Die Betroffenenrechte nach der DSGVO: Das sind die Anforderungen
Am 25. Mai 2018 findet die neue EU-Datenschutzgrundverordnung Anwendung.
Dabei bleiben einige bisherige Regelungen des Datenschutzrechts im Kern
bestehen, zum Teil gibt es jedoch auch erhebliche Veränderungen. Insbesondere
im Bereich der Betroffenenrechte finden sich wesentliche Veränderungen im
Vergleich zur bisherigen Rechtslage.
Unternehmen sollten angesichts der hohen Bußgeldandrohungen der DSGVO
bereits jetzt ihre Datenschutzorganisation dahingehen überprüfen, ob die
Anforderungen der DSGVO an die Betroffenenrechte gewahrt sind.
Insbesondere das Recht auf Datenübertragbarkeit in der DSGVO stellt ein
gänzliches neues Recht da, dessen Bedeutung in der Praxis maßgeblich vom
Verhalten der Unternehmen mitbestimmt werden wird. Erhebliche
Unterschiede zwischen der bisherigen und der neuen Rechtslage nach der
DSGVO bringen außerdem die neuen Transparenz- und
Informationsvorschriften.
Was sind Betroffenenrechte?
Betroffenenrechte beschreiben das Recht der von der Datenverarbeitung
betroffenen Personen. Ihnen stehen im Vorfeld, während und nach der
Datenverarbeitung zahlreiche Rechte zu Verfügung, die sich grob entlang einer
Timeline ziehen: Kenntnis, Verhinderungsmöglichkeit, Löschung.
Welche Betroffenenrechte gibt es in der DSGVO?
1.) Das vielleicht wichtigste Betroffenenrecht im Rahmen der DSGVO stellt das
Informationsrecht des Betroffenen dar.Allgemein sind die Informationspflichten
gegenüber der betroffenen Person im Vergleich zum BDSG deutlich gestiegen.
So regelt Art. 13 DSGVO, dass der betroffenen Person v.a. die Kontaktdaten
des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne
Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie
Auskunfts- und Widerspruchsrechte ebenso die Rechtsgrundlage der
Datenverarbeitung und eine nachvollziehbare Interessenabwägung mitgeteilt
werden. Allgemein muss der Betroffene über alle Betroffenenrechte informiert
werden, also über das eines Recht auf Auskunft, Berichtigung, Löschung,
Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss der
Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung
ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht.
Dabei ist zu berücksichtigen, dass der betroffenen Personen die Informationen
sofort bei Datenerhebung übermittelt werden, also z.B. bei Bestellung eines
Newsletters oder dem Abschluss eines Kaufs im Rahmen des E-Commerce,
ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei Registrierung.
Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen
Person in „transparenter, verständlicher und leicht zugänglicher Form in einer
klaren und einfachen Sprache“ vorgelegt werden. Das heißt, dass die
Informationen auch für Leser mit niedrigen Lesefähigkeiten verständlich sein
müssen, u. a. indem in Datenschutzhinweisen auf mehrdeutige
Formulierungen, Fremdwörter und komplizierte Satzkonstruktionen verzichtet
und näher an der Alltagssprache formuliert wird. Die DSGVO lässt eine
mündliche, schriftliche oder auch elektronische Übermittlung der Informationen
genügen. Besonders gegenüber Kindern ist nicht nur auf die bereits erwähnte
Pflicht zur Verwendung einer einfachen, sondern zusätzlich auch alters- bzw.
kindgerechten Sprache zu achten. Die Informationspflicht besteht nur dann
nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die
erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die
Beweislast. Art. 14 DSGVO regelt entsprechende Informationspflichten für den
Fall, dass die Daten nicht vom Verantwortlichen selbst sondern von Dritten
(z.B. Auskunfteien bezüglich der Kreditwürdigkeit) erhoben wurden. Die
Informationspflichten des Unternehmens, das sich an Auskunfteien etc.
wendet, sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO
vergleichbar, hinzukommt jedoch die Pflicht die Quelle aus der die
Informationen stammen mitzuteilen. Anders als im Rahmen des Artikel 13
müssen die Informationen nicht sofort übermittelt werden, ausreichend ist eine
Frist von maximal einem Monat nach der Datenverarbeitung.
2.) Auskunftsrecht (Art. 15 DSGV)Dem Informationsrecht korrespondiert ein
Auskunftsrecht des Betroffenen. Dieser kann in angemessenen Abständen
Auskunft über die Datenverarbeitung, v.a über den Zweck, darüber welche
Daten verarbeitet werden und über den Empfänger verlangen.
3,) Das Recht auf Berichtigung (Art. 16 DSGVO)Resultiert eine
Datenverarbeitung in unrichtigen personenbezogen Daten des Betroffenen, so
hat dieser ein Recht auf unverzügliche Berichtigung. Dabei ist jedoch der
Zweck der Verarbeitung zu berücksichtigen, sodass etwa bei
Datenverarbeitungen im öffentlichen Interesse eine längere Zeitspanne bis zur
Berichtigung angesetzt werden kann.
4.) Das Recht auf Datenlöschung, „Das Recht auf Vergessenwerden“Art. 17
DSGVO regelt „Das Recht auf Vergessenwerden“. Die betroffene Person hat
das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende
personenbezogene Daten unverzüglich gelöscht werden, und der
Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu
löschen. Allerdings greift diese Regelung nur ein, wenn einer folgenden vier
Gründe eingreift:
▪ Das Speichern der Daten ist zur Zweckerreichung der Datenerhebung nicht
mehr notwendig
▪ Der Betroffene widerruft seine Einwilligung in die Datenverarbeitung
▪ Die Daten wurden unrechtmäßig verarbeitet
▪ Das Unternehmen ist aufgrund einer gesetzlichen Pflicht (aus dem EU-Recht
oder dem nationalen Recht eines Mitgliedstaates) zur Löschung der Daten
verpflichtet.Unternehmen müssen das Recht auf Vergessenwerden nicht
umsetzen, wenn:
▪ Die Meinungs- und Informationsfreiheit überwiegen
▪ Das Speichern der Daten einer rechtlichen Verpflichtung entspricht
▪ Das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
▪ Wissenschaftliche oder historische Forschungszwecke oder Archivzwecke
überwiegen
▪ Die Daten zur Wahrung von Rechtsansprüchen erforderlich sindMacht der
Betroffene vom Recht auf Vergessenwerden Gebrauch, so hat das
verantwortliche Unternehmen angemessene Maßnahme zu treffen um
Unternehmen, die die personenbezogenen Daten verarbeiten, darüber zu
informieren, dass eine betroffene Person von ihnen die Löschung aller Links
zu diesen personenbezogenen Daten oder von Kopien oder Replikationen
dieser personenbezogenen Daten verlangt hat. Dabei hat das verantwortliche
Unternehmen unverzüglich zu handeln.
5.) Das Recht auf Einschränkung der VerarbeitungGemäß Art. 18 DSGVO hat
der Betroffene ein Recht auf Einschränkung der Verarbeitung, d.h. auf ein
„Stopp!“ der Verarbeitung. Dieses Recht greift, wenn
▪ der Betroffene die Richtigkeit der Daten in Frage stellt,
▪ die Verarbeitung unrechtmäßig ist,
▪ die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden,
nachdem der Zweck der Datenverarbeitung sich erledigt hat oder
▪ der Betroffene Widerspruch nach Art. 21 DSGVO eingelegt hat.
Unternehmen trifft bezüglich der Betroffenenrechte eine doppelte
Mitteilungspflicht: Zum einen müssen sie alle Empfänger personenbezogener
Daten darüber informieren, dass der Betroffene von seinen Rechten Nach Art.
16-18 Gebrauch gemacht hat (es sei denn diese Mitteilung ist unmöglich oder
mit unverhältnismäßigem Aufwand verbunden). Zudem müssen Unternehmen
die Betroffenen über die entsprechenden Empfänger aufklären, wenn der
Betroffene dies verlangt.
6.) Recht auf Datenübertragbarkeit – Art. 20 DSGVODas Recht auf
Datenübertragbarkeit ist ein gänzlich neues, erst durch die DSGVO
geschaffenes Recht. Es beinhaltet für den Betroffenen die Möglichkeit
gespeicherte Daten (v.a. bei sozialen Medien) automatisch auf einen anderen
Anbieter übertragen zu lassen. Damit sollen Monopole verhindert werden,
etwa weil der Betroffene befürchten muss zu lange für den Aufbau eines
neuen Profils bei einem Konkurrenzanbieter zu benötigen. Bisher ungeklärt
und von der Rechtsprechung zu klären sein wird die Frage was unter das
„Recht auf Datenübertragbarkeit fällt“, insbesondere wie z.B. „Likes“ oder
„Verlinkungen“ zu bewerten sind, die einen erheblichen Teil des
Nutzungsprofils ausmachen können.
7.) Gelten die Betroffenenrechte nun in allen Mitgliedstaaten gleichermaßen?
Ziel der Datenschutzgrundverordnung war unter anderem die Schaffung eines
einheitlichen Datenschutzniveaus in allen Mitgliedstaaten. Allerdings enthält
die DSGVO an vielen Stellen sog. „Öffnungsklauseln“, die es den
Mitgliedstaaten ermöglichen in gewissen Grenzen eigene nationale
Regelungen zu erlassen. Für den Bereich der Betroffenenrechte enthält die
DSGVO eine solche Öffnungsklausel, unter anderem für „wichtige Ziele des
allgemeinen öffentlichen Interesses“. Es bleibt abzuwarten inwieweit der
deutsche Gesetzgeber von dieser sehr weit gehaltenen Formulierung
Gebrauch machen wird und damit eigene nationale Abweichungen von den
Regelungen der DSGVO schafft.
Fazit und Handlungsempfehlung: Worauf müssen Unternehmen im Vergleich
zur bisherigen Rechtslage im BDSG besonders achten?
Auch im Bundesdatenschutzgesetz existieren zahlreiche Betroffenenrechte. So
sind die Rechte auf Auskunft (§§19, 34), Berichtigung, Löschung
(Vergessenwerden) und Sperrung (§§20,35) ebenfalls im BDSG geregelt.
Allerdings sind v.a. die Anforderungen an Inhalt und Form der
Informationsrechte des Betroffenen in der DSGVO deutlich strenger
ausgestaltet, wodurch bußgeldbewehrte Verstöße hier besonders
wahrscheinlich sind und durch rechtzeitige rechtliche Beratung vermieden
werden sollten. Zudem stellt das Recht auf Datenübertragbarkeit eine
gänzliche Neuschöpfung im Rahmen der DSGVO dar.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen für IT-
Sicherheit, Datenschutz und Datenschutz-Compliance. Wir beraten unsere
Kunden bei der Umsetzung der nationalen, europäischen und internationalen
Datenschutzbestimmungen im Unternehmen und der Implementierung von IT-
Sicherheits- und Compliance-Systemen.
Wir pflegen einen engen Kontakt zu unseren Kunden und bieten Ihnen einen auf
Ihr Unternehmen angepassten Service. Zu den Kunden der ISiCO gehören
führende Unternehmen aus der Wirtschaft, Institutionen aus dem
Gesundheitswesen und Verbände.
Mit unseren Dienstleistungen verschaffen wir Ihnen Rechtskonformität im
Datenschutz und der IT-Sicherheit, minimale Haftungsrisiken für die
Geschäftsleitung, Transparenz in Ihren Datenflüssen, Wettbewerbsvorteile durch
stärkeres Vertrauen in Ihr Unternehmen.
Für die ISiCO arbeiten Rechtsanwälte und IT-Fachberater in interdisziplinären
Teams zusammen.
ISiCO Datenschutz GmbH
Am Hamburger Bahnhof 4
10557 Berlin
Tel.: 030 213 002 85 0
Fax: 030 213 002 89 9
E-Mail: info(at)isico-datenschutz.de
Datum: 13.11.2017 - 11:23 Uhr
Sprache: Deutsch
News-ID 1839
Anzahl Zeichen:
Kontakt-Informationen:
Ansprechpartner: Saskia Schmidt
Stadt:
Berlin
Telefon: 030 213 002 85 0
Kategorie:
Recht und Verbraucher
Art der Fachartikel: Unternehmensinformation
Versandart: Veröffentlichung
Freigabedatum: 15.11.2017
Dieser Fachartikel wurde bisher 559 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Die Betroffenenrechte nach der DSGVO: Das sind die Anforderungen"
steht unter der journalistisch-redaktionellen Verantwortung von
ISiCO Datenschutz GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
