Betroffenenrechte
Die Datenschutz-Grundverordnung (DSGVO) räumt den Bürgerinnen und Bürgern, die von einer Datenverarbeitung betroffen sind (Betroffene), umfangreiche Rechte zu ihren personenbezogenen Daten ein. In diesem Informationsblatt sind die Betroffenenrechte für Sie zusammengefasst.
- Informationspflicht und Recht auf Auskunft
- Recht auf Berichtigung
- Recht auf Löschung, Vergessenwerden und Einschränkung der Verarbeitung
- Mitteilungspflicht im Zusammenhang mit der Berichtigung, Löschung personenbezogener Daten und Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
- Recht auf Widerruf einer Einwilligung
- Recht auf nicht-automatisierte Entscheidung
- Recht auf Beschwerde bei der Aufsichtsbehörde
1. Informationspflicht und Recht auf Auskunft (Art. 13 - 15 DSGVO)
Der oder die für eine Datenverarbeitung Verantwortliche hat gegenüber den Betroffenen eine Informationspflicht. Die betroffene Person hat ihrerseits ein Recht auf Auskunft. Beide Ansprüche helfen den Betroffenen, den Überblick und die Kontrolle über die Verwendung ihrer Daten zu behalten.
Direkt mit dem Beginn einer Datenverarbeitung verknüpft ist die Informationspflicht der verantwortlichen Stelle. Sobald personenbezogene Daten erhoben werden, muss die verantwortliche Stelle die betroffene Person informieren. Dabei ist es unerheblich, ob die Daten direkt bei der betroffenen Person oder aus einer anderen Quelle erhoben werden.
Auswirkungen bestehen jedoch beim Umfang der Informationspflicht und den möglichen Ausnahmen (Details dazu siehe unten).
Betroffene Personen haben immer ein Recht auf Auskunft, ob eine bestimmte Stelle überhaupt Daten zu ihrer Person verarbeitet (Art. 15 Abs. 1 S. 1 DSGVO). Darüber hinaus gelten Informationspflicht und Auskunftsrecht jedoch nicht unbegrenzt. Die DSGVO regelt, in welchem Umfang Informationen gegeben werden müssen. Ebenfalls geregelt ist, in welchen Fällen den Betroffenen kein Recht auf umfassende Auskunft zusteht.
Welche Informationen Betroffenen zustehen:
1 Betroffene müssen auf ihre Rechte hingewiesen werden. Die Hinweispflicht gilt für die Rechte auf Berichtigung, Löschung, Widerspruch, Widerruf der Einwilligung und die Möglichkeit zur Beschwerde bei der Aufsichtsbehörde. Der Verantwortliche ist über die Informationspflicht dazu verpflichtet, auf das Auskunftsrecht hinzuweisen.
2In diesen Fällen müssen auch die personenbezogenen Daten selbst als Kopie ausgehändigt werden.
3Die verantwortliche Stelle muss Betroffene darüber informieren, ob die Verarbeitung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist. Zudem müssen Betroffene informiert werden, ob sie verpflichtet sind, die Daten bereitzustellen und welche Folgen eine Weigerung hätte.Ausnahmen von den Betroffenenrechten
1Diese Ausnahmen gelten nur für Fälle, in denen die Daten beim Betroffenen erhoben wurden und in denen die verantwortliche Stelle beabsichtigt, diese Daten für andere als die ursprünglich vorgesehenen Zwecke zu nutzen. Sofern die verantwortliche Stelle die Daten für die ursprünglichen Zwecke verarbeitet, gelten die gekennzeichneten Ausnahmen nicht.
2. Recht auf Berichtigung (Art. 16 DSGVO)
Bemerkt eine betroffene Person, dass Daten zu ihr falsch sind, kann deren unverzügliche Berichtigung verlangt werden. Unverzüglich bedeutet, dass es zu keiner schuldhaften Verzögerung bei der Berichtigung durch die verantwortliche Stelle kommen darf. Je nach Aufwand der Berichtigung kann eine gewisse Bearbeitungszeit toleriert werden.
3. Recht auf Löschung, Vergessenwerden und Einschränkung der Verarbeitung (Art. 17 und 18 DS-GVO)
Die Rechte auf Löschung und Einschränkung der Verarbeitung sind an gewisse Voraussetzungen geknüpft (siehe 3.1). Neu durch die DSGVO eingeführt wurde das „Recht auf Vergessenwerden“, welches insbesondere bei Einträgen in Suchmaschinen eine Rolle spielt.
3.1 Recht auf Löschung
Die für eine Datenverarbeitung verantwortliche Stelle muss in folgenden Fällen personenbezogene Daten löschen.
- Die Daten sind nicht mehr erforderlich oder wurden unrechtmäßig verarbeitet.
- Die Einwilligung in die Datenverarbeitung wurde widerrufen und es gibt darüber hinaus keine weitere Rechtsgrundlage für die Verarbeitung.
- Der/ die Betroffene hat Widerspruch gegen die Verarbeitung eingelegt und der/ die Verantwortliche kann keine schützenswerten Gründe benennen.
- Aufgrund von anderen Rechtsgrundlagen ist die Löschung notwendig.
- Ein Kind oder ein Jugendlicher hat sich eigenständig bei einem sozialen Netzwerk oder einem anderen Dienst der Informationsgesellschaft angemeldet, obwohl er oder sie noch nicht die erforderliche Altersgrenze erreicht hat.
Ausnahmen vom Recht auf Löschung:
- Die Daten werden im Rahmen der freien Meinungsäußerung und Information verwendet. Dazu kann auch die Nutzung von sozialen Netzwerken oder Bewertungsportalen zählen.
- Die Datenverarbeitung dient der Geltendmachung von Rechtsansprüchen.
- Die Datenverarbeitung dient einer legitimen öffentlichen Aufgabe oder steht im öffentlichen Interesse. Dies gilt insbesondere für die öffentliche Gesundheit.
- Die Datenverarbeitung ist für Forschung, Wissenschaft oder Statistik erforderlich und eine Löschung würde dies unmöglich machen oder ernsthaft beeinträchtigen.
Ungeachtet dieser Ausnahmen ist die verantwortliche Stelle auch ohne den konkreten Wunsch einer betroffenen Person zur Löschung personenbezogener Daten verpflichtet, wenn die Daten für den jeweiligen Zweck nicht mehr benötigt werden. Diese Pflicht ergibt sich aus den Grundsätzen der Zweckbindung und der Speicherbegrenzung.
3.2 Recht auf Vergessenwerden
Das Recht auf Vergessenwerden wurde durch die DSGVO neu eingeführt. Verantwortliche, die Daten veröffentlicht haben, müssen bei einem berechtigten Verlangen auf Löschung noch weitere Schritte unternehmen. So müssen sie andere Stellen, die diese Daten verarbeiten, darüber informieren, dass die betroffene Person die Löschung aller Links auf diese Daten oder von Kopien oder Repliken verlangt. Dies ist insbesondere für Suchmaschinenbetreiber von Bedeutung, die verpflichtet sind, ihrerseits die Betreiber weiterer Webseiten, auf die sie verlinken, über den Wunsch auf Löschung zu informieren.
3.3 Recht auf Einschränkung der Verarbeitung
Bei einer Einschränkung der Verarbeitung dürfen Daten nur noch gespeichert, aber nicht mehr auf andere Weise verarbeitet werden. Diese Einschränkung dient dazu, die Betroffenenrechte in einen Ausgleich zu den Rechten der verantwortlichen Stelle zu bringen, die aber nur noch eine begrenzte Wirkung haben. Sobald die Rechte der Verantwortlichen erloschen sind, werden die personenbezogenen Daten endgültig gelöscht.
In den folgenden Fällen muss die Verarbeitung auf Verlangen eingeschränkt werden.
- Solange die verantwortliche Stelle die Daten überprüft, sofern die betroffene Person eine Berichtigung verlangt hat.
- Wenn die/ der Betroffene statt einer Löschung ausdrücklich eine Einschränkung verlangt.
- Wenn die verantwortliche Stelle die personenbezogenen Daten nicht mehr für eigene Zwecke benötigt, die betroffene Person die eigenen Daten aber noch für eine Verfolgung eigener Ansprüche nutzen möchte.
- Wenn die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, aber noch geprüft werden muss, ob nicht das Interesse der verantwortlichen Stelle überwiegt.
Ausnahmen vom Recht auf Einschränkung der Verarbeitung
- Im Bereich der Forschung und Statistik, wenn durch eine Einschränkung der ursprüngliche Zweck nicht mehr erreicht oder ernsthaft beeinträchtigt würde.
- Betroffenen steht ebenfalls kein Einschränkungsrecht zu, wenn dadurch Archivzwecke im öffentlichen Interesse ernsthaft beeinträchtigt würden. Ausnahme von der Ausnahme ist ein Verlangen auf Einschränkung, um eigene Ansprüche geltend zu machen. In diesem Fall spielen auch Archivzwecke keine Rolle.
4. Mitteilungspflicht im Zusammenhang mit der Berichtigung, Löschung personenbezogener Daten und Einschränkung der Verarbeitung (Art. 19 DS-GVO)
Der oder die Verantwortliche muss grundsätzlich allen Empfängern der Daten jede Berichtigung, Löschung oder Einschränkung mitteilen. Eine Ausnahme besteht, wenn dies unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist. Im Gegensatz zum Recht auf Vergessenwerden bezieht sich diese Verpflichtung auf vorangegangene Übermittlungen an konkrete Empfänger.
5. Recht auf Datenübertragbarkeit (Art. 20 DS-GVO)
Mit diesem Recht soll die Datensouveränität der Betroffenen gestärkt werden. Sie haben damit die Möglichkeit, ihre Daten unter bestimmten Voraussetzungen zu einem anderen Anbieter überführen zu lassen. Das Recht auf Datenübertragbarkeit soll den Wechsel zwischen verschiedenen Anbietern erleichtern. Es greift bei Banken oder Versicherungen genauso wie bei sozialen Netzwerken oder anderen Unternehmen der Informationsgesellschaft.
Bei der Datenübertragung muss der oder die Verantwortliche die Daten in einem gängigen, maschinenlesbaren Format entweder direkt an die betroffene Person, oder, wenn es technisch möglich ist, an einen von der betroffenen Person benannten Dritten herausgeben. Voraussetzung für das Recht auf Datenübertragbarkeit ist eine Datenverarbeitung, die auf einer Einwilligung oder auf einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.
Dieses Recht besteht nicht, wenn die Verarbeitung einer öffentlichen Aufgabe oder Archivzwecken dient oder aufgrund eines berechtigten Interesses der verantwortlichen Stelle erfolgt.
6. Widerspruchsrecht (Art. 21 DS-GVO)
Grundsätzlich gewährt die DS-GVO ein Widerspruchsrecht – auch gegen eine prinzipiell rechtmäßige Datenverarbeitung. Dabei muss die betroffene Person jedoch begründen, warum die verantwortliche Stelle die Datenverarbeitung beenden soll. Die Begründung ist erforderlich, weil zunächst angenommen wird, dass die verantwortliche Stelle die Rechtmäßigkeit der Datenverarbeitung vorab geprüft hat und rechtskonforme Gründe hierfür anführen kann. Nach einem Widerspruch dürfen die personenbezogenen Daten der betroffenen Person nicht mehr zu diesen Zwecken verarbeitet werden, es sei denn, der oder die Verantwortliche kann einen Grund nachweisen, der die Interessen der betroffenen Person überwiegt. Ein Widerspruchsrecht besteht nicht,
- wenn eine öffentliche Stelle durch eine Rechtsvorschrift zur Verarbeitung verpflichtet ist.
- wenn dadurch Forschungs- oder Statistikprojekte ernsthaft beeinträchtigt würden.
Ein uneingeschränktes, begründungsfreies Widerspruchsrecht besteht bei Daten, die zur Direktwerbung verarbeitet werden.
Betroffene müssen auf ihr Widerspruchsrecht hingewiesen werden; in einer verständlichen Form und getrennt von anderen Informationen.
7. Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3 DS-GVO)
Eine erteilte Einwilligung kann jederzeit widerrufen werden. Dabei muss der Widerruf genauso einfach möglich sein wie die Einwilligung selbst. Alle Verarbeitungen der Daten bis zum Widerruf der Einwilligung bleiben allerdings rechtmäßig.
Auf das Recht zum Widerruf muss der oder die Verantwortliche gesondert hinweisen.
8. Recht auf nicht-automatisierte Entscheidung (Art. 22 DS-GVO)
Betroffene haben das Recht, nicht einer ausschließlich automatisierten Verarbeitung unterworfen zu werden, wenn diese ihnen gegenüber eine rechtliche Wirkung entfaltet oder sie ähnlich beeinträchtigt. Hierzu zählt insbesondere auch die Profilbildung. Dieses Recht greift allerdings nicht, wenn die automatisierte Entscheidung für die Erfüllung eines Vertrags erforderlich oder durch eine andere Rechtsvorschrift erlaubt ist. Auch in diese Form der Datenverarbeitung kann durch die betroffene Person ausdrücklich eingewilligt werden, womit sie rechtmäßig wird.
9. Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DS-GVO)
Jede betroffene Person hat das Recht auf Beschwerde bei der Aufsichtsbehörde. Dies steht Betroffenen unabhängig von allen anderen rechtlichen Mitteln zu. Haben Betroffene Grund zu der Annahme, dass bei der Verarbeitung ihrer personenbezogenen Daten gegen geltendes Datenschutzrecht verstoßen wird, können sie sich jederzeit an die zuständige Aufsichtsbehörde wenden.