< zurück zum Blog

Die Betroffenenrechte beim Verantwortlichen nach DSGVO

01.09.2020

Weiter geht es in unserer Basics-Reihe. Die DSGVO stärkt die Rechte von Betroffenen. Was genau Betroffene von den für die Verarbeitung personenbezogener Daten Verantwortlichen verlangen können und welche Rechte Ihnen zustehen, soll dieser Artikel beleuchten.

Welche Rechte hat der Betroffene gem. DSGVO?

Demjenigen, dessen personenbezogenen Daten verarbeitet werden stehen verschiedene Rechte zu:
- Das Informationsrecht (Art. 13,14 DSGVO)
- Das Auskunftsrecht (Art. 15 DSGVO)
- Das Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung (Art. 16-18 DSGVO)
- Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Das Recht auf Widerspruch (Art. 21 DSGVO)
Aber jetzt etwas detaillierter:

1. Das Informationsrecht gem. Art. 13, 14 DSGVO

Kurz gesagt fordert die DSGVO, dass jede natürliche Person immer genau wissen soll, welche Daten von ihr von wem warum verarbeitet werden.
Gem. Art. 13 Abs. 1 DSGVO ist die betroffene Person sofort bei Erhebung der Daten darüber zu informieren, wer der Verantwortliche für die Verarbeitung ist und dessen Kontaktdaten, für welchen Zweck und aufgrund welcher Rechtsgrundlage die Daten verarbeitet werden sollen (auch eine nachvollziehbare Interessenabwägung ist mitzuteilen) und gegebenenfalls an wen die Daten übermittelt werden oder dass die Absicht besteht, diese an Dritte herauszugeben. Außerdem muss darüber informiert werden, wie lange die Daten gespeichert werden sollen.

Schon bei Erhebung der Daten ist der Betroffene über alle Betroffenenrechte aufzuklären. Er muss also darüber informiert werden, dass ihm grundsätzlich das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit zusteht. Art. 12 DSGVO verlangt, dass dem Betroffenen die Informationen in transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu erteilen sind.

In Art. 14 DSGVO wird zusätzlich geregelt, welche Informationen zu erteilen sind, wenn die Daten nicht vom Verantwortlichen selbst, sondern von Dritten (klassisches Beispiel: SCHUFA) erhoben wurden. Grundsätzlich ist in diesem Fall ebenfalls über die oben genannten Punkte zu informieren. Zusätzlich muss aber noch die Quelle genannt werden, von der der Verantwortliche die Daten bezogen hat.

2. Das Auskunftsrecht gem. Art. 15 DSGVO

Hand in Hand mit dem Informationsrecht geht das Auskunftsrecht. Gem. Art. 15 Abs. 1 DSGVO kann ein Betroffener vom Verantwortlichen zunächst Auskunft darüber verlangen, ob dieser personenbezogene Daten des Betroffenen verarbeitet. Ist dies der Fall, kann Auskunft über folgende Informationen verlangt werden:
- Verarbeitungszweck
- Welche Kategorien personenbezogener Daten verarbeitet werden
- Wem die Daten offengelegt wurden
- Wie lange die personenbezogenen Daten gespeichert werden sollen
- ob ein Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung besteht
- Besteht ein Beschwerderecht bei der Aufsichtsbehörde
- Wo kommen die Daten her (falls sie nicht vom Verantwortlichen selbst erhoben wurden)
- Besteht eine automatisierte Entscheidungsfindung einschließlich Profiling
- Werden/wurden die Daten in Drittländer übermittelt und wenn ja, bestehen dort geeignete Garantien zum Schutz der Daten

Zusätzlich kann der Betroffene vom Verantwortlichen gem. Art. 15 Abs. 3 DSGVO die kostenfreie Übermittlung einer Kopie aller personenbezogenen Daten verlangen, die der Verantwortliche verarbeitet hat.

Hier ist Vorsicht geboten: Unter Umständen kann die Auskunftserteilung, je nach Unternehmen und Datenverarbeitung, sehr umfangreich sein. Wie weit der Auskunftsanspruch geht, ist momentan noch nicht abschließend von den Gerichten geklärt. Wollen Sie hierüber mehr erfahren, klicken Sie hier https://sidit.de/blog/das-auskunftsrecht-nach-art-15-dsgvo.

3. Das Recht auf Berichtigung gem. Art. 16 DSGVO

Quasi ein Verwandter des Auskunftsrechts ist das Recht auf Berichtigung. Denn ohne zu wissen, welche Daten einer Person bei einem Unternehmen verarbeitet werden, könnte auch nicht Berichtigung dieser verlangt werden. Art. 16 DSGVO sagt also nichts anderes, als dass der Betroffene vom Verantwortlichen unverzüglich Berichtigung der Daten verlangen kann. Damit ist sowohl die Korrektur falscher Daten als auch die Vervollständigung unvollständiger Daten gemeint.

4. Das Recht auf Datenlöschung gem. Art. 17 DSGVO oder auch: Das Recht auf Vergessenwerden

Um die Betroffenenrechte zu stärken wurde mit der DSGVO das Recht auf Vergessenwerden umgesetzt. Konkret heißt das, dass ein Betroffener vom Verantwortlichen verlangen kann, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn:

- Sie zur Erfüllung des Zwecks, für den sie erhoben wurden, nicht mehr notwendig sind,
- Der Betroffene zuvor eine Einwilligung zur Verarbeitung seiner personenbezogenen Daten erteilt hat und diese nun widerruft und die Verarbeitung auf keiner anderen Rechtsgrundlage basiert,
- Die betroffenen Person Widerspruch gegen die Verarbeitung einlegt und kein berechtigtes Interesse an der Verarbeitung besteht,
- Die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
- Das Unternehmen aufgrund einer gesetzlichen Pflicht zur Löschung verpflichtet ist oder
- Die personenbezogenen Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gem. Art. 8 Abs. 1 DSGVO angeboten wurden.

Allerdings gibt es auch ein paar Ausnahmen zu beachten, Art. 17 Abs. 3 DSGVO. Die Löschpflicht entfällt demnach beispielsweise, wenn eine rechtliche Verpflichtung zur Aufbewahrung der Daten besteht. Dies ist regelmäßig nach arbeits-, steuer- oder handelsrechtlichen Vorgaben der Fall.

5. Das Recht auf Einschränkung der Verarbeitung gem. Art. 18 DSGVO

Nicht ganz so drastisch, wie das Recht auf Löschung, ist das Recht auf Einschränkung der Verarbeitung. Gem. Art. 18 DSGVO kann ein Betroffener vom Verantwortlichen verlangen, dass dieser die personenbezogenen Daten, die er vom Betroffenen hat, nicht mehr weiter verarbeitet. Dieses Recht ist natürlich an bestimmte Voraussetzungen geknüpft. Der Betroffene kann die Einschränkung der Verarbeitung verlangen, wenn
- Die Richtigkeit der über ihn vorhandenen Daten in Frage gestellt wird,
- Die Verarbeitung unrechtmäßig ist,
- Die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden, nachdem der Zweck weggefallen ist oder
- Der Betroffene bereits Widerspruch gegen die Verarbeitung eingelegt hat und noch nicht feststeht, ob die berechtigten Interessen des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Wenn die Verarbeitung nun eingeschränkt wurde, dürfen die personenbezogenen Daten des Betroffenen zwar noch gespeichert bleiben, dürfen aber nur noch unter sehr strengen Voraussetzungen und besonderer Zweckbindung verarbeitet werden.

6. Das Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO

Art. 20 DSGVO ist ein völliges Novum im Bereich des Datenschutzes. Eine ähnliche Regelung kannte das BDSG nicht. Art. 20 DSGVO regelt, dass der Betroffene die von ihm zu Verfügung gestellten Daten auf einer automatisierten Plattform (Bspw. soziale Medien), auf einen anderen Anbieter zu übertragen. So gehen keine Informationen verloren und es kann Zeit gespart werden bspw. beim Aufbau eines neuen Profils.

7. Das Recht auf Widerspruch gem. Art. 21 DSGVO

Um die Betroffenenrechte noch weiter zu stärken, wurde auch das Recht auf Widerspruch in die DSGVO mit aufgenommen. Konkret heißt das, dass jede betroffene Person gegen die Verarbeitung ihrer personenbezogenen Daten beim Verantwortlichen Widerspruch kann, jedoch nur, wenn die personenbezogenen Daten auf Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO verarbeitet wurden. Der Betroffene muss darlegen, dass er aus der pauschalen Interessensabwägung des Verantwortlichen herausfällt. Hat ein Betroffener beim Verantwortlichen Widerspruch eingelegt, muss dieser nachweisen, dass bei ihm zwingende schutzwürdige Gründe für die Verarbeitung vorliegen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Kann dieser Nachweis nicht erbracht werden, darf der Verantwortliche die Daten nicht mehr verarbeiten.
Eine Ausnahme gilt gem. Art. 21 Abs. 2 DSGVO bei Direktwerbung. Werden personenbezogene Daten zu diesem Zweck verarbeitet, so hat der Betroffene jeder Zeit das Recht, Widerspruch einzulegen. Anders ist es, wenn die Verarbeitung gem. Art. 6 Abs. 1 lit. e DSGVO erforderlich zur Wahrnehmung einer Aufgabe ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Hier ist kein Widerspruch möglich.

Achtung!

Durch die DSGVO soll der Datenschutz in allen EU-Ländern harmonisiert werden. Allerdings ist es so, dass die DSGVO einige Öffnungsklauseln enthält. Das heißt, dass es den Mitgliedstaaten durchaus erlaubt ist, in einzelnen Punkten, eigene nationale Regelungen zu erlassen, Art. 23 DSGVO. In den einzelnen Mitgliedstaaten kann es also Abweichungen in der Ausprägung und der Gestaltung der Betroffenenrechte geben.

Empfehlung

Es kommt durchaus häufig vor, dass Unternehmen mit Auskunftsverlangen o.ä. von Betroffenen konfrontiert werden. Um hierauf schnell, richtig und effizient zu reagieren ist es absolut ratsam, für diesen Fall einen Prozess zu hinterlegen, der im Bedarfsfall nur noch abgearbeitet werden muss.

Weiterführende Links

https://sidit.de/blog/das-auskunftsrecht-nach-art-15-dsgvo

Zum Aktivieren der eingebetteten Karte bitte auf den Link klicken. Durch das Aktivieren werden Daten an den jeweiligen Anbieter übermittelt. Weitere Informationen können unserer Datenschutzerklärung entnommen werden

Inhalt anzeigen

Ihr direkter Kontakt zu uns

SiDIT GmbH
Langgasse 20
97261 Güntersleben

Bürozeiten:
Montag bis Freitag von 8-16 Uhr.