Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Betroffenenrechte

Die Datenschutz-Grundverordnung (DSGVO) regelt an verschiedenen Stellen, welche Rechte betroffene Personen haben. Im Mittelpunkt stehen dabei die Betroffenenrechte in Kapitel 3 der DSGVO. Was bedeuten sie, wie setzen Verantwortliche sie um?

➜ zum Überblick über die Betroffenenrechte

Datenschutz-Sicherheit
Bild: iStock/Getty Images Plus/Funtap
Auch der Datenschutz hat Grenzen

Geburtsdatum und Wohnort von GmbH-Geschäftsführern gehören ins Handelsregister. Dabei bleibt es trotz DSGVO. So die klare Ansage des Bundesgerichtshofs (BGH). Zur Begründung beruft er sich umfangreich auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH). Das macht die Entscheidung des BGH grundsätzlich bedeutsam.

Recht auf Vergessenwerden

Die Datenschutz-Grundverordnung (DSGVO) kennt das Recht auf Vergessenwerden. Das macht leider weder den Selbstdatenschutz noch die Datenlöschung überflüssig. Was können Sie tun, um unerwünschte persönliche Daten im Internet zu löschen – oder besser: um solche Informationen gar nicht erst entstehen zu lassen?

Der EuGH setzt einige klare Maßstäbe

Wer kann die Löschung von Daten erzwingen, wenn sie rechtswidrig unterbleibt? Nur der Betroffene selbst oder auch die Aufsichtsbehörde? Der EuGH stellt einiges klar, das für alle Unternehmen und Behörden wichtig ist. Bei Verstößen drohen erhebliche Geldbußen.

BDSG & DSGVO

Wer Scoring-Verfahren einsetzt, muss zahlreiche Datenschutz-Vorgaben beachten, unter anderem aus dem Bundesdatenschutzgesetz und einem Urteil des Europäischen Gerichtshofs (EuGH). Daher ist es wichtig, die Bedeutung von Scoring zu verstehen und den Personenbezug von Score-Werten zu erkennen.

EuGH zum Auskunftsanspruch

Der Auskunftsanspruch nach Art. 15 ­DSGVO erstreckt sich auch darauf, gegenüber wem personenbezogene Daten „offengelegt“ worden sind. Kann ein Betroffener somit die Namen der Mitarbeiter eines Unternehmens herausverlangen, die seine Daten dort konkret verarbeitet haben?

Recht auf Auskunft

Sie waren in einem Krankenhaus oder bei einem niedergelassenen Arzt in Behandlung. Sie sind nicht sicher, ob die Behandlung wirklich fachgerecht war. Können Sie eine kostenlose Kopie der Behandlungsunterlagen verlangen, um das zu überprüfen? Der Europäische Gerichtshof (EuGH) zeigt sich sehr großzügig.

Ein Weg zur besseren Übersicht?

Wer personenbezogene Daten verarbeitet, muss die betroffenen Personen darüber informieren. Das mündet oft in lange Texte, die wenig lesefreundlich sind. Bietet die Verwendung von Datenschutz-Icons eine Alternative?

Was wie herausgeben?

Ohne das Recht auf Auskunft wäre Datenschutz ein zahnloser Tiger. Denn nur wer weiß, was ein anderer über ihn weiß, kann sich frei entfalten. Aus Sicht desjenigen, der ein Auskunftsbegehren beantworten muss, gibt es jedoch einige Fallstricke, die er im Auge behalten sollte.

Pflichten des Verantwortlichen, Rechte des Betroffenen

Damit Betroffene ihre Rechte nach der DSGVO wahrnehmen können, benötigen sie aussagekräftige Informationen darüber, dass und wie Verantwortliche ihre personenbezogenen Daten verarbeiten. Deshalb sieht die DSGVO mehrere Informationspflichten vor.

Auskunftsanspruch gegen den Ex-Arbeitgeber

Ein ehemaliger Mitarbeiter einer Bank hört, dass sich die Innenrevision seines Ex-Arbeitgebers intensiv mit Unterlagen über ihn befasst. Er möchte vom Arbeitgeber wissen, welche Mitarbeiter wann auf welche Daten von ihm zugegriffen haben. Die Bank verweigert wichtige Teile der Auskunft. Die Datenschutzaufsicht gibt ihr Recht. Wie sieht der EuGH die Angelegenheit?

2 von 6

Eines der erklärten Ziele der DSGVO ist eine faire und transparente Verarbeitung von personenbezogenen Daten.

Für die betroffene Person muss die Datenverarbeitung nachvollziehbar sein. Daraus ergeben sich für die Verarbeiter Pflichten, die sie erfüllen müssen.

Die Betroffenenrechte – ein Überblick

Kapitel 3 der DSGVO trägt die Überschrift „Rechte der betroffenen Person“. Dort sind folgende Betroffenenrechte verankert:

Recht auf transparente Information und Kommunikation (Art. 12 DSGVO)

Wo in der Vergangenheit eher IT-Kauderwelsch und Fachchinesisch die Information und Kommunikation bestimmten, verlangt die DSGVO in den Betroffenenrechten, die Kommunikation so zu gestalten, dass selbst jeder weniger gebildete Mensch verstehen kann, worum es geht.

Recht auf Information (Art. 13 und 14 DSGVO) – proaktive Information

Unter Transparenz versteht die DSGVO nicht, dass jeder die ihm zustehende Information erst bekommt, wenn er danach fragt. Sie sieht schon im Vorfeld umfangreiche Informationen vor, die der Verantwortliche bereitstellen muss (Informationspflichten). Hierbei unterscheidet die DSGVO zwischen

  • der Erhebung unmittelbar bei der betroffenen Person, wie sie zum Beispiel am Messestand oder bei einem Gewinnspiel üblich ist, und
  • der Erhebung bei jemand anderem, etwa wenn es sich um gekaufte Adressbestände handelt.

Sie können darauf verzichten, die betroffene Person zu informieren, wenn diese bereits über alle Informationen verfügt, die die DSGVO nennt.

Erheben Verantwortliche die Daten nicht direkt bei der betroffenen Person, kann die Information ebenfalls entfallen,

  • wenn es unmöglich ist, sie zu informieren, etwa weil keinerlei Kontaktdaten vorliegen, oder
  • wenn die Information einen unverhältnismäßigen Aufwand darstellen würde.

Verzichtet der Verantwortliche auf die Information, ist es ratsam, die Gründe nachvollziehbar zu dokumentieren. Schließlich drohen bei einem Verstoß Bußgelder von bis zu 20.000.000 € oder 4 % des Jahresumsatzes.

Geht es um Daten, die der Kommunikation mit der betroffenen Person dienen, muss die Information spätestens zum Zeitpunkt der ersten Mitteilung erfolgen.

Recht auf Auskunft (Art. 15 DSGVO) – reaktive Information

Zur Transparenz für die betroffene Person gehört auch das Auskunftsrecht. Das bedeutet, dass sie auf Nachfrage erfährt,

  • welche Daten zu ihrer Person wie und wozu verarbeitet werden,
  • woher sie stammen,
  • wohin der Verantwortliche sie übermittelt und
  • wie lange diese Daten voraussichtlich verarbeitet werden (sofern dies möglich ist).

Recht auf Berichtigung (Art. 16 DSGVO)

Personenbezogene Daten, die fehlerhaft sind, muss der Verantwortliche korrigieren, wenn es die betroffene Person verlangt. Das ist das Recht auf Berichtigung.

Haben weitere Empfänger diese Daten bekommen, muss der Verantwortliche sie zur Korrektur auffordern.

Recht auf Löschung (Art. 17 DSGVO)

Zu den Betroffenenrechten gehörtdarüber hinaus das Recht auf Löschung. Hier kann die betroffene Person verlangen, dass der Verantwortliche und die möglichen Datenempfänger ihre personenbezogenen Daten löschen. Dieser Anspruch muss ausschließlich dann umgesetzt werden, wenn die weitere Verarbeitung nicht mehr erforderlich ist.

Weiterhin erforderlich sind die Daten etwa, wenn noch steuerrechtliche Aufbewahrungspflichten zu erfüllen sind, zum Beispiel bei Kaufverträgen.

Fällt der Zweck oder die Rechtsgrundlage der Verarbeitung weg, ist jede weitere Verarbeitung unzulässig, und die Daten müssen gelöscht (mindestens anonymisiert) werden.

Recht auf Einschränkung (Art. 18 DSGVO)

Lassen sich die personenbezogenen Daten nur schwer löschen oder ist es erforderlich, dass sie weiterhin gespeichert sind, kann der Verantwortliche die Verarbeitung dieser Daten einschränken (Recht auf Einschränkung der Verarbeitung).

Hierzu muss er die Daten kennzeichnen, um sie von zukünftigen Verarbeitungen auszuschließen. Das kann etwa durch den Vermerk „Gesperrt“ im Datensatz erfolgen.

Recht auf Widerspruch (Art. 21 DSGVO)

Die betroffene Person kann der weiteren Verarbeitung ihrer personenbezogenen Daten widersprechen. Daraufhin müssen der Verantwortliche und mögliche Datenempfänger die Verarbeitung einstellen. Dieses Widerspruchsrecht gilt insbesondere gegenüber Direktwerbung (Art. 21 Abs. 2 DSGVO).

Ausnahme: Der Verantwortliche weist zwingende schutzwürdige Gründe für die Verarbeitung nach, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen. Oder aber die Verarbeitung dient dazu, Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Jede betroffene Person darf verlangen, dass ihr der Verantwortliche ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellt (Recht auf Datenübertragbarkeit). Informationen, die der Verantwortliche eigenständig hinzugefügt hat, sind davon nicht betroffen.

Der Verantwortliche darf niemanden daran hindern, diese Daten anderen zur Verfügung zu stellen. Das betrifft Social-Media-Plattformen ebenso wie neue Lieferanten. Das strukturierte Format ist nicht näher definiert. Es kann also zum Beispiel eine Tabelle sein oder eine CSV-Datei (comma separated value).

Recht auf nicht ausschließlich automatisierte Entscheidungen (Art. 22 DSGVO)

Jede betroffene Person hat Anspruch darauf, dass Entscheidungen, die ihr gegenüber rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen, nicht ausschließlich automatisiert getroffen werden.

So darf beispielsweise ein online beantragter Kredit nicht allein aufgrund mathematischer Algorithmen gewährt oder abgelehnt werden.

Weitere Betroffenenrechte

Außer in Kapitel 3 regelt die DSGVO Rechte der betroffenen Person auch noch an anderen Stellen. Zu nennen sind hier vor allem das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO), das Recht, den Datenschutzbeauftragten zu konsultieren (Art. 38 DSGVO) und das Recht auf Schadensersatz (Art. 82 DSGVO).

Unterschiedliche Voraussetzungen

Die Voraussetzungen der einzelnen Rechte sind völlig unterschiedlich. Manche Betroffenenrechte muss der Verantwortliche von sich aus beachten, ohne dass die betroffene Person sie ausdrücklich geltend machen müsste.

Das gilt für das Recht auf Information über die Verarbeitung (Art. 12–14 DSGVO), aber auch für das Recht auf Unterlassung einer ausschließlich automatisierten Entscheidung (Art. 22 DSGVO).

Bei den anderen Rechten ist es dagegen Sache der betroffenen Person, sich ausdrücklich auf sie zu berufen. Beispiel: Auskunft gemäß Art. 15 DSGVO muss der Verantwortliche nur erteilen, wenn die betroffene Person dies ausdrücklich fordert.

Wieder andere Betroffenenrechte haben eine Art Doppelnatur. Das gilt vor allem für das Recht auf Löschung (Art. 17 DSGVO):

  • Zum einen hat die betroffene Person das Recht, eine Löschung zu fordern, wenn die Voraussetzungen dafür vorliegen.
  • Zum anderen muss der Verantwortliche aber auch von sich aus darauf achten, dass er Daten löscht, wenn die Voraussetzungen dafür gegeben sind.

Inhaber der Betroffenenrechte

Die dargestellten Rechte stehen im Normalfall nur einer betroffenen Person zu. Darunter ist eine identifizierte oder identifizierbare natürliche Person zu verstehen (Art. 4 Nr. 1 Halbsatz 1 DSGVO).

Eine Ausnahme hiervon gilt für das Recht auf Schadenersatz (Art. 82 DSGVO). Es steht nicht nur einer betroffenen Person zu, sondern darüber hinaus jeder Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist (Art. 82 Abs. 1 DSGVO).

Das kann von praktischer Bedeutung sein, wenn die Daten einer betroffenen Person verarbeitet werden und dadurch einer anderen Person (etwa einem Angehörigen) ein Schaden entsteht.

Adressat der Betroffenenrechte

Die beschriebenen Rechte bestehen im Regelfall nur gegenüber dem Verantwortlichen. Das ist die Person oder Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Nr. 7 DSGVO).

Auch von diesem Grundsatz gibt es jedoch Ausnahmen. So kann ein Anspruch auf Schadensersatz nicht nur gegenüber dem Verantwortlichen, sondern auch gegenüber einem Auftragsverarbeiter bestehen (Art. 82 Abs. 1 DSGVO).

Auftragsverarbeiter ist jede Person oder Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO).

Das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) richtet sich seiner Natur nach nur an die Aufsichtsbehörde und nicht an irgendeine andere Stelle.

Verfassungsrechtlicher Hintergrund

Wesentliche Rechte der betroffenen Personen, wenn auch nicht alle, sind unmittelbar im EU-Verfassungsrecht verankert. Das ist von großer praktischer Bedeutung. Würde eine betroffene Person beispielsweise in einem Vertrag auf ihre Rechte verzichten, läge darin gleichzeitig ein Verzicht auf ihre Grundrechte.

Es liegt auf der Hand, dass ein solcher Verzicht rechtlich nicht wirksam sein kann. Niemand hat die rechtliche Befugnis, auf seine Grundrechte zu verzichten.

Erwägungsgrund 1 zur DSGVO bringt den grundrechtlichen Hintergrund deutlich zum Ausdruck: „Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht. Gemäß Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union […] sowie gemäß Art. 16 Abs. 1 des Vertrags über die Arbeitsweise der Europäischen Union hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Grundrechte-Charta

Art. 8 der Grundrechte-Charta trägt die Überschrift „Schutz personenbezogener Daten“ und lautet wie folgt:

„(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.“

Besonders wichtig ist bei dieser Vorschrift die unmittelbare Verankerung der Rechte auf Auskunft (siehe Art. 15 DSGVO) und auf Berichtigung (siehe Art. 16 DSGVO) in Abs. 2.

Weitere Rechte, etwa das Recht auf Löschung (siehe Art. 17 DSGVO), sind dort nicht ausdrücklich genannt. Sie ergeben sich jedoch mittelbar daraus, dass das Recht auf Schutz der eigenen personenbezogenen Daten in Abs. 1 allgemein als Grundrecht vorgesehen ist. Mit diesem Schutz wäre es nicht zu vereinbaren, wenn beispielsweise Daten nicht gelöscht würden, obwohl sie für den festgelegten Zweck nicht mehr benötigt werden.

Dieses Beispiel zeigt, dass mittelbar auch solche Rechte von Art. 8 der Grundrechte-Charta erfasst werden, die dort nicht ausdrücklich erwähnt sind.

Vertrag über die Arbeitsweise der EU

Art. 16 des Vertrags über die Arbeitsweise der Europäischen Union lautet wie folgt: „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“

Er wiederholt damit den Wortlaut von Art. 8 Abs. 1 der Grundrechte-Charta. Daraus ergeben sich keine zusätzlichen Erkenntnisse. Die Bestimmung unterstreicht das, was sich schon aus Art. 8 der Grundrechte-Charta ergibt.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.