Die Betroffenenrechte nach der DSGVO
Einführung in die Betroffenenrechte
Seit 25. Mai 2018 entfaltet die EU-weite Datenschutz-Grundverordnung (DSGVO) ihre Wirkung und hat Unternehmen vor enorme Herausforderungen gestellt. Besonders im Bereich der sogenannten Betroffenenrechte hat sich im Vergleich zur bisherigen Rechtslage vieles geändert. Betroffenen Personen sind eine Vielzahl von Werkzeugen an die Hand gegeben worden, durch die sie den Umgang mit ihren personenbezogenen Daten kontrollieren und steuern können. Seit Wirksamwerden der DSGVO haben die Aufsichtsbehörden in Deutschland und in anderen EU-Ländern bereits eine Vielzahl von Bußgeldern verhängt, oft auch für die Nichteinhaltung von Betroffenenrechten. Dabei reicht der Katalog von nicht erteilten Auskünften über versäumte Fristen bis hin zur Nichtlöschung der Daten trotz Löschungsanspruchs.
Was sind Betroffenenrechte?
Betroffenenrechte beschreiben die Rechte der von der Datenverarbeitung betroffenen Personen nach Art. 12 ff. DSGVO. Sie schützen die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG) und dienen der Information und Transparenz.
Art. 12 Abs. 3 DSGVO regelt, dass die Betroffenenanfragen „spätestens“ innerhalb eines Monats beantwortet werden müssen. In Ausnahmefällen ist eine Verlängerung um weitere zwei Monate möglich. Diese Verlängerung kann jedoch nicht pauschal mit einem zu hohen Arbeitsaufkommen begründet werden, sondern erfordert eine Prüfung im Einzelfall.
Welche Betroffenenrechte gibt es in der DSGVO?
Ein Überblick der Betroffenenrechte ..
Das Recht auf Information ist ein anderer Ausdruck für die Informationspflichten. Das beinhaltet z.B. die Aufklärung Ihrer Betroffenen über ihre Rechte, die Speicherung ihrer Daten, Zwecke der Verarbeitung ihrer Daten usw. Achtung: Diese Informationen müssen schon vor der erstmaligen Verarbeitung bereitgestellt werden!
Auf Verlangen muss das Unternehmen die betroffene Person über die Verarbeitungszwecke seiner Daten, die Kategorien der verarbeiteten Daten, die exakten Empfänger bzw. Empfängerkategorien, die Speicherdauer der Daten sowie die Herkunft der Daten informieren. Auch wenn es keine Pflicht gibt, dass man diese Auskunft schriftlich erteilen muss – aus Nachweisgründen empfehlen wir dies dennoch dringlichst! Außerdem muss eine Anfrage innerhalb von 30 Tagen beantwortet werden, sonst können Strafen drohen!
Jeder Betroffene kann die Richtigstellung bzw. Vervollständigung seiner personenbezogenen Daten einfordern. Dementsprechend sollten Sie die Daten dieser Person danach ändern. Vorausgesetzt natürlich, diese sind wirklich falsch.
Auf Verlangen eines Betroffenen muss das Unternehmen die personenbezogenen Daten dieser Person löschen. Außerdem müssen die personenbezogenen Daten in jedem Fall gelöscht werden, wenn die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr aktuell sind, die betroffene Person ihre Einwilligung, auf die sich die Verarbeitung gestützt hat, widerruft, oder die Daten unrechtmäßig verarbeitet wurden (also z.B. keine Rechtsgrundlage wie Vertrag oder Einwilligung vorliegt). Dieser Löschanspruch besteht nicht, wenn die Verarbeitung (und die damit verbundene Speicherung) zur Erfüllung einer rechtlichen oder vertraglichen Verpflichtung notwendig ist.
in Betroffener hat das Recht, der Verarbeitung seiner personenbezogenen Daten zu widersprechen. Jedoch nur, wenn er sich in einer besonderen Situation befindet, die diesen Widerspruch rechtfertigt. Folglich dürften Sie diese Daten nicht weiter verarbeiten.Hier einige Beispiele für spezielle Situationen: Die Daten werden für Direktwerbung genutzt, Ein Betroffener erhält Drohungen und auf einer Website wird seine Adresse veröffentlicht oder der Betroffene hat Angst vor weiteren Angriffen, wenn er schon Opfer von Datenschutz-Verstößen wurde
Ein weiteres Recht betrifft die Übertragung von personenbezogenen Daten. Das heißt, ein Betroffener hat die Möglichkeit, die Herausgabe seiner Daten zu beantragen. Anschließend sollen diese an eine andere Stelle übertragen werden. Beispielsweise an einen neuen Anbieter. Dies soll einen Anbieterwechsel erleichtern. Wenn Sie also beispielsweise ein Versicherungsunternehmen betreiben, hat Ihr Kunde das Recht, dass Sie, wenn er zu einer anderen Firma wechselt, seine gesammelten Daten direkt an Ihren Konkurrenten übermitteln. Wichtig ist dabei, dass die Auslieferung in einem strukturierten und maschinenlesbaren Format erfolgen muss. Das Recht gilt nur, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mittels automatisierter Verfahren erfolgt.
Was muss beachtet werden?
Sie müssen Auskünfte zu den Anfragen unverzüglich und jedenfalls innerhalb eines Monats nach Identifizierung der betroffenen Person erteilen (Ein Aufschub auf 2 Monate ist bei begründetem Antrag möglich). Der Datenschutz Verantwortliche sollte dabei auch auf die Verständlichkeit und Zugänglichkeit der Auskunft achten!
Disclaimer
Wir machen darauf aufmerksam, dass die Inhalte unserer Internetseite (auch etwaige Rechtsbeiträge) lediglich dem unverbindlichen Informationszweck dienen und keine Rechtsberatung im eigentlichen Sinne darstellen. Der Inhalt dieser Informationen kann und soll eine individuelle und verbindliche Rechtsberatung, die auf Ihre spezifische Situation eingeht, nicht ersetzen. Insofern verstehen sich alle bereitgestellten Informationen ohne Gewähr auf Richtigkeit, Vollständigkeit und Aktualität.