Betroffenenrechte im Datenschutz

Betroffenenrechte DSGVO

Das Gesetz

Jede natürliche Person, deren Daten bei einer Organisation, einem Verein oder einer Behörde gespeichert sind, hat Rechte an Ihren Daten. Was das für den Betroffenen (also die Person, deren Daten gespeichert sind), aber auch für die Organisation bedeutet, möchte dieser Artikel erläutern.

Das Betroffenenrecht firmiert offiziell unter dem Namen „Rechte der betroffenen Person“. Es ist in Kapitel 3 (Artikel 12 bis 23 DSGVO) aufgeführt. Geregelt werden darin die Rechte der von der Verarbeitung ihrer Daten betroffenen Personen. Im Detail das Recht auf

  • Auskunft (siehe Art. 15 DSGVO)
  • Berichtigung (siehe Art. 16 DSGVO)
  • Löschung (siehe Art. 17 DSGVO)
  • Einschränkung der Daten (siehe Art. 18 DSGVO)
  • Datenübertragbarkeit (siehe Art. 20 DSGVO)
  • Widerspruch (siehe Art. 21 DSGVO)
  • Widerruf (Wenn die Verarbeitung auf Art. 6 DSGVO Abs. 1 Buchstabe a oder Art. 9 DSGVO Abs 2 Buchstabe a beruht, besteht das Recht, die Einwilligung jederzeit zu widerrufen. Die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung wird davon nicht berührt.)

Außerdem regelt das Kapitel die automatisierte Entscheidung im Einzelfall einschließlich Profiling (siehe Art. 22 DSGVO). Das hört sich kompliziert an. Ist es aber nicht. Bei diesen automatisierten Entscheidungen geht es darum, dass z.B. ein Algorithmus eine Entscheidung trifft, die eine natürliche Person betreffen. Also Entscheidungen, die rechtliche Auswirkungen auf die betroffene Person hätten oder eine solche Auswirkung beeinflussen würden. Diese dürfen nicht ausschließlich automatisiert getroffen werden. Beispiel dafür wäre die automatische Ablehnung eines Online-Kreditantrags.

Sehen wir uns die Betroffenenrechte im Detail an. Unsere betroffene Person nennen wir Frau Schmid.

Das Recht auf Auskunft

Schon immer hat Frau Schmid interessiert, was die Schufa alles über sie weiß. Deshalb stellt sie eine Auskunftsanfrage.

Nach Artikel 15 Abs. 1 DSGVO hat Frau Schmid das Recht, vom Verantwortlichen, nämlich der Schufa, eine Auskunft darüber zu erhalten, ob diese ihre personenbezogenen Daten verarbeitet. Ist dies der Fall, hat sie zudem das Recht, eine Auskunft über diese Daten zu erhalten. Das kann mündlich geschehen, aber auch in Form einer elektronischen Kopie oder eines Ausdrucks. Durch die Kopie der Daten für Frau Schmid dürfen die Rechte und Freiheiten anderer Personen jedoch nicht beeinträchtigt sein.

Zudem hat die Schufa als Verantwortliche im Rahmen der Informationspflicht eine Auskunft auf folgenden Fragen bereitzustellen:

  • Zu welchem Zweck verarbeitet der Verantwortliche die Daten?
  • Welche Kategorien personenbezogener Daten verarbeitet der Verantwortliche?
  • Welche Empfänger bzw. Kategorien von Empfängern haben oder werden diese Daten erhalten?
  • Für welche Dauer plant der Verantwortliche die Daten zu speichern?
  • Woher stammen die Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden?
  • Besteht eine automatische Entscheidungsfindung einschließlich Profiling? Falls ja, welche Logik wird verwendet und welche Auswirkungen hat dieses Verfahren für die betroffene Person?

In diesem Zusammenhang müssen Frau Schmid auch Informationen bereit gestellt werden über

  • ihre Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie
  • ihr Widerspruchsrecht gegen diese Verarbeitung und auch
  • ihr Beschwerderecht bei der zuständigen Aufsichtsbehörde (des Verantwortlichen).

Das Recht auf Berichtigung

Als Reaktion auf ihre Anfrage hat Frau Schmid eine elektronische Kopie ihrer Daten erhalten. Bei der Durchsicht stellt sie fest, dass die hinterlegte Adresse falsch geschrieben ist. Sie ruft bei der Schufa an und lässt die Adresse berichtigen.

Das Recht auf Löschung

Frau Schmid hat über ein Online-Reiseportal eine Reise gebucht. Aus persönlichen Gründen muss sie die Reise vor Antritt stornieren. Da die Reise nicht zustande kommt, entschließt sie sich, ihre Daten beim Reiseportal löschen zu lassen. Sie möchte also vom Reisebüro „vergessen werden“. Das Reiseportal löscht Frau Schmid als Kundin. Es sind jedoch Belege mit Daten von Frau Schmid entstanden. Diese müssen im Rahmen der gesetzlichen Aufbewahrungsfrist aufbewahrt werden. Daher dürfen und müssen sie im Zusammenhang mit der Löschanfrage nicht gelöscht werden.

Ggf. muss noch eine Löschweitergabe an weitere beteiligte Unternehmen erfolgen. Näheres dazu im Abschnitt „die Fristen“.

Das Recht auf Datenübertragbarkeit

Über die Medien hat Frau Schmid in letzter Zeit häufig von Datenschutzverstößen ihres bevorzugten sozialen Netzwerks erfahren. Sie überlegt deshalb, ihr soziales Netzwerk zu wechseln. In der Theorie hätte Frau Schmid in diesem Fall ein Recht darauf, dass der Anbieter ihres bisherigen sozialen Netzwerks die Daten an den neuen Anbieter überträgt. In der Praxis gibt es hier jedoch noch einige Hürden, beispielsweise die technische Machbarkeit und Zumutbarkeit.

Die Übertragung von Daten ist möglich, wenn

  • personenbezogene Daten nach Artikel 4 Absatz 1 DSGVO betroffen sind,
  • die betroffene Person dem Verantwortlichen die personenbezogenen Daten bereitgestellt hat,
  • die Verarbeitung der personenbezogenen Daten zwingend auf einer Einwilligung oder einem Vertrag nach Artikel 6 Abs. 1 lit. b DSGVO beruht und
  • die Datenverarbeitung mit Hilfe eines automatisierten Verfahrens erfolgt.

Die Übertragung von Daten ist nicht möglich, wenn

  • die Verarbeitung personenbezogener Daten zur Wahrnehmung öffentlicher Aufgaben erfolgt oder
  • die Rechte und Freiheiten anderer Personen betroffen sind oder
  • eine Übertragung personenbezogener Daten von einem Anbieter zu einem anderen Anbieter technisch nicht möglich ist.

Das Recht auf Widerspruch und Widerruf

Vor Jahren hat Frau Schmid einige Artikel bei einem Online Versandhaus bestellt. Seit dieser Zeit erhält sie regelmäßig Werbung auf dem Postweg. Die letzten Zusendungen wanderten ungeöffnet in den Müll. Aus diesem Grund legt Frau Schmid Widerspruch gegen den Versand der Direktwerbung ein.

Auch der Newsletter des Online Versandhauses ist für Frau Schmid mittlerweile nicht mehr interessant. Sie widerruft ihre Einwilligung in den Newsletterversand. Der Gesetzgeber sieht in diesem Fall vor, dass der Widerruf genau so einfach sein muss wie die Einwilligung. Bereits bei der Einwilligung muss Frau Schmid auf ihr Recht zum Widerruf hingewiesen werden.

Das Recht auf Einschränkung der Verarbeitung

Frau Schmid ist beruflich ein erfolgreicher und gefragter Coach für Schrei- und Regulationsstörungen bei Babys und Kleinkindern. Sie entdeckt eine Webseite, die in ihrem Namen Kurse anbietet. Das Kursangebot enthält einen kurzen Werdegang von Frau Schmid in Ich-Form und ihre angebliche Telefonnummer. Frau Schmid betreibt wissentlich keine Zusammenarbeit mit dem Anbieter. Der angegebene Werdegang und ihre Kontaktdaten entsprechen zudem nicht den Tatsachen. Sie bittet deshalb den Webseitenbetreiber, die Verarbeitung ihrer Daten solange zu stoppen, bis näheres mit dem Kursanbieter geklärt ist.

Die Art und Weise

Das Gesetz sieht vor, die betroffenen Personen in präziser, transparenter, verständlicher, leicht zugänglicher Form und in einer klaren Sprache zu informieren. Manchmal sind auch Kinder von der Verarbeitung personenbezogener Daten betroffen. Dann müssen die Informationen altersgerecht in einer für Kinder verständlichen Form und Sprache übermittelt werden. Auch standardisierte Bildsymbole sind erlaubt.

Die Fristen

Flattert einer Organisation die konkrete Anfrage der Betroffenen Frau Schmid ins Haus, sieht das Gesetz eine fristgerechte und vollumfängliche Bearbeitung vor. Die Bearbeitung inklusive Rückmeldung an Frau Schmid sollte innerhalb von vier Wochen nach Eingang der Anfrage abgeschlossen sein. In begründeten Ausnahmefällen kann die Organisation eine Fristverlängerung um maximal weitere 2 Monate bei Frau Schmid beantragen bzw. ankündigen (Art. 12 Abs. 3 DSGVO).

Solche Ausnahmefälle können z.B. in der Komplexität oder Anzahl der Anfragen begründet sein. Zudem muss die Fristverlängerung bereits innerhalb der ersten 4 Wochen bei Frau Schmid angekündigt werden.

Sowohl bei der Frist als auch bei der Benachrichtigung darf nicht vergessen werden, dass die Anfragen möglicherweise an Unterauftragnehmer weitergegeben werden müssen. Im Falle der Löschanfrage an das Reiseprotal kann das beispielsweise so aussehen: Da das Reiseportal die Durchführung der Reise wiederum bei einem Reiseveranstalter gebucht hat, darf Frau Schmid die Information über die Löschung ihrer Daten erst bekommen, wenn das Reiseportal

  • vom Reiseveranstalter die Information bekommen hat, dass dieser und
  • alle weiteren beteiligten Unterauftragnehmer wie Hotels oder Busunternehmer
  • sowie das Reiseportal selbst

alle Daten von Frau Schmid gelöscht haben.

Die Identifizierung

Um zu verhindern, dass irgendeine beliebige Anfragestellerin sich als Frau Schmid ausgibt, ist eine ausreichende Identifizierung notwendig. Hätte Frau Schmid ihre Reise im Reisebüro ihres Heimatortes gebucht, könnte sie persönlich vorbeikommen, um ihre hinterlegten Daten löschen zu lassen. Ist sie dem Sachbearbeiter bekannt, kann er sie persönlich identifizieren. Ansonsten kann Frau Schmid mithilfe ihres Personalausweises eindeutig identifiziert werden.

Bei elektronischen Anfragen ist das nicht ganz so einfach. Hier kann eine Kombination von personenbezogenen Daten zur Identifizierung abgefragt werden. Beispielsweise das Geburtsdatum, die Anschrift und die Buchungsnummer von Frau Schmid. Bei besonderer Vertraulichkeit wie Bankgeschäften vielleicht sogar ein persönlicher Code.

Generell muss die Identifizierung organisationsspezifisch dem Prozess und den Sicherheitserfordernissen entsprechend individuell gehandhabt werden. Es ist nicht gestattet, vorbeugend Daten wie z.B. den Personalausweis für den eventuellen Fall einer späteren Identifizierung zu speichern.

Die Kommunikation

Die Schufa kann im obigen Beispiel die Auskunftsanfrage auf elektronischem Weg beantworten, sofern Frau Schmid diesen Kanal zur Kommunikation gewählt hat. Frau Schmid hat jedoch auch die Möglichkeit, explizit einen anderen Kanal, z.B. die Benachrichtigung per Post zu wählen.

Die Ausnahme

Kann die Schufa die Auskunftsanfrage von Frau Schmid auch ablehnen?

Prinzipiell erst mal nicht. Liegen allerdings große Mengen Daten zu Frau Schmid vor, kann die Schufa von Frau Schmid verlangen, zu präzisieren, auf welche Informationen oder Verarbeitungsvorgänge sich ihre Auskunftsanfrage bezieht.

Stellt Frau Schmid unbegründete oder exzessive Auskunftsanfragen, hätte die Schufa allerdings tatsächlich die Möglichkeit, eine Auskunft zu verweigern.

Gleiches gilt, wenn durch die Auskunft die Rechte und Freiheiten anderer Personen verletzt würden.

Die Rechnung, bitte!

Neben der oben genannten Möglichkeit, bei unbegründeten und exzessiven Anfragen von Frau Schmid die Auskunft zu verweigern, hat die Schufa zudem die Möglichkeit, ein angemessenes Entgelt zu verlangen. Angemessen bedeutet in diesem Fall, dass die Verwaltungskosten für die notwendigen Maßnahmen berechnet werden dürfen.

In beiden Fällen müsste die Schufa jedoch einen Nachweis über den unbegründeten oder exzessiven Charakter der Anfrage erbringen.

Haben Sie bereits Gebrauch von Ihren Betroffenenrechten gemacht?

Oder haben Sie Anfragen von betroffenen Personen erhalten? Teilen Sie uns Ihre Erfahrungen zum Thema mit. Wir freuen uns auf Ihren Beitrag in den Kommentaren!

6 Comments on “Betroffenenrechte im Datenschutz
  • Jahn, Sabine says:

    Vielen Dank für Eure tollen Infos :o)))

    Antworten
  • Matthias says:

    Guten Tag! Danke für diese Informationen!
    Hier wird der Artikel 13 aber nicht erwähnt Informationspflicht… Ich habe zur Zeit eine aktuelle Anfrage bezüglich einer Datenschutzerklärung für jemanden der keine Webseite hat. Für Webseiten gibt es ja jede Menge Informationen. Was ist aber zu beachten, wenn es keine Webseite gibt und beispielsweise ein Tischler personenbezogene Daten erhebt um einen Auftrag auszuführen? Er erfasst Name, Telefonnummer, Adresse und dgl. Muss er ggf. eine Datenschutzerklärung als Aushang zur Verfügung stellen? Ist er eigentlich Verarbeiter in Sinne der DSGVO? Danke und viele Grüße

    Antworten
    • Regina Stoiber says:

      Hallo,

      Im Punkt „Recht auf Auskunft“ wird der Artikel 13 „Informationspflicht“ erwähnt und auf den Blogbeitrag verwiesen.

      Natürlich hat auch der Tischler die Aufgabe die Informationspflicht nach Art. 13 zu erfüllen. Diese wird zwar kürzer ausfallen, aber ein paar personenbezogene Daten, wie schon genannt (Name, Adresse…) werden verarbeitet. Je nachdem, wie die Kommunikation mit den Interessenten / Kunden abläuft, kann man diese Informationspflicht in den E-mail Anhang geben oder vielleicht auf die Rückseite der Angebote klein abdrucken. Wenn die Kunden zum Tischler direkt in die Werkstatt kommen, um einen Auftrag / Anfrage abzugeben, würde auch ein Aushang dort reichen. Das muss immer sehr individuell betrachtet werden, wo man die Betroffenen am besten und einfachsten erreicht.

      Viele Grüße
      Regina

      Antworten
  • Andre says:

    Hallo ich hab eine Frage es besteht ja laut DSGVO das Recht auf Löschung. Muss sich da jede Organisation dran halten?
    Es würde um die Schufa gehen hat das schon mal jemand versucht ?

    Antworten
    • Regina Stoiber says:

      Hallo Andre,

      grundsätzlich gilt das Recht auf Löschung bei jeder Organisation. Allerdings muss man beachten, dass nur gelöscht werden darf, was z.B. keiner gesetzlichen oder sonstigen vertraglichen Speicherfrist entgegenwirkt.
      Die DSGVO kann hier nicht andere geltende Gesetze ausstechen. Es gilt z.B. ein 10-jähriges (je nach Branche und Tätigkeitsfeld) Aufbewahrungsrecht für geschäftsrelevante Daten. Selbst wenn hier personenbezogene Daten gespeichert sind, dürfen die dann aufgrund einer Löschanfrage nicht gelöscht werden. Sie können dann maximal gesperrt werden für die weitere Verwendung.

      Soweit es bei der Schufa keine gesetzlichen oder vertraglichen Anforderung auf die Speicherung der Daten gibt, muss die Schufa die Daten löschen. Persönlich probiert habe ich das noch nicht, wäre aber sicherlich interessant 🙂

      Antworten

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

f