Menü
Mitgliedschaften:
Finden wir in Art. 16 DSGVO. Resultiert eine Datenverarbeitung in unrichtigen personenbezogen Daten des Betroffenen, so hat dieser ein Recht auf unverzügliche Berichtigung. Dabei ist jedoch der Zweck der Verarbeitung zu berücksichtigen, sodass etwa bei Datenverarbeitungen im öffentlichen Interesse eine längere Zeitspanne bis zur Berichtigung angesetzt werden kann.
Etwas wirklich Neues ist Art. 20 DSGVO mit dem Recht auf Datenübertragbarkeit. Betroffene haben das Recht, die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie haben das Recht, diese Daten einem anderen für die Verarbeitung Verantwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln. Dieses Recht soll dann bestehen, wenn eine automatisierte Datenverarbeitung zur Durchführung eines Vertrags erfolgte oder auf einer Einwilligung basierte. Der Anspruch aus Art. 20 DSGVO beinhaltet darüber hinaus auch das Recht zu erwirken, dass die Daten direkt von einem für die Verarbeitung Verantwortlichen einem anderen für die Verarbeitung Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Durch die Schaffung des Rechts auf Datenübertragbarkeit soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten, die automatisiert verarbeitet werden, gestärkt werden. Hauptanwendungsfall werden wohl zunächst Soziale Netzwerke sein. Der Wechsel von einer Plattform wie Facebook hin zu einem anderen Anbieter soll durch die Möglichkeit zur Mitnahme der eingestellten Daten (Fotos, Beiträge, Kontaktdaten, persönliche Angaben) erleichtert werden. Dem Lock-In-Effekt bei der Nutzung eines Sozialen Netzwerks soll entgegengewirkt werden. Ein weiterer denkbarer Anwendungsfall könnte sich etwa beim Wechsel des Stromanbieters eines Verbrauchers ergeben. Bereits heute werden bei einem Wechsel Daten zwischen den betroffenen Anbietern weitergegeben. Welche weiteren Anwendungsbereiche das Recht auf Datenübertragbarkeit finden wird bleibt abzuwarten. Ebenso wird sich zeigen müssen, ob sich für die Verarbeitung Verantwortliche nicht hinter angeblichen technischen Hürden verschanzen werden, die einer Datenübermittlung an andere Anbieter angeblich im Wege stünden.
Gemäß Art. 18 DSGVO hat der Betroffene ein Recht auf Einschränkung der Verarbeitung, d.h. auf ein „Stopp!“ der Verarbeitung. Dieses Recht greift, wenn
• der Betroffene die Richtigkeit der Daten in Frage stellt,
• die Verarbeitung unrechtmäßig ist,
• die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden, nachdem der Zweck der Datenverarbeitung sich erledigt hat oder
• der Betroffene Widerspruch nach Art. 21 DSGVO eingelegt hat.
Unternehmen trifft bezüglich der Betroffenenrechte eine doppelte Mitteilungspflicht: Zum einen müssen sie alle Empfänger personenbezogener Daten darüber informieren, dass der Betroffene von seinen Rechten Nach Art. 16-18 Gebrauch gemacht hat (es sei denn diese Mitteilung ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden). Zudem müssen Unternehmen die Betroffenen über die entsprechenden Empfänger aufklären, wenn der Betroffene dies verlangt.
Das Auskunftsrecht der betroffenen Person steht Art. 15 DSGVO. Im groben entspricht dieses der Regelung des § 34 BDSG. Die betroffene Person hat nach Art. 15 DSGVO ein Recht zu erfahren, ob ein für die Verarbeitung Verantwortlicher sie betreffende personenbezogene Daten verarbeitet. Soweit dies der Fall ist, hat die betroffene Person weiter ein Recht auf Auskunft über die Umstände der Datenverarbeitung.
Wie schon in § 34 BDSG erstreckt sich das Auskunftsrecht auf die jeweiligen Daten, die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden und die Empfänger, an die die Daten weitergegeben werden oder worden sind.
Darüber hinaus erweitert Art. 15 DSGVO den Anspruchsumfang auf die geplante Dauer der Speicherung, die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden und das Vorliegen einer automatisierten Entscheidungsfindung einschließlich Profiling. Zusätzlich umfasst das Auskunftsrecht auch einen Anspruch auf Informationen über das Bestehen eines Rechts auf Berichtigung oder Löschung der personenbezogenen Daten und einen Anspruch auf Informationen über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.
Das vielleicht wichtigste Betroffenenrecht im Rahmen der DSGVO stellt das Informationsrecht des Betroffenen dar. Art. 13 DSGVO regelt, dass die betroffenen Person u.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte ebenso die Rechtsgrundlage der Datenverarbeitung und eine nachvollziehbare Interessenabwägung mitgeteilt werden. Allgemein muss der Betroffene über alle Betroffenenrechte informiert werden, also über das eines Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht.
Dabei ist zu berücksichtigen, dass den betroffenen Personen die Informationen sofort bei Datenerhebung übermittelt werden, also z.B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufs im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei Registrierung. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Das heißt, dass die Informationen auch für Leser mit niedrigen Lesefähigkeiten verständlich sein müssen, u. a. indem in Datenschutzhinweisen auf mehrdeutige Formulierungen, Fremdwörter und komplizierte Satzkonstruktionen verzichtet und näher an der Alltagssprache formuliert wird. Die DSGVO lässt eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist nicht nur auf die bereits erwähnte Pflicht zur Verwendung einer einfachen, sondern zusätzlich auch alters- bzw. kindgerechten Sprache zu achten. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast. Art. 14 DSGVO regelt entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen selbst sondern von Dritten (z.B. Auskunfteien bezüglich der Kreditwürdigkeit) erhoben wurden. Die Informationspflichten des Unternehmens, das sich an Auskunfteien etc. wendet, sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar, hinzukommt jedoch die Pflicht die Quelle aus der die Informationen stammen mitzuteilen. Anders als im Rahmen des Artikel 13 müssen die Informationen nicht sofort übermittelt werden, ausreichend ist eine Frist von maximal einem Monat nach der Datenverarbeitung.
Die betroffene Person kann einer Verarbeitung durch den Verantwortlichen jederzeit widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 e oder f DS-GVO (Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, oder zur Wahrung berechtigter Interessen des Verantwortlichen) erfolgt ist. Dies gilt auch auf ein darauf gestütztes Profiling. Eine fortdauernde Verarbeitung durch den Verantwortlichen ist nicht zulässig, außer er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Im Fall der Direktwerbung findet keine Interessenabwägung statt. Ein Widerspruch führt zu einem sofortigen Verarbeitungsstopp. Bei einer Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken führt der Widerspruch ebenfalls zu einem Verarbeitungsstopp, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Art. 21 Abs. 6 DS-GVO).
Auf sein Widerspruchsrecht muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich sowie in einem verständlichen und von anderen Informationen getrennter Form hingewiesen werden.
