Betroffenenrechte

Überblick zu den Rechten der Personen, deren Daten verarbeitet werden

Unter den Betroffenenrechten fasst die DSGVO alle Rechte zusammen, die betroffenen Personen (also den Menschen, deren Daten verarbeitet werden) zustehen. Um überhaupt personenbezogene Daten datenschutzkonform verarbeiten zu können, müssen die einzelnen Betroffenenrechte bekannt und die daran anknüpfenden Verpflichtungen verstanden sein.

►►►Tipp: Alle Rechte findest du in der DSGVO in
Kapitel 3, Art. 12 – 23.

Links

Verarbeitung personenbezogener Daten von Kindern
Art. 8 DSGVO

Recht auf transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
Art. 12, DSGVO

Auskunftsrecht der betroffenen Person
Art. 15, DSGVO

Recht auf Berichtigung
Art. 16, DSGVO

Recht auf Löschung
Art. 17, DSGVO

Recht auf Einschränkung der Verarbeitung
Art. 18, DSGVO

Mitteilungspflicht
Art. 19, DSGVO

Recht auf Datenübertragbarkeit
Art. 20, DSGVO

Widerspruchsrecht
Art. 21, DSGVO

Recht auf transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12, DSGVO)

Aus dem Recht auf transparente Information […] ergeben sich einige wesentliche Verpflichtungen für Verantwortliche:

  • Verpflichtung 1: Als Verantwortliche sind wir verpflichtet, Betroffene präzise, transparent und verständlich über alle Datenverarbeitungen, die diesen Personenkreis betreffen, zu informieren. Die Information kann schriftlich, elektronisch oder mündlich erfolgen.
  • Verpflichtung 2: Als Verantwortliche sind wir verpflichtet, Betroffenen die Ausübung ihrer Rechte zu ermöglichen – eine Weigerung ist nur dann möglich, wenn die Identität des/der Betroffenen absolut nicht nachweisbar ist.
  • Verpflichtung 3: Informationen sind Betroffenen auf Anfrage innerhalb eines Monats (eigentlich sogar unverzüglich) zur Verfügung zu stellen.
  • Verpflichtung 4: Informationen sind auf Anfrage kostenlos zur Verfügung zu stellen, Ausnahmen sind nur dann möglich, wenn die Anfragen offenkundig unbegründet, häufig wiederholt oder exzessiv erfolgen. Dann ist eine Weigerung bzw. ein angemessenes Entgelt möglich.
  • Verpflichtung 5: Der*die Verantwortliche stellt vor Aushändigung von Informationen auf Anfrage die Identität der/des Betroffenen fest.

Zusammengefasst: Verantwortliche sind verpflichtet, Betroffene zu informieren und ihnen Fragen rund um ihre personenbezogenen Daten sowie deren Speicherung und Verarbeitung zu beantworten.

Praxistipp 1

Speziell am „verständlich informieren“ scheiden sich die Geister. Viele Datenschutzhinweise, z.B. von Microsoft, Google & Co. oder auch automatisch generierte Texte auf Websites, sind kaum verständlich. Vor allem dort, wo die Information im persönlichen Kontext steht (z.B. bei Fotograf*innen oder Coaches), würde ich immer empfehlen, auf eine wirklich verständliche Information Wert zu legen, selbst wenn das dazu führt, dass technische Details eben nicht bis ins Kleinste erklärt werden.

Praxistipp 2

Richtet sich dein Angebot an Kinder, dann ist hier besondere Umsichtigkeit geboten – der Gesetzgeber weist ausdrücklich darauf hin, dass die Verarbeitung von personenbezogener Daten Minderjähriger (Kinder, die das 16. Lebensjahr noch nicht vollendet haben) besonderen Schutzes bedarf, u.a. der (nachgewiesenen) Einwilligung vor der Datenerhebung.

Auskunftsrecht der betroffenen Person (Art. 15, DSGVO)

Das Recht auf Auskunft resultiert im Prinzip aus den Verpflichtungen der Verantwortlichen. Betroffene Personen können Auskunft über ihre Daten verlangen. In Art. 15 der DSGVO wird spezifiziert, welche Daten beauskunftet werden müssen. Außerdem wird darauf hingewiesen, dass im Fall eines Transfers in ein Drittland (also in ein Land außerhalb der EU, z.B. die USA) die betroffene Person Auskunft darüber zu erhalten hat, wie dafür gesorgt wird, dass dieser Drittland-Transfer auch sicher erfolgt.

Übersicht Auskunft

Ein Hinweis mit „Ja, wir haben Daten“ reicht absolut nicht aus. Rund um den Umfang von Auskünften gibt es inzwischen einiges an Rechtsprechung. Gerichte befassen sich unter anderem damit, wie ausführlich beauskunftet werden muss. Es ist sicher erst einmal nicht erforderlich, jede E-Mail an eine*n Betroffene*n in Kopie auszuhändigen – auf wichtige Dokumente, Datenbanken oder Programme, in denen personenbezogene Daten gespeichert sind, solltest du aber in jedem Fall hinweisen.

Nach dem Rechtstext umfasst eine vollständige Auskunft folgende Aspekte:

  • Zweck der Verarbeitung
  • Kategorie personenbezogener Daten
  • Empfänger*innen oder Kategorien von Empfänger*innen
  • (geplante) Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
  • Hinweis zum Bestehen auf Berichtigung, Löschung oder Einschränkung der gespeicherten Daten
  • Hinweis auf das Beschwerderecht der/des Betroffenen
  • Herkunft der Daten, sollten diese nicht durch die/den Verantwortliche*n selbst erhoben worden sein
  • Falls zutreffend ein Hinweis auf das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
    (Unter Profiling versteht man im Datenschutz automatisierte Verfahren, um bestimmte Aspekte einer Person zu bewerten, z.B. bzgl. Arbeitsleistung, wirtschaftlicher Situation, Gesundheit etc..)
  • Hinweis auf die Sicherheitsmaßnahmen bei einem stattfindenden Transfer der Daten in ein Land außerhalb der EU (sog. „Drittland“)

Dazu kommt eine Kopie der personenbezogenen Daten, die verarbeitet bzw. gespeichert sind.

Recht auf Berichtigung (Art. 16, DSGVO)

Betroffene können die Berichtigung gespeicherter, personenbezogener Daten verlangen, ebenso wie die Vervollständigung der Daten.

Recht auf Löschung (Art. 17, DSGVO)

Das Recht auf Löschung ist meiner Meinung nach vielleicht der für uns als Privatmenschen wichtigste Aspekt der DSGVO. Art. 17 der DSGVO besagt, dass alle Daten, die von mir bei einem Unternehmen oder auch einer Behörde gespeichert sind, auf Antrag gelöscht werden müssen, wenn:

  1. meine Daten nicht mehr für den Verarbeitungszweck, für den sie erhoben wurden, notwendig sind,
  2. ich meine Einwilligung zur Verarbeitung widerrufe,
  3. ich Widerspruch gegen die Verarbeitung einlege. Mehr dazu in der Hinweisbox „Recht auf Löschung“,
  4. die personenbezogenen Daten unrechtmäßig verarbeitet wurden,
  5. die Löschung zur Erfüllung einer rechtlichen Verpflichtung notwendig ist, oder
  6. die Daten bei Kindern erhoben wurden (Achtung! Erhebst und speicherst du Daten von Kindern, lohnt sich ein Blick in Art. 8 DSGVO).

In Art. 17 (2) der DSGVO finden wir einen Abschnitt, der oft eine Rolle spielt, wenn wir uns mit Social Media und Websites befassen: Wurden Daten durch den/die Verantwortliche*n öffentlich gemacht, „so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.“

In der Praxis ist das ein schwieriger Aspekt: Wurden Fotos eine*s Mitarbeiter*in auf einer Website veröffentlich, ist der/die Verantwortliche verpflichtet (nach Eingang eines berechtigten Löschantrages) dieses Foto nicht nur auf der Website, sondern auch an allen anderen Stellen, an die das Foto durch die Veröffentlichung gelangt ist, über den Löschantrag zu informieren. Also z.B. Suchmaschinen, Zwischenspeicher von Suchmaschinen, Social Media Plattformen oder Webkataloge.

►►►Hinweis

In der Praxis führt die Frage, ob Daten zu löschen sind, oft zu Verunsicherung – gerade dann, wenn ein bestimmtes Datum nicht nur für einen Zweck genutzt wird. Nehmen wir z.B. die E-Mailadresse einer Kundin. Diese nutzt du, um deiner Kundin a) eine laufende Monatsrechnung und b) deinen Newsletter mit speziellen Coaching-Angeboten zuzusenden. Die Kundin fordert dich auf, ihre E-Mailadresse zu löschen und legt Widerspruch gegen die weitere Nutzung ein. Unter Art. 17 (1) c) finden wir in der DSGVO folgende Aussage:

„Die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor […]“

Das bedeutet konkret:

  1. Widerspruch & Löschantrag eingegangen.
  2. Feststellung: Zweck eins = Rechnungsversand / Zweck zwei = Newsletter Versand.
  3. Art. 17 (1) c) ist erfüllt, Widerspruch ist eingegangen.
  4. Liegt ein vorrangiger, berechtigter Grund vor, die Verarbeitung fortzusetzen bzgl. Newsletter Versand? Nein.
  5. Liegt ein vorrangiger, berechtigter Grund vor, die Verarbeitung fortzusetzen bzgl. Rechnungsversand? Ja – du musst deinen Verpflichtungen zur Buchhaltung und Rechnungszustellung im Rahmen der Auftragserfüllung nachkommen.

In diesem Fall informierst du die Kundin darüber, dass ihre E-Mailadresse aus oben genannten Gründen nicht gelöscht werden kann, dass aber der Verarbeitungszweck Newsletter entfällt – und – in der entsprechenden Software, mit der du deine Newsletter verschickst, ihre E-Mailadresse auch gelöscht wurde. Vermutlich kommst du damit dann auch dem nach, was die Kundin eigentlich erreichen wollte. Das sollte in der weiteren Kommunikation geklärt werden.

Recht auf Einschränkung der Verarbeitung (Art. 18, DSGVO)

Das Thema Einschränkung umfasst eine ganze Reihe an „Wenn-Dann“-Aussagen und gestaltet sich in der Praxis durchaus komplex. Einschränkung bedeutet, dass personenbezogenen Daten zwar noch gespeichert sein dürfen, aber nicht mehr weiter genutzt werden können. Über die technische Umsetzung sollte man sich in jedem Fall Gedanken machen.

Mitteilungspflicht (Art. 19, DSGVO)

Die „Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung“ ist in ihren Praxisauswirkungen recht einfach greifbar.

  1. Das Recht auf Berichtigung, das Recht auf Einschränkung oder das Recht auf Löschung wird von einer betroffenen Person wahrgenommen.
  2. Als Verantwortliche*r musst du jetzt alle, die diese Daten ebenfalls genutzt haben (z.B. deine Auftragsverarbeitenden) über diesen Umstand informieren.

Sollte die betroffene Person das verlangt haben, informierst du auch diese über die unter 2. Erwähnten.

Recht auf Datenübertragbarkeit (Art. 20, DSGVO)

Komprimiert sagt das Recht auf Datenübertragbarkeit aus, dass Betroffene verlangen können, dass die durch Verantwortliche verarbeiteten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden müssen, damit der/die Betroffene diese Daten einer*m anderen Verantwortlichen zur Verfügung stellen kann.

Widerspruchsrecht (Art. 21, DSGVO)

Widerspruch ist dann möglich, wenn die Verarbeitung auf Art. 6 (1) e) „Wahrnehmung einer Aufgabe im öffentlichen Interesse […]“ oder Art. 6 (1) f) „Verarbeitung zur Wahrung berechtigter Interessen […]“ beruht. Außerdem können Betroffene jederzeit der Verarbeitung widersprechen, wenn die Daten für Direktwerbung genutzt werden oder für die wissenschaftliche/historische Forschung. Aber was bedeutet „Widerspruch“ jetzt eigentlich konkret? Hier möchte ich einen der schönsten Sätze der DSGVO zitieren: „Widerspricht die betroffene Person der Verarbeitung […], so werden die personenbezogenen Daten […] nicht mehr verarbeitet.“