Praxistipp DSGVO #10: Betroffenenrechte

Die DSGVO stellt eine ganze Bandbereite deutlich erweiterter Rechte für die sogenannten betroffenen Personen bereit. (Von Datenverarbeitung) „Betroffene Personen“ sind Sie und ich – wir alle, die wir direkt oder indirekt aufgrund der über uns bekannten Informationen identifizierbar sind. Der englische Ausdruck „data subject“ klingt insoweit weniger passiv und wurde anders als die deutschen „Betroffenen“ nicht verändert.

Altes BDSG (Recht)

Das bekannteste Recht betroffener Personen aus dem BDSG ist sicherlich das Recht auf Auskunft (§ 34 BDSG). Danach muss das für die Datenverarbeitung verantwortliche Unternehmen auf Anfrage der betroffenen Person Auskunft geben über: die zur Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen – den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, – und den Zweck der Speicherung. Für den Fall des Scorings gelten noch eine Handvoll weitergehender Vorschriften, aber neben dem Anspruch auf Berichtigung und Löschung falscher Daten sind das die Betroffenenrechte des BDSG.
Sofern diese Rechte beansprucht und bei Unternehmen um Auskunft ersucht wurde, war das ernüchternde Resultat oftmals: wer fragt bekommt manchmal Antworten und manchmal auch vollständige.

Neue DSGVO

Die DSGVO hat nun wie erwähnt die Betroffenenrechte erweitert und teilweise in weitgehende Transparenzpflichten für die verantwortlichen Unternehmen verwandelt. Transparenzpflichten insofern, als Unternehmen nunmehr verpflichtet sind, bestimmte Auskünfte zu ihrer Datenverarbeitung von sich aus unaufgefordert den betroffenen Personen zur Verfügung zu stellen.

Im Einzelnen handelt es sich um folgende Rechte, die wir im weiteren Verlauf der Praxistipps DSGVO hier näher betrachten wollen:

  • Informationspflicht bei Datenerhebung direkt bei der betroffenen Person (Art. 13 DSGVO)
  • Informationspflichten sofern die Daten nicht direkt bei betroffenen Person erhoben werden (Art. 14 DSGVO)
  • Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)
  • Benachrichtigung im Fall der Verletzung des Schutzes personenbezogener Daten (Art. 34 DSGVO)

Hinzukommen die Rechte, die man als „Verfahrensrechte“ der betroffenen Personen bezeichnen könnte:

– Das Recht auf Berichtigung (Art. 16 DSGVO)
– Recht auf Löschung und „Vergessenwerden“ wie bereits im Praxistipp DSGVO #9: Das Recht auf Vergessenwerden ausgeführt (Art. 17 DSGVO)
– Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
– Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
– In einigen Fällen das Recht auf Widerspruch gegen die Verarbeitung der eigenen personenbezogenen Daten (Art. 21 DSGVO).

Für die Praxis in den Unternehmen bedeutet dies insofern eine Umstellung, als für jeden einzelnen dieser Punkte ein unternehmensinterner Prozess definiert werden muss, der die Einhaltung der Betroffenenrechte sicherstellt. Dasselbe gilt im Übrigen für Behörden – die DSGVO ist auf dieser genauso anwendbar wie auf privatrechtlich organisierte Unternehmen.

Wie genau die Umsetzung der Betroffenenrechte praktisch aussehen kann, thematisieren wir hier in unseren nächsten Beiträgen im Verlauf der nächsten Wochen.