DSGVO: Betroffenenrechte
Die Datenschutz-Grundverordnung (DSGVO) enthält umfangreiche Informationspflichten bei der Datenerhebung, Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, Widerspruchsrechte sowie das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. Wir geben Ihnen einen Überblick zu den Details.
Vorbemerkungen
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) stärkt spürbar die Rechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden.
Die DSGVO enthält umfangreiche Informationspflichten bei:
- der Datenerhebung,
- Auskunftsrechte,
- Rechte auf Berichtigung,
- Löschung,
- Einschränkung der Verarbeitung und Datenübertragbarkeit,
- Widerspruchsrechte sowie
- das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein.
Der Anspruch richtet sich in der Regel gegen den Verantwortlichen. Er ist verpflichtet, der betroffenen Personen die Ausübung ihrer Rechte (Art. 12 Abs. 2 DSGVO) zu erleichtern. Das verantwortliche Unternehmen muss auf Anträge des Betroffenen nach den Art. 15 bis 22 innerhalb eines Monats antworten.
Zwar gibt es Möglichkeiten der Fristverlängerung, allerdings müssen die Gründe dafür ebenfalls in der Monatsfrist mitgeteilt werden, so dass in jedem Fall schnell reagiert werden muss. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld. Der Verantwortliche im Unternehmen muss also Prozesse implementieren, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten.
Geringfügige Ausnahmen finden sich in § 37 BDSG-neu.
DSGVO Transparenzvorgaben
-
Auskunftsrecht (Art. 15 DSGVO)
Das Auskunftsrecht der betroffenen Person über beim Verantwortlichen gespeicherte personenbezogene Daten ist das zentrale Recht, um bei Bedarf gezielt weitere Rechte, z. B. Recht auf Berichtigung, Löschung etc. geltend zu machen. Die betroffene Person kann von dem Verantwortlichen eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person bezüglich dieser personenbezogenen Daten ein Recht auf Auskunft über:
- Verarbeitungszwecke,
- Kategorien personenbezogener Daten, die verarbeitet werden,
- Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, insbesondere Drittländer,
- soweit möglich über die geplante Speicherdauer, ansonsten Kriterien für die Festlegung der Dauer,
- Informationen über die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie über ein Widerspruchsrecht gegen die Verarbeitung,
- über das Beschwerderecht bei der Aufsichtsbehörde,
- über die Herkunft der Daten, soweit diese nicht von der betroffenen Person selbst erhoben wurden,
- soweit zutreffend über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling,
- wenn Übermittlung an Drittländer/internationale Organisation, dann Unterrichtung über die geeigneten Garantien gemäß Art. 46
Form der Auskunftserteilung: je nach Sachverhalt schriftlich, elektronisch oder mündlich, möglichst in Form einer Kopie der personenbezogenen Daten (Art. 15 Abs. 3). Der Verantwortliche hat sicherzustellen, dass die Auskunft nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.Als datenschutzfreundlichste Variante wird in Erwägungsgrund Nr. 63 Satz 4 ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System bezeichnet. Auch hier sieht das BDSG-neu Erleichterungen bzw. Modifizierungen vor (§§ 29, 30, 34).