Fachwissen Datenschutz - Betroffenenrechte

Durch die Betroffenenrechte wird sichergestellt, dass Personen nicht nur über die Verwendung ihrer Daten informiert werden, sondern auch aktiv in den Verarbeitungsprozess eingreifen können. Dies fördert das Vertrauen in digitale Dienste und stärkt den Datenschutz als Grundrecht. Die Betroffenenrechte umfassen das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Datenverarbeitung.

Gemäß der Datenschutz-Grundverordnung (DSGVO) erhalten betroffene Personen eine Reihe von Rechten in Bezug auf die Verarbeitung ihrer personenbezogenen Daten durch die datenverarbeitenden Stellen

Das Recht auf Auskunft nach Artikel 15 der Datenschutz-Grundverordnung (DSGVO) ermöglicht betroffenen Personen, von den Datenverantwortlichen eine Bestätigung darüber zu erhalten, ob und welche ihrer personenbezogenen Daten verarbeitet werden.

Dies umfasst detaillierte Informationen über:

• Verarbeitungszwecke
  Der spezifische Grund, warum die Daten verarbeitet werden.
  
  
• Datenkategorien
  Die Art der personenbezogenen Daten, die verarbeitet werden.
  
  
• Empfängerkreise
  Wer Zugriff auf die Daten hat oder haben könnte, einschließlich der Angabe spezifischer Empfängerkategorien.
  
  
• Speicherdauer
  Wie lange die Daten voraussichtlich gespeichert werden.
  
  
• Datenherkunft
  Die Quelle der personenbezogenen Daten, falls sie nicht direkt bei der betroffenen Person erhoben wurden.

Beispiel

Angenommen, eine Person möchte wissen, ob ein bestimmtes soziales Netzwerk, bezeichnet als "Netzwerk X", persönliche Daten über sie verarbeitet. Die Person hat das Recht, bei "Netzwerk X" eine Anfrage zu stellen. "Netzwerk X" muss dann entweder bestätigen, dass keine Daten verarbeitet werden, oder detaillierte Auskunft über die verarbeiteten Daten geben, falls ein Konto oder ähnliches existiert. Dies beinhaltet Informationen zu den Verarbeitungszwecken, den Kategorien der verarbeiteten Daten, Empfängern der Daten, der Speicherdauer und der Herkunft der Daten.

Falls keine personenbezogenen Daten der anfragenden Person verarbeitet werden, ist der Verantwortliche verpflichtet, dies klarzustellen.

Das Recht auf Berichtigung, festgelegt in Artikel 16 der Datenschutz-Grundverordnung (DSGVO), gewährt betroffenen Personen die Möglichkeit, die Korrektur ihrer personenbezogenen Daten zu verlangen, sollten diese unrichtig oder unvollständig sein. Dieses Recht stellt sicher, dass Personen die Genauigkeit ihrer bei einem Verantwortlichen gespeicherten Daten überprüfen und erforderliche Aktualisierungen vornehmen lassen können.

Anwendungsbeispiel

Ein praxisnahes Beispiel ist die Änderung des Nachnamens aufgrund einer Heirat. Angenommen, eine Person ändert nach der Eheschließung ihren Nachnamen und möchte, dass dieser geänderte Name in allen offiziellen Dokumenten und Konten reflektiert wird. Die Person hat dann das Recht, von einem sozialen Netzwerk oder jedem anderen Dienst, bei dem persönliche Daten hinterlegt sind, die Aktualisierung des Nachnamens zu verlangen.

Das Recht auf Löschung, auch bekannt als "Recht auf Vergessenwerden", ermöglicht es betroffenen Personen, die Löschung ihrer personenbezogenen Daten durch den Verantwortlichen zu verlangen. Dies kann unter bestimmten Voraussetzungen geschehen, insbesondere wenn die Daten für die ursprünglichen Zwecke nicht mehr notwendig sind, die Einwilligung widerrufen wurde, oder die Daten unrechtmäßig verarbeitet wurden.

Ausnahmen

Bestimmte Ausnahmen können die Pflicht zur Löschung einschränken, beispielsweise wenn die Speicherung der Daten zur Erfüllung rechtlicher Verpflichtungen notwendig ist oder die Interessen des Verantwortlichen gegenüber denen der betroffenen Person überwiegen, wie zum Beispiel bei der Eintragung negativer Einträge bei Kreditauskunfteien.

Anwendungsbeispiel

Ein Kunde eines Online-Spielzeugladens kann die Löschung aller personenbezogenen Daten, die vom Unternehmen verarbeitet werden, verlangen. Das Unternehmen ist dann verpflichtet, alle Daten der betroffenen Person zu löschen, es sei denn, es besteht eine gesetzliche Aufbewahrungspflicht, wie sie beispielsweise aus steuerrechtlichen Gründen bestehen kann.

Das Recht auf Einschränkung der Verarbeitung gibt betroffenen Personen die Möglichkeit, unter bestimmten Umständen eine Begrenzung der Verarbeitung ihrer personenbezogenen Daten durch den Verantwortlichen zu verlangen. 

Dieses Recht kommt insbesondere dann zum Tragen, wenn:

• Die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird.
  
  
• Die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der Daten ablehnt.

Anwendungsbereiche

Eine typische Situation, in der das Recht auf Einschränkung der Verarbeitung angewendet werden kann, ist, wenn eine Person die Genauigkeit ihrer bei einem Unternehmen gespeicherten Daten anzweifelt und eine Überprüfung dieser Daten fordert. Während dieser Überprüfungsphase kann die Person verlangen, dass die weitere Verarbeitung ihrer Daten eingeschränkt wird, bis die Richtigkeit der Daten bestätigt oder korrigiert wurde.

Bedeutung

Die Möglichkeit, die Verarbeitung personenbezogener Daten einschränken zu lassen, bietet den betroffenen Personen eine zusätzliche Kontrolle über ihre Daten. Es ermöglicht ihnen, eine vorübergehende Pause in der Verarbeitung zu erwirken, ohne dass die Daten gelöscht werden müssen, was in Situationen, in denen die Daten später noch von Bedeutung sein könnten, nützlich ist.

Das Recht auf Datenübertragbarkeit nach Artikel 20 der Datenschutz-Grundverordnung (DSGVO) gibt betroffenen Personen die Möglichkeit, ihre personenbezogenen Daten, die bei einem Dienstanbieter gespeichert sind, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Dienstanbieter zu übertragen.

Anwendungsbeispiel

Nehmen wir an, ein Nutzer eines sozialen Netzwerks möchte seine Daten von diesem Netzwerk zu einem anderen Dienst übertragen. Das ursprüngliche Netzwerk ist verpflichtet, dem Nutzer die in seinem Konto gespeicherten personenbezogenen Daten in einem Format zur Verfügung zu stellen, das eine einfache Übertragung ermöglicht.

Ähnlich verhält es sich im E-Commerce: Wenn ein Kunde eines Online-Shops beschließt, zu einem anderen Anbieter zu wechseln und dort ein Kundenkonto eröffnen möchte, muss der ursprüngliche Shop die personenbezogenen Daten des Kunden in einem übertragbaren Format bereitstellen.

Das Recht auf Widerspruch gemäß Artikel 21 der Datenschutz-Grundverordnung (DSGVO) ermöglicht es betroffenen Personen, sich gegen die Verarbeitung ihrer personenbezogenen Daten zu stellen. Dies gilt insbesondere dann, wenn die Datenverarbeitung auf der Grundlage berechtigter Interessen des Verantwortlichen oder zur Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt, erfolgt.

Anwendungsbeispiel

Angenommen, eine Person möchte nicht, dass ein Online-Händler ihre persönlichen Daten (wie Vorname, Nachname, Adresse) für Zwecke der Direktwerbung per Post nutzt. In diesem Fall hat die Person das Recht, jederzeit Widerspruch gegen die Verwendung ihrer Daten für diese Art der Werbung einzulegen. Der Online-Händler ist dann verpflichtet, die Verarbeitung der Daten zu diesen Zwecken einzustellen.

Die Umsetzung der Betroffenenrechte in der Praxis ist ein wesentlicher Bestandteil eines wirksamen Datenschutzkonzepts. Hier sind die Schlüsselelemente für eine erfolgreiche Implementierung:

Unternehmen müssen klare und effiziente Prozesse etablieren, um Anfragen von betroffenen Personen bearbeiten zu können. Dies beinhaltet die Einrichtung spezifischer Kanäle für Datenschutzanfragen (z.B. E-Mail-Adressen, Kontaktformulare auf der Webseite) und die Zuweisung von Verantwortlichkeiten innerhalb der Organisation, um sicherzustellen, dass diese Anfragen korrekt und vollständig bearbeitet werden.

Die DSGVO schreibt vor, dass Anfragen von betroffenen Personen "unverzüglich", in der Regel aber innerhalb eines Monats nach Eingang der Anfrage, bearbeitet werden müssen. Unternehmen müssen daher in der Lage sein, schnell zu reagieren und die Anfragen in der vorgeschriebenen Frist zu erfüllen. Für komplexe Anfragen kann die Frist unter bestimmten Umständen um zwei weitere Monate verlängert werden, wobei die betroffene Person über die Verlängerung und deren Gründe informiert werden muss.

Um die Sicherheit der Daten und die Rechte der betroffenen Personen zu schützen, ist es essenziell, dass Unternehmen die Identität des Anfragenden verifizieren, bevor sie auf die Anfrage reagieren. Dies dient dem Schutz vor Datenmissbrauch und stellt sicher, dass personenbezogene Daten nicht unberechtigt herausgegeben werden. Unternehmen können hierfür Identifikationsverfahren einsetzen, die angemessen und nicht übermäßig belastend für die betroffene Person sind.