Menü
Machen Sie es den betroffenen Personen möglichst einfach, ihre Rechte aus der DSGVO zu kennen und wahrnehmen zu können.
Es geht darum, die Möglichkeit zur Ausübung der Rechte der betroffenen Person zu gewährleisten.
Die Rechte von betroffenen Personen, deren personenbezogene Daten verarbeitet werden, sind in der DSGVO festgelegt und sollen von jeder betroffenen Person auch tatsächlich ausgeübt werden können. Dabei sollen Sie die betroffene Person bestmöglich unterstützen. Die Ausübung dieser Rechte soll mit folgenden grundsätzlichen Maßnahmen ermöglicht werden:
Prinzipiell sollten Sie sicherstellen, dass Anfragen zum Datenschutz überhaupt erkannt werden und dass diese dann auch intern an die zuständige Person weitergegeben werden. So können Sie gut auf Anfragen reagieren, bestehende Fristen einhalten und möglichen Schaden abwenden.
Den Rechten der betroffenen Personen widmet die DSGVO gleich ein ganzes Kapitel, in dem die Pflichten des Verantwortlichen mit Blick auf die Rechte der betroffenen Personen dargestellt werden.
Ja, es muss sein, die Betroffenenrechte zu gewährleisten und bei der Ausübung von Betroffenenrechten zu unterstützen. Auch bereits das Nicht-Einhalten einer Frist oder das Nicht-Beantworten von Anfragen kann zu empfindlichen Sanktionen führen.
Eine Grundvoraussetzung für die Wahrnehmung der Rechte ist die transparente Information im Vorfeld einer Verarbeitung. Daher zeigt sich das Recht auf Information über eine Verarbeitung in der Pflicht zur Information für den Verantwortlichen (Informationspflichten).
Die wichtigsten Betroffenenrechte sind nachfolgend aufgeführt und grundlegend erläutert.
Art. 15 DSGVO
Jede betroffene Person kann Sie fragen, ob überhaupt Daten von ihr verarbeitet werden. Dieses Auskunftsrecht steht also grundsätzlich auch Personen offen, dessen Daten Sie bis zur Anfrage gar nicht vorliegen hatten. Liegen Daten vor, so hat die Person ein Recht auf Auskunft über diese personenbezogenen Daten. Darüber hinaus darf die betroffene Person auch eine Kopie Ihrer Daten verlangen. Es gibt in begründeten Fällen Grenzen der Auskunft.
Art. 17 DSGVO
Das Recht auf Löschung wird auch das „Recht auf Vergessenwerden“ bezeichnet. Es ist nicht zu verwechseln mit der für Sie ohnehin bestehenden Pflicht zur Löschung von Daten, wenn Sie diese nicht mehr benötigen.
Art. 16 DSGVO
Das ist einfach und klingt irgendwie logisch: Wenn die Daten falsch sind, dann müssen Sie korrigiert werden. Und wenn Daten unvollständig sind, dann müssen diese vervollständigt werden. Die Vervollständigung von Daten darf sich die betroffene Person auch bestätigen lassen.
Art. 18 DSGVO
Das Recht wird zum Beispiel relevant, wenn die Datenverarbeitung oder die Datenrichtigkeit in Frage gestellt sind und Klärungsbedarf besteht. Ist eine Klärung erfolgt und wird die Einschränkung aufgehoben, so ist die betroffene Person hierüber vor Aufhebung der Einschränkung zu informieren.
Art. 20 DSGVO
Die Datensätze von betroffenen Personen sollen zum Beispiel bei einem Anbieterwechsel nicht verlorengehen und weiterhin zur Verfügung stehen. An dieser Stelle seien ein paar Beispiele genannt, welche hier zum Tragen kommen könnten: Fitnessdatenerhebung über Apps oder Armbänder oder Datenverarbeitungen durch Energieversorger, Banken, Versicherungen.
Die Daten müssen dabei von der betroffenen Person selbst zu Verfügung gestellt worden sein.
Art. 21 DSGVO
Gegen eine grundsätzlich zulässige Verarbeitung kann eine betroffene Person Widerspruch einlegen. So ist etwa bei einem Widerspruch gegen eine zulässige Direktwerbemaßnahme (z. B. Postwerbung) die Werbemaßnahme umgehend zu unterlassen.
Haben Sie aber eine rechtliche Verpflichtung zu einer bestimmten Datenverarbeitung, dann können Sie einem Widerspruch nicht stattgeben, da Sie sonst selbst gegen Recht verstoßen würden. Als Beispiel sei hier die Pflicht zur Aufbewahrung von Steuerunterlagen genannt.
Art. 22
Nun wird es etwas holprig. Hier der Gesetzestext:
„(1) Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Zum Einstieg sei an dieser Stelle der Begriff „Profiling“ (oder Profilbildung) genannt. Aufgrund eines erstellten Profils erfolgt eine Bewertung mit einer Entscheidung.
Wenn Sie Entscheidungen aufgrund voll automatisierter Verarbeitungen treffen oder Profiling durchführen, ist die betroffenen Person darüber zu informieren.
Beispiele sind folgende Verarbeitungen:
Bonitätsprüfungen
Analysen oder Vorhersagen zur Bewertung von Leistung, Gesundheit, Verhalten, Ortswechsel, Kaufwahrscheinlichkeiten
Online-Bewerbungsverfahren mit automatisierten Entscheidungsprozessen zur Auswahl von Bewerbenden
Eine typische erlaubte Verarbeitungen ist zum Beispiel eine Bonitätsabfrage im Rahmen eines Kreditvertrages oder im Zusammenhang mit einer Wohnungsanmietung. Auch eine aufgeklärte Einwilligung durch den Betroffenen kann eine automatisierte Entscheidungsfindung rechtfertigen.
Art. 7 Abs. 3 DSGVO
Erteilte Einwilligungen können von Betroffenen jederzeit mit Wirkung für die Zukunft widerrufen werden. Hierüber ist die betroffene Person vor Abgabe ihrer Einwilligung zu informieren. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
Art. 77 DSGVO
Jede betroffene Person kann Beschwerde bei einer Aufsichtsbehörde gegen Datenverarbeitungsvorgänge, die sie betreffen, einreichen.
Um den richtigen Umgang mit Betroffenenrechten sicherzustellen, empfiehlt es sich, einen funktionierenden Ablauf im Unternehmen zu etablieren. So wird gewährleistet, dass eine Betroffenanfrage als solche erkannt und an die zuständige Person weitergeleitet wird. Anschließend wird die Anfrage zuerst intern bewertet. Wir geben Ihnen nachfolgend einen Einblick in die Rechte einer betroffenen Person. Daraus folgen entsprechend passende Reaktionen von Ihrer Seite.
Geben Sie nach außen ruhig einen Kontakt zum Datenschutz an, auch wenn Sie keinen Datenschutzbeauftragten benennen müssen. Zum Beispiel: „Alle Fragen zum Datenschutz können sie gerne an unsere E-Mail-Adresse datenschutz@firma.de richten.“ Einen bestimmten Namen müssen Sie nicht nennen.
Auch folgender Hinweis ist möglich, aber nicht nötig: „Peter Müller kümmert sich bei uns um den Datenschutz. Sie erreichen ihn unter peter.mueller@firma.de.“ Dabei sollten Sie beachten, dass Peter Müller nicht als „Datenschutzbeauftragter“ tituliert wird, wenn er nicht benannt ist.
Es empfiehlt sich, alle Anfragen zum Datenschutz und deren Bearbeitung zu dokumentieren und zu speichern. Zum einen können Sie darauf zurückgreifen, wenn eine betroffene Person sich mehrmals bei Ihnen meldet, und zum anderen dient die Dokumentation als Nachweis, dass Sie den Vorfall behandelt haben. Die Art und Weise der Dokumentation gibt die DSGVO nicht vor.
