Im letzten Beitrag hatte Sie die RKM Data GmbH darüber informiert, was hinter dem Phänomen „Datenpanne“ steckt, wie der korrekte Umgang mit einer solchen ist und welche Konsequenzen bei einem falschen Umgang drohen können.
In diesem Newsletter soll es um die Rechte des Betroffenen gehen, denn jedem Betroffenen – gleichgültig ob er Opfer einer Datenpanne geworden ist – werden durch die DSGVO bestimmte Rechte zugestanden. Wie Sie mit Anfragen Betroffener umgehen, erfahren Sie in diesem Beitrag.
1. Was gibt es überhaupt für Rechte? Wer darf sie ausüben und wer muss sie sicherstellen?
Die DSGVO räumt ganz speziell den betroffenen Personen bestimmte Rechte ein. Die „betroffene Person“ im Sinne der DSGVO ist jede natürliche Person, deren personenbezogene Daten verarbeitet werden. Betroffene Personen sind somit Ihre Kunden, Ihre Mitarbeiter aber auch Externe, wie z.B. Bewerber. Die DSGVO legt in Art. 13 und 14 fest, dass jeder Verantwortliche verpflichtet ist, den Betroffenen über die Verarbeitung seiner personenbezogenen Daten zu informieren. Die Information nach Art. 13, 14 DSGVO muss bestimmte Mindestvoraussetzungen enthalten und so den Betroffenen über die Zwecke der Datenverarbeitung, die Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, aber auch über die ihm zur Verfügung stehenden Rechte informieren.
2. Welche Rechte gewährleistet die DSGVO?
Die Rechte der Betroffenen sowie die entsprechenden Pflichten der Verantwortlichen bestimmen sich nach Kapitel 3 der DSGVO. Diese sind: Recht auf Auskunft, Recht auf Berichtigung und Löschung, Recht auf Verarbeitungseinschränkung der Daten, Recht auf Widerspruch der Datenverarbeitung und Recht auf Datenübertragbarkeit. Der Betroffene darf also erfahren, ob und welche personenbezogenen Daten von ihm verarbeitet werden, und entscheiden, ob, inwieweit und von wem sie verarbeitet werden.
a.) Auskunftsrecht
Nach Art. 15 DSGVO kann die betroffene Person auf Nachfrage eine Bestätigung verlangen, ob auf sie lautend bezogene Personendaten verarbeitet werden. Wenn dem so ist, müssen ihm sowohl die erhobenen personenbezogenen Daten als auch diese Informationen insbesondere mitgeteilt werden:
Verarbeitungszweck;
Kategorien der verarbeiteten Daten;
(beabsichtigte) Empfänger der Daten;
geplante Speicherdauer oder die Kriterien, wie diese festgelegt wird;
Bestehen eines Rechts auf Berichtigung/Löschung der Daten sowie auf Einschränkung/Widerspruch der Verarbeitung;
Herkunft der Daten, wenn sie nicht bei dem Betroffenen erhoben wurden;
Bestehen eines automatisierten Entscheidungsverfahrens (inkl. Profiling) sowie dessen Logik und Zweck.
Geeignete Garantien (z. B. Zertifizierungen), wenn Daten an Drittland oder internationale Organisation übermittelt werden.
b.) Berichtigungs- und Löschungsrecht
Der Betroffene darf verlangen, dass unwahre Daten über ihn korrigiert oder ergänzt werden (Art. 16 DSGVO). Weiter darf er jederzeit die Löschung seiner Daten (Art. 17 Abs. 1 DSGVO) verlangen. Löschen heißt dabei, dass die Daten tatsächlich vernichtet werden müssen. Dafür muss insbesondere einer dieser Gründe vorliegen:
Daten sind für den Verarbeitungszweck nicht mehr notwendig;
Widerruf einer erteilten Einwilligung des Betroffenen in die Datenverarbeitung (wenn eine anderweitige Rechtsgrundlage für die Verarbeitung fehlt);
Widerspruch des Betroffenen gegen die Verarbeitung (s.u.) und Fehlen eines vorrangigen berechtigten Grundes dafür;
unrechtmäßige Datenverarbeitung;
sonstige Löschungspflicht nach nationalem oder Unionsrecht.
Allerdings gilt das Recht auf Löschung für den Betroffenen nur insoweit als dass für den Verantwortlichen keine Aufbewahrungsfristen, beispielsweise nach der Abgabenordnung (AO) oder nach dem Handelsgesetzbuch (HGB) bestehen. Auch hierüber muss der Betroffene Auskunft erhalten, wenn diese einer Löschung seiner Daten entgegenstehen.
Ergänzend wurde das sog. „Recht auf Vergessenwerden“ gesetzlich verankert, das vor allem bei veröffentlichten Informationen relevant ist und soll den Betroffenen die Möglichkeit einräumen, die Vergangenheit hinter sich zu lassen.
c.) Einschränkungsrecht
Der Betroffene hat ferner das Recht, die Verarbeitung seiner Daten einzuschränken (Art. 18 DSGVO). Dieses Recht ist auch dann von Interesse, wenn die Löschung unmöglich oder unverhältnismäßig ist. Verlangt er die Einschränkung, dürfen diese Daten (ausgenommen der Speicherung an sich) nur mit seiner Einwilligung, zur Rechtsanspruchsdurchsetzung oder des Rechtsschutzes oder bei vorliegendem wichtigem öffentlichem Interesse der EU oder eines Mitgliedstaates aufbewahrt werden.
Die Einschränkung kann allerdings nur unter einer der im Art. 18 Abs. 1 DSGVO genannten Voraussetzungen verlangt werden, also:
wenn der Betroffene die Richtigkeit seiner Daten für eine Dauer bestreitet, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
bei einer unrechtmäßigen Datenverarbeitung, wenn der Betroffene die Einschränkung statt der Löschung verlangt;
der Verantwortliche die Daten für seine Zwecke nicht mehr benötigt, aber der Betroffene sie für die Durchsetzung eines Anspruches benötigt, oder
bei Widerspruch des Betroffenen gegen die Verarbeitung durch den Verantwortlichen nach Art. 21 Abs. 1 DSGVO, solange noch nicht feststeht, wessen Interessen im konkreten Fall schutzwürdiger sind.
d.) Widerspruchsrecht
Widersprechen kann der Betroffene ohne weiteres gem. Abs. 2 auch der Datenverarbeitung für Direktwerbung oder eines damit verbundenen Profilings – hier ist die direkte Umsetzung unumgänglich.
Schließlich hat der Betroffene nach Art. 21 Abs. 1 DSGVO das Recht, jederzeit einer Datenverarbeitung zur Erfüllung einer öffentlich-rechtlichen Aufgabe oder zur Wahrung der eigenen Interessen des Verantwortlichen zu widersprechen. Das gilt gem. Abs. 6 auch für den Fall, dass die Verarbeitung zu historischen, wissenschaftlichen oder statistischen Zwecken (Art. 89 Abs. 1) erfolgt, es sei denn sie ist für die Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich. In diesen Fällen ist eine weitere Verarbeitung nur dann zulässig, wenn Sie geltend machen können, dass ohne diese Verarbeitung erhebliche und unumkehrbare Nachteile entstehen (z. B. Inkassoverfahren).
e.) Neu: Recht auf Datenübertragbarkeit
Art. 20 DSGVO räumt dem Betroffenen darüber hinaus das Recht ein, alle personenbezogenen Daten strukturiert und maschinenlesbar formatiert zu erhalten, oder diese direkt einem anderen Verantwortlichen zu übertragen, sofern die Verarbeitung aufgrund einer Einwilligung, eines Vertrages oder mithilfe automatisierter Verfahren erfolgt.
Der Betroffene kann auch die direkte Übermittlung der Daten an den anderen Verantwortlichen erwirken, es sei denn die Verarbeitung durch den ersten Verantwortlichen hängt mit der Erfüllung einer ihm übertragenen Aufgabe im öffentlichen Interesse zusammen oder der Aufwand übersteigt die Interessen und Möglichkeiten des Unternehmers.
3. Was haben Sie als Verantwortlicher nun für Pflichten?
Aus den vorstehend beschriebenen Rechten ergeben sich Pflichten für Sie als datenverarbeitende Stelle / Verantwortlicher. So bestehen auch allgemeine Pflichten, die Sie unabhängig von der Ausübung eines Betroffenenrechtes treffen und vor allem einen transparenten Umgang und eine möglichst starke Erleichterung der Ausübung der Betroffenenrechte beabsichtigen. Hiervon umfasst ist vor allem die Information „in präziser, transparenter, verständlicher und leicht zugänglicher Form“ über die Erhebung und Verarbeitung personenbezogener Daten konkret zu informieren und so die Ausübung von Betroffenenrechten zu erleichtern. Diese Informationspflichten wurden bereits oben kurz angesprochen.
Wendet sich der Betroffene mit einem seiner Rechte an Sie, ist dieser unverzüglich, doch spätestens binnen eines Monats nach Eingang seiner Anfrage darüber zu informieren. Diese Frist kann, unter Umständen (hohe Komplexität; hohe Anzahl der Anträge), durch eine unverzügliche begründete Mitteilung um weitere zwei Monate verlängert werden. Wird das angefragte Betroffenenrecht doch nicht ergriffen, müssen Sie den Betroffenen genauso unverzüglich, spätestens binnen eines Monats, über die geeigneten Rechtsbehelfe dagegen informieren (oben aufgeführte Betroffenenrechte, Beschwerderecht bei den Aufsichtsbehörden). Hier sollten Sie darauf achten, ein internes Verfahren zu implementieren, durch das keine Anfragen Betroffener verloren gehen und die entsprechende Monatsfrist gewahrt wird.
Die Auskünfte sind grundsätzlich unentgeltlich zur Verfügung zu stellen. Sie können dem Kunden dafür auch einen elektronischen Zugang zu einem gesicherten System ermöglichen. Die Auskunft hat in diesem Falle in einem gängigen elektronischen Format zu erfolgen (z.B. PDF-Dokument).
4. Unser Tipp
Verschaffen Sie sich einen Überblick darüber, welche personenbezogenen Daten sie bei Ihren Kunden erheben und verarbeiten (wollen), und warum. Das macht es schon im Vorfeld für Sie einfacher, wenn sie einen Kunden darüber informieren müssen. Durch strukturierte Verarbeitungsverzeichnisse wird Ihnen dieser Überblick auch erleichtert.
Ermöglichen Sie das Auskunftsersuchen eines Kunden so problemlos wie möglich. Ein Verstoß gegen die Auskunftspflicht kann mit empfindlichen Geldbußen der Aufsichtsbehörden geahndet werden (Art. 83 Abs. 5 b DSGVO).
Sollten Sie hierzu weitergehende Fragen haben, steht Ihnen das Team der RKM Data GmbH jederzeit zur Verfügung!
Ihr Team der RKM Data GmbH
Comments