Die Betroffenenrechte: Aushängeschild DSGVO-konformer Datenverarbeitung

PrintMailRate-it

zuletzt aktualisiert am 22. Mai 2019


Die Datenschutz-Grundverordnung (DSGVO) hat zu einer wesentlichen Erweiterung der Rechte von der Verarbeitung personenbezogener Daten betroffenen Personen geführt. Das betrifft zunächst Informationen, die der – für die Verarbeitung – Verantwortliche den betroffenen Personen bei der Erhebung der Daten proaktiv zur Verfügung zu stellen hat. Darüber hinaus können betroffene Personen ein Recht auf Auskunft, Berichtigung und Löschung geltend machen, künftiger Verar­beitung widersprechen und die Herausgabe ihrer personenbezogenen Daten in einem maschinen­lesbaren Format fordern. Da sich die Einhaltung dieser Verpflichtungen von den Aufsichtsbehörden leicht nachprüfen lässt, sind insbesondere Verstöße in dem Bereich Gegenstand von Sanktionen in Form von – künftig wohl – empfindlichen Bußgeldern.





Informationspflichten bei Datenerhebung und Auskunftsrecht

Die von der Verarbeitung personenbezogener Daten betroffenen Personen müssen von dem Verantwort­lichen proaktiv über eine Vielzahl von Angaben informiert werden. Erfolgt die Datenerhebung unmittelbar bei der betroffenen Person, muss diese Information zum Zeitpunkt der Datenerhebung (Art. 13 Abs. 1 DSGVO), im Falle einer Erhebung bei einem Dritten spätestens innerhalb eines Monats nach Erlangung der Daten (Art. 14 Abs. 3 DSGVO) erfolgen.

 

Inhaltlich stimmen die Informationspflichten nach den Art. 13 und 14 DSGVO im Wesentlichen überein und erweitern die zuvor nach dem BDSG zu erteilenden Angaben deutlich: Mitzuteilen sind insbesondere
  • die Identität und Kontaktdaten des Verantwortlichen, ggf. eines Vertreters in der EU sowie eines bestellten Datenschutzbeauftragten,
  • die Zwecke, für die die Daten verarbeitet werden, die Rechtsgrundlage der Verarbeitung sowie – im Falle einer beabsichtigten Zweckänderung – zumindest Informationen über den geänderten Zweck,
  • im Falle einer Übermittlung die Empfänger oder Kategorien von Empfänger der Daten, bei einer Übermittlung in Staaten außerhalb der EU zusätzlich die Angabe, ob ein Angemessenheitsbeschluss der Kommission für das Drittland existiert und – falls das nicht der Fall ist – einen Verweis auf die erforderlichen geeigneten oder angemessenen Garantien
  • die Speicherdauer oder Kriterien für die Festlegung dieser,
  • ein Hinweis auf das Bestehen der besonderen Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragung und Widerspruch gegen die weitere Datenverarbeitung (Art. 15 bis 21 DSGVO),
  • beim beabsichtigten Einsatz einer automatisierten Entscheidungsfindung einschließlich Profiling einen Hinweis darauf sowie Aussagen über die verwendete Software-Logik sowie die Folgen und beabsichtigten Auswirkungen für die betroffene Person, sowie
  • bei von Dritten erhobenen Daten einen Hinweis auf die Quelle, aus der die Daten stammen.

 

Diese Informationspflicht zwingt Unternehmen zugleich dazu, vor der Datenerhebung Rechtsgrundlage und Zwecke der jeweiligen Verarbeitung festzulegen sowie eine beabsichtigte Datenübermittlung und die Speicherdauer für Kategorien von Verarbeitungsvorgängen zu prüfen. Vor dem Hintergrund kann über die Erfüllung der Informationspflicht zugleich die Einhaltung diverser Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO, namentlich der „Rechtmäßigkeit”, „Zweckbindung” und „Speicherbegrenzung” dokumentiert werden. Spiegelbildlich kann die Nichterfüllung der Informationspflicht für Aufsichtsbehörden einen besonderen Anlass bieten, die Einhaltung der Grundsätze der Verarbeitung durch den Verantwortlichen zu überprüfen.

 

Der Verantwortliche muss die gennannten Informationen den betroffenen Personen präzise, transparent, verständlich und leicht zugänglich in klarer und einfacher Sprache unentgeltlich zur Verfügung stellen, was auch auf elektronischem Wege erfolgen kann (Art. 12 Abs. 1, 5 DSGVO). Das ist nicht erforderlich, soweit eine betroffene Person bereits über die jeweiligen Informationen verfügt. Im Falle der Erhebung bei Dritten sind unter den engen Voraussetzungen des Art. 14 Abs. 5 DSGVO weitere Ausnahmen von der Informationspflicht möglich.

 

Unabhängig von den Informationspflichten nach Art. 13 und 14 DSGVO kann eine betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob er ihre personenbezogenen Daten verarbeitet (Art. 15 DSGVO). Werden personenbezogene Daten verarbeitet, muss der Verantwortliche darüber hinaus weitere Auskünfte erteilen, die im Wesentlichen mit den Angaben im Rahmen der vorgenannten Informationspflichten übereinstimmen. Zudem ist der betroffenen Person kostenlos eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, im Falle einer elektronischen Anfrage in einem gängigen elektronischen Format.

 

Recht auf Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch

Die betroffene Person kann von dem Verantwortlichen des Weiteren die unverzügliche Berichtigung der sie betreffenden unrichtigen personenbezogenen Daten verlangen (Art. 16 DSGVO).

 

Zudem hat sie das Recht, i.d.R. unter einer der folgenden Voraussetzungen gemäß Art. 17 DSGVO, eine Löschung der personenbezogenen Daten zu verlangen:
  • die Daten sind für den Zweck der Verarbeitung nicht mehr notwendig,
  • die betroffene Person widerruft ihre Einwilligung zur Verarbeitung; eine andere Rechtsgrundlage zur Verarbeitung fehlt,
  • die betroffene Person erhebt gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung und vorrangige berechtigte Gründe des Verantwortlichen für die Verarbeitung fehlen; im Falle der Direktwerbung reicht ein Widerspruch der betroffenen Person aus, oder
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet.


Hat der Verantwortliche die zu löschenden Daten veröffentlicht, muss er andere für die Datenverarbeitung Verantwortliche durch angemessene Maßnahmen darüber informieren, dass die betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten inkl. deren Kopien verlangt hat, Art. 17 Abs. 2 DSGVO. Beispielhaft muss der Verantwortliche insbesondere Suchmaschinen benachrichtigen und angemessene Maßnahmen ergreifen um dort (etwa in einem Cache) vorhandene Kopien zu entfernen. Auf die Weise setzt die DSGVO das nach der EuGH-Rechtsprechung gegenüber Suchmaschinenbetreibern bestehende „Recht auf Vergessenwerden” um (siehe auch die Überschrift von Art. 17 DSGVO).

 

Sofern die Verarbeitung auf einer Einwilligung der betroffenen Person beruht oder zur Erfüllung eines Vertrages mit ihr erfolgt, haben betroffene Personen zudem das Recht, die personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten (Recht auf Datenübertragbarkeit, Art. 20 Abs. 1 DSGVO). Auf die Weise kann – jedenfalls in Theorie – ein Wettbewerb zwischen Marktteilnehmern, etwa Social-Media-Plattformen, gefördert werden. Weitere Anwendungsbereiche sind, etwa im Arbeitsrecht, die Herausgabe der Daten der elektronischen Arbeitszeiterfassung oder in „Smart Factories” (Industrie 4.0) erhobene Arbeitnehmerdaten.

 

Die betroffene Person kann schließlich in bestimmten Fällen der weiteren Verarbeitung ihrer personen­bezogenen Daten widersprechen, Art. 21 DSGVO. Relevant ist dabei insbesondere das Widerspruchsrecht gegen die Datenverarbeitung zu Zwecken des Direktmarketings. Sofern ein Widerspruchsrecht nach Art. 21 DSGVO besteht, ist die betroffene Person hierauf spätestens bei der ersten Kontaktaufnahme ausdrücklich und getrennt von sonstigen Informationen hinzuweisen.

 

Verstöße gegen die Betroffenenrechte

Bei Verstößen gegen die Betroffenenrechte der Art. 12 bis 22 können von den Aufsichtsbehörden erheb­liche Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes verhängt werden, Art. 83 Abs. 5 lit. b) DSGVO.

 

Erst kürzlich hat die polnische Aufsichtsbehörde (UODO) ein Bußgeld in Höhe von 219.500 Euro wegen der Verletzung der Informationspflicht nach Art. 14 DSGVO verhängt. Hintergrund war, dass das verant­wortliche Unternehmen die ihm obliegende Informationspflicht nur gegenüber denjenigen betroffenen Personen erfüllt hatte, von denen auch die E-Mail-Adresse vorlag. Dies betraf indes nur einen Bruchteil der Betroffenen. Bei den übrigen Personen, bei denen nur eine Telefonnummer und/oder Postanschrift vorhanden war, wurde demgegenüber unter Verweis auf Art. 14 Abs. 5 lit. b) DSGVO („Unverhältnismäßig­keit”) aus Kostengründen von der Information abgesehen. Die Voraussetzungen des Ausnahmetatbe­standes waren nach Auffassung der UODO jedoch offensichtlich nicht erfüllt. Vielmehr habe der Verantwortliche bewusst und zu Unrecht aus Kostengründen von der Erfüllung der Informationspflicht abgesehen.

 

Kontrollen durch die Aufsichtsbehörden

Eine Nichtkonformität mit der DSGVO im Hinblick auf Betroffenenrechte unterliegt dem kontinuierlich ansteigenden Risiko einer Aufdeckung durch die Aufsichtsbehörden. Zu beachten ist insofern, dass bereits eine Beschwerde durch einen Betroffenen bei einer Aufsichtsbehörde entsprechende Ermittlungen in Gang setzt. Aufgrund der seit Geltung der DSGVO gesteigerten Sensibilisierung für Datenschutz und damit einhergehend erheblich zunehmenden Anzahl an Beschwerden besteht zudem eine immer größer werdende Wahrscheinlichkeit, dass es auch in Einzelfällen zu derartigen Beschwerden durch betroffene Personen kommt.

 

Darüber hinaus werden die Aufsichtsbehörden zunehmend von sich aus tätig. Für das Jahr 2019 kündigte etwa der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit Stefan Brink im SWR an: „2019 wird das Jahr der Kontrollen.”. Dabei warnte er Unternehmen ausdrücklich davor, insoweit Risiken einzugehen: „Wer auf Lücke setzt, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird.” Bußgelder sollen künftig i.d.R. deutlich höher ausfallen, als es in der Vergangenheit der Fall war.

 

Fazit

Die Einhaltung der Rechte betroffener Personen, insbesondere der Informationspflichten und Auskunfts­rechte, sind ein Kernanliegen der Verordnung. Verstöße hiergegen sind mit empfindlichen Geldbußen bedroht und zudem einfach festzustellen. Darüber hinaus bietet die festgestellte Verletzung von Betroffenenrechten Anlass für die Aufsichtsbehörde, die Umsetzung der DSGVO durch den Verantwort­lichen auch im Übrigen zu überprüfen. Es ist daher damit zu rechnen, dass Aufsichtsbehörden die bereits begonnene Prüfung der Verpflichtungen sukzessive ausweiten werden, um die Umsetzung der DSGVO flächendeckend zu kontrollieren. Sollte in puncto Betroffenenrechte noch keine DSGVO-Konformität bestehen, sollte sie daher umgehend durch die Implementierung der erforderlichen Prozesse herbeigeführt werden.


Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu