Privacy Top 20 Ratgeber

Betroffenenrechte – Was Sie über den Schutz personenbezogener Daten wissen müssen

Prinzipiell handelt es sich hierbei um kein vollkommen neues Thema. Den bereits im Bundesdatenschutzgesetz (BDSG) gibt es Regeln, welche sich mit den Betroffenenrechten befassen. Dazu zählen beispielsweise:

  • Sperrung
  • Löschung
  • Widerspruch

Art. 12 der Datenschutz-Grundverordnung präzisiert und erweitert diese jedoch. Sobald Sie personenbezogene Daten sammeln, sind Sie dazu verpflichtet, die DSGV-Richtlinien einzuhalten. Zu denen zählen unter anderem die Informations- und Transparenzvorschriften. In diesem Ratgeber gehen wir auf jeden einzelnen Punkt ein und erklären Ihnen, welche Sicherheitsmaßnahmen Sie im Hinblick auf die Betroffenenrechte treffen müssen.

1. Informationsrecht

Sie haben nicht nur eine Rechenschaftspflicht gegenüber Aufsichtsbehörden, sondern ebenfalls gegenüber den Personen, deren Daten sammeln. Dies ist gesetzlich in Art. 13 DSGVO geregelt. Sie müssen daher Kunden, Mitarbeiter und/oder Geschäftspartner über folgende Punkte aufklären:

  • Kontaktdaten des/der Verantwortlichen (Unternehmen bzw. Datenschutzbeauftragter)
  • Verarbeitungszweck
  • Verarbeitungsdauer
  • Widerspruchsrecht
  • Rechtsgrundlage
  • Betroffenenrechte
  • Automatische Datenverarbeitung
  • Kategorien von Empfängern
  • Übermittlung an Drittländer
  • Berechtigtes Interesse

Sie sind dazu verpflichtet, den Betroffenen alle Informationen offenzulegen, die mit der Verarbeitung personenbezogener Daten zusammenhängen – und zwar genau in dem Moment, an dem Sie mit sammeln beginnen. Ein Beispiel:

  • Wenn ein Kunde sich auf Ihrer Website registriert, werden Daten erhoben. Darüber müssen Sie ihn informieren:
  • Wenn er nach der Registrierung eine Bestellung ausführt, müssen Sie ihn über die Verarbeitung in Kenntnis setzen.
  • Wenn Sie die Betroffenenrechte wahren wollen, muss dies in transparenter und verständlicher Form geschehen.

Eine Datenschutzerklärung ist bei vielen Unternehmen das bevorzugte Medium, um er Informationspflicht nachzukommen.

2. Auskunftsrecht

Jeder Betroffene hat das Recht, mehr über die seine verarbeiteten personenbezogenen Daten zu erfahren. Dies dürfen Sie ihm nicht verwehren. Art. 15 DSGVO gibt vor, dass dieses Vorgehen in angemessen Abständen immer wieder durchgeführt werden darf. Wenn jemand demnach von seinem Auskunftsrecht Gebrauch macht, müssen Sie ihm mitteilen, welche Daten zu welchem Zeitpunkt und aus welchem Grund gesammelt wurden. Viele Menschen nutzen mittlerweile diesen Bereich der Betroffenenrechte, um herauszufinden, wo ihre Daten gespeichert werden. Bereits seit Jahren versuchen Mitglieder der Plattform Facebook, einen umfassenden Einblick in die gesammelten Informationen zu erhalten. Die neue DSGVO macht dies nun möglich. Die Auskunftserteilung kann schriftlich, elektronisch oder mündlich erfolgen.

3. Recht auf Berichtigung

Es kann schnell passieren, dass Daten falsch oder unvollständig übermittelt werden. Wenn dieser Umstand jemandem auffällt, kann er von seinem Betroffenenrecht nach Art. 16 DSGVO Gebrauch machen und eine Berichtigung anordnen1 Dem haben Sie Folge zu leisten.

4. Datenlöschung

Mit Art. 17 DSGVO hat die EU dem Wunsch der Bevölkerung entsprochen und Ihnen nun das Recht auf Vergessenwerden ermöglicht. Wenn Sie personenbezogene Daten sammeln, müssen Sie Kunden, Mitarbeiter und Geschäftspartner explizit darauf hinweisen und auf deren Wunsch in vorhandene Daten löschen. Dies sollte in der Regel unverzüglich geschehen, sofern sich für Sie kein Konflikt mit den gesetzlich vorgeschriebenen Aufbewahrungspflichten ergibt.

Um dieses Betroffenenrecht in Anspruch zu nehmen, muss jedoch mindestens einer der folgenden Gründe vorliegen:

  • Die Notwenigkeit der Datenspeicherung erlischt.
  • Jeder hat das Recht, seine Einwilligung zu widerrufen. Geschieht dies, müssen Sie die Informationen löschen.
  • Sie verarbeiten Inhalte unrechtmäßig und ohne Erlaubnis.
  • Der Betroffene hat Widerspruch eingelegt.
  • Die Einwilligung wurde von einem Minderjährigen gegeben und dieser fordert nun sein Recht auf Löschung ein.

Wenn Sie ein Drittunternehmen herangezogen haben, um personenbezogene Daten zu sammeln, dann müssen Sie diese über die Löschung ebenfalls informieren.

Sobald jedoch beispielsweise eine rechtliche Verpflichtung (u.a. Verträge) vorliegt, müssen Sie die Datenlöschung nicht vornehmen. Ebenso verhält es sich, wenn der wissenschaftliche Zweck überwiegt, ein öffentliches Interesse besteht (Gesundheitsdaten) oder die Verarbeitung im Namen der Meinungs- und Informationsfreiheit erfolgt.

5. Verarbeitungseinschränkung

Um Betroffenenrechte handelt es sich ebenfalls, wenn jemand der Verarbeitung explizit widerspricht. Art 18 DSGVO lässt dieses Vorgehen unter folgenden Umständen zu:

  • Die gesammelten Daten sind nicht korrekt.
  • Die Verarbeitung erfolgte unrechtmäßig.
  • Der Verwendungszweck ist nicht mehr gegeben.

6. Datenübertragbarkeit

Betroffene haben nun die Möglichkeit, dem Verantwortlichen für die Datenverarbeitung die Erlaubnis zu geben, die gesammelten Informationen an einen anderen Anbieter weiterzugeben. Als Beispiel dient Facebook. Wenn sich Nutzer dazu entschließen, die Plattform zu ändern, haben Sie nun das Recht, mit den vorhandenen Inhalten zu wechseln. Facebook wäre in dem Fall dazu verpflichtet, den Content zur Verfügung zu stellen. Art. 20 DSGVO besagt ebenfalls, dass jeder die Herausgabe der gesammelten personenbezogenen Daten fordern kann.

Widerspruchsrecht

Zu den Betroffenenrechten zählt selbstverständlich auch das in Art. 21 DSGVO verankerte Widerspruchsrecht. Jeder erhält domit die Möglichkeit, der werblichen Nutzung der eigenen Daten zu widersprechen. Stellt sich heraus, dass Sie dennoch die gesammelten Informationen für Werbezwecke verwenden, kann es zu einer DSGVO-Abmahnung kommen. Die Folge sind horrende Bußgelder.

Nehmen Sie Betroffenenrechte ernst

Beginnen Sie damit, Ihre Nutzer, Kunden, Mitarbeiter und Geschäftspartner ausführlich über ihre Rechte zu informieren. Dafür eignet sich eine Datenschutzerklärung. Ein Datenschutzexperte wird Ihnen hilfreich zur Seite stehen, wenn Sie Ihre DSGVO-Checkliste abarbeiten.

Erstellen Sie ein Verfahrensverzeichnis, in welchem Sie alle gesammelten Daten auflisten. Dann haben Sie diese schnell zur Hand, falls jemand von seinen Betroffenenrechten Gebrauch macht.

Leisten Sie der Aufforderung Betroffener unverzüglich Folge (sofern möglich), um eine Abmahnung oder Bußgelder zu umgehen.