Melden Sie sich zu unserem Newsletter an!
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
Jetzt anmelden!© John Schnobrich, Unsplash
Die wichtigsten Betroffenenrechte und wie Sie diese wahrnehmen
Zuletzt aktualisiert am 29. März 2023
Ziel der DSGVO ist es, die Grundrechte und Freiheiten von Personen zu schützen. Daher werden ihnen im Rahmen des Gesetzes umfassende Rechte zugesprochen – die Betroffenenrechte.
Dadurch sollen Betroffene mehr Autonomie über ihre personenbezogenen Daten erhalten und gleichzeitig Verantwortliche besser kontrollieren können.
Wir stellen vor, welche Rechte es gibt und wie Betroffene diese wahrnehmen können.
Grundsätzliches zu Betroffenenrechten
Verantwortliche sind gesetzlich verpflichtet, die Ausübung der Betroffenenrechte zu erleichtern und dürfen sich nur in ganz bestimmten Fällen weigern. Beispielsweise wenn sie die betroffene Person nicht identifizieren können oder andere gesetzliche Verpflichtungen dies verhindern.
Betroffenenanfragen müssen Verantwortliche in der Regel innerhalb eines Monats beantworten. In besonders komplizierten Fällen oder wenn viele Betroffenenanfragen vorliegen, kann die Frist um weitere zwei Monate verlängert werden. Darüber müssen die Verantwortlichen die Betroffenen allerdings informieren und die Gründe für die Verlängerung angeben. Von offenkundig unbegründeten oder exzessiven Anträgen abgesehen hat die Auskunft unentgeltlich zu erfolgen.
Kommen Verantwortliche ihren Pflichten nicht nach oder setzen sie die Betroffenenrechte nicht um, können sich Betroffene an die jeweils zuständige Aufsichtsbehörde wenden und Beschwerde einlegen. Sie können auch gerichtlich gegen die Verantwortlichen vorgehen.
Die wichtigsten Betroffenenrechte
1. Informationspflicht bei der Verarbeitung von personenbezogenen Daten
Im Grunde handelt es sich bei der Informationspflicht weniger um ein Recht für Betroffene als um eine Pflicht für Verantwortliche. Diese müssen Betroffene nämlich präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache über die Verarbeitung ihrer personenbezogenen Daten informieren. Wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden, müssen die Verantwortlichen ebenfalls über die Herkunft dieser Daten informieren. Dadurch sollen betroffene Personen in die Lage versetzt werden, ihre Rechte wahrzunehmen und den Umgang mit ihren Daten nachzuvollziehen.
Sie wollen up to date bleiben?
In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Melden Sie sich an und sichern Sie sich unsere Flowchart "Kaltakquise: Benötige ich eine Einwilligung?".
2. Recht auf Auskunft
Jede betroffene Person hat das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn dies der Fall ist, hat die betroffene Person das Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
- Die Verarbeitungszwecke
- Die Kategorien personenbezogener Daten, die verarbeitet werden
- Die Empfänger:innen oder Kategorien von Empfänger:innen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfänger:innen in Drittländern oder bei internationalen Organisationen
- Falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
- Das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch die Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
- Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
- Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4
- Wenn die personenbezogenen Daten in ein Drittland übermittelt werden, hat die betroffene Person das Recht, über geeignete Garantien zu erfahren
Betroffene haben zudem ein Recht darauf, eine kostenlose Kopie ihrer personenbezogenen Daten zu erhalten. Dabei müssen allerdings die Rechte und Freiheiten anderer Personen berücksichtigt werden. Werden diese beeinträchtigt, müssen Verantwortliche ggf. Schwärzungen vornehmen oder Informationen auslassen.
Verarbeiten Verantwortliche keine personenbezogenen Daten der Betroffenen, müssen sie eine Negativauskunft erteilen.
Das Recht auf Auskunft ist eines der wichtigsten Betroffenenrechte. Nur, wenn Betroffene wissen, welche ihrer Daten verarbeitet werden, können sie ihre weiteren Rechte – z. B. auf Einschränkung, Berichtigung oder Löschung – in Anspruch nehmen. Für Betroffene sind Auskunftsersuchen also ein wichtiges Instrument zur Datenautonomie.
3. Recht auf Berichtigung
Auf Basis ihres Auskunftsersuchens können Betroffene die Berichtigung sie betreffender Daten einfordern. Verantwortliche müssen die entsprechenden unrichtigen Daten unverzüglich berichtigen. Zudem können Betroffene unvollständige Daten vervollständigen, wenn sie das möchten. Die Verantwortlichen müssen im Anschluss über die vorgenommenen Berichtigungen informieren.
4. Recht auf Löschung/Vergessenwerden
Auch für das sogenannte Recht auf Vergessenwerden sind Auskunftsersuchen eine wichtige Grundlage. Grundsätzlich haben alle Betroffenen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen. Dafür muss aber mindestens eine der folgenden Voraussetzungen erfüllt sein:
- Die personenbezogenen Daten sind für die Zwecke, zu denen sie erhoben wurden, nicht mehr notwendig.
- Die betroffene Person widerruft ihre Einwilligung und es gibt keine weitere Rechtsgrundlage für die weitere Verarbeitung der Daten.
- Die Person legt Widerspruch ein und es gibt keine vorrangingen berechtigen Gründe für die Verarbeitung.
- Die Daten wurden unrechtmäßig verarbeitet.
- Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig.
Ist mindestens eine der Voraussetzungen erfüllt und greift keine Ausnahme, müssen Verantwortliche die jeweiligen personenbezogenen Daten unverzüglich löschen und weitere Verantwortliche, denen sie die Daten weitergeleitet haben, entsprechend informieren. Wenn sie die Löschung vorgenommen haben, müssen Verantwortliche auch die jeweils betroffene Person informieren.
5. Recht auf Einschränkung der Verarbeitung
Nicht immer können Daten gelöscht werden, z. B., wenn diese noch für Archivzwecke benötigt werden. In solchen Fällen können Betroffene eine Einschränkung der Verarbeitung sie betreffender personenbezogener Daten beantragen. Wird die Verarbeitung eingeschränkt, dürfen die Daten – mit wenigen Ausnahmen – lediglich gespeichert und mit Einwilligung der Person verarbeitet werden. Auch hier müssen allerdings einige Voraussetzungen erfüllt sein:
- Die Richtigkeit der personenbezogenen Daten wird bestritten (überprüfbar).
- Es handelt sich um eine unrechtmäßige Verarbeitung.
- Die personenbezogenen Daten werden für die Erfüllung der Zwecke nicht mehr benötigt, die betroffene Person benötigt sie aber für Rechtsansprüche.
- Die betroffene Person hat Widerspruch eingelegt, es steht aber noch nicht fest, wessen Interessen überwiegen.
Wird die Verarbeitung eingeschränkt oder die Einschränkung aufgehoben, müssen die Betroffenen darüber informiert werden.
6. Recht auf Datenübertragbarkeit
Zusätzlich haben Betroffene ein Recht darauf, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und anderen Verantwortlichen zu übermitteln. Voraussetzung ist hier, dass die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht, die Verarbeitung mithilfe automatisierter Verfahren erfolgt und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.
7. Widerspruchsrecht
Bei vielen Verarbeitungen ist die Rechtsgrundlage eine Einwilligung der betroffenen Person. Diese können Betroffene allerdings jederzeit widerrufen oder Widerspruch gegen die Verarbeitung einlegen. Dann dürfen keine weiteren Verarbeitungen erfolgen – außer bei zwingenden schutzwürdigen Gründen. Spätestens bei der ersten Kommunikation müssen Betroffene auf dieses Recht hingewiesen werden.
8. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Zudem haben Betroffene das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu sein, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Es sei denn, dies ist für die Vertragserfüllung notwendig, aufgrund anderer Rechtsvorschriften zulässig oder es erfolgt mit der ausdrücklichen Einwilligung der betroffenen Person.
Betroffenenrechte wahrnehmen
Grundsätzlich können Betroffene ihre Rechte jederzeit wahrnehmen. Dabei müssen sie weder Gründe angeben noch irgendwelche Formalitäten einhalten. In der Regel bietet es sich aber an, Anfragen schriftlich einzureichen.
Um Ersuchen zu beschleunigen, können sich Betroffene an folgende Schritte halten:
1. Verantwortliche Stelle identifizieren
Betroffene sollten als erstes herausfinden, wohin sie ihr Ersuchen senden müssen. In der Regel steht dies in der Datenschutzerklärung der jeweiligen Organisation.
2. Ersuchen präzisieren
Gerade bei Auskunftsersuchen kann eine genaue Angabe, über welche Daten Auskunft verlangt wird, hilfreich sein. So können Betroffene sicherstellen, dass sie auch die Informationen erhalten, die sie benötigen. Außerdem erleichtert es die Datensammlung für Verantwortliche und kann das Ersuchen beschleunigen. Auch bei beispielsweise Lösch- und Einschränkungsersuchen sollten Betroffene genau angeben, auf welche Daten sie sich beziehen.
3. Mindestangaben machen
Um Betroffenenanfragen umsetzen zu können, müssen Verantwortliche die betroffene Person zweifelsfrei identifizieren. Daher sollten Betroffene mindestens folgende Angaben machen
- Name und Kontaktdaten
- Angaben zur eindeutigen Identifizierung, z. B. Kontonummer, Sicherheitsfrage etc.
Betroffene sollten sowohl eine Kopie ihres Ersuchens als auch mögliche Bestätigungen oder Nachweise der Zustellung aufbewahren. Dies sind wichtige Belege für eine Beschwerde oder im Falle eines Rechtsstreits.
Fazit
Betroffenenrechte sind ein wichtiges Mittel für Betroffene, um Autonomie über ihre Daten zu erreichen und zu behalten. Zudem können sie durch die Betroffenenrechte die Rechtmäßigkeit der sie betreffenden Verarbeitungen sicherstellen. Durch Beschwerden bei Datenschutzaufsichtsbehörden haben Betroffene gleichzeitig ein Instrument, um ihre Rechte – wenn nötig – auch einzufordern.
Quellen
Landesbeauftragter für Datenschutz und Informationssicherheit Baden-Württemberg (2019): „Unsere Freiheiten: Daten nützen – Daten schützen. Betroffenenrechte“, https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/03/Betroffenenrechte.pdf, letzter Zugriff am 29 März 2023.