DSGVO
18 September 2017

Am 25. Mai 2018 findet die neue EU-Datenschutzgrundverordnung Anwendung. Dabei bleiben einige bisherige Regelungen des Datenschutzrechts im Kern bestehen, zum Teil gibt es jedoch auch erhebliche Veränderungen. Insbesondere im Bereich der Betroffenenrechte finden sich wesentliche Veränderungen im Vergleich zur bisherigen Rechtslage. Unternehmen sollten angesichts der hohen Bußgeldandrohungen der DSGVO bereits jetzt ihre Datenschutzorganisation dahingehen überprüfen, ob die Anforderungen der DSGVO an die Betroffenenrechte gewahrt sind. Insbesondere das Recht auf Datenübertragbarkeit in der DSGVO stellt ein gänzliches neues Recht da, dessen Bedeutung in der Praxis maßgeblich vom Verhalten der Unternehmen mitbestimmt werden wird. Erhebliche Unterschiede zwischen der bisherigen und der neuen Rechtslage nach der DSGVO bringen außerdem die neuen Transparenz- und Informationsvorschriften.

Was sind Betroffenenrechte?

Betroffenenrechte beschreiben das Recht der von der Datenverarbeitung betroffenen Personen. Ihnen stehen im Vorfeld, während und nach der Datenverarbeitung zahlreiche Rechte zu Verfügung, die sich grob entlang einer Timeline ziehen: Kenntnis, Verhinderungsmöglichkeit, Löschung.

Welche Betroffenenrechte gibt es in der DSGVO?

  1. Das vielleicht wichtigste Betroffenenrecht im Rahmen der DSGVO stellt das Informationsrecht des Betroffenen dar.Allgemein sind die Informationspflichten gegenüber der betroffenen Person im Vergleich zum BDSG deutlich gestiegen. So regelt Art. 13 DSGVO, dass der betroffenen Person v.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte ebenso die Rechtsgrundlage der Datenverarbeitung und eine nachvollziehbare Interessenabwägung mitgeteilt werden. Allgemein muss der Betroffene über alle Betroffenenrechte informiert werden, also über das eines Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht. Dabei ist zu berücksichtigen, dass der betroffenen Personen die Informationen sofort bei Datenerhebung übermittelt werden, also z.B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufs im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei Registrierung. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Das heißt, dass die Informationen auch für Leser mit niedrigen Lesefähigkeiten verständlich sein müssen, u. a. indem in Datenschutzhinweisen auf mehrdeutige Formulierungen, Fremdwörter und komplizierte Satzkonstruktionen verzichtet und näher an der Alltagssprache formuliert wird. Die DSGVO lässt eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist nicht nur auf die bereits erwähnte Pflicht zur Verwendung einer einfachen, sondern zusätzlich auch alters- bzw. kindgerechten Sprache zu achten. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast. Art. 14 DSGVO regelt entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen selbst sondern von Dritten (z.B. Auskunfteien bezüglich der Kreditwürdigkeit) erhoben wurden. Die Informationspflichten des Unternehmens, das sich an Auskunfteien etc. wendet, sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar, hinzukommt jedoch die Pflicht die Quelle aus der die Informationen stammen mitzuteilen. Anders als im Rahmen des Artikel 13 müssen die Informationen nicht sofort übermittelt werden, ausreichend ist eine Frist von maximal einem Monat nach der Datenverarbeitung.
  2. Auskunftsrecht (Art. 15 DSGV)Dem Informationsrecht korrespondiert ein Auskunftsrecht des Betroffenen. Dieser kann in angemessenen Abständen Auskunft über die Datenverarbeitung, v.a über den Zweck, darüber welche Daten verarbeitet werden und über den Empfänger verlangen.
  3. Das Recht auf Berichtigung (Art. 16 DSGVO)Resultiert eine Datenverarbeitung in unrichtigen personenbezogen Daten des Betroffenen, so hat dieser ein Recht auf unverzügliche Berichtigung. Dabei ist jedoch der Zweck der Verarbeitung zu berücksichtigen, sodass etwa bei Datenverarbeitungen im öffentlichen Interesse eine längere Zeitspanne bis zur Berichtigung angesetzt werden kann.
  4. Das Recht auf Datenlöschung, „Das Recht auf Vergessenwerden“Art. 17 DSGVO regelt „Das Recht auf Vergessenwerden“. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen. Allerdings greift diese Regelung nur ein, wenn einer folgenden vier Gründe eingreift:
    • Das Speichern der Daten ist zur Zweckerreichung der Datenerhebung nicht mehr notwendig
    • Der Betroffene widerruft seine Einwilligung in die Datenverarbeitung
    • Die Daten wurden unrechtmäßig verarbeitet
    • Das Unternehmen ist aufgrund einer gesetzlichen Pflicht (aus dem EU-Recht oder dem nationalen Recht eines Mitgliedstaates) zur Löschung der Daten verpflichtet.Unternehmen müssen das Recht auf Vergessenwerden nicht umsetzen, wenn:
    • Die Meinungs- und Informationsfreiheit überwiegen
    • Das Speichern der Daten einer rechtlichen Verpflichtung entspricht
    • Das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
    • Wissenschaftliche oder historische Forschungszwecke oder Archivzwecke überwiegen
    • Die Daten zur Wahrung von Rechtsansprüchen erforderlich sindMacht der Betroffene vom Recht auf Vergessenwerden Gebrauch, so hat das verantwortliche Unternehmen angemessene Maßnahme zu treffen um Unternehmen, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Dabei hat das verantwortliche Unternehmen unverzüglich zu handeln.
  5. Das Recht auf Einschränkung der VerarbeitungGemäß Art. 18 DSGVO hat der Betroffene ein Recht auf Einschränkung der Verarbeitung, d.h. auf ein „Stopp!“ der Verarbeitung. Dieses Recht greift, wenn
    • der Betroffene die Richtigkeit der Daten in Frage stellt,
    • die Verarbeitung unrechtmäßig ist,
    • die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden, nachdem der Zweck der Datenverarbeitung sich erledigt hat oder
    • der Betroffene Widerspruch nach Art. 21 DSGVO eingelegt hat.

     Unternehmen trifft bezüglich der Betroffenenrechte eine doppelte Mitteilungspflicht: Zum einen müssen sie alle Empfänger personenbezogener Daten darüber informieren, dass der Betroffene von seinen Rechten Nach Art. 16-18 Gebrauch gemacht hat (es sei denn diese Mitteilung ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden). Zudem müssen Unternehmen die Betroffenen über die entsprechenden Empfänger aufklären, wenn der Betroffene dies verlangt.

  6. Recht auf Datenübertragbarkeit – Art. 20 DSGVODas Recht auf Datenübertragbarkeit ist ein gänzlich neues, erst durch die DSGVO geschaffenes Recht. Es beinhaltet für den Betroffenen die Möglichkeit gespeicherte Daten (v.a. bei sozialen Medien) automatisch auf einen anderen Anbieter übertragen zu lassen. Damit sollen Monopole verhindert werden, etwa weil der Betroffene befürchten muss zu lange für den Aufbau eines neuen Profils bei einem Konkurrenzanbieter zu benötigen. Bisher ungeklärt und von der Rechtsprechung zu klären sein wird die Frage was unter das „Recht auf Datenübertragbarkeit fällt“, insbesondere wie z.B. „Likes“ oder „Verlinkungen“ zu bewerten sind, die einen erheblichen Teil des Nutzungsprofils ausmachen können.
  7. Gelten die Betroffenenrechte nun in allen Mitgliedstaaten gleichermaßen?Ziel der Datenschutzgrundverordnung war unter anderem die Schaffung eines einheitlichen Datenschutzniveaus in allen Mitgliedstaaten. Allerdings enthält die DSGVO an vielen Stellen sog. „Öffnungsklauseln“, die es den Mitgliedstaaten ermöglichen in gewissen Grenzen eigene nationale Regelungen zu erlassen. Für den Bereich der Betroffenenrechte enthält die DSGVO eine solche Öffnungsklausel, unter anderem für „wichtige Ziele des allgemeinen öffentlichen Interesses“. Es bleibt abzuwarten inwieweit der deutsche Gesetzgeber von dieser sehr weit gehaltenen Formulierung Gebrauch machen wird und damit eigene nationale Abweichungen von den Regelungen der DSGVO schafft.

Fazit und Handlungsempfehlung: Worauf müssen Unternehmen im Vergleich zur bisherigen Rechtslage im BDSG besonders achten?

Auch im Bundesdatenschutzgesetz existieren zahlreiche Betroffenenrechte. So sind die Rechte auf Auskunft (§§19, 34), Berichtigung, Löschung (Vergessenwerden) und Sperrung (§§20,35) ebenfalls im BDSG geregelt. Allerdings sind v.a. die Anforderungen an Inhalt und Form der Informationsrechte des Betroffenen in der DSGVO deutlich strenger ausgestaltet, wodurch bußgeldbewehrte Verstöße hier besonders wahrscheinlich sind und durch rechtzeitige rechtliche Beratung vermieden werden sollten. Zudem stellt das Recht auf Datenübertragbarkeit eine gänzliche Neuschöpfung im Rahmen der DSGVO dar.

Comments are closed.