Datenschutz Basics - Betroffenenrechte
Verständnis für Betroffenenrechte und die Einhaltung der DSGVO
Durch die zunehmende Digitalisierung und Dokumentation unseres täglichen, beruflichen wie auch privaten, Lebens gelangen persönliche Daten vermehrt in die unendlichen Weiten von Internet und Aktenarchiven. Betroffenenrechte sind Instrumente für Einzelpersonen, um die Nutzung ihrer persönlichen Daten zu kontrollieren.
Durch die zunehmende Digitalisierung und Dokumentation unseres täglichen, beruflichen wie auch privaten, Lebens gelangen persönliche Daten vermehrt in die unendlichen Weiten von Internet und Aktenarchiven: Ob beim Versenden von Newslettern, durch Performance Marketing oder beim Consent Management, überall werden personenbezogene Daten gesammelt und archiviert. Sobald personenbezogene Daten einer natürlichen Person von einem Unternehmen gesammelt und verarbeitet werden (sollen), greift die Datenschutz-Grundverordnung (DSGVO) ein und spricht den betroffenen Personen sogenannte Betroffenenrechte zu, welche Sie zum Schutz Ihrer Daten nutzen können.
Was versteht man unter Betroffenenrechten?
Betroffenenrechte dienen natürlichen Personen als Werkzeuge, mit welchen Sie im Rahmen der informationellen Selbstbestimmung die Nutzung Ihrer Daten beeinflussen können. Durch verstärkte Transparenz sollen natürliche Personen, deren Daten für verschiedene Zwecke erfasst werden, einen genauen Überblick über die Gesamtheit ihrer Daten erhalten und selbstbestimmt über die individuelle Nutzung der Daten entscheiden können. Hierbei ist es wichtig zu verstehen, dass Datenschutzgesuche nicht immer negativer Natur seinen müssen! Ändert man Beispielsweise seine Heimatadresse im Kundenportal seiner Bank, nimmt man automatisch sein Recht auf Berichtigung der eigenen Daten wahr und stellt ein Datenschutz Gesuch an seine Bank. Doch was beudeutet die Implikation der Betroffenenrechte für (junge) Unternehmen?
Im Allgemeinen hat eine Person unabhängig von der Art des Gesuchs das Anrecht, folgende Informationen über die personenbezogenen Daten zu erfahren:
- Um welchen Kategorien von Daten handelt es sich und zu welchem Zweck verfolgt das Unternehmen mit dem Erheben von Daten im vorliegenden Fall?
- Wer erhält Zugriff auf die gesammelten Daten und warum?
- Welche Art der Datenerhebung wurde angewandt, solange diese nicht bei der Person selber erhoben worden sind?
- Welche Art der Datenvorratsspeicherung wird angewandt und wie und über welchen Zeitraum ist eine Datenspeicherung vorgesehen?
- Inwiefern werden die personenbezogenen Daten einem automatisierten Profiling unterzogen und welche Auswirkungen kann dies auf die jeweilige Person haben?
Vor dem Hintergrund dieser Informationen haben betroffene Personen die Möglichkeit mittels der Betroffenenrechte selbstbestimmt über die eigenen Daten und Informationen zu bestimmen. Insgesamt gibt es sechs verschiedene Betroffenenrechte. Diese lassen sich wie folgt definieren:
1. Die Informationspflicht
Im Rahmen der sogenannten Informationspflicht sind Unternehmen gegenüber natürlichen Personen verpflichtet, diese transparent und umfassend über die Nutzung der individuellen personenbezogenen Daten aufzuklären. Dies kann auf dem schriftlichen, elektronischen oder mündlichem Wege passieren. Hierbei muss die Auskunft über die individuelle Datennutzung binnen einer Frist von einem Monat offenkundig gemacht werden. Im Rahmen der Informationspflicht erhält die betroffene Person lediglich Informationen über die erhobenen Daten.
2. Recht auf Auskunft
Das Betroffenenrecht der Auskunft ist zweistufig gestaltet und gewährt der betroffenen Person einen Anspruch auf Auskunft über die bereits verarbeiteten Daten und die spezifischen Umstände der Datenverarbeitung. In der ersten Stufe kann eine natürliche Person erfragen, ob personenbezogene Daten über die eigene Person abgefragt und verarbeitet worden sind. Sollte dies nicht der Fall sein, so hat das Unternehmen eine Negativ-Auskunft zu erteilen. Werden Daten der betroffenen Person verarbeitet, so hat die betroffene Person ein Recht auf Auskunft und Information über die Art und Weise der Datenverarbeitung und Nutzung. Darüber hinaus hat eine Person das Anrecht auf eine schriftliche Übermittlung der Daten. Im Vergleich zur Informationspflicht, hat die antragstellende Person im Rahmen des Rechts auf Auskunft die Möglichkeit, sich über die Betroffenenrechte und mögliche Vorgehensweisen (gegen die Nutzung der personenbezogenen Daten) aufklären zu lassen.
3. Recht auf Berichtigung
Das Recht auf Berichtigung ist eng mit dem Recht auf Auskunft und der Informationspflicht verknüpft, da betroffene Personen ohne Wissen über die personenbezogenen Daten das Recht auf Berichtigung in den meisten Fällen nicht in Anspruch nehmen können. Sollten Unstimmigkeiten in den personenbezogenen Daten auftreten, hat eine betroffene Person diese zwei Möglichkeiten: Zum einen können Datensätze, welche falsche Informationen über eine Person enthalten, korrigiert werden; Zum anderen können unvollständige Datensätze überarbeitet und ergänzt werden. Zu den klassischen Gesuchen dieser Art, gehören beispielsweise Adressänderungen nach einem Umzug.
4. Recht auf “Vergessenwerden”
Das Recht des “Vergessenwerden” beschreibt das Recht auf Datenlöschung und ermöglicht es einer betroffenen Person, einen Anspruch auf unverzügliche Löschung der personenbezogenen Daten bei dem Datenverarbeitenden zu stellen. Dies ist jedoch nicht uneingeschränkt, sondern nur unter Berücksichtigung folgender Gründe für einen Widerruf der Daten möglich:
- Die betroffene Person möchte Ihre Einwilligung zur Datenverarbeitung widerrufen oder möchte einen Widerspruch gegen eine weitere Verwendung Ihrer Daten einlegen, da diese zum Beispiel nicht mehr von Nöten (z.B. beim Wechsel eines Arztes).
- Die betroffene Person kann das Recht auf Datenverarbeitung widerrufen, sollten die personenbezogenen Daten unrechtmäßig verarbeitet worden sein.
- Sollte es sich bei der betroffenen Person um ein Kind oder einen jungen Erwachsen, welcher das 16. Lebensjahr noch nicht erreicht hat, handeln, so gelten besondere gesetzliche Vorschriften. Darüber hinaus kann es weitere rechtliche Vorschriften oder Gesetzte geben, welche eine besondere Behandlungung von Daten und deren Löschung vorschreibt. So dürfen Restaurants die im Rahmen der Covid-19 erhobenen Daten von Gästen beispielsweise nur über einen maximalen Zeitraum von 2 Wochen speichern.
5. Recht auf eingeschränkte Verbreitung von Daten
Das Betroffenenrecht welches das Recht der Unternehmen in der Nutzung der jeweiligen personenbezogenen Daten einschränkt, kann auch als milderes Mittel im Vergleich zum Anspruch auf Löschung der Daten angesehen werden. Nimmt eine betroffene Person das Recht zur Einschränkung der Datennutzung in Anspruch, so werden die entsprechenden Daten für den allgemeinen Gebrauch gesperrt, können jedoch weiterhin für relevante Zwecke genutzt werden. Betroffene Personen können ihre Daten aus folgenden Gründen sperren lassen:
- Die betroffene Person kann die Richtigkeit der Daten und/ oder deren rechtmäßige Verarbeitung anzweifeln und ihre Daten für weitere Vorhergehensweisen sperren lassen.
- Betroffene Personen können ihre Daten sperren lassen, wenn diese aufgrund rechtlicher Vorschriften nicht gelöscht werden können oder eine Löschung im Zusammenhang mit dem Widerrufsrechts blockiert wird.
6. Recht auf Übertragbarkeit der Daten
Unternehmen können von einer betroffenen Person dazu verpflichtet werden, gesammelte und bereits verarbeitete Daten an Dritte, zum Beispiel einem anderen Anbieter, zu übertragen. Da die Informationen einer betroffenen Person auch Informationen über dritte Personen enthalten können, muss sichergestellt werden, dass bei der Übertragung von Daten die Rechte Dritter nicht verletzt werden.
Konsequenzen bei Missachtung von Datenschutzvorschriften oder Fristverletzungen
Ein Fehler ist schnell passiert und der Überblick über komplexe Themengebiete, wie in diesem Fall dem Datenschutz, ist schnell verloren. Während die Folgen einer umgestoßenen Kaffeetasse jedoch meist keine großen Konsequenzen mit sich zieht, sieht es beim Datenschutz jedoch schnell anders aus: Bei einem Verstoß gegen die Datenschutz-Grundverordnung drohen Unternehmen Bußgelder in einer Höhe von bis zu 20 Millionen Euro oder 4 % des Jahres Gesamtumsatzes. Bei Tochterunternehmen gilt darüber hinaus sogar der Jahresumsatz des Konzerns als Berechnungsgrundlage. Wer sich bei der Bearbeitung von Datenschutzgesuchen oder der generellen Implementierung von Datenschutz in die Unternehmensprozesse unsicher fühlt, sollte sich professionelle Unterstützung suchen. Ihr fühlt euch angesprochen, mit einem Datenschutzgesuch konfrontiert oder fühlt euch bei der Implementierung des Datenschutzes unsicher? heyData bietet die Möglichkeit, euch in einem unverbindlichen Gespräch über die richtige Umsetzung der Datenschutz-Grundverordnung zu informieren.
Weitere Artikel
Braucht euer Unternehmen SOC 2 oder SOC 3?
Ihr habt vielleicht schon von SOC 2- und SOC 3-Berichten gehört, aber was genau ist das eigentlich? Was ist der Unterschied zwischen den beiden? Und welcher Bericht ist der richtige für euer Unternehmen? Lasst uns einen genaueren Blick darauf werfen.
Mehr erfahren
Amazon Alexa und der Datenschutz
Alle Infos wie es sich um den Datenschutz bei Amazon´s Alexa bestellt.
Mehr erfahren
How to: Das Recht auf Auskunft nach DSGVO einhalten
Unternehmen, Behörden, Institutionen und Betroffene müssen wissen, dass innerhalb der DSGVO verschiedene Betroffenheitsrechte behandelt werden und diese seit dem 25. Mai 2018 Gültigkeit besitzen. Betrachtet man diese Betroffenheitsrechte, so wird behandelt, in welcher Form private Daten gespeichert und genutzt werden dürfen. Ein wichtiger Teil dieser Rechte wird im Artikel 15 DSGVO geregelt – dieser Artikel definiert das Auskunftsrecht aller betroffenen Personen in Bezug auf die vorhandenen personenbezogenen Daten. Für Unternehmen ergibt sich die Fragestellung, ob eine Auskunftspflicht besteht und wann eine betroffene Person das Recht erhält, eine Auskunft einzufordern. Gleichzeitig ist zu klären, wie eine Auskunftsanfrage zu stellen ist und welche Kosten entstehen können.
Mehr erfahren