht auf Sperrung
Recht auf Berichtigung
Recht auf Datenportabilität

Informationspflichten des Verantwortlichen

Gemäß den Art. 13 und 14 der DS-GVO ist der Verantwortliche dazu verpflichtet, bei der indirekten oder direkten Erhebung personenbezogener Daten eines Betroffen, z. B. bei der Bestellung eines Produkts, diesen über die Verarbeitung seiner Daten zu informieren. Dem Betroffenen ist dabei unter anderem Folgendes mitzuteilen:

Name und Kontaktdaten des Verantwortlichen, ggf. auch die Kontaktdaten des Vertreters
die Kontaktdaten des Datenschutzbeauftragten
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sowie die Rechtgrundlage(n) für die Verarbeitung
Kategorien der personenbezogenen Daten, die verarbeitet werden
der Empfänger oder die Kategorie der Empfänger der personenbezogenen Daten
die Mitteilung der Absicht des Verantwortlichen, die Daten des Betroffenen in ein Drittland oder an eine internationale Organisation zu übermitteln sowie die Aufklärung über das Fehlen oder Vorhandensein eines Angemessenheitsbeschlusses der Kommission oder geeigneter Garantien
Dauer der Verarbeitung der personenbezogenen Daten
Widerrufrechte, sofern die Verarbeitung auf einer Einwilligung beruht
Möglichkeit der Beschwerde bei der zuständigen Aufsichtsbehörde
Quelle aus den die personenbezogenen Daten entnommen wurden (wenn nicht bei Betroffenen erhoben)
Mitteilung über die involvierte Logik bei einem Profiling-Verfahren

Auskunftsrecht

Nach Art. 15 DS-GVO hat der Betroffene das Recht von dem Verantwortlichen eine Bestätigung zu verlangen, dass seine personenbezogenen Daten von dem Verantwortlichen verarbeitet werden. Ist dies der Fall, so kann der Betroffene Auskunft verlangen, unter anderem über:

die Verarbeitungszwecke
die Kategorien der Daten, die verarbeitet werden
die Empfänger oder Kategorien der Empfänger gegenüber denen die personenbezogenen Daten offengelegt werden
die Speicherdauer der personenbezogenen Daten
das Bestehen eines Rechts auf Berichtigung, Sperrung und Löschen der personenbezogenen Daten
das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
die Herkunft der Daten, sofern diese nicht direkt vom Betroffenen erhoben wurden
das Bestehen einer automatischen Entscheidungsfindung einschließlich Profiling nach Art. 22 Abs. 1 und 4 DS-GVO
das Vorliegen ausreichender Garantien bei Drittlandsübertragung

Der Verantwortliche hat weiterhin eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. Dabei darf für die erste Kopie kein Entgelt verlangt werden. Für jede weitere Kopie kann der Verantwortliche ein angemessenes Entgelt (auf Grundlage der Verwaltungskosten) verlangen.

Die Beantwortung der Anfrage eines Betroffenen hat unverzüglich, spätestens innerhalb eines Monats nach Eingang der Anfrage zu erfolgen. Bei unverschuldeten Verzögerungen oder einer komplexeren Anfrage kann die Frist auf 2 Monate verlängert werden. Eine Verlängerung bedarf jedoch eines konkreten Grundes, der je nach Einzelfall auf Angemessenheit zu prüfen wäre. Der Betroffene muss in diesem Fall über die Gründe der Verzögerung innerhalb eines Monats informiert werden.

Recht auf Berichtigung

Das Recht auf Berichtigung wird im Art. 16 DS-GVO geregelt. Demnach hat der Betroffene das Recht, eine unverzügliche Berichtigung von dem Verantwortlichen zu verlangen, wenn der Verantwortliche unrichtige personenbezogene Daten verarbeitet. Dabei kann der Betroffene auch eine Vervollständigung unvollständiger Angaben – auch mittels – einer Erklärung verlangen.

Gemäß Art. 19 DS-GVO teilt der Verantwortliche allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede vorgenommene Berichtigung mit, sofern dies nicht unmöglich ist oder einen unverhältnismäßigen Aufwand bedeutet.

Sollte der Verantwortliche nicht tätig werden, so muss dieser dem Betroffenen die Gründe dafür nennen sowie die Möglichkeit, Beschwerde bei der Aufsichtsbehörde oder einen gerichtlichen Rechtsbehelf einzulegen.

Recht auf Löschung bzw. Recht auf Vergessenwerden

Das Recht auf Löschung bzw. Recht auf Vergessenwerden wird in Art. 17 DS-GVO geregelt. Der Betroffene hat das Recht von dem Verantwortlichen zu verlangen, betreffende personenbezogene Daten unverzüglich zu löschen, wenn folgende Gründe vorliegen:

Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Art. 6 Abs. 1 a oder Art. 9 Abs. 2 a DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Die betroffene Person legt gemäß Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DS-GVO
Widerspruch gegen die Verarbeitung ein.
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
Die personenbezogenen Daten wurden in Bezug auf angebotenen Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben.

Die Pflicht zur Löschung erstreckt sich dabei nicht nur auf die Bestände, die der Verantwortliche selbst verarbeitet hat, sondern trifft auch die betreffenden Daten, welche weitergeleitet wurden.

Das Recht auf Löschung besteht dann nicht, wenn die personenbezogenen Daten erforderlich sind

für die Durchführung des Rechts auf freie Meinungsäußerung und Information
zur Erfüllung rechtlicher Verpflichtungen
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
für im öffentlichen Interesse liegende Archivzwecken, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecken, die ohne die Daten nicht möglich sind oder stark beeinträchtigt wären
für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Recht auf Einschränkung der Verarbeitung bzw. Sperrung

Das Recht auf eingeschränkte Verarbeitung bzw. Sperrung wird in Art. 18 DS-GVO geregelt. Nach diesem kann der Betroffene eine Einschränkung der Verarbeitung seiner Daten verlangen, wenn

die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
die betroffene Person Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DS-GVO eingelegt hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Sobald die Verarbeitung eingeschränkt wurde, dürfen die personenbezogenen Daten, abgesehen von der Speicherung, nur dann verarbeitet werden, sofern dies

mit Einwilligung des Betroffenen geschieht
aufgrund der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist
zum Schutz der Rechte einer natürlichen oder juristischen Person geschieht oder
aufgrund eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedsstaates unabdingbar ist.

Der Betroffene, der die Einschränkung bewirkt hat, wird vor der Aufhebung der Einschränkung von dem Verantwortlichen darüber informiert.

Recht auf Datenportabilität

Der Betroffene hat nach Art. 20 DS-GVO das Recht, seine Daten, die er einem Verantwortlichen bereitgestellt hat, in einer strukturieren, gängigen und einem maschinenlesbaren Format bereitgestellt zu bekommen (z.B. Excel-Format). Ebenso kann der Betroffene von dem Verantwortlichen verlangen, dass seine Daten an einen anderen Verantwortlichen übertragen werden (z.B. bei dem Wechsel zu einem anderen Telefonanbieter), sofern dies technisch durchführbar ist und die Rechte und Freiheiten anderen Personen nicht entgegenwirkt. Voraussetzung für die Inanspruchnahme des Rechts auf Datenübertragung ist, dass

die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht sowie
die Verarbeitung mithilfe eines automatischen Verfahrens erfolgt.

Dieses Recht gilt jedoch nicht für eine Verarbeitung, die für die Wahrung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurden.

Konsequenzen bei Nicht-Beachtung der Betroffenenrechte

Die Nicht-Beachtung der Betroffenenrechte stellt einen datenschutzrechtlichen Verstoß dar, welcher mit einem Bußgeld von bis zu 20 Mio. Euro oder 4 % des gesamten erzielten weltweiten Jahresumsatzes des vorangegangenen Jahres belegt werden kann.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie "Analytics" zu speichern.
cookielawinfo-checkbox-functional	11 months	Das Cookie wird von GDPR Cookie Consent gesetzt, um die Benutzereinwilligung für die Cookies in der Kategorie "Funktional" aufzuzeichnen.
cookielawinfo-checkbox-necessary	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Die Cookies werden verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie „Notwendig“ zu speichern.
cookielawinfo-checkbox-others	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie „Andere“ zu speichern.
cookielawinfo-checkbox-performance	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie "Performance" zu speichern.
viewed_cookie_policy	11 months	Das Cookie wird vom GDPR Cookie Consent Plugin gesetzt und wird verwendet, um zu speichern, ob der Benutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine personenbezogenen Daten.

Betroffenenrechte nach der Datenschutz-Grundverordnung (DS-GVO)

Wer ist Betroffener?

Wer muss sich an die Betroffenenrechte halten?

Betroffenenrechte nach Art. 12 ff. DS-GVO