Datenschutz-Akademie » Datenschutz-Wiki » Betroffenenrechte in der Datenschutzgrundverordnung
Betroffenenrechte in der Datenschutzgrundverordnung
Die Verarbeitung von personenbezogenen Daten kann Menschen in vielerlei Weise betreffen. Deren Rechte, die „Betroffenenrechte“, sind ein Kernbestandteil der Datenschutzgrundverordnung (DSGVO). Sie widmet ihnen ein ganzes Kapitel. Um diese Rechte wahrnehmen zu können, muss man wissen, welche Daten von wem über die eigene Person gespeichert und verarbeitet werden. Daher sehen die Artikel 13 und 14 DSGVO umfangreiche Transparenzpflichten für datenverarbeitende Stellen vor. Diese Informationen müssen in verständlicher Form einen Überblick über die Datenverarbeitung vermitteln. Meistens sind sie in der Datenschutzerklärung enthalten. Darüber hinaus gewährt Artikel 15 DSGVO ein Auskunftsrecht, wonach jede Stelle auf Anfrage Auskunft erteilen muss, welche Daten zu einer Person verarbeitet werden.
Betroffene können sich direkt an Unternehmen, Behörden und andere datenverarbeitende Stellen wenden. Sollten Probleme auftreten, haben sie die Möglichkeit, die Aufsichtsbehörde einzuschalten. Im Einzelnen geht es um die folgenden Betroffenenrechte.
Überblick gesetzliche Betroffenenrechte in der DSGVO
Recht auf Widerruf der Einwilligung (Artikel 7 DSGVO)
Betroffene Personen haben das Recht, ihre Einwilligung in die Verarbeitung ihrer Daten zu widerrufen. Vor Abgabe der Einwilligung muss darüber informiert werden. Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein. Werden die Daten bei der betroffenen Person erhoben, so muss nach Artikel 13 II c DSGVO der Verantwortliche zum Zeitpunkt der Datenerhebung die betroffene Person neben vielen anderen Informationspflichten auch über das Recht auf Widerruf einer Einwilligung aufklären.
Recht auf Berichtigung (Artikel 16 DSGVO)
Wenn unrichtige Daten zu einer Person verarbeitet werden, so kann deren Berichtigung verlangt werden. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden.
Recht auf Löschung (Artikel 17 DSGVO)
Wenn bestimmte Löschgründe vorliegen, so hat der Betroffene einen Anspruch auf die Löschung der personenbezogenen Daten. Das ist insbesondere der Fall, wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind. Wurden sie öffentlich gemacht, so steht ihm ein „Recht auf Vergessenwerden“ zu. Dieses explizite Recht ist neu.
Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
Mit dem Recht auf Einschränkung der Verarbeitung können Betroffene unter bestimmten Voraussetzungen erreichen, dass ihre personenbezogenen Daten beim für die Verarbeitung Verantwortlichen gesperrt werden. Der Verantwortliche muss Betroffenen die Berichtigung, Löschung und Einschränkung der Verarbeitung mitteilen.
Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
Betroffene haben das Recht, die eigenen Daten von einem Verantwortlichen zu einem anderen Verantwortliche (z. B. von einem Sozialen Netzwerk in ein anderes) zu übertragen. Zu diesem Zweck muss der Betreiber des bspw. Netzwerks dem Nutzer eine Kopie der betroffenen personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zur Verfügung stellen. Gegenüber der alten Rechtslage nach dem Bundesdatenschutzgesetz stellt dieser Anspruch eine Innovation dar.
Widerspruchsrecht (Artikel 21 DSGVO)
Betroffene haben ein Recht auf Widerspruch auch gegen rechtmäßige Datenverarbeitungen, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses einer Stelle erfolgen. Gegen Direktwerbung und damit verbundenes Profiling können Betroffene jederzeit Widerspruch einlegen. Dieser führt zu einem sofortigen Verarbeitungsstop. Auf diesen Anspruch muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation in einer verständlichen Form hingewiesen werden.
Automatisierte Entscheidung im Einzelfall einschließlich Profiling (Artikel 22 DSGVO)
Betroffene dürfen einer rein automatisierten Entscheidung – einschließlich Profiling – nicht unterworfen werden, wenn diese rechtlich relevant ist oder erheblich Beeinträchtigung bedeutet. Betroffene müssen die Möglichkeit haben, die Entscheidung anzufechten, den eigenen Standpunkt darzulegen und das Eingreifen einer Person zu erwirken.
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
Allgemeine Bestimmungen zu Betroffenenrechten in der DSGVO
Beschwerderecht
Die DSGVO stärkt die Position des Betroffenen, indem sie Beschwerderechte ausbaut und ihre Ausübung gegenüber ausländischen Stellen erleichtert. Die Landesdatenschutzbeauftragten sind nicht länger auf die Kontrolle öffentlicher und nicht-öffentlicher Stellen in ihren Bundesländern beschränkt. Nach dem Marktortprinzip können sich Bürger bei ihnen auch über die Datenverarbeitungen ausländischer Unternehmen innerhalb und außerhalb der EU beschweren.
Betroffenenrechte in der DSGVO bei rechtswidriger Verarbeitung personenbezogener Daten
Während die bisher aufgeführten Betroffenenrechte in der Datenschutzgrundverordnung unabhängig davon gelten, ob die Verarbeitung rechtmäßig oder rechtswidrig ist, gibt es bei einer rechtswidrigen Verarbeitung zusätzliche Rechte, die in den Artikeln 77 ff. DSGVO geregelt sind. Dazu zählen unter anderem wirksame gerichtliche Rechtsbehelfe, Haftung und Schadenersatz sowie Geldbußen.
Anfragen von Betroffenen
Seit dem Inkrafttreten der DSGVO mehrt sich die Anzahl der Anfragen von Betroffenen. Der Umgang mit diesen Anfragen stellt für viele Unternehmen eine erhebliche Herausforderung dar. Schnell wird die Drohung, sich bei nicht fristgerechter oder nicht zufriedenstellender Reaktion an die Datenschutzbehörde zu wenden, zur echten Gefahr, denn es drohen bei Verstößen hohe Bußgelder. Die Aufsichtsbehörde muss tätig werden, wenn ein Betroffener sich an sie wendet.
Da viele Anfragen beim Kundenservice eingehen, sollte dieser zum Umgang mit eingehenden Anfragen entsprechend sensibilisiert sein und im Datenschutz geschult werden. Zunächst sollte der Datenschutzbeauftragte die Anfragen prüfen. Ist die Berechtigung des geltend gemachten Rechts geklärt, müssen Unternehmen eine zügige und rechtlich einwandfreie Beantwortung der Anfrage sicherstellen. Dazu ist oft die Einbindung mehrerer Unternehmensbereiche erforderlich.
Die Information des Betroffenen muss in sicherer und nachweisbarer Weise erfolgen. Die schnelle und korrekte Behandlung von Betroffenenanfragen ist wichtig, da sie der Verantwortliche nach der DSGVO unverzüglich beantworten muss. Die Nichteinhaltung der datenschutzrechtlichen Fristen kann für Unternehmen schwere Folgen haben. Denn Verstöße können Schadensersatzansprüche nach sich ziehen und mit hohen Bußgeldern geahndet werden.
Unternehmen müssen Anfragen von Betroffenen zügig und rechtlich korrekt bearbeiten. Dafür ist oft die Zusammenarbeit mehrerer Firmenbereiche nötig. Die Mitarbeiter müssen dafür sensibilisiert werden. Bei Verstößen gegen die Vorschriften drohen hohe Bußgelder.
- Datenschutzbeauftragte berichten aus der Praxis - 26. März 2020
- Datenschutz und Datensicherheit im Homeoffice - 26. März 2020
- Nutzung sozialer Netzwerke durch Behörden - 9. März 2020