Was sind Betroffenenrechte?
Betroffenenrechte sind Rechte, die von Personen wahrgenommen werden können, deren Daten durch eine andere Partei (Verantwortlicher) verarbeitet werden. Die Betroffenenrechte dienen dazu dem Einzelnen zu ermöglichen, das Recht auf informelle Selbstbestimmung (Entscheidungshoheit über seine eigenen Daten) wahrnehmen zu können.
So kann der Betroffene von dem Verantwortlichen (z. B. Unternehmen, Behörde, etc.)
- Auskunft über die Verarbeitung (Art. 15 DS-GVO)
- Berichtigung und Löschung (Art. 16, 17 und 19 DS-GVO)
- Einschränkung der Verarbeitung (Sperrung) (Art. 18 und 19 DS-GVO) und
- Übertragung (Datenportabilität) (Art. 20 DS-GVO)
seiner Daten verlangen sowie der Datenverarbeitung widersprechen (Art. 21 DS-GVO).
Daneben wird der Verantwortliche dazu angehalten, Informationspflichten unaufgefordert wahrzunehmen und die oben genannten Rechte des Betroffenen umzusetzen, sobald der Betroffene dies verlangt und keine rechtlichen Vorschriften dem entgegenstehen.
Wie muss ein Auskunftsantrag aussehen und welche Informationen kann ich verlangen?
Einen Auskunftsantrag, ob die Nutzung personenbezogener Daten durch den Verantwortlichen erfolgt, kann der Betroffene nach Art. 15 DS-GVO formlos ohne Begründung abgeben. Die Erklärung kann – aufgrund fehlender expliziter Formvorgabe – mündlich, schriftlich (in elektronischer oder handschriftlicher Form) oder per Fax erfolgen, solange der Verantwortliche den Inhalt der Erklärung wahrnehmen kann. Nach Art. 15 DS-GVO hat der Betroffene das Recht von dem Verantwortlichen eine Bestätigung zu verlangen, dass seine personenbezogenen Daten von dem Verantwortlichen verarbeitet werden. Ist dies der Fall, so kann der Betroffene Auskunft verlangen, unter anderem über:
- die Verarbeitungszwecke
- die Kategorien der Daten, die verarbeitet werden
- die Empfänger oder Kategorien der Empfänger gegenüber denen die personenbezogenen Daten offengelegt werden
- die Speicherdauer der personenbezogenen Daten
- das Bestehen eines Rechts auf Berichtigung, Sperrung und Löschen der personenbezogenen Daten
- das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
- die Herkunft der Daten, sofern diese nicht direkt vom Betroffenen erhoben wurden
- das Bestehen einer automatischen Entscheidungsfindung einschließlich Profiling nach Art. 22 Abs. 1 und 4 DS-GVO
- das Vorliegen ausreichender Garantien bei Drittlandsübertragung
In welcher Form sollten die Informationen ausgehändigt werden?
Stellt der Betroffene einen elektronischen Antrag, so sollte nach Art. 15 Abs. 3 Satz 3 DS-GVO die Auskunft in einem gängigen elektronischen Format (beispielsweise „PDF-Format“) erfolgen. Der Betroffene kann jedoch auch eine andere Form anfordern. In diesem Zusammenhang sollten technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten berücksichtigt werden. Nach dem Erwägungsgrund 63 sollte dabei nach
„[…] Möglichkeit der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. […]“
Dabei soll das Auskunftsrecht dem Betroffenen die Möglichkeit bieten
„[…] sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können […]“. Dabei kann der Betroffene dieses Recht in „[…] angemessenen Abständen wahrnehmen […]“.
Auch sollte berücksichtigt werden, dass der Betroffene ein Recht auf eine Kopie seiner Daten hat. Eine Bereitstellung der ersten Kopie muss immer entgeltlos erfolgen (Art. 15 Abs. 3 Satz 1 DS-GVO). Für jede weitere Kopie kann der Verantwortliche ein Entgelt verlangen (Art. 15 Abs. 3 Satz 2 DS-GVO). Es sollte darauf geachtet werden, dass das Recht des Betroffenen, sich nur auf die Daten des Betroffenen beschränkt. Der Verantwortliche ist demnach lediglich dazu verpflichtet, dem Betroffenen sämtliche ihm betreffende Daten herausgeben. Alle Daten die nicht im Zusammenhang damit stehen, sind durch den Verantwortlichen unkenntlich zu machen. Folglich bilden die Rechte und die Freiheiten anderer Personen nach Art. 15 Abs. 4 DS-GVO die Grenze des Rechts auf Datenkopie. Ein Ausschluss des Rechts auf Datenkopie ergibt sich dabei lediglich im Kollisionsfall gegenläufiger Ansprüche. Besteht eine Annahme eines Kollisionsfalls, so ist dies durch den Verantwortlichen konkret nachzuweisen.
Was ist zu beachten bei der Stellung von Löschanträgen?
Eine Löschung personenbezogener Daten sollte erfolgen, sofern gesetzliche Aufbewahrungspflichten dem nicht entgegenstehen und wenn der Betroffene einen Löschungsanspruch geltend gemacht hat, wenn die Daten zur Erfüllung des mit der Speicherung verfolgten Zwecks nicht mehr erforderlich sind oder wenn die Speicherung aus sonstigen gesetzlichen Gründen unzulässig ist.
Möchte der Betroffene einen Löschantrag stellen, ist die Form – wie auch schon beim Auskunftsersuchen – frei wählbar. Es wäre jedoch ratsam aufgrund der Nachweismöglichkeit einen Antrag in Schrift- oder Textform vorzunehmen. Bei einem Löschantrag sollte der Betroffene vom Verantwortlichen über die Stattgabe des Löschantrags bzw. über die Ablehnung des Löschantrags einschl. der Begründung, z. B. gesetzliche Aufbewahrungsfristen, informiert werden.
Handlungsmöglichkeiten des Betroffenen, sofern seine Betroffenenrechte verletzt werden
Sollte der Betroffene seine Rechte verletzt sehen, so steht ihm die Möglichkeit zu, sich bei einer Aufsichtsbehörde nach Art. 77 Abs. 1 DS-GVO zu beschweren.
Daneben stehen dem Betroffenen verwaltungsrechtliche oder gerichtliche Rechtsbehelfe zur Verfügung, welche auch parallel zu dem Beschwerderecht bei der Aufsichtsbehörde wahrgenommen werden können.
