Die Rechte der Betroffenen bei der Datenschutz-Grundverordnung

DSGVO: Bürger haben zahlreiche Rechte gegenüber Unternehmen
Keine Kommentare

In der EU-Datenschutz-Grundverordnung (DSGVO) sind einige Rechte für die von der Verarbeitung personenbezogener Daten Betroffenen vorgesehen – einiges davon entspricht der bisherigen Rechtslage, anderes ist neu hinzugekommen. Es lohnt sich, einen näheren Blick auf die oftmals nicht in der Öffentlichkeit bekannten „Betroffenrechte“ zu werfen.

In den Art. 15-22 DSGVO werden die folgenden Rechte für die von der Verarbeitung personenbezogener Daten Betroffenen geregelt:

  • Auskunft
  • Widerspruch
  • Widerruf einer erteilten Einwilligung
  • Berichtigung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Löschung/Recht auf Vergessenwerden

Neu sind hier das Recht auf Datenübertragbarkeit (Datenportabilität) sowie das Recht auf Datenlöschung in der konkreten Ausgestaltung des Rechts auf Vergessenwerden. Die anderen Rechtspositionen, wie z. B. das Auskunftsrecht, bestanden so oder so ähnlich auch schon nach Maßgabe der alten Fassung des Bundesdatenschutzgesetzes (BDSG).

Auskunftsrecht

Jeder Mensch hat gemäß DSGVO das Recht, von Unternehmen auf seinen Antrag hin kostenfrei mitgeteilt zu bekommen, welche Daten über ihn verarbeitet werden. Dies dürfte wohl das zentrale Betroffenenrecht in der DSGVO sein. Das Auskunftsrecht gilt unabhängig davon, ob die betreffende Person in irgendeiner (Rechts-)Beziehung zu dem Unternehmen steht, ob sie also z. B. dort schon einmal etwas gekauft oder eine Dienstleistung in Anspruch genommen hat. Auf solch eine Auskunftsanfrage muss in jedem Fall reagiert werden, und zwar so schnell wie möglich, zumindest aber innerhalb eines Monats. Kennt das Unternehmen die anfragende Person nicht, dann muss sie ihr das mitteilen. Falls doch, dann muss Auskunft über die folgenden Angaben erteilt werden:

  • Zwecke der Datenverarbeitung
  • Kategorien der personenbezogenen Daten
  • Empfänger oder Kategorien von Empfängern (insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen)
  • geplante Dauer der Datenspeicherung (falls möglich, sonst die Kriterien für die Festlegung der Dauer)
  • alle verfügbaren Informationen über die Herkunft der Daten (wenn die Daten nicht beim Betroffenen erhoben werden)
  • Bestehen einer automatisierten Entscheidungsfindung (einschließlich Profiling) und aussagekräftige Infos über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen der Verarbeitung
  • Infos über geeignete Garantien im Zusammenhang mit der Übermittlung von Daten (sofern diese an ein Drittland oder an eine internationale Organisation übermittelt werden)

Es geht nicht nur um die Datenkategorien, sondern die tatsächlich vorhandenen Daten, also z. B. der konkrete Name, die Anschrift, Telefonnummer etc. Diese Daten müssen der anfragenden Person schon deshalb mitgeteilt werden, damit diese ihr Recht auf Berichtigung ausüben kann. Denn zusätzlich muss die Auskunft noch explizite Informationen über das Bestehen der weiteren Rechte des Betroffenen auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch sowie auf Beschwerde bei einer Aufsichtsbehörde enthalten.

Bei einer entsprechenden Anfrage ist der anfragenden Person eine Kopie ihrer Daten zur Verfügung zu stellen. Werden weitere Kopien angefordert, kann das angefragte Unternehmen eine angemessene Kostenpauschale z. B. für zusätzliche Kopier- oder Portokosten erheben. Wird die Auskunftsanfrage per E-Mail gestellt, was grundsätzlich zulässig ist, ist auch die Auskunft in einem gängigen elektronischen Format zur Verfügung zu stellen (z. B. als PDF-Datei), wenn der Betroffene nichts anderes wünscht. Generell darf das Recht auf Erhalt einer Kopie der Daten nicht in die Rechtsposition einer anderen Person eingreifen. Hier gilt es im Einzelfall abzuwägen.

International PHP Conference

Migrating to PHP 7

by Stefan Priebsch (thePHP.cc)

A practical introduction to Kubernetes

by Robert Lemke (Flownative GmbH)

API Summit 2018

From Bad to Good – OpenID Connect/OAuth

mit Daniel Wagner (VERBUND) und Anton Kalcik (business.software.engineering)

Das Recht auf Auskunft darf nicht nur einmalig, sondern in angemessenen Abständen ausgeübt werden. Wenn aber z. B. jede Woche eine Auskunftsanfrage von der gleichen Person gestellt wird, dürfte das rechtsmissbräuchlich sein. Dann können derartige Anfragen mit dem Hinweis auf die kürzlich erteilte Auskunft zurückgewiesen oder mit entsprechenden Kosten versehen werden; wie hoch diese sein dürfen, ist (noch) nicht ganz klar.

Nach Maßgabe von Art. 12 DSGVO muss die Auskunft folgende Formvorgaben einhalten:

  • präzise, transparente, verständliche und leicht zugängliche Form
  • klare und einfache Sprache

Generell ist auch eine mündliche Übermittlung möglich (z. B. per Telefon oder im direkten Kontakt), falls dies vom Betroffenen so gewünscht wird und falls seine Identität nachgewiesen wurde. Letzteres ist bei jeder Auskunftsanfrage zu beachten, damit auch nur die richtige Person Auskunft über die ihr zuzuordnenden Daten erhält.

Allerdings dürfen personenbezogene Daten nicht nur zu dem Zweck gespeichert werden, um auf mögliche Auskunftsersuchen reagieren zu können. Die allgemein vorgesehenen gesetzlichen Löschfristen bzw. Aufbewahrungspflichten sind zu beachten.

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit (oder auch Datenportabilität) zielt von der eigentlichen Intention her auf Facebook und Co ab. Denn dadurch erhält die betroffene Person das Recht, ihre Daten, die sie einem Unternehmen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem kann sie verlangen, dass diese Daten z. B. einem anderen Unternehmen direkt übermittelt werden, soweit dies technisch machbar ist.

Als Voraussetzung für das Recht auf Datenportabilität muss die Datenverarbeitung auf einer Einwilligung oder einem Vertrag beruhen und mithilfe automatisierter Verfahren erfolgen. Es gilt z. B. nicht für solche verantwortlichen Stellen, die personenbezogene Daten in Erfüllung ihrer öffentlichen Aufgaben verarbeiten. Gegenüber Behörden kann dieses Recht also nicht ausgeübt werden. Zudem dürfen dadurch Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden.

Weiterhin sind Unternehmen verpflichtet, interoperable Formate zu entwickeln, um die Datenübertragbarkeit in der Praxis auch tatsächlich umsetzen zu können. Entscheidend ist hierbei, dass die betreffenden Daten in ein Format gebracht werden können, das die Weiterverarbeitung bei einem anderen Unternehmen grundsätzlich ermöglicht. Wie die Datenportabilität generell in die Praxis umgesetzt werden kann, wie bestimmte Daten einer Person von denen anderer Personen getrennt werden und welche Dateiformate dazu verwendet werden können (z. B. PDF oder XML), das muss erst noch geklärt werden.

Recht auf Löschung

Durch das Recht auf Löschung bzw. als Spezialfall das Recht auf Vergessenwerden (die sogenannte „Lex Google“) haben betroffene Personen einen weiteren Anspruch, den sie gegenüber Unternehmen geltend machen können. Wird es ausgeübt, besteht für die verantwortliche Stelle die unmittelbare Pflicht, die betreffenden personenbezogenen Daten unverzüglich zu löschen.

Dazu müssen allerdings folgende Voraussetzungen erfüllt sein:

  • Die Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig.
  • Der Betroffene widerruft seine Einwilligung und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • Der Betroffene legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
  • Die Daten wurden unrechtmäßig verarbeitet.
  • Die Löschung der Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Die Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft (also Onlineangebote) von einem Kind erhoben.

Wie genau muss das Recht auf Vergessenwerden umgesetzt werden? Wenn das Unternehmen die betreffenden Daten öffentlich gemacht hat, dann muss es angemessene Maßnahmen (insbesondere technischer Art) treffen, um andere verantwortliche Stellen, die diese Daten ebenfalls verarbeiten, über das Löschungsbegehren zu informieren. Das betrifft auch Verlinkungen auf und Kopien der Daten. Die vom Verantwortlichen zu treffenden Maßnahmen können sowohl die verfügbare Technologie als auch die Implementierungs- bzw. Umsetzungskosten berücksichtigen. Bei Google (aber auch bei anderen Suchmaschinenbetreibern) kann schon seit geraumer Zeit online ein entsprechender Antrag gestellt werden.

Es bestehen auch Ausnahmen vom Recht auf Datenlöschung, nämlich

  • bei Ausübung des Rechts auf freie Meinungsäußerung und Information,
  • zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit,
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke sowie
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Wenn also etwa ein Unternehmen aufgefordert wird, bestimmte Kunden- und damit auch Rechnungsdaten zu löschen, dann darf das Unternehmen diesem Begehren nur dann nachkommen, wenn die bestehenden handels- bzw. steuerrechtlichen Aufbewahrungsfristen abgelaufen sind (Kasten: „Praxistipp“). Bis dahin sind die betreffenden Daten dann für die weitere Verwendung zu sperren.

Praxistipp
In Deutschland gibt es u.a. folgende Aufbewahrungsfristen:
  • 6 Jahre (Handelsrecht)
  • 10 Jahre (Steuerrecht)
  • 30 Jahre (vollstreckbare Titel, z. B. Urteile)
  • 6 Monate (für Unterlagen abgelehnter Bewerber)
  • z. B. 6 Jahre für Handakten (anwaltliches Berufsrecht)
  • 10 Jahre (ärztliches Berufsrecht)

PHP Magazin

Entwickler MagazinDieser Artikel ist im PHP Magazin erschienen. Das PHP Magazin deckt ein breites Spektrum an Themen ab, die für die erfolgreiche Webentwicklung unerlässlich sind.

Natürlich können Sie das PHP Magazin über den entwickler.kiosk auch digital im Browser oder auf Ihren Android- und iOS-Devices lesen. In unserem Shop ist das Entwickler Magazin ferner im Abonnement oder als Einzelheft erhältlich.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -