Betroffenenrechte in der Datenschutz-Grundverordnung
Mit der Neuordnung des Datenschutzes auf europäischer Ebene ändern sich auch die Rechte der Betroffenen – nicht grundsätzlich, aber im Detail. Auf weiten Strecken bleiben die Rechte zwar unverändert. In Teilen werden sie jedoch ausgeweitet.
Die Datenschutz-Grundverordnung bzw. DSGVO, die seit dem 25. Mai 2018 anwendbar ist, listet die Rechte der Betroffenen in Kapitel III auf. Dieses Kapitel wiederum ist unterteilt in fünf Abschnitte mit elf Artikeln, die im Folgenden aus dem Blickwinkel des Praktikers vorgestellt werden.
Gründlichere Information: Datenschutzerklärung ist wichtiger
Betroffene sind über den Umgang mit ihren Daten sehr gründlich zu unterrichten. Deshalb spielen Datenschutzerklärungen eine seh große Rolle. Denn immer dann, wenn verantwortliche Stellen Daten erheben, müssen sie eine Erklärung zum Datenschutz abgeben.
Diese Erklärung hat „schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“ zu erfolgen (Art. 12 Abs. 1 Satz 2 DSGVO). Es bietet sich die Veröffentlichung auf einer Website im Internet an, wenn es sich um eine unbestimmte Zahl von Betroffenen handelt.
Die Inhalte der Datenschutzerklärung richten sich nach Art. 13 oder Art. 14 DSGVO. Das hängt davon ab, ob die Informationen direkt beim Betroffenen oder bei einem Dritten erhoben werden.
Das muss in der Datenschutzerklärung stehen
Sie muss v.a. Angaben enthalten über
- die verantwortliche Stelle (Name und Kontaktdaten),
- den Datenschutzbeauftragten (Kontaktdaten),
- Zwecke der Datenverarbeitung und Rechtsgrundlagen, soweit die Datenverarbeitung auf berechtigten Interessen beruht (gem. Art. 6 Abs. 1 Buchst. f DSGVO): ausdrückliche Nennung dieser Interessen,
- Empfänger der Daten, soweit Daten übermittelt werden,
- Datenübermittlungen in Drittländer, soweit dies geplant ist,
- sowie weitere namentlich in der Verordnung aufgezählte Auskünfte, um die betroffene Person umfassend zu informieren.
Diese Angaben dürfen auch durch standardisierte Bildsymbole ergänzt werden (z.B. Icons oder Piktogramme), damit die Betroffenen sie leichter erfassen können. Wie die Bildsymbole aussehen, sollte die EU-Kommission mittels eines delegierten Rechtsakts festschreiben. Bisher ist hier allerdings nichts passiert.
Handlungsbedarf bei den Informationspflichten
Um die Informationspflichten nach Art. 13 oder 14 DSGVO umzusetzen, stellen Sie fest, wann und wo überall personenbezogene Daten erhoben werden. Prüfen Sie dann, welche Inhalte den Betroffenen mitgeteilt werden müssen und in welcher Form dies geschehen kann.
Auskunftsrecht ist sehr umfangreich
Betroffene Personen besitzen das Recht, zu erfragen, ob und ggf. welche Daten über sie gespeichert sind. Art. 15 DSGVO unterscheidet sich insofern nicht grundsätzlich von der alten Rechtslage vor der DSGVO.
Zum Auskunftsumfang kommt jedoch hinzu, dass der Verantwortliche auch Auskunft erteilen bzw. informieren muss über die folgenden Punkte:
- die Dauer der Datenspeicherung bzw. die Kriterien zur Bestimmung dieser Frist
- die Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung
- das Beschwerderecht bei der Aufsichtsbehörde
Verantwortliche sind verpflichtet, diese Auskunft innerhalb eines Monats zu erteilen (Art. 12 Abs. 3 DSGVO). Nur in begründeten Ausnahmen kann sich die Frist um bis zu zwei Monate verlängern.
Handlungsbedarf bei den Auskunftspflichten
Treffen Sie Vorkehrungen, um Auskünfte rechtzeitig erteilen zu können, beispielsweise durch einen Ablaufplan oder eine Prozessbeschreibung.
Berichtigung und Löschung
Die Rechte auf Berichtigung falscher Daten (Art. 16 DSGVO) und auf Löschung (Art. 17 DSGVO) sind ähnlich zur bestehenden Rechtslage geregelt. An die Stelle der alten Sperrung von Daten tritt das „Recht auf Einschränkung der Verarbeitung“ (Art. 18 DSGVO).
Starke Aufmerksamkeit hat bereits während des Gesetzgebungsverfahrens das Recht auf Löschung („Recht auf Vergessenwerden“) erfahren. Es besagt, dass personenbezogene Daten gelöscht werden müssen, wenn
- der Zweck entfällt,
- die betroffene Person ihre Einwilligung zurückzieht oder
- ein anderer Fall des Art. 17 Abs. 1 DSGVO eintritt.
Wenn eine Stelle personenbezogene Daten veröffentlich hat (z.B. im Internet), umfasst die Verpflichtung zur Löschung auch den „Rückruf“ der Daten bei anderen Stellen. Zumindest muss sie „angemessene Maßnahmen“ ergreifen, um andere Stellen über den Löschungsanspruch des Betroffenen zu informieren (Art. 17 Abs. 2 DSGVO).
Das Recht auf Löschung wird wie bisher nicht schrankenlos gewährt. Es wird z.B. gemäß Art. 17 Abs. 3 DSGVO beschränkt durch
- das Recht auf freie Meinungsäußerung,
- andere rechtliche Verpflichtungen oder
- Forschungszwecke.
Mitteilungspflichten nach Übermittlungen
Immer dann, wenn der Verantwortliche personenbezogene Daten an Dritte übermittelt hat und der Betroffene danach seine Rechte auf Berichtigung, Löschung oder Verarbeitungseinschränkung ausübt, trifft den Verantwortlichen eine zusätzliche Verpflichtung: Er muss die Empfänger davon unterrichten (Art. 19 DSGVO).
Die Verpflichtung zur Benachrichtigung entfällt nur dann, wenn sie sich „als unmöglich“ erweist oder wenn sie „mit einem unverhältnismäßigen Aufwand verbunden“ ist.
Wenn die betroffene Person es verlangt, ist sie darüber aufzuklären, an welche Empfänger ihre Daten übermittelt wurden.
Handlungsbedarf bei den Mitteilungspflichten
Dokumentieren Sie jede Datenübermittlung im Einzelfall, um der Verpflichtung aus Art. 19 DSGVO nachkommen zu können.
Recht auf Datenübertragbarkeit (Datenportabilität)
Unter Datenportabilität ist das Recht zu verstehen, die eigenen Daten vom Verantwortlichen in einem digitalen Format zu fordern (Art. 20 DSGVO). Der Gesetzgeber dachte dabei z.B. an Profildaten in sozialen Netzwerken, damit Betroffene leichter zu einem alternativen Anbieter wechseln können.
Ein Anspruch auf Herausgabe der Daten besteht allerdings nur, wenn der Verantwortliche sie aufgrund einer Einwilligung oder eines Vertrags automatisiert verarbeitet hat.
Recht auf Widerspruch
Die DSGVO versteht das Widerspruchsrecht in Art. 21 DSGVO recht weit.
Die betroffene Person kann auch Widerspruch einlegen gegen Datenverarbeitungen, die auf Grundlage eines „berechtigten Interesses“ erfolgen (Art. 6 Abs. 1 Buchst. f DSGVO). Darunter fällt auch, aber nicht nur Direktwerbung.
Das bedeutet: Stellt ein Betroffener die berechtigten Interessen in Abrede, wäre die weitere Datenverarbeitung untersagt – mit folgender Ausnahme:
Der Verantwortliche weist seinerseits „zwingende schutzwürdige Gründe für die Verarbeitung [nach], die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen“ (Art. 21 Abs. 1 Satz 2 DSGVO).
Damit läuft es letztlich auf eine Abwägung der Interessen hinaus. Der Betroffene muss dabei bereits bei der Datenerhebung informiert werden über die konkreten „berechtigten Interessen“ sowie über das bestehende Widerspruchsrecht.
Der Widerspruch gegen Direktwerbung ist immer unmittelbar zu berücksichtigen, ohne dass es zu einer Abwägung kommt (Art. 21 Abs. 3 DSGVO).
Automatisierte Entscheidungen
Entscheidungen, die nicht von Menschen getroffen werden, die aber eine rechtliche Wirkung entfalten (z.B. ein Online-Kreditantrag oder ein Online-Einstellungsverfahren), sind nach Art. 22 DSGVO im Grundsatz unzulässig.
Sie sind ausnahmsweise nur dann zulässig, wenn
- die Entscheidung für einen Vertragsabschluss notwendig ist (z.B. Bonitätsprüfung)
- es nationale Rechtsvorschriften gibt (Öffnungsklausel) oder
- der Betroffene eingewilligt hat.
Folgen bei Verstößen: Hohe Bußgelder
Zum Abschluss bleibt die Frage, was passiert, wenn ein Verantwortlicher gegen die Rechte der Betroffenen verstößt.
Mit der Datenschutz-Grundverordnung kann jeder Verstoß eine Geldbuße auslösen. Und zwar bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 Buchst. b DSGVO).
Auch deshalb ist es unabdingbar, sich mit diesen Regeln auseinanderzusetzen und zu prüfen, wo und welcher Handlungsbedarf besteht.