Das erste Mal beim Arzt, der Abschluss eines neuen Handy-Vertrages oder einfach beim Surfen auf Webseiten - jeder dieser Dienste muss Ihnen eine ausführliche Information über die Verarbeitung der personenbezogenen Daten zur Verfügung stellen. Diese Information wird auch Datenschutzerklärung genannt. Sicherlich haben Sie schon einmal davon gehört, eine selbst erfasst oder sie bis zum Ende durchgelesen. Ein Grund für die Erstellungspflicht sind die Betroffenenrechte, die in der DSGVO statuiert sind. Heute möchten wir Ihnen einen kurzen allgemeinen Überblick über die verschiedenen Betroffenenrechte geben.
Mit Einführung der Datenschutz-Grundverordnung (DSGVO) wurden auch die Rechte des Betroffenen, also die Rechte der Person, von der die Daten erhoben werden, gestärkt. Damit die betroffene Person ihre Rechte auch umfassend wahrnehmen kann, bedarf es Transparenz bei der Datenerhebung und -nutzung. Sie als Verantwortlicher müssen somit unverzüglich vor Verarbeitung, also noch bevor Sie die Daten erheben, den Betroffenen informieren. Neben den allgemeinen Informationspflichten stehen den Betroffenen auch individuelle Rechte, wie das Recht auf Auskunft oder das Recht auf Löschung seiner personenbezogenen Daten zu.
Mit Art. 12 DSGVO wird das Kapitel 3 eröffnet, das die Rechte der betroffenen Person beinhaltet. Art. 12 Abs. 1 DSGVO definiert die Grundsätze für die nach den Artt. 13 und 14 DSGVO zu erteilenden Informationen und den Mitteilungen, die nach Artt. 15 bis 22 DSGVO und Art. 34 DSGVO Folge zu leisten sind.
Art. 13 DSGVO und Art. 14 DSGVO beinhalten die Informationspflichten des Verantwortlichen. Der Verantwortliche muss zum Zeitpunkt der Erhebung den Betroffenen über die Verarbeitung informieren. Art. 13 Abs. 1 DSGVO enthält dazu die in jedem Fall mitzuteilenden Informationsbestandteile. Von dieser Informationspflicht muss dringend das Recht der betroffenen Person auf Auskunft gemäß Art. 15 DSGVO unterschieden werden. Während die erstgenannten Informationspflichten proaktiv zu erfüllen sind, muss dem Recht auf Auskunft gemäß Art. 15 DSGVO nur auf Verlangen nachgekommen werden. Dies kann beispielsweise in Form einer Bestätigung, dass die personenbezogenen Daten überhaupt verarbeitet werden, erfolgen.
Art. 16 DSGVO umfasst das Recht auf Berichtigung. Eine Berichtigung kann nur erfolgen, wenn die personenbezogenen Daten an sich in zulässigerweise verarbeitet werden. Andernfalls dürfte eine Berichtigung gar nicht vorgenommen werden, denn die Verarbeitung wäre dann unzulässig und die Löschung der personenbezogenen Daten zur Folge. Die rechtlichen Voraussetzungen für einen Anspruch auf Löschung der personenbezogenen Daten sind in Art.17 DSGVO statuiert. Art. 18 DSGVO umfasst die Einschränkung der Verarbeitung, die bereits in Art. 4 Nr. 3 DSGVO gesondert definiert wird. Die nachfolgende Gesetzesnorm, Art. 19 DSGVO, knüpft an die Artt. 16, 17 und 18 DSGVO an. Danach teilt der Verantwortliche allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung nach Art. 16 DSGVO, Löschung nach Art. 17 DSGVO oder Einschränkung nach Art. 18 DSGVO der personenbezogenen Daten mit. Die Voraussetzungen, die an einen Empfänger personenbezogener Daten zu stellen sind, sind in Art. 4 Nr. 9 definiert.
Das nächste Betroffenenrecht wurde mit der DSGVO gebildet und hat kein Vorbild in der zuvor gültigen Datenschutzrichtlinie. Art. 20 DSGVO beruht auf der Möglichkeit, Daten, die die betroffene Person dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format zu erhalten und sie so einem anderen Verantwortlichen übermitteln zu können.
Das vorletzte Betroffenenrecht, Art. 21 DSGVO, räumt dem Betroffenen das Recht ein, jederzeit der Verarbeitung der sie betreffenden personenbezogenen Daten zu widersprechen. Das letzte Betroffenenrecht hebt sich etwas von den Vorangegangenen ab. Denn in Art. 22 DSGVO wird nicht zum Ausdruck gebracht, welche Rechtsfolge sie verlangen kann, sondern nur, dass die betroffene Person nicht einer automatisierten Einzelentscheidung unterworfen werden darf.
Geht in Ihrem Unternehmen ein entsprechender Anspruch ein, haben Sie lediglich vier Wochen Zeit der Anfrage vollumfänglich nachzukommen. Diese Zeit ist knapp bemessen und kann nur aus wichtigem Grund einmal um weitere zwei Monate verlängert werden.
Wie Sie sehen, wurde der Betroffene mit einer Vielzahl an Rechten ausgestattet, denen man auch lückenlos gerecht werden muss. Aus diesem Grund sollten Sie entsprechende Prozesse von Beginn an implementieren.
Zum Abschluss haben wir nochmal alle Betroffenenrechte auf einen Blick zusammengefasst:
In den kommenden Blogbeiträgen werden wir näher auf einzelne Betroffenenrechte eingehen. Mehr zum Thema erfahren Sie außerdem in unserem Grundlagen-Seminar DSGVO-Ziel: Betroffenenrecht. Dort stellen wir die zentralen Herausforderungen der Betroffenenrechte vor und unterstützen Sie bei der rechtssichern Umsetzung Ihrer Pflichten.
Betroffenenrechte DSGVO PersonenbezogeneDaten Datenschutz Datenverarbeitung