Betroffenenrechte unter der Datenschutz-Grundverordnung

Franziska Ladiges - 06. September 2017 - IT

Der Schutz der betroffenen Personen ist eines der Hauptanliegen der EU-DSGVO. Aus diesem Grunde sollen die Rechte der betroffenen Personen gestärkt und präzisiert werden. Gegenstand dieses Beitrages ist die kurze Darstellung der Regelungen zu den Betroffenenrechten in der EU-DSGVO. Dieser Beitrag ist ein Teil von unserer Serie zur Datenschutz-Grundverordnung.

Unter „Rechten der betroffenen Person“ versteht das Datenschutzrecht die Rechte jedes Einzelnen gegenüber dem für die Verarbeitung Verantwortlichen. Die EU-DSGVO kennt die folgenden Rechte

•    Informationsrecht
•    Auskunftsrecht
•    Recht auf Datenübertragbarkeit
•    Recht auf Berichtigung
•    Recht auf Löschung / Vergessenwerden
•    Recht auf Einschränkung der Verarbeitung
•    Widerspruchsrecht

1.    Informationsrecht

Nach Art. 13 und 14 EU-DSGVO sind die betroffenen Personen ab Mai 2018 über sämtliche Umstän-de der Datenverarbeitung bei dem Verantwortlichen zu informieren. Nach diesen Vorschriften haben die Verantwortlichen Informationspflichten bei der Erhebung von personenbezogenen Daten gegenüber den betroffenen Personen, oder wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben worden sind.

Die Vorschriften enthalten Pflichtangaben, z.B. Kontaktdaten des Verantwortlichen und des Daten-schutzbeauftragten, Zwecke der Datenverarbeitung, Speicherdauer der Daten und Betroffenenrecht. Der Verantwortliche muss zudem geeignete Maßnahmen treffen, um der betroffenen Person alle In-formationen und alle Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Online kann den Informationspflichten im Rahmen der Datenschutzhinweise nachgekommen werden. Diese sind entsprechend zu überarbeiten. Offline müssen der betroffenen Person diese Informationen jedoch auch bei der Erhebung der Daten zur Verfügung gestellt werden. Hierfür sind in aller Regel Prozesse zu ändern, so dass diese Informationen automatisch zur Verfügung gestellt werden.

2.    Auskunftsrecht

Nach Art. 15 DS-GVO besitzt die betroffene Person zukünftig ein Recht, zu erfragen, ob und gegebe-nenfalls welche Daten über sie gespeichert sind. Zu dem bisherigen Auskunftsumfang kommt noch hinzu, dass der Verantwortliche auch darüber Auskunft zu erteilen hat, wie lange seine Daten gespeichert werden bzw. welche Kriterien zur Bestimmung der Datenspeicherungsfrist herangezogen werden.

Die erste Kopie der Auskunft ist der betroffenen Person innerhalb eines Monats unentgeltlich zur Verfügung zu stellen. Lediglich für missbräuchliche Auskunftsersuche (z. B. wöchentlich) darf eine Gebühr verlangt werden.

Der bestehende Auskunftsprozess sollte in diesem Zusammenhang auf Vollständigkeit der Angaben geprüft und bei Bedarf angepasst werden.

3.    Recht auf Datenübertragbarkeit

Neu ist das Recht auf Datenübertragbarkeit im Art. 20 EU-DSGVO. Dieses gibt betroffenen Personen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Der Nutzer hat damit das Recht, Daten von einem Anbieter zu einem anderen „mitzunehmen“. Das Recht auf Datenübertragbarkeit ist jedoch auf die Daten beschränkt, die die betroffene Person dem Verarbeiter im Rahmen der Vertragsdurchführung oder durch eine Einwilligung zur Verfügung gestellt hat.

Verantwortliche müssen bis Mai 2018 einen Prozess entwickelt haben, mit dem dieses Recht der be-troffenen Person bedient werden kann. Vor allem im Endkundenbereich ist damit zu rechnen, dass erste Herausgabeaufforderungen nach portablen Daten Ende Mai 2018 bei den Unternehmen an-kommen.

4.    Recht auf Berichtigung

Die betroffene Person hat auch weiterhin das Recht, von dem Verantwortlichen unverzüglich die Be-richtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen (Art. 16 EU-DSGVO). Die betroffene Person hat außerdem das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Die Gewährleistung dieses Rechts liegt regelmäßig im Interesse des Verantwortlichen, da nur die Verarbeitung richtiger Daten der Zweckerreichung dient.

5.    Recht auf Löschen / Vergessenwerden

Zudem hat die betroffene Person nach Art. 17 DS-GVO das Recht ihre Daten löschen zu lassen, wenn diese nicht mehr gespeichert werden dürfen. Dies ist immer dann der Fall, wenn die Notwendigkeit der Datenverarbeitung aufgrund der Zweckerreichung oder des Wegfalls des Zwecks nicht mehr gegeben ist.

Zu beachten ist, dass – außer in den Fällen, in denen eine Einwilligung erteilt wurde – die Löschung durch den Verantwortlichen auch ohne eine vorherige Geltendmachung der betroffenen Person – also eigenständig und von sich aus –  zu bewirken ist, sobald die Voraussetzungen gegeben sind. Eine Löschung kann trotz Vorliegen eines Löschungsgrundes rechtmäßig abgelehnt werden, wenn der Verantwortliche ein berechtigtes Interesse an der Weiternutzung der Daten hat, z. B. Befolgung gesetzlicher Aufbewahrungspflichten oder Ausübung von Rechtsansprüchen.

Hat der Verantwortliche die zu löschenden Daten an Dritte weitergegeben oder gar öffentlich gemacht, hat er bei Vorliegen eines Löschungsgrundes alle Dritten über die Löschung zu informieren, damit diese ihrerseits Löschungsvorgänge einleiten können. Diese Pflicht greift nur insoweit, wie die Unter-richtung möglich und dem Verantwortlichen nicht unzumutbar ist. Verlangt die betroffene Person eine Auskunft über die Personen der Dritten, so ist diese unverzüglich zu erteilen.

In diesem Bereich liegt ein besonderes Augenmerk. Aufgrund der erheblich erhöhten Sanktionen ist den Löschpflichten nachzukommen.

6.    Recht auf Einschränkung der Verarbeitung

Mit der Einführung eines Rechts auf Einschränkung der Verarbeitung in Art. 18 EU-DSGVO, welches im weitesten Sinne dem Recht auf Sperrung entspricht, wollte der europäische Gesetzgeber Konstellationen Rechnung tragen, in denen eine sofortige Löschung entweder schutzwürdige Interessen der Verantwortlichen an der weiteren Speicherung unbillig beschneiden oder aber den Interessen der betroffenen Person selbst zuwiderlaufen würde. Diesem Recht ist nur auf Verlangen der betroffen Person nachzukommen.

Ist eine Einschränkung erfolgt, darf der Verantwortliche bis zur Aufhebung der Einschränkung die gespeicherten Daten nur eingeschränkt verwenden. Wird die Einschränkung aufgehoben, muss der Verantwortliche die betroffene Person vor der Aufhebung der Einschränkung unterrichten. Auch im Falle der Einschränkung ist der Verantwortliche zusätzlich verpflichtet, Dritte, an welche die Daten übermittelt wurden, zu informieren, damit diese ihre Verarbeitungsprozesse selbst einschränken können. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortlichen zumutbar ist.

7.    Widerspruchsrecht

Betroffene Personen haben außerdem nach Art. 21 EU-DSGVO, aus Gründen, die sich aus ihrer be-sonderen Situation ergeben, ein Widerspruchsrecht gegen eine an sich rechtmäßige Verarbeitung ihrer Daten. Liegt die Datenverarbeitung im berechtigten Interesse des Verantwortlichen, dürfen diese Daten nur noch verarbeitet werden, wenn zwingende berechtigte Gründe für die Verarbeitung nachweisbar sind, „die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen“. Gleiches gilt wie bislang im Bereich der Datenverarbeitung zu Zwecken der Direktwerbung. Hier ist die Verarbeitung der personenbezogenen Daten bei einem Widerspruch sofort zu unterlassen.

Personenbezogene Daten dürfen für den widersprochenen Zweck nicht mehr genutzt werden und sind – sofern sie für keinen anderen Verarbeitungszweck benötigt werden – unter Berücksichtigung der Aufbewahrungsfristen zu löschen.

Die betroffene Person ist ausdrücklich, in verständlicher Form und getrennt von jeglicher anderen Information auf das Widerspruchsrecht hinzuweisen. Formulare sollten diesbezüglich geprüft und angepasst werden.

8.    Zusammenfassung

Die Rechte der betroffenen Personen sind zum großen Teil schon aus dem BDSG bekannt. Aufgrund der erheblich erhöhten Sanktionen sind Verantwortliche jedoch dazu angehalten, den Rechten auch nachzukommen. Formulare und Prozesse sind rechtzeitig entsprechend anzupassen.


Über die Autorin: 

Franziska Ladiges berät IT-Dienstleister sowie IT-Anwender in den Bereichen der Vertragsgestaltung und Konfliktbewältigung. Weitere Schwerpunkte ihrer Tätigkeit sind das Internet-Recht und das Datenschutzrecht. Hier berät Franziska Ladiges bei der rechtswirksamen Gestaltung des Internetauftritts, bei der Umsetzung des Verbraucherschutzes und Maßnahmen zur Sicherstellung einer wirksamen Datenschutz-Compliance. Daneben betreut sie Mandanten in allen Fragen des Prozessrechts und vertritt diese in gerichtlichen Auseinandersetzungen.

Frau Ladiges steht Ihnen für Fragen gerne persönlich zur Verfügung unter: Tel.: +49 69 63 00 01-0, E-Mail: f.ladiges@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2017 (20)
Dezember (1) November (1) Oktober (1) September (2) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)