Betroffenenrechte

Rechte der Betroffenen und Pflichten der Verantwortlichen
Stand: August 2017

I. Betroffenenrechte - Informationspflichten und Auskunftsrechte

  1. Betroffenenrechte - Informationspflichten und Auskunftsrechte
    1. Informationspflicht, Art. 13, 14 DS-GVO
    2. Auskunftsrechte
  2. Fristen
  3. Form
  4. Beschränkungen und Sanktionen

Im Zuge der Reformation des Datenschutzrechts durch die DSGVO wurde dem Recht der betroffenen Person ein eigenes Kapitel gewidmet, Art. 12 – 23 DS-GVO. Werden personenbezogene Daten verarbeitet, sind die von der Verarbeitung betroffenen Personen, gemäß den Art. 13 und 14 DS-GVO darüber zu informieren. Auch das zurzeit geltende Datenschutzgesetz kennt diese Informationspflicht, ebenso wie den Anspruch auf Berichtigung- Löschung und Sperrung von Daten. Der Umfang des derzeit geltenden Auskunftsrechts wurde im Zuge der DS-GVO stark erweitert. So wurden im Rahmen der Erweiterung der Betroffenenrechte nicht nur schon bekannte Rechte erweitert, sonder auch neue Rechte der Betroffenen und Pflichten der Verantwortlichen hinzugefügt.

1. Informationspflicht, Art. 13, 14 DS-GVO

Ebenso neu ist, die Datenschutz-Grundverordnung unterscheidet ob die Daten direkt beim Betroffenen (Art. 13 DS-GVO) oder bei Dritten erhoben worden sind (Art. 14 DS-GVO). Grundsätzlich hat der Verantwortliche jedoch auch nach der DS-GVO folgende Informationen mitzuteilen:

  • Den Namen und die Kontaktdaten des Verantwortlichen,

  • den Zweck und die Rechtsgrundlage der personenbezogenen Daten,

  • gegebenenfalls den Empfänger und

  • ein berechtigtes Interesse, sowie eine beabsichtigte Übermittlung der Daten an Drittstaaten.

Zukünftig sind jedoch noch die Kontaktdaten des Datenschutzbeauftragten anzugeben. Zudem stellt der Verantwortliche zusätzliche Auskünfte wie beispielsweise über die Dauer der Speicherung oder Informationen über die Rechte der Betroffenen auf beispielsweise Berichtigung, Löschung und Einschränkung der Verarbeitung zur Verfügung. Von dieser Informationspflicht kann nur unter engen Voraussetzungen abgesehen werden, wenn sich beispielsweise die Erteilung dieser Informationen als unmöglich erweist, einen unverhältnismäßigen Aufwand erfordern würde oder die betroffene Person bereits über die Informationen verfügt.

Werden personenbezogene Daten nicht beim Betroffenen erhoben, bestehen nach Art. 14 DSGVO für den Verantwortlichen nahezu dieselben Informationspflichten, wie bei der Erhebung direkt beim Betroffenen, Art. 13 DSGVO. Allerdings muss der Verantwortliche den Betroffenen darüber informieren aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen.

Bei der Direkterhebung nach Art. 13 Abs. 1 DSGVO muss der Betroffene zum Zeitpunkt der Erhebung informiert werden. Werden personenbezogene Daten nicht beim Betroffenen erhoben, nach Art. 14 DSGVO, muss der Verantwortliche die Informationen nach Art. 14 Abs. 3 DSGVO grundsätzlich innerhalb einer angemessenen Frist, spätestens jedoch nach einem Monat erteilen.

2. Auskunftsrechte

Neben der Informationspflicht seitens des Verantwortlichen, hat der Betroffene auch ein Auskunftsrecht. Das Auskunftsrecht gemäß Art. 15 DS-GVO gibt dem Betroffenen, wie jetzt auch, zunächst die Möglichkeit Auskunft darüber zu verlangen ob personenbezogenen Daten bei dem Verantwortlichen vorhanden sind und wenn ja, diesem auf Verlangen über die Art, den Inhalt und die Zwecke der von ihm erhobenen Daten zu informieren. Zukünftig erstreckt sich die Auskunftspflicht des Verantwortlichen aber über das derzeit geltende Maß bei weitem.

Auf Antrag sind dem Betroffenen folgende Informationen zu erteilen:

  • die Verarbeitungszwecke;

  • die Kategorien personenbezogener Daten, die verarbeitet werden;

  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Bei der Übermittlung personenbezogener Daten an ein Drittland oder an eine internationale Organisation erweitert sich die Pflicht um die Unterrichtung geeigneter Garantien. Gleichzeitig wird der Verantwortliche im Falle des Auskunftsverlangens gemäß Art. 15 Abs. 3 DS-GVO künftig verpflichtet sein, neben den Informationen, eine Kopie sämtlicher personenbezogener Daten der Verarbeitung, zur Verfügung zustellen.

Neben dem Auskunftsrecht wird der Betroffene auch durch die DSGVO mit Berichtigungs- und Löschungsansprüchen ausgestattet, Art. 16 und 17 DSGVO. Des Weiteren sind neu hinzugekommen:

  • Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO

  • Recht auf Datenübertragbarkeit, Art. 20 DSGVO

  • Widerspruchsrecht bei einwilligungsloser Verarbeitung zur Wahrung berechtigter Interessen, Art. 21 DSGVO

  • Recht auf Unbetroffenheit in automatisierten Entscheidungen, Art. 22 DSGVO

II. Fristen

Während der Verantwortliche auf Basis der geltenden Rechtslage für die Umsetzung von Ansprüchen der Betroffenen und für das Folgeleisten etwaiger Rechte noch an keine zeitlichen Grenzen gebunden ist, müssen die Anträge der Betroffenen gemäß Art. 12 Abs. 3 DS-GVO unverzüglich, spätestens innerhalb eines Monats erledigt werden - nur bei ausreichender Begründung ist eine Verlängerung um zwei weitere Monate möglich. Macht der Verantwortliche von dieser Verlängerungsmöglichkeit Gebrauch, hat er den Betroffenen innerhalb von einem Monat nach Eingang des Antrags darüber zu informieren, dass die Bearbeitung mehr Zeit in Anspruch nimmt. Zudem müssen die Unternehmen dafür Sorge tragen, dass sie schnell und zuverlässig auf die Belange der Betroffenen reagieren können.

III. Form

Eine Auskunft ist zeitnah und in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen, Art. 12 Abs. 1 Satz 1 und Art. 5 Abs. 2 DS-GVO und beinhaltet im Falle der Abhilfe gemäß Art. 12 Abs. 3 DSGVO eine Information über die auf Antrag ergriffenen Maßnahmen, wie Berichtigung oder Löschung oder im Falle der Nichtabhilfe gemäß Art. 12 Abs. 4 DSGVO den Grund sowie eine Unterrichtung auf die Möglichkeit einer Beschwerde bei der Aufsichtsbehörde sowie der Einlegung eines Rechtsbehelfs. Die Informationen können schriftlich oder in elektronischer Form an den Betroffenen übermittelt werden.

IV. Beschränkungen und Sanktionen

Von diesem Auskunftsrecht kann nur unter engen Voraussetzungen abgesehen werden. Solche Beschränkungen sind zum Beispiel neben der nationalen Sicherheit der Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen. Aber auch bei einer sehr großen Menge von gespeicherten Informationen über die betroffene Person kann der Verantwortliche zumindest eine Präzisierung auf welche Informationen oder Verarbeitungsvorgänge sich das Auskunftsersuchen konkret bezieht, verlangen, (ErwGr. 63 Satz 7). Das kann z. B. bei Banken oder Versicherungen der Fall sein. Unterlassene oder nicht vollständige Auskunftserteilungen an betroffene Personen können die Unternehmen teuer zu stehen kommen. Je nach Verstoß können zukünftig Bußgelder bis zu 10 Millionen € oder 20 Million € oder i.H.v. 2-4 % des gesamten, weltweit erzielten Jahresumsatzes der Unternehmen verhängt werden. Die Haftung trifft grundsätzlich die Geschäftsführung als Verantwortlichen. Auch Freiheitsstrafen bis zu drei Jahren sind möglich (Art. 84 DS-GVO/§§ 41 ff. BDSG-neu).

Verantwortliche sollten frühzeitig beginnen, die neuen Informationspflichten umzusetzen und die weiteren Anforderungen beachten.

Diese Webseite verwendet Cookies und zur fortlaufenden Verbesserung unserer Webseite setzen wir Google Analytics ein. Sie können die Cookie-Einstellung jederzeit für die Zukunft ändern und eine erteilte Einwilligung widerrufen. Weitere Informationen erhalten Sie in der Datenschutzerklärung.