Die Betroffenenrechte nach der DSGVO: Ein Überblick

Seit 25. Mai 2018 entfaltet die EU-weite Datenschutz-Grundverordnung (DSGVO) ihre Wirkung und hat Unternehmen vor enorme Herausforderungen gestellt. Besonders im Bereich der sogenannten Betroffenenrechte hat sich im Vergleich zur bisherigen Rechtslage vieles geändert. Betroffenen Personen sind eine Vielzahl von Werkzeugen an die Hand gegeben worden, durch die sie den Umgang mit ihren personenbezogenen Daten kontrollieren und steuern können. Seit Wirksamwerden der DSGVO haben die Aufsichtsbehörden in Deutschland und in anderen EU-Ländern bereits eine Vielzahl von Bußgeldern verhängt, oft auch für die Nichteinhaltung von Betroffenenrechten. Dabei reicht der Katalog von nicht erteilten Auskünften über versäumte Fristen bis hin zur Nichtlöschung der Daten trotz Löschungsanspruchs. Für Unternehmen stellt auch das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO eine große Herausforderung dar. 

Was sind Betroffenenrechte?

Betroffenenrechte beschreiben die Rechte der von der Datenverarbeitung betroffenen Personen nach Art. 12 ff. DSGVO. Sie schützen die informationelle Selbstbestimmung (Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG) und dienen der Information und Transparenz.

Art. 12 Abs. 3 DSGVO regelt, dass die Betroffenenanfragen „spätestens“ innerhalb eines Monats beantwortet werden müssen. In Ausnahmefällen ist eine Verlängerung um weitere zwei Monate möglich. Diese Verlängerung kann jedoch nicht pauschal mit einem zu hohen Arbeitsaufkommen begründet werden, sondern erfordert eine Prüfung im Einzelfall.

Welche Betroffenenrechte gibt es in der DSGVO?

Die Informationspflicht des für die Datenverarbeitung Verantwortlichen (Artt. 13, 14 DSGVO).

Art. 13 DSGVO und Art. 14 DSGVO bilden einen gemeinsamen Komplex. Zusammen mit Art. 15 DSGVO konstituieren die Vorschriften einen wesentlichen Bestandteil („Magna Charta“) der Betroffenenrechte. Erst durch die mit Hilfe von Art. 13 DSGVO gewonnen Informationen kann die betroffene Person eine Datenverarbeitung richtig einschätzen und ihre Betroffenenrechte ordnungsgemäß wahrnehmen. Art. 13 DSGVO hat daher eine fundamentale Bedeutung.

Der EU-Gesetzgeber hat die Grundsätze der fairen und transparenten Verarbeitung dadurch konkretisiert, dass er bestimmte Informationen als „Bringschuld“ des Verantwortlichen gegenüber der betroffenen Person festgelegt hat. In diesem Sinne regelt Art. 13 Abs. 1 DSGVO, dass der betroffenen Person v. a. die Kontaktdaten des Verantwortlichen, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie Informationen zu den Empfängern der personenbezogenen Daten ebenso wie die Rechtsgrundlage der Datenverarbeitung und eine nachvollziehbare Interessenabwägung mitgeteilt werden.

Nach Art. 13 Abs. 1 und Abs. 2 DSGVO muss die betroffene Person zudem über alle Betroffenenrechte informiert werden, also über das Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss die betroffene Person darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v. a. Profiling) beruht. Dabei ist zu berücksichtigen, dass der betroffenen Personen die Informationen bei Datenerhebung übermittelt werden müssen, also z. B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufvertrages im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z. B. bei der Registrierung für ein Benutzerkonto. Dabei verlangt Art. 12 Abs. 1 DSGVO, dass die mitzuteilenden Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Das heißt, dass die Informationen für die jeweiligen Adressaten verständlich sein müssen, u. a. indem in Datenschutzhinweisen auf mehrdeutige Formulierungen, Fremdwörter und komplizierte Satzkonstruktionen verzichtet und näher an der Alltagssprache formuliert wird. Die DSGVO lässt eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist nicht nur auf die bereits erwähnte Pflicht zur Verwendung einer einfachen, sondern zusätzlich auch alters- bzw. kindgerechten Sprache zu achten. Die Informationspflicht besteht nach Art. 13 Abs. 4 DSGVO nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast.

Art. 14 DSGVO regelt zudem entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen selbst, sondern von Dritten (z. B. Auskunfteien bezüglich der Kreditwürdigkeit) erhoben wurden. Die Informationspflichten des Unternehmens bei einer Datenerhebung von Dritten sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar. Darüber hinaus trifft das Unternehmen die Pflicht, die Quelle, aus der die Informationen stammen, mitzuteilen. Anders als im Rahmen des Art. 13 DSGVO müssen die Informationen nicht in allen Fällen sofort übermittelt werden, sondern spätestens innerhalb einer Frist von maximal einem Monat nach Erlangung der Daten. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, ist die Mitteilung jedoch spätestens zum Zeitpunkt der ersten Kontaktaufnahme zu machen. 

Haben Sie Fragen zum Umgang mit Betroffenenrechten? Wir helfen Ihnen gerne weiter.

Kontaktieren Sie uns jetzt

2. Mit der aktiven Informationspflicht des Verantwortlichen korrespondiert ein weitgehendes Auskunftsrecht (Art. 15 DSGVO) des Betroffenen

Art. 15 DSGVO gewährt einen Anspruch auf umfassende Information hinsichtlich der verarbeiteten personenbezogenen Daten sowie spezifischer Umstände der Datenverarbeitung. Begrenzt wird der Auskunftsanspruch durch entgegenstehende Rechte Dritter. Dies hat insbesondere zur Folge, dass über Geschäftsgeheimnisse keine Auskunft zu erteilen ist.  Von Art. 15 DSGVO geht hohe praktische Relevanz aus, die künftig weiter zunehmen dürfte. 

Das Auskunftsrecht ist zweistufig ausgestaltet. Zunächst hat die betroffene Person auf der ersten Stufe ein Auskunftsrecht, ob sie betreffende personenbezogene Daten verarbeitet werden. Sofern dies nicht der Fall ist, hat der Verantwortliche eine Negativauskunft zu erteilen. Falls eine Verarbeitung vorliegt, hat die betroffene Person auf der zweiten Stufe ein Recht auf Auskunft über die personenbezogenen Daten, die verarbeitet werden, sowie auf bestimmte zusätzliche Informationen.

Zur Geltendmachung kann die betroffene Person in angemessenen Abständen Auskunft über die Datenverarbeitung verlangen. Der Antrag ist grundsätzlich formfrei möglich. Der Verantwortliche hat bei einem Auskunftsbegehren v. a. über den Zweck der Datenverarbeitung Auskunft zu geben sowie darüber, welche Kategorien personenbezogener Daten verarbeitet werden und welchen Empfängern bzw. Kategorien von Empfängern die Daten ggf. offengelegt wurden. 

Daneben umfasst das Auskunftsrecht weitere Informationen wie

  • die geplante Speicherdauer bzw. die Kriterien für die Festlegung dieser Dauer,
  • Die Belehrung über die einzelnen Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Beschwerderecht bei einer Aufsichtsbehörde),
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. weiterer Auswirkungen,
  • die Unterrichtung über geeignete Garantien bei Datenübermittlungen an Drittstaaten oder an internationale Organisationen.

Darüber hinaus hat die betroffene Person nach Art. 15 Abs. 3 DSGVO einen Anspruch auf die kostenfreie Übermittlung einer Kopie der über sie verarbeiteten personenbezogenen Daten. Für weitere Kopien darf der Verantwortliche ein angemessenes Entgelt verlangen. Keine „weitere“ Kopie beantragt der Betroffene, wenn er einen erneuten Auskunftsantrag stellt und sich der Datenbestand des Verantwortlichen seit Übersendung der letzten Kopie erheblich verändert hat. Inhalt und Reichweite des Rechts auf Datenkopie sind allerdings im Einzelnen nach wie vor noch sehr umstritten. Die Auskunftserteilung kann je nach Menge der angefallenen Daten sehr umfangreich ausfallen. In diesen Fällen bietet sich Aufbereitung der Daten im Rahmen des Auskunftsprozesses an, welcher bereits zuvor in die laufenden unternehmerischen Prozesse integriert werden sollte.

3. Das Recht auf Berichtigung (Art. 16 DSGVO)

Sind die personenbezogenen Daten der betroffenen Person unrichtig verarbeitet worden, so hat diese ein Recht auf unverzügliche Berichtigung. Das Recht der betroffenen Person auf Berichtigung hängt eng mit dem Auskunftsrecht nach Art. 15 DSGVO zusammen. Ohne das Recht auf Auskunft über die über sie verarbeiteten personenbezogenen Daten könnte die betroffene Person von ihrem Berichtigungsrecht keinen Gebrauch machen. Das Recht auf Berichtigung hat zwei Bestandteile: Die betroffene Person kann sowohl die Korrektur unrichtiger Daten als auch die Vervollständigung oder Ergänzung unvollständiger Daten verlangen.

Das könnte Sie auch interessieren:

4. Das Recht auf Datenlöschung (Art. 17 DSGVO) 

Das Recht auf Datenlöschung (Art. 17 DSGVO) setzt das sogenannte „Recht auf Vergessenwerden“ um. Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe Platz greift: 

  • Das Speichern der Daten ist zur Zweckerreichung der Datenerhebung nicht mehr notwendig
  • Die betroffene Person widerruft ihre vorher erteilte Einwilligung in die Datenverarbeitung
  • Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt und es besteht kein berechtigtes Interesse an der Verarbeitung (im Falle des Art. 21 Abs. 2 DSGVO muss die Löschung unabhängig vom Interesse an der Verarbeitung erfolgen)
  • Die Daten wurden unrechtmäßig verarbeitet
  • Das Unternehmen ist aufgrund einer gesetzlichen Pflicht (aus dem EU-Recht oder dem nationalen Recht eines Mitgliedstaates) zur Löschung der Daten verpflichtet.
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 DSGVO erhoben.

Außerdem gibt es gemäß Art 17 Abs. 3 DSGVO eine Reihe von Ausnahmen, bei deren Eingreifen die Löschpflicht nicht gilt. Wichtigste Ausnahme ist das Entfallen der Löschpflicht bei Bestehen einer rechtlichen Verpflichtung, zum Beispiel bei Aufbewahrungspflichten aufgrund arbeits-, steuer- oder handelsrechtlicher Vorgaben.

5. Das Recht auf Einschränkung der Verarbeitung

Nach Art. 18 DSGVO hat der Betroffene ein Recht auf Einschränkung der Verarbeitung. Die Vorschrift intendiert einen vorläufigen Ausgleich zwischen den Interessen des Betroffenen an der Wahrung des informationellen Selbstbestimmungsrechts und dem Verantwortlichen an der Verarbeitung der personenbezogenen Daten. Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • die betroffene Person stellt die Richtigkeit der Daten in Frage,
  • die Verarbeitung ist unrechtmäßig,
  • die Daten werden zur Geltendmachung von Rechtsansprüchen benötigt, nachdem der Zweck der Datenverarbeitung sich erledigt hat oder
  • die betroffene Person hat Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Nach Art. 18 DSGVO können die Daten aufgrund der Einschränkung der Verarbeitung nur noch unter besonders engen Voraussetzungen und besonderen Zweckbestimmungen verarbeitet werden. Die jeweiligen personenbezogenen Daten müssen zwar nicht gelöscht, dürfen aber auch nicht mehr anderweitig verarbeitet werden. Zu diesem Zweck sind die Daten, deren Verarbeitung eingeschränkt werden soll, zu markieren und entsprechend zu behandeln.

6. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Das Recht auf Datenübertragbarkeit (oder auch „Recht auf Datenportabilität“) ist ein erst durch die DSGVO geschaffenes Recht. Die Vorschrift soll der betroffenen Person eine effizientere Kontrolle über ihre Daten verschaffen sowie Lock-In-Effekten entgegentreten, indem das „Anbieter-Switching“ erleichtert wird. Dadurch soll der Wettbewerb gefördert werden. Die Vorschrift gibt der betroffenen Person die Möglichkeit, über sie gespeicherte Daten (zum Beispiel in sozialen Medien) zum Zwecke der Übermittlung in einem entsprechenden portablen Format zu erhalten oder gegebenenfalls die Daten direkt an den anderen Anbieter zu übermitteln. Damit sollen Monopole verhindert werden, etwa weil die betroffene Person befürchten muss, zu viel Zeit für den Aufbau eines neuen Profils bei einem Konkurrenzanbieter zu benötigen.

Umfasst von dieser Vorschrift sind allerdings nur diejenigen Daten, welche die betroffene Person selbst gegenüber dem Verantwortlichen bereitgestellt hat. Dies sind insbesondere Daten, die die betroffene Person selbst beim Anlegen des Benutzerkontos oder beim Eingeben von „Posts“ in sozialen Medien verwendet hat. Offen bleibt nach wie vor, ob auch Daten erfasst sind, die in der Interaktion mit dem Dienst des Verantwortlichen entstanden sind, wie z. B. in „smarten Geräten“ oder „Wearables“ erfasste Daten.

Da es vorkommen kann, dass die von der betroffenen Person bereitgestellten Daten  nicht nur Informationen zu ihr selbst, sondern auch von Dritten enthalten, sieht Art. 20 Abs. 4 DSGVO vor, dass das Recht auf Datenübertragbarkeit die Rechte und Freiheiten anderer Personen nicht beeinträchtigen darf. Damit ist bei Daten mit Drittbezug eine Abwägung der Grundrechte und Interessen des Antragstellers mit den Daten der ebenfalls betroffenen Person vorzunehmen. Das Recht auf Datenübertragbarkeit besteht schließlich auch dann nicht, wenn es zu unlauteren oder rechtsmissbräuchlichen Zwecken verwendet wird.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

7. Gelten die Betroffenenrechte in allen Mitgliedstaaten gleichermaßen?

Ziel der DSGVO ist unter anderem die Schaffung eines einheitlichen Datenschutzniveaus in allen Mitgliedstaaten. Allerdings enthält die DSGVO an vielen Stellen sog. „Öffnungsklauseln“ (z. B. Art. 85 Abs. 2 DSGVO), die es den Mitgliedstaaten ermöglichen, in gewissen Grenzen eigene nationale Regelungen zu erlassen. Insbesondere ist hier das sog. Medienprivileg zu beachten, welches der deutsche Gesetzgeber im Rundfunkstaatsvertrag (RStV) in § 57 geregelt hat. Abstrahiert lässt sich sagen, dass das Medienprivileg zur weitgehenden Freistellung der Presse, des Rundfunks und der Telemedien von datenschutzrechtlichen Anforderungen führt. 

Fazit und Handlungsempfehlung: Welchen Stellenwert haben die Betroffenenrechte?

Die Betroffenenrechte stellen eine der zentralen Säulen der DSGVO dar. Verstöße werden von den Aufsichtsbehörden mit empfindlichen Bußgeldern geahndet. Für die betroffene Person sind die Betroffenenrechte sowohl Kommunikations- als auch Überwachungsmittel im Verhältnis zum Verantwortlichen. Kein Unternehmen kommt um die Einhaltung der DSGVO herum. Sie gehört zu den grundsätzlichen gesetzlichen Pflichten eines Unternehmens gegenüber seinen Kunden. Schon aus diesem Grund müssen Unternehmen auf ihre datenschutzrechtliche Außenwahrnehmung größten Wert legen. Eine gut geführte Datenschutzabteilung, die schnell, umfassend und verlässlich die Betroffenenrechte erfüllt, stellt ein starkes Aushängeschild dar. Die Anfragen von betroffenen Personen sollten daher stets ernst genommen und dazu genutzt  werden, die eingeführten Datenschutzprozesse einer Selbstkontrolle zu unterziehen und deren Qualität zu verbessern.

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen