+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

Das Gesetz

Jede natürliche Person, deren Daten bei einer Organisation, einem Verein oder einer Behörde gespeichert sind, hat Rechte an Ihren Daten. Was bedeutet das für den Betroffenen (also die Person, deren Daten gespeichert sind)? Und was für die verarbeitenden Organisation? Das möchte dieser Artikel erläutern.

Die Betroffenenrechte firmieren offiziell unter dem Namen „Rechte der betroffenen Person“. Sie sind in Kapitel 3 (Artikel 12 bis 23 DSGVO) aufgeführt. Geregelt werden darin die Rechte der von der Verarbeitung ihrer Daten betroffenen Personen. Im Detail das Recht auf

  • Auskunft (siehe Art. 15 DSGVO)
  • Berichtigung (siehe Art. 16 DSGVO)
  • Löschung (siehe Art. 17 DSGVO)
  • Einschränkung der Daten (siehe Art. 18 DSGVO)
  • Datenübertragbarkeit (siehe Art. 20 DSGVO)
  • Widerspruch (siehe Art. 21 DSGVO)
  • Widerruf (Wenn die Verarbeitung auf Art. 6 DSGVO Abs. 1 Buchstabe a oder Art. 9 DSGVO Abs 2 Buchstabe a beruht, besteht das Recht, die Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird davon nicht berührt.)

Außerdem regelt das Kapitel die automatisierte Entscheidung im Einzelfall einschließlich Profiling (siehe Art. 22 DSGVO). Das hört sich kompliziert an. Ist es aber nicht. Bei diesen automatisierten Entscheidungen geht es darum, dass z.B. ein Algorithmus eine Entscheidung trifft, die eine natürliche Person betrifft. Also Entscheidungen, die rechtliche Auswirkungen auf die betroffene Person hätten oder eine solche Auswirkung beeinflussen würden. Diese dürfen nicht ausschließlich automatisiert getroffen werden. Beispiel dafür wäre die automatische Ablehnung eines Online-Kreditantrags.

Sehen wir uns die Betroffenenrechte im Detail an. Unsere betroffene Person nennen wir Frau Schmid.

Das Recht auf Auskunft

Schon immer hat Frau Schmid interessiert, was die Schufa alles über sie weiß. Deshalb stellt sie eine Auskunftsanfrage.

Nach Artikel 15 Abs. 1 DSGVO hat Frau Schmid das Recht, vom Verantwortlichen, nämlich der Schufa, eine Auskunft darüber zu erhalten, ob diese ihre personenbezogenen Daten verarbeitet. Ist dies der Fall, hat sie zudem das Recht, eine Auskunft über diese Daten zu erhalten. Das kann mündlich geschehen, aber auch in Form einer elektronischen Kopie oder eines Ausdrucks. Durch die Kopie der Daten für Frau Schmid dürfen die Rechte und Freiheiten anderer Personen jedoch nicht beeinträchtigt sein. Das heißt unter anderem, dass die Daten, die Frau Schmid bekommt keine personenbezogenen Daten anderer Personen enthalten dürfen.

Zusätzlich zu den Informationen aus der Anfrage zu den Betroffenenrechten hat die Schufa als Verantwortliche Verarbeiterin im Rahmen der Informationspflicht (Art. 13, 14 DSGVO) eine Auskunft auf folgenden Fragen bereitzustellen:

  • Zu welchem Zweck verarbeitet der Verantwortliche die Daten?
  • Welche Kategorien personenbezogener Daten verarbeitet der Verantwortliche?
  • Welche Empfänger bzw. Kategorien von Empfängern haben oder werden diese Daten erhalten?
  • Für welche Dauer plant der Verantwortliche die Daten zu speichern?
  • Woher stammen die Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden?
  • Besteht eine automatische Entscheidungsfindung einschließlich Profiling? Falls ja, welche Logik wird verwendet und welche Auswirkungen hat dieses Verfahren für die betroffene Person?

In diesem Zusammenhang müssen Frau Schmid auch Informationen bereit gestellt werden über

  • ihre Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie
  • ihr Widerspruchsrecht gegen diese Verarbeitung und auch
  • ihr Beschwerderecht bei der zuständigen Aufsichtsbehörde (des Verantwortlichen).

Das Recht auf Berichtigung

Als Reaktion auf ihre Anfrage hat Frau Schmid eine elektronische Kopie ihrer Daten erhalten. Bei der Durchsicht stellt sie fest, dass die hinterlegte Adresse falsch geschrieben ist. Sie ruft bei der Schufa an und lässt die Adresse berichtigen.

Das Recht auf Löschung

Frau Schmid hat über ein Online-Reiseportal eine Reise gebucht. Aus persönlichen Gründen muss sie die Reise vor Antritt stornieren. Da die Reise nicht zustande kommt, entschließt sie sich, ihre Daten beim Reiseportal löschen zu lassen. Sie möchte also vom Reisebüro „vergessen werden“. Das Reiseportal löscht Frau Schmid als Kundin. Es sind jedoch Belege mit Daten von Frau Schmid entstanden. Diese müssen im Rahmen der gesetzlichen Aufbewahrungsfrist aufbewahrt werden. Daher dürfen und müssen sie im Zusammenhang mit der Löschanfrage nicht gelöscht werden.

Gegebenenfalls muss noch eine Löschweitergabe an weitere beteiligte Unternehmen erfolgen. Näheres dazu im Abschnitt „die Fristen“.

Das Recht auf Datenübertragbarkeit

Über die Medien hat Frau Schmid in letzter Zeit häufig von Datenschutzverstößen ihres bevorzugten sozialen Netzwerks erfahren. Sie überlegt deshalb, ihr soziales Netzwerk zu wechseln. In der Theorie hätte Frau Schmid in diesem Fall ein Recht darauf, dass der Anbieter ihres bisherigen sozialen Netzwerks die Daten an den neuen Anbieter überträgt. In der Praxis gibt es hier jedoch noch einige Hürden, beispielsweise die technische Machbarkeit und Zumutbarkeit.

Die Übertragung von Daten ist möglich, wenn

  • personenbezogene Daten nach Artikel 4 Absatz 1 DSGVO betroffen sind,
  • die betroffene Person dem Verantwortlichen die personenbezogenen Daten bereitgestellt hat,
  • die Verarbeitung der personenbezogenen Daten zwingend auf einer Einwilligung oder einem Vertrag nach Artikel 6 Abs. 1 lit. b DSGVO beruht und
  • die Datenverarbeitung mit Hilfe eines automatisierten Verfahrens erfolgt.

Die Übertragung von Daten ist nicht möglich, wenn

  • die Verarbeitung personenbezogener Daten zur Wahrnehmung öffentlicher Aufgaben erfolgt oder
  • die Rechte und Freiheiten anderer Personen betroffen sind oder
  • eine Übertragung personenbezogener Daten von einem Anbieter zu einem anderen Anbieter technisch nicht möglich ist.

Das Recht auf Widerspruch und Widerruf

Vor Jahren hat Frau Schmid einige Artikel bei einem Online Versandhaus bestellt. Seit dieser Zeit erhält sie regelmäßig Werbung auf dem Postweg. Die letzten Zusendungen wanderten ungeöffnet in den Müll. Aus diesem Grund legt Frau Schmid Widerspruch gegen den Versand der Direktwerbung ein.

Auch der Newsletter des Online Versandhauses ist für Frau Schmid mittlerweile nicht mehr interessant. Sie widerruft ihre Einwilligung in den Newsletterversand. Der Gesetzgeber sieht in diesem Fall vor, dass der Widerruf genau so einfach sein muss wie die Einwilligung. Bereits bei der Einwilligung muss Frau Schmid auf ihr Recht zum Widerruf hingewiesen werden.

Das Recht auf Einschränkung der Verarbeitung

Frau Schmid ist beruflich ein erfolgreicher und gefragter Coach für Schrei- und Regulationsstörungen bei Babys und Kleinkindern. Sie entdeckt eine Webseite, die in ihrem Namen Kurse anbietet. Das Kursangebot enthält einen kurzen Werdegang von Frau Schmid in Ich-Form und ihre angebliche Telefonnummer. Frau Schmid betreibt wissentlich keine Zusammenarbeit mit dem Anbieter. Der angegebene Werdegang und ihre Kontaktdaten entsprechen zudem nicht den Tatsachen. Sie bittet deshalb den Webseitenbetreiber, die Verarbeitung ihrer Daten solange zu stoppen, bis näheres mit dem Kursanbieter geklärt ist.

Die Art und Weise

Das Gesetz sieht vor, die betroffenen Personen in präziser, transparenter, verständlicher, leicht zugänglicher Form und in einer klaren Sprache zu informieren. Manchmal sind auch Kinder von der Verarbeitung personenbezogener Daten betroffen. Dann müssen die Informationen altersgerecht in einer für Kinder verständlichen Form und Sprache übermittelt werden. Auch standardisierte Bildsymbole sind erlaubt.

Die Fristen

Flattert einer Organisation die konkrete Anfrage der Betroffenen Frau Schmid ins Haus, sieht das Gesetz eine fristgerechte und vollumfängliche Bearbeitung vor. Die Bearbeitung inklusive Rückmeldung an Frau Schmid sollte innerhalb von vier Wochen nach Eingang der Anfrage abgeschlossen sein. In begründeten Ausnahmefällen kann die Organisation eine Fristverlängerung um maximal weitere 2 Monate bei Frau Schmid beantragen bzw. ankündigen (Art. 12 Abs. 3 DSGVO).

Solche Ausnahmefälle können z.B. in der Komplexität oder Anzahl der Anfragen begründet sein. Zudem muss die Fristverlängerung bereits innerhalb der ersten 4 Wochen bei Frau Schmid angekündigt werden.

Sowohl bei der Frist als auch bei der Benachrichtigung darf nicht vergessen werden, dass die Anfragen möglicherweise an Unterauftragnehmer weitergegeben werden müssen. Im Falle der Löschanfrage an das Reiseprotal kann das beispielsweise so aussehen: Da das Reiseportal die Durchführung der Reise wiederum bei einem Reiseveranstalter gebucht hat, darf Frau Schmid die Information über die Löschung ihrer Daten erst bekommen, wenn das Reiseportal

  • vom Reiseveranstalter die Information bekommen hat, dass dieser und
  • alle weiteren beteiligten Unterauftragnehmer wie Hotels oder Busunternehmer
  • sowie das Reiseportal selbst

alle Daten von Frau Schmid gelöscht haben.

Die Identifizierung

Um zu verhindern, dass irgendeine beliebige Anfragestellerin sich als Frau Schmid ausgibt, ist eine ausreichende Identifizierung notwendig. Hätte Frau Schmid ihre Reise im Reisebüro ihres Heimatortes gebucht, könnte sie persönlich vorbeikommen, um ihre hinterlegten Daten löschen zu lassen. Ist sie dem Sachbearbeiter bekannt, kann er sie persönlich identifizieren. Ansonsten kann Frau Schmid mithilfe ihres Personalausweises eindeutig identifiziert werden.

Bei elektronischen Anfragen ist das nicht ganz so einfach. Hier kann eine Kombination von personenbezogenen Daten zur Identifizierung abgefragt werden. Beispielsweise das Geburtsdatum, die Anschrift und die Buchungsnummer von Frau Schmid. Bei besonderer Vertraulichkeit wie Bankgeschäften vielleicht sogar ein persönlicher Code.

Generell muss die Identifizierung organisationsspezifisch dem Prozess und den Sicherheitserfordernissen entsprechend individuell gehandhabt werden. Es ist nicht gestattet, vorbeugend Daten wie z.B. den Personalausweis für den eventuellen Fall einer späteren Identifizierung zu speichern.

Die Kommunikation

Die Schufa kann im obigen Beispiel die Auskunftsanfrage auf elektronischem Weg beantworten, sofern Frau Schmid diesen Kanal zur Kommunikation gewählt hat. Frau Schmid hat jedoch auch die Möglichkeit, explizit einen anderen Kanal, z.B. die Benachrichtigung per Post zu wählen.

Die Ausnahme

Kann die Schufa die Auskunftsanfrage von Frau Schmid auch ablehnen?

Prinzipiell erst mal nicht. Liegen allerdings große Mengen Daten zu Frau Schmid vor, kann die Schufa von Frau Schmid verlangen, zu präzisieren, auf welche Informationen oder Verarbeitungsvorgänge sich ihre Auskunftsanfrage bezieht.

Stellt Frau Schmid unbegründete oder exzessive Auskunftsanfragen, hätte die Schufa allerdings tatsächlich die Möglichkeit, eine Auskunft zu verweigern.

Gleiches gilt, wenn durch die Auskunft die Rechte und Freiheiten anderer Personen verletzt würden.

Kann die Schufa eine Löschanfrage von Frau Schmid ablehnen?

Prinzipiell auch nicht, aber: Je nach dem, um welche Art von gespeicherten Daten es sich handelt, unterliegen diese einer gewissen Aufbewahrungsfrist. So werden beispielsweise Einträge über nicht bezahlte Forderungen nicht unmittelbar nach der Tilgung, sondern erst 3 Jahre danach gelöscht.

Die Rechnung, bitte!

Neben der oben genannten Möglichkeit, bei unbegründeten und exzessiven Anfragen von Frau Schmid die Auskunft zu verweigern, hat die Schufa zudem die Möglichkeit, ein angemessenes Entgelt zu verlangen. Angemessen bedeutet in diesem Fall, dass die Verwaltungskosten für die notwendigen Maßnahmen berechnet werden dürfen.

In beiden Fällen müsste die Schufa jedoch einen Nachweis über den unbegründeten oder exzessiven Charakter der Anfrage erbringen.

Die tägliche Praxis

Die juristischen Aspekte der Betroffenenrechte haben Sie nun kennengelernt. Wie die Beispiele zeigen, können Anfragen also durchaus unterschiedlicher Art sein. Und je nach Art der Anfrage können unterschiedliche Reaktionen erforderlich werden. Aber was heißt das jetzt konkret für’s Tagesgeschäft? Im Folgenden finden Sie einige Fragen, die Ihnen helfen sollen, Anfragen zu Betroffenenrechten in Ihrer Organisation angemessen behandeln zu können.

Generell empfehlen wir, für jede Art der Anfrage einen eigenen Standardablauf oder eine Checkliste zu definieren. Darin soll geklärt werden, wie Anfragen einer bestimmten Art behandelt werden, wer wofür zuständig ist und was der Reihe nach zu tun ist. Stellen Sie sich dazu folgende Fragen:

Fragezeichen Auf welchen Wegen können Anfragen betroffener Personen bei Ihnen eingehen?

Angehakte Checkbox Stellen Sie sicher, dass alle eingehenden Anfragen kanalisiert werden, um sicherzugehen, dass die vorgegebenen Reaktionszeiten eingehalten werden können und keine Anfragen untergehen.

Fragezeichen Wer darf die eingehenden Anfragen bearbeiten?

Angehakte Checkbox Überlegen Sie, ob es sinnvoll ist, alle Arten von Anfragen von allen Mitarbeitern bearbeiten zu lassen. Vielleicht kann es sinnvoll sein, dass einfache Auskunfts- oder Änderungsanfragen von allen Mitarbeitern durchgeführt werden. Vielleicht ist es aber auch sinnvoll, dass bestimmte Anfragen, wie die Einschränkung der Verarbeitung oder Löschung von Daten nur von bestimmten Mitarbeitern durchgeführt werden dürfen. Beispielsweise weil für die Bearbeitung entsprechendes Hintergrundwissen zu den rechtlichen Grundlagen und Aufbewahrungsfristen notwendig ist. Oder weil Kunden- oder Lieferantendaten nur von bestimmten Mitarbeitergruppen bearbeitet werden dürfen.

Angehakte Checkbox Stellen Sie sicher, dass in Zeiten von Urlaub und Krankheit durchgehend eine fristgerechte Bearbeitung möglich ist und Anfragen nicht „untergehen“.

Angehakte Checkbox Sorgen Sie dafür, dass die vorgesehenen Mitarbeiter die notwendige Fachkompetenz für die Bearbeitung der eingehenden Anfragen haben. Veranlassen Sie gegebenenfalls Schulungen und regelmäßige Weiterbildung.

Fragezeichen Wer hat wann schon mal was angefragt?

Angehakte Checkbox Überlegen Sie sich unabhängig von der Art der Anfrage und vom Kanal über den die Anfrage sie erreicht, eine Möglichkeit der Dokumentation. Dokumentieren Sie jede einzelne eingegangene Anfrage zentral.

Angehakte Checkbox Stellen Sie sicher, dass der Anfragesteller, egal über welchen Kanal er anfragt, in jedem Fall über ausreichend viele Merkmale identifiziert wird. Definieren Sie dazu genau, welche Merkmale das sein können.

Angehakte Checkbox Gewährleisten Sie, dass bei Auskunftsanfragen keine Daten herausgegeben werden, die andere Personen als den Anfragesteller betreffen.

Angehakte Checkbox Beachten Sie im Falle einer Löschung, dass die Dokumentation des Vorgangs pseudonymisiert wird.

Fragezeichen Weiß jeder, was wann zu tun ist?

Angehakte Checkbox Dokumentieren Sie die definierten Abläufe für alle Arten der Anfragen in schriftlicher Form.

Angehakte Checkbox Machen Sie die Dokumentationen für alle Mitarbeiter zugänglich.

Fragezeichen Haben Sie wirklich an alles gedacht?

Angehakte Checkbox Stellen Sie sicher, dass die Anfragen im Bedarfsfall auch an etwaige Unterauftragnehmer (wie im Falle des Reiseportals) weitergegeben werden.

Angehakte Checkbox Informieren Sie den Kunden, wenn die Anfrage komplett umgesetzt wurde (incl. Unterauftragnehmer). Sie können dafür bereits im Vorfeld für die entsprechenden Anfragearten Musterformulare erstellen, die dann nur noch befüllt und versendet werden müssen. Achten Sie in den Formularen auf einfache Sprache und eine transparente und verständliche Beschreibung der Vorgänge.

Angehakte Checkbox Denken Sie daran, notwendige Fristverlängerungen frühzeitig anzukündigen und gut zu begründen!

Haben Sie bereits Gebrauch von Ihren Betroffenenrechten gemacht?

Oder haben Sie Anfragen von betroffenen Personen erhalten? Teilen Sie uns Ihre Erfahrungen zum Thema mit. Wir freuen uns auf Ihren Beitrag in den Kommentaren!

Diesen Beitrag teilen