Die Betroffenenrechte: Aushängeschild DSGVO-konformer Datenverarbeitung

zuletzt aktualisiert am 18. Mai 2022 | Lesedauer ca. 6 Minuten

Die Datenschutz-Grundverordnung (DSGVO) hat zu einer wesentlichen Erweiterung der Rechte von der Verarbeitung personenbezogener Daten betroffenen Personen ge­führt. Das betrifft zunächst Informationen, die der – für die Verarbeitung – Verant­wort­liche den betroffenen Personen bei der Erhebung der Daten proaktiv zur Verfügung zu stellen hat. Darüber hinaus können betroffene Personen ein Recht auf Auskunft, Be­richtigung und Löschung geltend machen, künftiger Verarbeitung widersprechen und die Herausgabe ihrer personenbezogenen Daten in einem maschinenlesbaren Format fordern. Da sich die Einhaltung dieser Verpflichtungen von den Aufsichtsbehörden leicht nachprüfen lässt, sind insbesondere Verstöße in dem Bereich Gegenstand von Sanktionen in Form von – künftig wohl – empfindlichen Bußgeldern.

• Informationspflichten bei Datenerhebung und Auskunftsrecht »

• Recht auf Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch »

• Kontrolle durch die Aufsichtsbehörden und Verhängung von Bussgeldern »

• Fazit »

Informationspflichten bei Datenerhebung und Auskunftsrecht

Die von der Verarbeitung personenbezogener Daten betroffenen Personen müssen von dem Verantwortlichen proaktiv über eine Vielzahl von Angaben informiert werden. Erfolgt die Datenerhebung unmittelbar bei der be­troffenen Person, muss diese Information zum Zeitpunkt der Datenerhebung (Art. 13 Abs. 1 DSGVO), im Falle einer Erhebung bei einem Dritten spätestens innerhalb eines Monats nach Erlangung der Daten (Art. 14 Abs. 3 DSGVO) erfolgen.

Mitzuteilen sind insbesondere:

• die Identität und Kontaktdaten des Verantwortlichen, ggf. eines Vertreters in der EU sowie eines bestellten Datenschutzbeauftragten,
• die Zwecke, für die die Daten verarbeitet werden, die Rechtsgrundlage der Verarbeitung sowie – im Falle ei­ner beabsichtigten Zweckänderung – zumindest Informationen über den geänderten Zweck,
• im Falle einer Übermittlung die Empfänger oder Kategorien von Empfänger der Daten, bei einer Übermittlung in Staaten außerhalb der EU zusätzlich die Angabe, ob ein Angemessenheitsbeschluss der Kommission für das Drittland existiert und – falls das nicht der Fall ist – einen Verweis auf die erforderlichen geeigneten oder angemessenen Garantien,
• die Speicherdauer oder Kriterien für die Festlegung dieser,
• ein Hinweis auf das Bestehen der besonderen Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Ein­schränkung der Verarbeitung, Datenübertragung und Widerspruch gegen die weitere Datenverarbeitung (Art. 15 bis 21 DSGVO),
• beim beabsichtigten Einsatz einer automatisierten Entscheidungsfindung einschließlich Profiling einen Hin­weis darauf sowie Aussagen über die verwendete Software-Logik sowie die Folgen und beabsichtigten Aus­wir­kungen für die betroffene Person, sowie
• bei von Dritten erhobenen Daten einen Hinweis auf die Quelle, aus der die Daten stammen.

 
Diese Informationspflicht zwingt Unternehmen zugleich dazu, vor der Datenerhebung Rechtsgrundlage und Zwecke der jeweiligen Verarbeitung festzulegen sowie eine beabsichtigte Datenübermittlung und die Speicher­dauer für Kategorien von Verarbeitungsvorgängen zu prüfen. Vor dem Hintergrund kann über die Erfüllung der Informationspflicht zugleich die Einhaltung diverser Grundsätze für die Verarbeitung personen­bezogener Daten nach Art. 5 DSGVO, namentlich der „Rechtmäßigkeit”, „Zweckbindung” und „Speicherbegren­zung” dokumen­tiert werden. Spiegelbildlich kann die Nichterfüllung der Informationspflicht für Aufsichtsbe­hörden einen be­son­deren Anlass bieten, die Einhaltung der Grundsätze der Verarbeitung durch den Verantwortlichen zu über­prüfen.

Der Verantwortliche muss die genannten Informationen den betroffenen Personen präzise, transparent, ver­ständlich und leicht zugänglich in klarer und einfacher Sprache unentgeltlich zur Verfügung stellen, was auch auf elektronischem Wege erfolgen kann (Art. 12 Abs. 1, 5 DSGVO). Das ist nicht erforderlich, soweit eine betrof­fene Person bereits über die jeweiligen Informationen verfügt. Im Falle der Erhebung bei Dritten sind unter den engen Voraussetzungen des Art. 14 Abs. 5 DSGVO weitere Ausnahmen von der Informationspflicht möglich.

Unabhängig von den Informationspflichten nach Art. 13 und 14 DSGVO kann eine betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob er ihre personenbezogenen Daten verarbeitet (Art. 15 DSGVO). Werden personenbezogene Daten verarbeitet, muss der Verantwortliche darüber hinaus weitere Aus­künfte erteilen, die im Wesentlichen mit den Angaben im Rahmen der vorgenannten Informationspflichten über­­einstimmen. Zudem ist der betroffenen Person kostenlos eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, im Falle einer elektronischen Anfrage in einem gängigen elektronischen Format. Mehr zu der hohen Bedeutung, die dem Auskunftsanspruch nach Art. 15 DSGVO in der Praxis zukommt, lesen Sie in „Auskunftsansprüche als Teil der Betroffenenrechte“.

Recht auf Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch

Die betroffene Person kann von dem Verantwortlichen des Weiteren die unverzügliche Berichtigung der sie be­treffenden unrichtigen personenbezogenen Daten verlangen (Art. 16 DSGVO).

Zudem hat sie das Recht, i.d.R. unter einer der folgenden Voraussetzungen gemäß Art. 17 DSGVO, eine Lö­schung der personenbezogenen Daten zu verlangen:

• die Daten sind für den Zweck der Verarbeitung nicht mehr notwendig,
• die betroffene Person widerruft ihre Einwilligung zur Verarbeitung; eine andere Rechtsgrundlage zur Verar­bei­tung fehlt,
• die betroffene Person erhebt gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung und vorrangige be­rechtigte Gründe des Verantwortlichen für die Verarbeitung fehlen; im Falle der Direktwerbung reicht ein Wi­derspruch der betroffenen Person aus, oder
• die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Hat der Verantwortliche die zu löschenden Daten veröffentlicht, muss er andere für die Datenverarbeitung Ver­antwortliche durch angemessene Maßnahmen darüber informieren, dass die betroffene Person die Lö­schung aller Links zu diesen personenbezogenen Daten inkl. deren Kopien verlangt hat, Art. 17 Abs. 2 DSGVO. Beispielhaft muss der Verantwortliche insbesondere Suchmaschinen benachrichtigen und ange­messene Maß­nahmen ergreifen, um dort (etwa in einem Cache) vorhandene Kopien zu entfernen. Auf die Weise setzt die DSGVO das nach der EuGH-Rechtsprechung gegenüber Suchmaschinenbetreibern bestehende „Recht auf Ver­gessenwerden” um (siehe auch die Überschrift von Art. 17 DSGVO).

Sofern die Verarbeitung auf einer Einwilligung der betroffenen Person beruht oder zur Erfüllung eines Vertrages mit ihr erfolgt, haben betroffene Personen zudem das Recht, die personenbezogenen Daten in einem struk­tu­rierten, gängigen, maschinenlesbaren Format zu erhalten (Recht auf Datenübertragbarkeit, Art. 20 Abs. 1 DSGVO).

Die betroffene Person kann schließlich in bestimmten Fällen der weiteren Verarbeitung ihrer personenbe­zo­ge­nen Daten widersprechen, Art. 21 DSGVO. Relevant ist dabei insbesondere das Widerspruchsrecht gegen die Datenverarbeitung zu Zwecken des Direktmarketings. Sofern ein Widerspruchsrecht nach Art. 21 DSGVO be­steht, ist die betroffene Person hierauf spätestens bei der ersten Kontaktaufnahme ausdrücklich und getrennt von sonstigen Informationen hinzuweisen.

Kontrolle durch die Aufsichtsbehörden und Verhängung von Bußgeldern

Die Nichteinhaltung der Vorgaben der DSGVO im Hinblick auf die Betroffenenrechte führt für Unternehmen zu einem kontinuierlich ansteigenden Risiko der Aufdeckung durch die Aufsichtsbehörden. Zu beachten ist dabei, dass bereits eine Beschwerde durch einen Betroffenen bei einer Aufsichtsbehörde entsprechende Ermittlun­gen in Gang setzt. Aufgrund der seit Geltung der DSGVO gesteigerten Sensibilisierung für Datenschutz und da­mit einhergehend erheblich zunehmenden Anzahl an Beschwerden ist den Unternehmen dringend anzuraten zu überprüfen, ob den Betroffenenrechten ausreichend Rechnung getragen wird.

Bei Verstößen gegen die Betroffenenrechte der Art. 12 bis 22 können von den Aufsichtsbehörden erhebliche Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes verhängt werden, Art. 83 Abs. 5 lit. b) DSGVO.

Die Aufsichtsbehörden haben seit dem Inkrafttreten der DSGVO vermehrt Bußgelder wegen Verstößen gegen die Betroffenenrechte verhängt:      

• Die schwedische Datenschutzbehörde Integritetsskyddsmyndigheten (IMY) hat ein Bußgeld in Höhe von 7.500.000 SEK (ca. 725.000 EUR) gegen die Klarna Bank AB wegen Verletzung der Informationspflicht nach Art. 13 DSGVO verhängt. Die Voraussetzungen des Art. 13 DSGO waren nach Ansicht der Aufsichtsbehörde in dem konkreten Fall nicht erfüllt, da Informationspflichten auch eine stetige und vollständige Information über die Datenschutzhinweise auf der Unternehmenshomepage umfassen. Nur auf diese Weise kann der Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a) DSGVO erfüllt werden. Hierbei zeigt sich, dass Informa­tionen über die Rechtsgrundlage und Zweck der Verarbeitung der personenbezogenen Daten wesentlich sind, um weitere Betroffenenrechte geltend zu machen.
• Die rumänische Datenschutzbehörde Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Carac­ter Personal hat ein Bußgeld in Höhe von 4.949 RON (ca. 1000 EUR) gegen IKEA Rumänien auf Grundlage von Art. 12 Abs. 3 DSGVO verhängt.Dem Bußgeld lag eine Aufforderung des Beschwerdeführers auf Lö­schung der personenbezogenen Daten zugrunde. IKEA habe gegen die Informationspflicht des Art. 12 Abs. 3 DSGVO verstoßen, indem man nicht innerhalb der gesetzlich vorgesehenen Frist reagiert habe.
• Die polnische Aufsichtsbehörde Urzędu Ochrony Danych Osobowych (UODO) hat ein Bußgeld in Höhe von 219.500 Euro wegen der Verletzung der Informationspflicht nach Art. 14 DSGVO verhängt. Hintergrund war, dass das verantwortliche Unternehmen die ihm obliegende Informationspflicht nur gegenüber denjenigen be­troffenen Personen erfüllt hatte, von denen auch die E-Mail-Adresse vorlag. Dies betraf indes nur einen Bruch­­teil der Betroffenen. Bei den übrigen Personen, bei denen nur eine Telefonnummer und/oder Postan­schrift vorhanden war, wurde demgegenüber unter Verweis auf Art. 14 Abs. 5 lit. b) DSGVO („Unverhält­nis­mäßigkeit”) aus Kostengründen von der Information abgesehen. Die Voraussetzungen des Ausnahme­tat­be­standes waren nach Auffassung der UODO jedoch offensichtlich nicht erfüllt. Vielmehr habe der Verant­wort­liche bewusst und zu Unrecht aus Kostengründen von der Erfüllung der Informationspflicht abgesehen.

Das bislang höchste Bußgeld in Höhe von 746 Mio. Euro wurde durch die Luxemburger Datenschutzaufsicht Commission nationale pour la protection des données (CNPD) gegen das Unternehmen Amazon verhängt. Ge­genstand des Verfahrens soll der Umgang mit den personenbezogenen Daten durch Amazon sein. Offen ist, ob sich das Bußgeld auf einen Verstoß gegen die Betroffenenrechte der Art. 12 bis 22 stützt, inhaltliche Details zu dem Verfahren wurden bislang nicht veröffentlicht. Stellt man aufgrund des weltweiten Maßstabs auf die Mil­li­ar­­denumsätze der großen Internetunternehmen ab, liegen auch Bußgelder in Milliardenhöhe im denkbaren Be­reich.

Fazit

Die Einhaltung der Rechte betroffener Personen, insbesondere der Informationspflichten und Auskunftsrechte, sind ein Kernanliegen der Verordnung. Verstöße hiergegen sind mit empfindlichen Geldbußen bedroht und zu­dem einfach festzustellen. Darüber hinaus bietet die festgestellte Verletzung von Betroffenenrechten Anlass für die Aufsichtsbehörde, die Umsetzung der DSGVO durch den Verantwortlichen auch im Übrigen zu über­prüfen. Es ist daher damit zu rechnen, dass Aufsichtsbehörden die bereits begonnene Prüfung der Verpflich­tungen suk­zessive ausweiten werden, um die Umsetzung der DSGVO flächendeckend zu kontrollieren. Sollte in puncto Betroffenenrechte noch keine DSGVO-Konformität bestehen, sollte sie daher umgehend durch die Im­ple­men­tierung der erforderlichen Prozesse herbeigeführt werden.