FAQ
(Antworten auf die meistgestellten Fragen)

Der Gesetzgeber hat den Umgang mit personenbezogenen Daten unter einen besonderen Schutz gestellt. Dieser Schutz, seine Grundsätze und seine Vorgaben finden sich in einer Reihe von Gesetzen in der EU und in der Bundesrepublik Deutschland. Es werden zunehmend personenbezogene Daten gesammelt und ausgewertet. Um Missbrauch und Datenschutzpannen zu vermeiden, müssen viele Vorkehrungen – auch für den Notfall -getroffen werden.

Als erstes Bundesland verabschiedete Hessen im Herbst 1970 ein Landesdatenschutzgesetz. Mithilfe des Gesetzes sollten unter anderem elektronisch verarbeitete Daten vor dem Zugriff durch Unbefugte geschützt und die Stelle eines Datenschutzbeauftragten als unabhängige Kontrollinstanz geschaffen werden.

Im Dezember 1983 verkündete das Bundesverfassungsgericht (BVerfG) das sogenannte „Volkszählungsurteil“. Darin leitete das BVerfG aus dem Grundgesetz (Artikel 1 Absatz 1 Würde des Menschen und Artikel 2 Absatz 1 Freie Entfaltung der Persönlichkeit) das „Recht auf informationelle Selbstbestimmung“ ab.

In der Folge kam es 1990 zu einer Novellierung des Bundesdatenschutzgesetzes.

Im Jahr 2009 wurde das BDSG erneut novelliert: Anlass für die Gesetzesreform war laut Bundestag unter anderem der Umgang mit personenbezogenen Daten für den Adresshandel. Im Zuge der Reform wurden die Bestimmungen für den Adresshandel geändert, die Verwendung personenbezogener Daten zum Zwecke der Werbung ohne Einwilligung der Betroffenen beschränkt und die Scoring-Verfahren (Verfahren, die vor allem zur Überprüfung der Kreditwürdigkeit einer Person oder eines Unternehmens eingesetzt werden) neu geregelt.

Am 27. April 2016 trat die DSGVO der Europäischen Union in Kraft. Die Verordnung ersetzt die Datenschutzrichtlinie von 1995.

Die Datenschutz-Grundverordnung soll den Bürgerinnen und Bürgern der EU eine bessere Kontrolle ihrer personenbezogenen Daten ermöglichen. Sie schreibt unter anderem eine Informationspflicht bei der Erhebung von personenbezogenen Daten sowie das Recht auf Berichtigung und auf Löschung personenbezogener Daten fest. Unternehmen und öffentliche Stellen müssen außerdem Betroffene sofort über ernsthafte Verletzungen des Schutzes personenbezogener Daten informieren. Die Bestimmungen gelten zudem auch für Unternehmen mit Sitz außerhalb der EU.

Ab dem 25. Mai 2018 müssen alle EU-Mitgliedsstaaten die EU-Datenschutz-Grundverordnung verbindlich anwenden. Infolgedessen wurde das Bundesdatenschutzgesetz grundlegend überarbeitet.

Der Datenschutz schütz nicht Daten sondern Menschen! Datenschutz ist ein Grundrecht. Geschützt ist …

… jede sich in der EU aufhaltende natürliche Person

…vor der Verarbeitung ihrer personenbezogenen Daten durch Verantwortliche und Auftragnehmer innerhalb und außerhalb der EU

Die Allgemeine Datenschutz-Grundverordnung (DSGVO) ist das inzwischen vermutlich allen bekannte EU-Gesetz, das im Mai 2018 mit dem Ziel in Kraft trat, einen einheitlichen Standard des Datenschutzrechts in der Europäischen Union zu schaffen.

Sie legt die Regeln für den Schutz natürlicher Personen und ihres Rechts auf Privatsphäre im Hinblick auf die Verarbeitung und den Austausch personenbezogener Daten fest.

Das bedeutet, sie regelt, wie Unternehmen und Organisationen die persönlichen Daten europäischer Bürger verarbeiten dürfen.

Das BDSG regelt die Verarbeitung personenbezogener Daten in Deutschland. Die neue Fassung konkretisiert und ergänzt die EU-Datenschutz-Grundverordnung, die das Datenschutzrecht für alle EU-Mitgliedstaaten vereinheitlicht. Das BDSG ergänzt die EUDSGVO in vielerlei Hinsicht in Bezug auf Deutsche Gegebenheiten. Dies wird möglich durch Öffnungsklauseln in der DSGVO und der Einräumung des Vorranges des EU Rechts in dem BSDG.

Die Abkürzung TTDSG steht für Telekommunikation-Telemedien-Datenschutzgesetz und hat teilweise die zum Teil die komplexe Regelungsstruktur aus dem Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) abgelöst.

Der Anwendungsbereich des TTDSG umfasst alle Unternehmen und Personen, die im Geltungsbereich dieses Gesetzes eine Niederlassung haben oder Dienstleistungen erbringen oder daran mitwirken oder Waren auf dem Markt bereitstellen. Der sachliche Anwendungsbereich umfasst Themen wie das Fernmeldegeheimnis, Abhörverbote, der Umgang mit Cookies oder die Rechte von Erben des Endnutzers von Telekommunikationsdiensten oder Telemedien. Wichtig ist zudem zu erwähnen, dass nicht nur personenbezogene Daten, sondern alle im Wege der Nutzung von Telemedien- und Telekommunikationsdiensten erhobenen Informationen vom Geltungsbereich des neuen TTDSG betroffen sind.

Der Begriff „personenbezogene Daten“ spielt eine zentrale Rolle. Nur dann, wenn Daten einen Bezug zu einem Menschen aufweisen (z. B. Name, Geburtstag, Adresse, E-Mail-Adresse, IP-Adresse oder Bankverbindung), kommt das Datenschutzrecht zur Anwendung.

NICHT gemeint sind beispielsweise Firmengeheimnisse, urheberrechtlich geschützte Werke oder Amtsgeheimnisse. Beispiele für personenbezogene Daten sind: Name, Adresse, Benutzerkennung, IP-Adresse, Arbeitsverhalten, Geburtsdatum, Gehalt, Foto, Einkaufsverhalten, Arbeitsverhalten, Telefonnummer, E-Mail-Adresse, Bewegungsdaten.

Der Gesetzgeber schützt dabei insbesondere folgende besonders kritische Daten: Rassistische und ethnische Herkunft, politische Meinung, religiöse und philosophische Überzeugung, Gesundheit und Sexualleben, biometrische Daten, genetische Daten, Bank- und Kreditkartendaten.

Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden können, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind. Darunter fallen also sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden oder zugeordnet werden können. Beispielsweise zählen dazu: die Telefonnummer, die Kreditkarten- oder Personalnummern einer Person, die Kontodaten, ein Kfz-Kennzeichen, das Aussehen, die Kundennummer, eine IP-Adresse, eine Kundennummer oder die Anschrift.

Eine Person gilt als identifiziert, wenn die Zuordnung von Daten ohne Umweg möglich ist und ein direkter Bezug hergestellt werden kann. Hierzu gehören beispielsweise: Ein Foro, ein Fingerabdruck oder ein Ausweis.

Mit “Verarbeitung” (personenbezogener Daten) meint man jegliche Maßnahmen, die mit diesen personenbezogenen Daten durchgeführt werden (egal ob sie automatisiert sind oder nicht. Häufige Typen von Verarbeitung personenbezogener Daten enthalten unter anderem das Sammeln, Aufzeichnen, Ordnen, Speichern, Verändern, Nutzen, Erfassen, Notieren, Archivieren, Bereitstellen, Sperren, Veröffentlichen, Verbinden und Löschen dieser Daten.

Jede Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten. Ein Umgang mit Daten darf nur erfolgen, wenn: – eine Einwilligung desjenigen dessen Daten verarbeitet werden sollen vorliegt, – es sich um eine Maßnahme zur Erfüllung oder Vorbereitung eines Vertrages handelt, – eine Rechtvorschrift dazu zwingt, – ein Gesetz es legitimiert oder – ein berechtigtes Interesse des Verantwortlichen vorliegt.

Datensparsamkeit (oder Datenvermeidung, Datenminimierung) ist ein Prinzip des Datenschutzes. Es besagt, dass bei der Datenverarbeitung immer so wenig wie möglich Daten erfasst und verarbeitet werden dürfen, wie für den jeweiligen Zweck unbedingt nötig ist.

Der Begriff „Betroffener“ oder „Betroffene“ wird in der Datenschutz-Grundverordnung (DS-GVO) nicht verwendet. Art. 4 Nr. 1 DS-GVO beschreibt eine betroffene Person als eine identifizierte oder identifizierbare natürliche Person. Insofern ist das Wort Betroffener eine abgekürzte Verwendung für betroffene Person und im Datenschutzkontext Synonyme für „betroffene Person“, „natürliche Person“ oder „Datensubjekt“. Mit anderen Worten sind Betroffene also Menschen (mit Ihren personenbezogenen Daten)

Damit sich Personen, deren Daten verarbeitet werden, detailliert informieren können, hat der Gesetzgeber den Betroffenen die sogenannten Betroffenenrechte eingeräumt. Alle datenverarbeitenden Stellen sind gemäß Art. 13 DS-GVO dazu verpflichtet, im Moment der ersten Datenerfassung, Informationspflichten zu erfüllen. Anhand dieser können Betroffene sich z.B. über folgende Sachverhalte informieren: -Wer ist die Stelle, die Daten verarbeitet (Verantwortliche Stelle), -Gibt es einen Datenschutzbeauftragten, -Was sind die Zwecke der Datenverarbeitung, -Sofern Datenverarbeitung auf dem berechtigten Interesse beruht, die Interessenabwägung, -Empfänger oder Kategorien von Empfängern, -Bei Übermittlung in Drittstaaten die Sicherstellung des Schutzniveaus, -Dauer der Datenverarbeitung.

Neben den Informationspflichten haben Betroffene noch weitreichendere Möglichkeiten, sich über Verarbeitungen zu informieren und Einfluss auf diese zu nehmen.

Recht auf Auskunft
Jede natürliche Person kann ungeachtet der Tatsache, ob die verantwortliche Stelle tatsächlich personenbezogene Daten über sie verarbeitet, eine Anfrage stellen ob- und welche personenbezogene Daten über sie verarbeitet werden.

Recht auf Berichtigung
Betroffene haben das Recht die Korrektur falscher Daten zu verlangen. Dies kann z.B. zum Tragen kommen, nachdem bei einem Auskunftsersuchen aufgefallen ist, das Daten nicht mehr korrekt / aktuell sind.

Recht auf Löschung
Betroffene haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen. Sofern dem keine Zwecke oder Aufbewahrungsfristen der verantwortlichen Stelle gegenüberstehen, ist diese Aufforderung durch den Verantwortlichen umzusetzen.

Recht auf Einschränkung der Verarbeitung
In manchen Fällen kann das Recht auf Löschung z.B. aufgrund von Aufbewahrungsfristen nicht gewährt werden. In diesen Fällen kann dem Betroffenen angeboten werden, die Verarbeitung einzuschränken. So werden die betroffenen Daten z.B. aus dem Live-System genommen und sind nur noch einem sehr kleinen Personenkreis zugänglich.

Beschwerderecht bei einer Aufsichtsbehörde
Verantwortliche Stellen sind verpflichtet, die betroffenen Personen darüber zu informieren, dass es ein Beschwerderecht bei einer Aufsichtsbehörde gibt. Ebenfalls sollten in diesem Rahmen die Kontaktdaten der zuständigen Aufsichtsbehörde genannt werden.

Mitteilungspflicht
Die verantwortliche Stelle teilt allen Empfängern, denen die Daten einer betroffenen Person offengelegt wurden mit, ob Berichtigungen oder Löschungen an den Daten durchgeführt wurden. So wird sichergestellt, dass die Daten überall korrekt vorliegen.

Recht auf Datenübertragbarkeit
Betroffene haben das Recht, die sie betreffenden Daten, in einem allgemeingültigen Format (strukturiert, maschinenlesbar) vom Verantwortlichen zu erhalten.

Widerspruchsrecht
Die betroffene Person hat das Recht Widerspruch gegen Verarbeitungen einzulegen, die sich auf das berechtigte Interesse (DS-GVO Art. 6 Abs. f) oder für die Wahrnehmung einer Aufgabe im öffentlichen Interesse (DS-GVO Art. 6 Abs. e) beziehen.

Einschränkung von automatisierten Einzelentscheidungen
Betroffene von Datenverarbeitungen haben das Recht nicht einer auf ausschließlich automatisierten Verarbeitung (inklusive Profiling) und einer darauf beruhenden Entscheidung unterworden zu werden.

Wenn Sie in Ihrem Unternehmen, Ihrer Praxis, Ihrer Schule, ihrem Verein oder jeder anderen Organisation mit personenbezogenen Daten arbeiten, müssen Sie sich mit den Grundregeln auskennen und mit den wesentlichen Pflichten, die sich daraus ergeben. Das betrifft alle – auch wenn Sie nur gelegentlich mit personenbezogenen Daten arbeiten.

Juristisch ausgedrückt: Verantwortlicher im Sinne des europäischen Datenschutzrechts ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Mit anderen Worten: Jeder, der personenbezogene Daten „verarbeitet“, sprich nutzt oder etwas mit diesen im Auftrag gestaltet (Auftragsverarbeitung), ist dafür verantwortlich, dass die Informationen geschützt werden, welche nicht für die Allgemeinheit gedacht sind. Generell ist Datenschutz Chefsache im Sinne der Gesetzgebung. Beispielsweise der Geschäftsführer einer GmbH. Er haftet prinzipiell auch zunächst für die Fehler seiner Mitarbeiter. Durch geeignete Maßnahmen werden alle Personen welche Daten in einer Organisation verarbeiten, verantwortlich. Letztlich muss jeder – auch jenseits der Gesetzgebung – ein Bewusstsein dafür besitzen oder entwickeln verantwortungsbewusst mit personenbezogenen Daten umzugehen.

Grundsätzlich soll ein Datenschutzbeauftragter in öffentlichen und nichtöffentlichen Stellen dafür Sorge tragen, dass die datenschutzrechtlichen Bestimmungen bezüglich des Umgangs mit personenbezogenen Daten eingehalten werden. Er fungiert als eingesetztes unabhängiges Kontrollorgan.

Der Datenschutzbeauftragte:

– Unterrichtet und berät die Mitglieder der Organisation zu datenschutzrelevanten Themen,

-Überprüft, ob die Mitglieder der Organisation den vorgeschriebenen Datenschutz einhalten,

-Arbeitet mit Aufsichtsbehörden zusammen und dient als erste Anlaufstelle für sie und betroffene Personen,

-Fertigt Berichte der Datenverarbeitung und ihrer Zwecke an.

Die Datenschutz-Grundverordnung  betont die Verantwortlichkeit, die Organisationen (auch „verantwortliche Stellen“ oder „Verantwortliche“ genannt) für die Einhaltung des Datenschutzes haben. Sie müssen nachweisen können, dass ihre Datenverarbeitung datenschutzkonform ist. Umfangreiche Pflichten zur Dokumentation sollen dies sicherstellen. Die Aufzeichnungen dienen als Nachweis gegenüber der Datenschutzaufsicht, bei gerichtlichen Kontrollverfahren sowie für eine nachträgliche Information Betroffener. Eine erfolgreiche Umsetzung dieser Verpflichtung setzt die Entwicklung, Implementierung und Anwendung eines Datenschutz-Managementsystems voraus. Dabei müssen Verantwortliche eruieren, welche Dokumentationspflichten sie zu beachten haben, Umfang und Grenzen dieser Pflichten kennen und Prozesse einführen, die deren Einhaltung sicherstellen.

Manchmal ist es klar aber oft genug auch nicht. Nutzen wir den gesunden Menschenverstand. Wenn es sich um Ihre eigenen Daten handeln würde – würden sie dann das damit machen, was sie gerade vorhaben oder tun sollen? Oder hätten Sie Bedenken? Wenn sie an der Stelle mit Ja antworten, dann ist es besser Vorsicht walten zu lassen.

Gewähren Sie niemandem Zugriff auf Ihre Endgeräte.

Geben Sie so wenig wie möglich an Daten preis.

Verwenden Sie starke Passwörter.

Geben Sie Ihre Kennwörter niemandem bekannt. Notierte Kennwörter sind keine.

Aktivieren Sie die Geräteverschlüsselung.

Lassen Sie Geräte nur bei vertrauenswürdigen Stellen reparieren.

Stellen Sie Ihren Browser datenschutzfreundlich ein.

Öffnen Sie keine unerwarteten E-Mails oder Nachrichten und schon gar nicht deren Anhänge.

Seien Sie vorsichtig bei der Nutzung von SocialMedia und Veröffentlichungen.

Lesen Sie immer Datenschutzbestimmungen.

Schreddern Sie vertrauliche Papiere.

Löschen Sie die Daten mit einer sicheren Methode bevor Sie diese verkaufen / entsorgen.

Gewähren Sie niemandem (auch der Familie nicht) Einblick in Rechner und Unterlagen.

An Videokonferenzen darf nur teilnehmen wer geladen ist.

Nutzen Sie für Videokonferenzen ein Headset.

Lassen Sie Kennwörter auch hier nicht offen herumliegen.

Verwahren Sie Daten, Ausdrucke, Datenträger und Endgeräte stets sicher (verschlüsseln!).

Achten Sie auch hier darauf was sie wo ausdrucken und holen es sofort aus dem Drucker.

Melden Sie sofort den Verlust eines Datenträgers (Unterlagen, Rechner, USB-Stick, Ausdruck).

Reinigen Sie Tafeln / Flipcharts / Whiteboards in Besprechungsräumen von pers.bez.Dat.

Entsorgen Sie Papier und Aufzeichnungen. Im Zweifel schreddern.

Melden Sie sich umgehend beim Vorgesetzen oder DSB bei Verdacht auf eine Datenpanne.

Sofern es Beweise zu sichern gilt tun Sie das. NICHTS weiterleiten!

Holen Sie gedruckte Unterlagen sofort aus dem Drucker.

Fehlende Ausdrucke können ein erhebliches Datenschutzrisiko sein.

Wenn Sie eine Anfrage eines Betroffenen erhalten müssen Sie diese unbedingt weiterleiten.

Wenn Sie den Arbeitsplatz verlassen, sperren Sie Ihren Rechner.

Wenn sie einen „öffentlichen“ Rechner nutzen, melden Sie sich bei Verlassen des Platzes ab.

Lassen Sie kritische Unterlagen nicht rumliegen und verwahren Sie Unbefugten den Einblick.

Schließen Sie Ihr Büro ab, wenn Sie gehen.

 

Datenschutz ist eine Aufgabe für uns alle.

Datenschutz schützt auch Ihre Daten.

Ihr Datenschutzbeauftragter unterstütz und berät gerne bei Fragen zum Datenschutz.

Bleiben Sie wachsam!

 

Betroffenenrechte

Recht auf Berichtigung

Finden wir in Art. 16 DSGVO. Resultiert eine Datenverarbeitung in unrichtigen personenbezogen Daten des Betroffenen, so hat dieser ein Recht auf unverzügliche Berichtigung. Dabei ist jedoch der Zweck der Verarbeitung zu berücksichtigen, sodass etwa bei Datenverarbeitungen im öffentlichen Interesse eine längere Zeitspanne bis zur Berichtigung angesetzt werden kann.

Recht auf Datenübertragbarkeit

Etwas wirklich Neues ist Art. 20 DSGVO mit dem Recht auf Datenübertragbarkeit. Betroffene haben das Recht, die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie haben das Recht, diese Daten einem anderen für die Verarbeitung Verantwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln. Dieses Recht soll dann bestehen, wenn eine automatisierte Datenverarbeitung zur Durchführung eines Vertrags erfolgte oder auf einer Einwilligung basierte. Der Anspruch aus Art. 20 DSGVO beinhaltet darüber hinaus auch das Recht zu erwirken, dass die Daten direkt von einem für die Verarbeitung Verantwortlichen einem anderen für die Verarbeitung Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Durch die Schaffung des Rechts auf Datenübertragbarkeit soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten, die automatisiert verarbeitet werden, gestärkt werden. Hauptanwendungsfall werden wohl zunächst Soziale Netzwerke sein. Der Wechsel von einer Plattform wie Facebook hin zu einem anderen Anbieter soll durch die Möglichkeit zur Mitnahme der eingestellten Daten (Fotos, Beiträge, Kontaktdaten, persönliche Angaben) erleichtert werden. Dem Lock-In-Effekt bei der Nutzung eines Sozialen Netzwerks soll entgegengewirkt werden. Ein weiterer denkbarer Anwendungsfall könnte sich etwa beim Wechsel des Stromanbieters eines Verbrauchers ergeben. Bereits heute werden bei einem Wechsel Daten zwischen den betroffenen Anbietern weitergegeben. Welche weiteren Anwendungsbereiche das Recht auf Datenübertragbarkeit finden wird bleibt abzuwarten. Ebenso wird sich zeigen müssen, ob sich für die Verarbeitung Verantwortliche nicht hinter angeblichen technischen Hürden verschanzen werden, die einer Datenübermittlung an andere Anbieter angeblich im Wege stünden.

Recht auf Auskunft

Das Auskunftsrecht der betroffenen Person steht Art. 15 DSGVO. Im groben entspricht dieses der Regelung des § 34 BDSG. Die betroffene Person hat nach Art. 15 DSGVO ein Recht zu erfahren, ob ein für die Verarbeitung Verantwortlicher sie betreffende personenbezogene Daten verarbeitet. Soweit dies der Fall ist, hat die betroffene Person weiter ein Recht auf Auskunft über die Umstände der Datenverarbeitung.

Wie schon in § 34 BDSG erstreckt sich das Auskunftsrecht auf die jeweiligen Daten, die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden und die Empfänger, an die die Daten weitergegeben werden oder worden sind.
Darüber hinaus erweitert Art. 15 DSGVO den Anspruchsumfang auf die geplante Dauer der Speicherung, die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden und das Vorliegen einer automatisierten Entscheidungsfindung einschließlich Profiling. Zusätzlich umfasst das Auskunftsrecht auch einen Anspruch auf Informationen über das Bestehen eines Rechts auf Berichtigung oder Löschung der personenbezogenen Daten und einen Anspruch auf Informationen über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Recht auf Widerspruch

Die betroffene Person kann einer Verarbeitung durch den Verantwortlichen jederzeit widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 e oder f DS-GVO (Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, oder zur Wahrung berechtigter Interessen des Verantwortlichen) erfolgt ist. Dies gilt auch auf ein darauf gestütztes Profiling. Eine fortdauernde Verarbeitung durch den Verantwortlichen ist nicht zulässig, außer er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Im Fall der Direktwerbung findet keine Interessenabwägung statt. Ein Widerspruch führt zu einem sofortigen Verarbeitungsstopp. Bei einer Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken führt der Widerspruch ebenfalls zu einem Verarbeitungsstopp, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Art. 21 Abs. 6 DS-GVO).

Auf sein Widerspruchsrecht muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich sowie in einem verständlichen und von anderen Informationen getrennter Form hingewiesen werden.

Recht auf Information

Das vielleicht wichtigste Betroffenenrecht im Rahmen der DSGVO stellt das Informationsrecht des Betroffenen dar. Art. 13 DSGVO regelt, dass die betroffenen Person u.a. die Kontaktdaten des Verantwortlichen der verarbeitenden Stelle, der Zweck (für jede einzelne Datenverarbeitung gesondert) und die Dauer der Datenverarbeitung sowie Auskunfts- und Widerspruchsrechte ebenso die Rechtsgrundlage der Datenverarbeitung und eine nachvollziehbare Interessenabwägung mitgeteilt werden. Allgemein muss der Betroffene über alle Betroffenenrechte informiert werden, also über das eines Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und auf Datenübertragbarkeit. Zudem muss der Betroffene darüber informiert werden, inwieweit die Entscheidungsfindung ausschließlich auf automatischer Datenverarbeitung (v.a. Profiling) beruht.

Dabei ist zu berücksichtigen, dass den betroffenen Personen die Informationen sofort bei Datenerhebung übermittelt werden, also z.B. bei Bestellung eines Newsletters oder dem Abschluss eines Kaufs im Rahmen des E-Commerce, ggf. aber auch schon vor Abschluss des Kaufvertrages, z.B. bei Registrierung. Dabei verlangt Art. 12 DSGVO, dass diese Informationen der betroffenen Person in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Das heißt, dass die Informationen auch für Leser mit niedrigen Lesefähigkeiten verständlich sein müssen, u. a. indem in Datenschutzhinweisen auf mehrdeutige Formulierungen, Fremdwörter und komplizierte Satzkonstruktionen verzichtet und näher an der Alltagssprache formuliert wird. Die DSGVO lässt eine mündliche, schriftliche oder auch elektronische Übermittlung der Informationen genügen. Besonders gegenüber Kindern ist nicht nur auf die bereits erwähnte Pflicht zur Verwendung einer einfachen, sondern zusätzlich auch alters- bzw. kindgerechten Sprache zu achten. Die Informationspflicht besteht nur dann nicht, wenn der Betroffene im Falle einer Datenverarbeitung bereits über die erforderlichen Informationen verfügt. Hierfür tragen Unternehmen die Beweislast. Art. 14 DSGVO regelt entsprechende Informationspflichten für den Fall, dass die Daten nicht vom Verantwortlichen selbst sondern von Dritten (z.B. Auskunfteien bezüglich der Kreditwürdigkeit) erhoben wurden. Die Informationspflichten des Unternehmens, das sich an Auskunfteien etc. wendet, sind dabei grundsätzlich mit denen nach Artikel 13 DSGVO vergleichbar, hinzukommt jedoch die Pflicht die Quelle aus der die Informationen stammen mitzuteilen. Anders als im Rahmen des Artikel 13 müssen die Informationen nicht sofort übermittelt werden, ausreichend ist eine Frist von maximal einem Monat nach der Datenverarbeitung.

Recht auf Löschung

Art. 17 Abs. 1 DSGVO bezieht sich auf das Recht auf Löschung personenbezogener Daten. Es bestehen keine wesentlichen Änderungen im Vergleich zum entsprechenden § 35 Abs. 2 BDSG. Die wichtigsten Fallgruppen, in denen die Löschung von Daten verlangt werden kann, sind dieselben. Nach Art. 17 Abs. 3b DSGVO scheidet eine Löschung dabei auch weiterhin aus, wenn gesetzliche Aufbewahrungsfristen bestehen (siehe § 35 Abs. 3 Nr. 1 BDSG).
In Art. 17 Abs. 2 DSGVO ist das in der Öffentlichkeit bereits viel zitierte „Recht auf Vergessenwerden“ normiert. Was sich genau hinter dem großen Namen verbirgt ist jedoch fraglich. Hat ein für die Verarbeitung Verantwortlicher, der nach Art. 17 Abs. 1 DSGVO zur Löschung von personenbezogenen Daten verpflichtet ist, diese Daten zuvor öffentlich gemacht, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat. Für den für die Verarbeitung Verantwortlichen bedeutet dies Aufwand dahingehend, als dass er andere Verantwortliche ermitteln und informieren muss. Unklar bleibt vorerst, ob es mit der Information allein schon getan ist, oder ob der für die Verarbeitung Verantwortliche den Löschungsanspruch gegen die anderen Stellen im Namen der betroffenen Personen durchsetzen soll. Weiterhin bleibt abzuwarten, inwieweit Unternehmen die schwammigen Formulierungen des Gesetzes ausnutzen werden, um technische Probleme als Hinderungsgrund anzuführen.
Unterm Strich stellt das „Recht auf Vergessenwerden“ somit eine Erweiterung des Anspruchsumfangs des bekannten „Rechts auf Löschung“ dar.

Recht auf Einschränkung der Verarbeitung

Gemäß Art. 18 DSGVO hat der Betroffene ein Recht auf Einschränkung der Verarbeitung, d.h. auf ein „Stopp!“ der Verarbeitung. Dieses Recht greift, wenn

• der Betroffene die Richtigkeit der Daten in Frage stellt,


• die Verarbeitung unrechtmäßig ist,


• die Daten zur Geltendmachung von Rechtsansprüchen benötigt werden, nachdem der Zweck der Datenverarbeitung sich erledigt hat oder


• der Betroffene Widerspruch nach Art. 21 DSGVO eingelegt hat.

Unternehmen trifft bezüglich der Betroffenenrechte eine doppelte Mitteilungspflicht: Zum einen müssen sie alle Empfänger personenbezogener Daten darüber informieren, dass der Betroffene von seinen Rechten Nach Art. 16-18 Gebrauch gemacht hat (es sei denn diese Mitteilung ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden). Zudem müssen Unternehmen die Betroffenen über die entsprechenden Empfänger aufklären, wenn der Betroffene dies verlangt.