Home
Intern
zuletzt aktualisiert am 18. Mai 2022 | Lesedauer ca. 6 Minuten
Die Datenschutz-Grundverordnung (DSGVO) hat zu einer wesentlichen Erweiterung der Rechte von der Verarbeitung personenbezogener Daten betroffenen Personen geführt. Das betrifft zunächst Informationen, die der – für die Verarbeitung – Verantwortliche den betroffenen Personen bei der Erhebung der Daten proaktiv zur Verfügung zu stellen hat. Darüber hinaus können betroffene Personen ein Recht auf Auskunft, Berichtigung und Löschung geltend machen, künftiger Verarbeitung widersprechen und die Herausgabe ihrer personenbezogenen Daten in einem maschinenlesbaren Format fordern. Da sich die Einhaltung dieser Verpflichtungen von den Aufsichtsbehörden leicht nachprüfen lässt, sind insbesondere Verstöße in dem Bereich Gegenstand von Sanktionen in Form von – künftig wohl – empfindlichen Bußgeldern.
Die von der Verarbeitung personenbezogener Daten betroffenen Personen müssen von dem Verantwortlichen proaktiv über eine Vielzahl von Angaben informiert werden. Erfolgt die Datenerhebung unmittelbar bei der betroffenen Person, muss diese Information zum Zeitpunkt der Datenerhebung (Art. 13 Abs. 1 DSGVO), im Falle einer Erhebung bei einem Dritten spätestens innerhalb eines Monats nach Erlangung der Daten (Art. 14 Abs. 3 DSGVO) erfolgen.Mitzuteilen sind insbesondere:
Diese Informationspflicht zwingt Unternehmen zugleich dazu, vor der Datenerhebung Rechtsgrundlage und Zwecke der jeweiligen Verarbeitung festzulegen sowie eine beabsichtigte Datenübermittlung und die Speicherdauer für Kategorien von Verarbeitungsvorgängen zu prüfen. Vor dem Hintergrund kann über die Erfüllung der Informationspflicht zugleich die Einhaltung diverser Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 DSGVO, namentlich der „Rechtmäßigkeit”, „Zweckbindung” und „Speicherbegrenzung” dokumentiert werden. Spiegelbildlich kann die Nichterfüllung der Informationspflicht für Aufsichtsbehörden einen besonderen Anlass bieten, die Einhaltung der Grundsätze der Verarbeitung durch den Verantwortlichen zu überprüfen.Der Verantwortliche muss die genannten Informationen den betroffenen Personen präzise, transparent, verständlich und leicht zugänglich in klarer und einfacher Sprache unentgeltlich zur Verfügung stellen, was auch auf elektronischem Wege erfolgen kann (Art. 12 Abs. 1, 5 DSGVO). Das ist nicht erforderlich, soweit eine betroffene Person bereits über die jeweiligen Informationen verfügt. Im Falle der Erhebung bei Dritten sind unter den engen Voraussetzungen des Art. 14 Abs. 5 DSGVO weitere Ausnahmen von der Informationspflicht möglich.
Unabhängig von den Informationspflichten nach Art. 13 und 14 DSGVO kann eine betroffene Person von dem Verantwortlichen eine Bestätigung darüber verlangen, ob er ihre personenbezogenen Daten verarbeitet (Art. 15 DSGVO). Werden personenbezogene Daten verarbeitet, muss der Verantwortliche darüber hinaus weitere Auskünfte erteilen, die im Wesentlichen mit den Angaben im Rahmen der vorgenannten Informationspflichten übereinstimmen. Zudem ist der betroffenen Person kostenlos eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, im Falle einer elektronischen Anfrage in einem gängigen elektronischen Format. Mehr zu der hohen Bedeutung, die dem Auskunftsanspruch nach Art. 15 DSGVO in der Praxis zukommt, lesen Sie in „Auskunftsansprüche als Teil der Betroffenenrechte“.
Die betroffene Person kann von dem Verantwortlichen des Weiteren die unverzügliche Berichtigung der sie betreffenden unrichtigen personenbezogenen Daten verlangen (Art. 16 DSGVO).Zudem hat sie das Recht, i.d.R. unter einer der folgenden Voraussetzungen gemäß Art. 17 DSGVO, eine Löschung der personenbezogenen Daten zu verlangen:
Hat der Verantwortliche die zu löschenden Daten veröffentlicht, muss er andere für die Datenverarbeitung Verantwortliche durch angemessene Maßnahmen darüber informieren, dass die betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten inkl. deren Kopien verlangt hat, Art. 17 Abs. 2 DSGVO. Beispielhaft muss der Verantwortliche insbesondere Suchmaschinen benachrichtigen und angemessene Maßnahmen ergreifen, um dort (etwa in einem Cache) vorhandene Kopien zu entfernen. Auf die Weise setzt die DSGVO das nach der EuGH-Rechtsprechung gegenüber Suchmaschinenbetreibern bestehende „Recht auf Vergessenwerden” um (siehe auch die Überschrift von Art. 17 DSGVO).
Sofern die Verarbeitung auf einer Einwilligung der betroffenen Person beruht oder zur Erfüllung eines Vertrages mit ihr erfolgt, haben betroffene Personen zudem das Recht, die personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren Format zu erhalten (Recht auf Datenübertragbarkeit, Art. 20 Abs. 1 DSGVO).Die betroffene Person kann schließlich in bestimmten Fällen der weiteren Verarbeitung ihrer personenbezogenen Daten widersprechen, Art. 21 DSGVO. Relevant ist dabei insbesondere das Widerspruchsrecht gegen die Datenverarbeitung zu Zwecken des Direktmarketings. Sofern ein Widerspruchsrecht nach Art. 21 DSGVO besteht, ist die betroffene Person hierauf spätestens bei der ersten Kontaktaufnahme ausdrücklich und getrennt von sonstigen Informationen hinzuweisen.
Die Nichteinhaltung der Vorgaben der DSGVO im Hinblick auf die Betroffenenrechte führt für Unternehmen zu einem kontinuierlich ansteigenden Risiko der Aufdeckung durch die Aufsichtsbehörden. Zu beachten ist dabei, dass bereits eine Beschwerde durch einen Betroffenen bei einer Aufsichtsbehörde entsprechende Ermittlungen in Gang setzt. Aufgrund der seit Geltung der DSGVO gesteigerten Sensibilisierung für Datenschutz und damit einhergehend erheblich zunehmenden Anzahl an Beschwerden ist den Unternehmen dringend anzuraten zu überprüfen, ob den Betroffenenrechten ausreichend Rechnung getragen wird.Bei Verstößen gegen die Betroffenenrechte der Art. 12 bis 22 können von den Aufsichtsbehörden erhebliche Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes verhängt werden, Art. 83 Abs. 5 lit. b) DSGVO.
Die Aufsichtsbehörden haben seit dem Inkrafttreten der DSGVO vermehrt Bußgelder wegen Verstößen gegen die Betroffenenrechte verhängt:
Das bislang höchste Bußgeld in Höhe von 746 Mio. Euro wurde durch die Luxemburger Datenschutzaufsicht Commission nationale pour la protection des données (CNPD) gegen das Unternehmen Amazon verhängt. Gegenstand des Verfahrens soll der Umgang mit den personenbezogenen Daten durch Amazon sein. Offen ist, ob sich das Bußgeld auf einen Verstoß gegen die Betroffenenrechte der Art. 12 bis 22 stützt, inhaltliche Details zu dem Verfahren wurden bislang nicht veröffentlicht. Stellt man aufgrund des weltweiten Maßstabs auf die Milliardenumsätze der großen Internetunternehmen ab, liegen auch Bußgelder in Milliardenhöhe im denkbaren Bereich.
Die Einhaltung der Rechte betroffener Personen, insbesondere der Informationspflichten und Auskunftsrechte, sind ein Kernanliegen der Verordnung. Verstöße hiergegen sind mit empfindlichen Geldbußen bedroht und zudem einfach festzustellen. Darüber hinaus bietet die festgestellte Verletzung von Betroffenenrechten Anlass für die Aufsichtsbehörde, die Umsetzung der DSGVO durch den Verantwortlichen auch im Übrigen zu überprüfen. Es ist daher damit zu rechnen, dass Aufsichtsbehörden die bereits begonnene Prüfung der Verpflichtungen sukzessive ausweiten werden, um die Umsetzung der DSGVO flächendeckend zu kontrollieren. Sollte in puncto Betroffenenrechte noch keine DSGVO-Konformität bestehen, sollte sie daher umgehend durch die Implementierung der erforderlichen Prozesse herbeigeführt werden.
Stefan Alexander Breider
Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter DSB-TÜV
Associate Partner
Anfrage senden
Profil
Kein Themenspecial verpassen mit unserem Newsletter!