Legal Stuff 040 – Betroffenenrechte der DSGVO

itunes_subscribe_button

bkeulfn

Betroffenenrechte sind in der DSGVO sehr wichtig: Auskunft, Löschung & Co kennen wir schon aus dem „alten“ BDSG, es gibt jedoch hier einige Neuerungen:

Auskunftsrecht (Art. 15 DSGVO): Werden personenbezogene Daten verarbeitet? Wenn ja, sind zu nennen:

    1. die Verarbeitungszwecke;
    2. die Kategorien personenbezogener Daten, die verarbeitet werden;
    3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
    4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
    6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
    7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
    8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
    9. Bei Übermittlung der Daten in ein Drittland oder an eine internationale Organisation: Infos darüber und zum Datenschutzniveau.

 

Es gibt ein Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO).

Und ein Löschungsrecht, das viel diskutierte „Recht auf Vergessenwerden“, Art. 17 DSGVO. Das gilt in folgenden Fällen:

  1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  2. Die betroffene Person widerruft ihre Einwilligung, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  3. Die betroffene Person legt Widerspruch ein (wo es ein Widerspruchsrecht gibt, das diese Rechtsfolge hat; dazu s.u.).
  4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben.

Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Kein Löschungsrecht gibt es u.a., soweit die Verarbeitung erforderlich ist

  1. zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  2. zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt;
  3. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Eine Einschränkung der Verarbeitung (Verarbeitung nur noch mit Zustimmung der betroffenen Person) muss erfolgen (Art. 18 DSGVO), wenn:

  1. die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen,
  2. die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
  3. der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
  4. die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

 

Neu ist Art. 19 DSGVO:

Der Verantwortliche teilt allen Empfängern, denen personenbezogenen Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung nachmit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche unterrichtet die betroffene Person über diese Empfänger, wenn die betroffene Person dies verlangt.

Neu ist auch das Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO.

Wann kann nun die betroffene Person Widerspruch einlegen? Da gibt es im Wesentlichen zwei Konstellationen:

  • Wenn Daten aufgrund überwiegender Interessen des Unternehmens verarbeitet werden dürfen (Das Unternehmen darf den Widerspruch ignorieren, wenn es zwingende schutzwürdige Gründe für die Verarbeitung nachweist, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen).
  • Immer bei Direktwerbung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.