Seit 25. Mai 2018 entfaltet die EU-weite Datenschutz-Grundverordnung (DSGVO) ihre Wirkung und hat Unternehmen vor enorme Herausforderungen gestellt. Besonders im Bereich der sogenannten Betroffenenrechte hat sich im Vergleich zur vorherigen Rechtslage vieles geändert. Wir zeigen Ihnen auf, was sich geändert hat!
Seit 25. Mai 2018 entfaltet die EU-weite Datenschutz-Grundverordnung (DSGVO) ihre Wirkung und hat Unternehmen vor enorme Herausforderungen gestellt. Besonders im Bereich der sogenannten Betroffenenrechte hat sich im Vergleich zur vorherigen Rechtslage vieles geändert. Betroffenen Personen sind eine Vielzahl von Werkzeugen an die Hand gegeben worden, durch die sie den Umgang mit ihren personenbezogenen Daten kontrollieren und steuern können. Seit Wirksamwerden der DSGVO haben die Aufsichtsbehörden in Deutschland und in anderen EU-Ländern bereits eine Vielzahl von Bußgeldern verhängt, oft auch für die Nichteinhaltung von Betroffenenrechten. Dabei reichte der Katalog von nicht erteilten Auskünften über versäumte Fristen bis hin zur Nichtlöschung der Daten trotz Löschungsanspruch. Auch das Recht auf Datenübertragbarkeit stellt für Unternehmen eine gänzlich neue Anforderung dar.
Was sind Betroffenenrechte?
Betroffenenrechte beschreiben die Rechte der von der Datenverarbeitung betroffenen Personen nach Art. 12 ff. DSGVO. Sie sind die Basis der informationellen Selbstbestimmung und dienen der Information und Transparenz. Klare und eindeutige Rechte der betroffenen Personen gehören daher zu den Grundlagen des Datenschutzes.
Art. 12 Abs. 3 DSGVO enthält eine Frist zur Beantwortung von Betroffenenanfragen von „spätestens“ innerhalb eines Monats, wobei in Ausnahmefällen eine Verlängerung um weitere zwei Monate möglich ist. Diese Verlängerung kann jedoch nicht pauschal mit einem zu hohen Arbeitsaufkommen begründet werden, sondern erfordert eine Prüfung im Einzelfall.
Welche Betroffenenrechte gibt es in der DSGVO?
1. Das vielleicht wichtigste Betroffenenrecht ist die Informationspflicht des für die Datenverarbeitung Verantwortlichen. Der Unionsgesetzgeber hat die Grundsätze der fairen und transparenten Verarbeitung dadurch konkretisiert, dass er bestimmte Informationen als Gegenstand einer „Bringschuld“ des Verantwortlichen gegenüber der betroffenen Person festgelegt hat. So regelt Art. 13 DSGVO, dass der betroffenen Person v.a. die Kontaktdaten des Verantwortlichen, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie Informationen zu den Empfängern der personenbezogenen Daten ebenso wie die Rechtsgrundlage der Datenverarbeitung und eine nachvollziehbare Interessenabwägung mitgeteilt werden.
Außerdem muss der Betroffene über alle Betroffenenrechte informiert werden, also über das Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht. Dabei ist zu berücksichtigen, dass der betroffenen Personen die Informationen bei Datenerhebung übermittelt werden müssen, also z.B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufvertrages im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei der Registrierung für ein Benutzerkonto. Dabei verlangt Art. 12 DSGVO, dass die mitzuteilenden Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Das heißt, dass die Informationen für die jeweiligen Adressaten verständlich sein müssen, u. a. indem in Datenschutzhinweisen auf mehrdeutige Formulierungen, Fremdwörter und komplizierte Satzkonstruktionen verzichtet und näher an der Alltagssprache formuliert wird. Die DSGVO lässt eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist nicht nur auf die bereits erwähnte Pflicht zur Verwendung einer einfachen, sondern zusätzlich auch alters- bzw. kindgerechten Sprache zu achten. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast.
Art. 14 DSGVO regelt zudem entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen selbst, sondern von Dritten (z.B. Auskunfteien bezüglich der Kreditwürdigkeit) erhoben wurden. Die Informationspflichten des Unternehmens bei einer Datenerhebung von Dritten sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar, hinzukommt die Pflicht, die Quelle aus der die Informationen stammen, mitzuteilen. Anders als im Rahmen des Art. 13 DSGVO müssen die Informationen nicht in allen Fällen sofort übermittelt werden, sondern spätestens innerhalb einer Frist von maximal einem Monat nach Erlangung der Daten. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist die Mitteilung jedoch spätestens zum Zeitpunkt der ersten Kontaktaufnahme zu machen.
2. Der aktiven Informationspflicht des Verantwortlichen korrespondiert ein weit gehendes Auskunftsrecht (Art. 15 DSGVO) des Betroffenen. Art. 15 gewährt einen Anspruch auf umfassende Information hinsichtlich der verarbeiteten personenbezogenen Daten sowie spezifischer Umstände der Datenverarbeitung.
Das Auskunftsrecht ist zweistufig ausgestaltet. Zunächst hat die betroffene Person auf der ersten Stufe ein Auskunftsrecht, ob sie betreffende personenbezogene Daten (Art. verarbeitet werden. Sofern dies nicht der Fall ist, hat der Verantwortliche eine Negativauskunft zu erteilen. Falls eine Verarbeitung vorliegt, hat die betroffene Person auf der zweiten Stufe ein Recht auf Auskunft über die personenbezogenen Daten, die verarbeitet werden, sowie auf bestimmte zusätzliche Informationen.
Zur Geltendmachung kann die betroffene Person in angemessenen Abständen Auskunft über die Datenverarbeitung verlangen, der Antrag ist grundsätzlich formfrei möglich. Der Verantwortliche hat sodann v.a über den Zweck der Datenverarbeitung Auskunft zu geben sowie darüber, welche Kategorien personenbezogener Daten verarbeitet werden und welchen Empfängern bzw. Kategorien von Empfängern die Daten ggf. offengelegt wurden. Daneben umfasst das Auskunftsrecht weitere Informationen wie
– die geplante Speicherdauer bzw. die Kriterien für die Festlegung dieser Dauer,
– Die Belehrung über die einzelnen Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Beschwerderecht bei einer Aufsichtsbehörde),
– das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. weiterer Auswirkungen,
– die Unterrichtung über geeignete Garantien bei Datenübermittlungen an Drittstaaten oder an internationale Organisationen.
Darüber hinaus hat die betroffene Person nach Art. 15 Abs. 3 DSGVO einen Anspruch auf die kostenfreie Übermittlung einer Kopie der über sie verarbeiteten personenbezogenen Daten. Inhalt und Reichweite des Rechts auf Datenkopie (Abs. sind allerdings derzeit noch sehr umstritten. Die Auskunftserteilung kann je nach Menge der angefallenen Daten sehr umfangreich ausfallen. In diesen Fällen bietet sich Aufbereitung der Daten im Rahmen des Auskunftsprozesses an, welcher bereits zuvor in die laufenden unternehmerischen Prozesse integriert werden sollte.
3. Das Recht auf Berichtigung (Art. 16 DSGVO)
Resultiert eine Datenverarbeitung in unrichtigen personenbezogen Daten der betroffenen Person, so hat diese ein Recht auf unverzügliche Berichtigung. Das Recht der betroffenen Person auf Berichtigung hängt eng mit dem Auskunftsrecht nach Art. 15 DSGVO zusammen. Ohne das Recht auf Auskunft über die über sie verarbeiteten personenbezogenen Daten könnte die betroffene Person von ihrem Berichtigungsrecht keinen Gebrauch machen. Das Recht auf Berichtigung hat zwei Bestandteile: Die betroffene Person kann sowohl die Korrektur unrichtiger Daten als auch die Vervollständigung oder Ergänzung unvollständiger Daten verlangen.
4. Das Recht auf Datenlöschung (Art. 17 DSGVO)
setzt das sogenannte „Recht auf Vergessenwerden“ um. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen. Allerdings besteht das Recht im Wesentlichen nur, wenn einer folgenden Gründe eingreift:
– Das Speichern der Daten ist zur Zweckerreichung der Datenerhebung nicht mehr notwendig
– Die betroffene Person widerruft ihre vorher gegebene Einwilligung in die Datenverarbeitung
– Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt und es besteht kein berechtigtes Interesse an der Verarbeitung (im Falle des Art. 21 Abs. 2 DSGVO muss die Löschung unabhängig vom Interesse an der Verarbeitung erfolgen)
– Die Daten wurden unrechtmäßig verarbeitet
– Das Unternehmen ist aufgrund einer gesetzlichen Pflicht (aus dem EU-Recht oder dem nationalen Recht eines Mitgliedstaates) zur Löschung der Daten verpflichtet.
– Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
Außerdem gibt es eine Reihe von Ausnahmen (nach Abs. 3), bei deren Eingreifen die Löschpflicht nicht gilt. Wichtigste Ausnahme ist das Entfallen der Löschpflicht bei Bestehen einer rechtlichen Verpflichtung, zum Beispiel bei Aufbewahrungspflichten aufgrund arbeits-, steuer- oder handelsrechtlicher Vorgaben.
5. Das Recht auf Einschränkung der Verarbeitung: Gemäß Art. 18 DSGVO hat der Betroffene außerdem ein Recht auf Einschränkung der Verarbeitung, d.h. auf eine „Sperrung„ der weiteren Verarbeitung. Dieses Recht greift, wenn
– der Betroffene die Richtigkeit der Daten in Frage stellt,
– die Verarbeitung unrechtmäßig ist,
– die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden,
– nachdem der Zweck der Datenverarbeitung sich erledigt hat oder
– der Betroffene Widerspruch nach Art. 21 DSGVO eingelegt hat.
Die Einschränkung liegt darin, dass die Daten nur noch unter besonders engen Voraussetzungen und besonderen Zweckbestimmungen verarbeitet werden dürfen. Es geht darum, dass die jeweiligen personenbezogenen Daten zwar nicht gelöscht, aber auch nicht mehr anderweitig verarbeitet werden sollen. Zu diesem Zweck sind die Daten, deren Verarbeitung eingeschränkt werden soll, zu markieren und entsprechend zu behandeln.
6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Das Recht auf Datenübertragbarkeit (sogenannten Datenportabilität) ist ein gänzlich neues, erst durch die DSGVO geschaffenes Recht. Es gibt der betroffenen Person die Möglichkeit, über sie gespeicherte Daten (zum Beispiel bei sozialen Medien) zum Zwecke der Übermittlung in einem entsprechenden portablen Format zu erhalten oder gegebenenfalls die Daten direkt an den anderen Anbieter zu übermitteln. Damit sollen Monopole verhindert werden, etwa weil der die betroffene Person befürchten muss, zu lange für den Aufbau eines neuen Profils bei einem Konkurrenzanbieter zu benötigen.
Umfasst von dem Recht sind allerdings nur diejenigen Daten, die die betroffene Personen selbst gegenüber dem Verantwortlichen bereitgestellt hat. Dies sind insbesondere diejenigen Daten, die die betroffene Person selbst bei dem jeweiligen Dienst eingegeben hat, etwa beim Anlegen des Benutzerkontos oder beim Eingeben von „Posts“ in sozialen Medien. Offen bleibt bislang, ob auch Daten erfasst sind, die in der Interaktion mit dem Dienst des Verantwortlichen entstanden sind, wie z.B. in smarten Geräten oder Wearables erfasste Daten.
Da es vorkommen kann, dass die von der betroffenen Person bereitgestellten Daten nicht nur Informationen zu ihr selbst, sondern auch von Dritten enthalten, sieht Art. 20 Abs. 4 DSGVO vor, dass das Recht auf Datenübertragbarkeit die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Damit ist bei Daten mit Drittbezug eine Abwägung der Grundrechte und Interessen des Antragstellers mit den Daten der ebenfalls betroffenen Personen vorzunehmen. Außerdem wird zusätzlich davon ausgegangen, dass das Recht auf Datenübertragbarkeit nicht besteht, wenn es zu unlauteren oder rechtsmissbräuchlichen Zwecken verwendet wird.
7. Gelten die Betroffenenrechte in allen Mitgliedstaaten gleichermaßen?
Ziel der DSGVO war unter anderem die Schaffung eines einheitlichen Datenschutzniveaus in allen Mitgliedstaaten. Allerdings enthält die DSGVO an vielen Stellen sog. „Öffnungsklauseln“, die es den Mitgliedstaaten ermöglichen in gewissen Grenzen eigene nationale Regelungen zu erlassen. Insbesondere ist hier das sog. Medienprivileg zu beachten. Aus den nationalen Regelungen ergeben sich je nach Mitgliedsstaat unterschiedliche Ausprägungen und Beschränkungen der Betroffenenrechte, wie sie z.B. im deutschen Recht für wissenschaftliche oder historische Forschungszwecke in § 27 Abs. 2 BDSG bestehen.
