Die Rechte der Betroffenen

Simone Winkler

Eine der wesentlichen Veränderungen der neuen Datenschutzgrundverordnung (DSGVO) ist die Ausweitung der Rechte der Betroffenen. In diesem Beitrag wollen wir Ihnen diese kurz vorstellen.

Recht auf Auskunft

Das Recht auf Auskunft kennen wir bereits aus dem BDSG. Jeder Betroffene hat das Recht auf Auskunft dahingehend, welche Daten der Verantwortliche über ihn speichert. Das Auskunftsrecht bezieht sich aber nicht nur auf die reinen Daten. Vielmehr hat der Betroffene das Recht zu erfahren:

  • Welche Kategorien von Daten verarbeitet werden;
  • Was der Zweck der Datenverarbeitung ist;
  • An wen diese Daten ggf. weitergegeben werden;
  • Wie lange die Daten gespeichert werden;
  • Welche Rechte der Betroffene gegenüber dem Verantwortlichen hat;
  • Woher der Verantwortliche die Daten erhalten hat;
  • Für den Fall, dass die Daten in automatischen Entscheidungsverfahren verarbeitet werden, welche Logik hinter der Entscheidungsfindung steht;
  • Für den Fall, dass die Daten in ein Drittland transferiert werden, welche Sicherheitsgarantien für den Schutz der Daten bestehen.

Wichtig ist, dass nach der Erteilung der Auskunft, diese entsprechend dokumentiert wird, da der Verantwortliche im Zweifel immer die Beweislast dafür trägt, dass er seinen Verpflichtungen gegenüber der Betroffenen ordnungsgemäß erfüllt hat.

Der Betroffene kann dieses Auskunftsverlangen mehrfach äußern und es muss jedes Mal erfüllt werden, es sei denn, der Betroffene übertreibt es. In den zu dieser Regelung gehörenden Erwägungsgründen ist nachzulesen, dass ein Auskunftsverlangen zweimal im Jahr durchaus angemessen ist.

Neu an dem doch altbekannten Recht ist, dass der Betroffene eine vollständige Auskunft verlangen kann. Nach dem BDSG war es noch so, dass das Auskunftsrecht diejenigen Informationen und Daten nicht umfasste, die dem Betroffenen bereits vorlagen.

Recht auf Berichtigung

Sollte der Berechtigte feststellen, dass die vom Verantwortlichen gespeicherten Daten nicht richtig sind, hat er selbstverständlich auch das Recht, dass diese Daten berichtigt werden.

Recht auf Löschung

Das Recht auf Vergessen ist neu in der DSGVO. Dieses beinhaltet, dass der Betroffene vom Verantwortlichen die unverzügliche Löschung seiner personenbezogenen Daten zu verlangen. Diese Verpflichtung zur Löschung besteht unter den folgenden Voraussetzungen:

  • Die personenbezogenen Daten sind für die Zwecke, zu denen sie erhoben wurden nicht mehr notwendig;
  • Der Betroffene widerruft seine Einwilligung zur Datenverarbeitung und es liegen keine anderen Rechtfertigungsgründe zur Datenverarbeitung vor;
  • Der Betroffene legt Widerspruch gegen die Verarbeitung ein;
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet;
  • Die Löschung ist aus gesetzlichen Gründen erforderlich;
  • Die personenbezogenen Daten wurden für Dienstleistungen erhoben, die sich direkt an Kinder richten

Es bestehen auch von diesem Recht selbstverständlich auch Ausnahmen:

  • Wenn die Datenverarbeitung der Ausübung des Rechts auf freie Meinungsäußerung und Information dient;
  • Die verantwortliche Stelle muss rechtliche Verpflichtungen erfüllen, oder nimmt Aufgaben wahr, die im öffentlichen Interesse liegen oder im Rahmen der Ausübung der öffentlichen Gewalt;
  • Die Verarbeitung im Bereich der öffentlichen Gesundheit geschieht;
  • Wenn die Verarbeitung zu öffentlichen Archivierungszwecken, wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken dient
  • im Falle der Geltendmachung, Ausübung doer Verteidigung von Rechtsansprüchen.

Recht auf Einschränkung der Verabeitung

Das Recht auf Einschränkung bedeutet, dass der Betroffene vom Verantwortlichen verlangen kann. Die Einschränkung erfolgt unter folgenden Voraussetzungen:

  • Bestreitet der Betroffene, dass die vom Verantwortlichen gespeicherten Daten richtig und vollständig sind, kann die Verarbeitung so lange eingeschränkt werden, bis der Verantwortliche die Richtigkeit überprüfen konnte;
  • Die Verarbeitung erfolgte unrechtmäßig und der Betroffene verlangt statt der Löschung nur die Einschränkung der Verarbeitung;
  • Der Verantwortliche die Daten nicht mehr braucht, jedoch der Betroffene auf die Verarbeitung zur Ausübung oder Verteidigung gegen Rechtsansprüche benötigt;
  • Der Betroffene hat Widerspruch gegen die Verarbeitung eingelegt und der Verantwortliche noch nicht abschließend prüfen konnte ob die Rechte des Verantwortlichen die des Betroffenen überwiegen.

Wurde die Einschränkung verlangt, dürfen die Daten des Betroffenen nur unter ganz engen Voraussetzungen weiter verarbeitet werden. Vor der (Wieder-)Aufnahme der Datenverarbeitung ist der Betroffene darüber zu informieren.

Recht auf Datenübertragbarkeit

Neu in der Datenschutzgrundverordnung ist auch das Recht des Betroffenen, dass seine Daten auf Wunsch in einem allgemein lesbaren Datenformat an einen Dritten übertragen werden. Bestandteil dieses Rechts ist es auch, dass die Daten nicht an den Betroffenen, sondern direkt an den Dritten übertragen werden, wenn dies technisch möglich ist.

Widerspruchsrecht bei einwilligungsloser Verarbeitung zur Wahrung berechtigter Interessen

Für jede Datenverarbeitung ist ein Rechtfertigungsgrund notwendig. Ohne die Einwilligung des Berechtigten dürfen Daten unter bestimmten Voraussetzungen verarbeitet werden. Ist dies der Fall, hat der Berechtigte das Recht der Verarbeitung jederzeit zu widersprechen. Prominentestes Beispiel hierfür dürfte wohl die Direktwerbung sein. Widerspricht ein Betroffener der Verarbeitung seiner Daten zum Zwecke der Direktwerbung, so ist dies sofort einzustellen.

Schutz vor automatisierten Entscheidungen im Einzelfall, einschließlich Profiling

Auch dies ist ein neues Recht, welches die DSGVO den Betroffenen einräumt. Aufgrund der zunehmenden Automatisierung und Digitalisierung treffen Unternehmen Entscheidungen zunehmend aufgrund der Auswertung von Daten. Ein Beispiel hierfür ist Geo-Profiling. Dieses wird von Versandhäusern eingesetzt um zu entscheiden, ob ein Kunde auf Rechnung zahlen darf, oder ob man Vorkasse verlangt. Hierfür wird anhand der mitgeteilten Postleitzahl ausgewertet, wie in diesem Gebiet die Zahlungsmoral und -fähigkeit aussieht. Stellt sich dabei heraus, dass es sich um eine wohlhabende Nachbarschaft handelt, deren Bewohner ihre Rechnungen regelmäßig und pünktlich zahlen, ist die Chance gut, dass neue Kunden aus diesem Bereich auf Rechnung zahlen dürfen. Gegen solche automatisierten Entscheidungen steht dem Betroffenen nun ebenfalls ein Widerspruchsrecht zu.

Fazit

Wie Sie sehen gibt es auf diesem Gebiet eine Reihe von Neuerungen. Wichtig ist vor allem, dass Sie für Ihr Unternehmen Maßnahmen festlegen mit denen Sie sicherstellen können, dass Sie all diesen Rechten der Betroffenen nachkommen können. Außerdem sollten Sie sich ein System zurechtlegen, in welchem Sie Ihre Bestrebungen dokumentieren, denn Sie sind in der Pflicht zu beweisen, dass Sie die Anforderungen der DSGVO erfüllen.

Wir beraten Sie hierzu gern.

Simone Winkler
Fachanwältin für IT-Recht

  • Zentrale Ahrensburg

    T: 04102 / 51 600
    F: 04102 / 516019
    info@kanzlei-winterstein.de

    • Kanzlei Ahrensburg

      Rathausplatz 25
      22926 Ahrensburg

      T: 04102 / 51 600
      F: 04102 / 51 6019

    • Kanzlei Bargteheide

      Rathausstraße 14
      22941 Bargteheide

      T: 04532 / 70 17
      F: 04532 / 50 59 419