Recht und Steuern

Betroffenenrechte

Die Betroffenenrechte nach der DSGVO (Art. 12 ff. DSGVO) stellen für Unternehmen zentrale Vorgaben im Umgang mit personenbezogenen Daten dar und sind ein wichtiger Bestandteil der Compliance- und Vertrauensstrategie gegenüber Kunden, Beschäftigten und Geschäftspartnern. Unternehmen sind verpflichtet, diese Rechte proaktiv und auf Antrag der Betroffenen zu erfüllen und dabei umfassende technische und organisatorische Maßnahmen zu implementieren, um die Einhaltung der DSGVO sicherzustellen und nachweisen zu können (Art. 24 DSGVO).

1. Überblick über die Betroffenenrechte

Die DSGVO gewährt betroffenen Personen eine Vielzahl von Rechten, die Unternehmen beachten müssen.

Recht auf Information und Transparenz

Bereits bei der Erhebung personenbezogener Daten müssen Unternehmen transparent und verständlich über die Datenverarbeitung, deren Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und die Rechte der Betroffenen informieren (Art. 12, Art. 13, Art. 14 DSGVO). Die Informationen müssen in klarer und einfacher Sprache erfolgen; bei fremdsprachigen Beschäftigten sollte, soweit möglich, die Information in der Muttersprache bereitgestellt werden.

Auskunftsrecht

Unternehmen müssen auf Antrag offenlegen, ob und welche personenbezogenen Daten verarbeitet werden, zu welchen Zwecken, an wen sie weitergegeben werden und wie lange sie gespeichert werden (Art. 15 DSGVO).

Recht auf Berichtigung

Betroffene können verlangen, dass unrichtige oder unvollständige Daten unverzüglich berichtigt werden (Art. 16 DSGVO).

Recht auf Löschung („Recht auf Vergessenwerden“)

Unter bestimmten Voraussetzungen müssen Daten gelöscht werden, etwa wenn die Einwilligung widerrufen wurde oder die Daten für die Zwecke der Verarbeitung nicht mehr erforderlich sind (Art. 17 DSGVO).

Recht auf Einschränkung der Verarbeitung

In bestimmten Fällen kann die Verarbeitung auf Antrag eingeschränkt werden (Art. 18 DSGVO).

Recht auf Datenübertragbarkeit

Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese einem anderen Verantwortlichen zu übermitteln (Art. 20 DSGVO).

Widerspruchsrecht

Gegen bestimmte Verarbeitungen, etwa zu Werbezwecken, kann jederzeit Widerspruch eingelegt werden (Art. 21 DSGVO).

Recht auf Beschwerde und gerichtlichen Rechtsschutz

Betroffene können sich bei einer Aufsichtsbehörde beschweren oder gerichtlichen Rechtsschutz in Anspruch nehmen (Art. 77, Art. 79 DSGVO).

2. Unternehmerische Pflichten und Herausforderungen

Unternehmen müssen die Betroffenenrechte aktiv und fristgerecht erfüllen:
  • Prozesse und Zuständigkeiten: Es sind klare Prozesse und Zuständigkeiten für die Bearbeitung von Betroffenenanfragen zu etablieren und zu dokumentieren.
  • Fristen: Anfragen sind unverzüglich, spätestens innerhalb eines Monats, zu beantworten; bei komplexen Fällen kann die Frist um zwei Monate verlängert werden, der Betroffene ist darüber zu informieren (Art. 12 Abs. 3 DSGVO).
  • Identitätsprüfung: Die Identität des Anfragenden ist zu prüfen, um Missbrauch zu verhindern.
  • Technische und organisatorische Maßnahmen: Unternehmen müssen geeignete Maßnahmen umsetzen, um die Einhaltung der DSGVO sicherzustellen und nachweisen zu können (Art. 24 DSGVO). Dazu gehören Datenschutzmanagement-Systeme, Zugriffskontrollen, Verschlüsselung, Protokollierung, Mitarbeiterschulungen und das Vieraugenprinzip.
  • Dokumentation: Die Datenverarbeitung und die Maßnahmen zum Datenschutz sind umfassend zu dokumentieren, insbesondere im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO.
  • Nachweispflicht: Unternehmen müssen gegenüber Aufsichtsbehörden die Einhaltung der DSGVO nachweisen können; dies erleichtert auch die Verteidigung in Behördenverfahren und Schadensersatzprozessen.

3. Sanktionen und Haftungsrisiken

Die Missachtung von Betroffenenrechten kann erhebliche Konsequenzen nach sich ziehen:
  • Bußgelder: Verstöße gegen die DSGVO, insbesondere gegen die Datenschutzgrundsätze und Betroffenenrechte, können mit hohen Bußgeldern geahndet werden (Art. 83 Abs. 5 lit. a DSGVO).
  • Schadensersatz: Betroffene können Schadensersatzansprüche geltend machen (Art. 82 DSGVO). Die Beweislast für die Geeignetheit der technischen und organisatorischen Maßnahmen liegt beim Unternehmen.
  • Reputationsschäden: Neben finanziellen Risiken drohen erhebliche Reputationsschäden für das Unternehmen.

4. Praktische Empfehlungen für Unternehmen

  • Schulen Sie Ihre Mitarbeitenden regelmäßig zum Umgang mit Betroffenenanfragen und Datenschutz.
  • Halten Sie Ihre Datenschutzhinweise aktuell und leicht zugänglich.
  • Dokumentieren Sie alle Anfragen und deren Bearbeitung.
  • Implementieren Sie ein strukturiertes Datenschutzmanagement-System und überprüfen Sie regelmäßig Ihre Prozesse.
  • Nutzen Sie anerkannte Standards und Zertifizierungen zur Unterstützung der Nachweispflicht.

5. Compliance und Haftung

Die Einhaltung der Betroffenenrechte ist ein fortlaufender Prozess. Der EuGH betont weitgehende Compliance-Pflichten von Unternehmen, die geeignete Maßnahmen zur Vorbeugung von Datenschutzverstößen ergreifen müssen. Dies kann zu einer Ausweitung der Haftung führen, auch für Datenschutzverstöße Dritter, wenn keine ausreichenden Vorkehrungen getroffen wurden.