Die Betroffenenrechte im Datenschutz
Betroffenenrechte beschreiben die Rechte der von der Datenverarbeitung betroffenen Personen nach Art. 12 ff. Datenschutz-Grundverordnung. Sie sind die Basis der informationellen Selbstbestimmung und dienen der Information und Transparenz. Klare und eindeutige Rechte der betroffenen Personen gehören daher zu den Grundlagen des Datenschutzes.
Überblick: Welche Betroffenenrechte gibt es?
- Das wahrscheinlich wichtigste Betroffenenrecht ist die Informationspflicht des für die Datenverarbeitung Verantwortlichen. Hierbei unterscheidet man zwischen der Informationspflicht bei Erhebung der Daten bei der betroffenen Person (Art. 13 DSGVO) und der Informationspflicht bei Erhebung der Daten nicht direkt bei der betroffenen Person (Art. 14 DSGVO).
- Das Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)
- Das Recht auf Berichtigung (Art. 16 DSGVO)
- Das Recht auf Löschung ("Recht auf Vergessenwerden") (Art. 17 DSGVO)
- Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Die Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)
- Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Das Widerspruchsrecht (Art. 21 DSGVO)
- Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)
- Das Recht auf Beschränkung (Art. 23 DSGVO)
Wie sollten Verantwortliche mit Betroffenenanfragen umgehen?
Das verantwortliche Unternehmen, welches personenbezogene Daten verarbeitet, muss auf Anfrage des Betroffenen nach den Art. 15 bis 22 DSGVO innerhalb einer Frist von einem Monat antworten. Es besteht die Möglichkeit einer Fristverlängerung von bis zu zwei weiteren Monaten. Die Gründe dafür müssen ebenfalls in der Monatsfrist mitgeteilt werden, sodass in jedem Fall schnell reagiert werden muss. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld.
Der Verantwortliche des Unternehmens sollte Prozesse implementieren, welche die schnelle, fristgerechte und korrekte Beantwortung der Betroffenenanfrage gewährleistet. Sollten Zweifel an der Identität des Anfragenden bestehen, sollte sich vor Beantwortung der Anfrage vergewissert werden, dass der Anfragende auch der Betroffene ist. Hierzu kann man zum Beispiel eine telefonische Abfrage von personenbezogenen Daten wie Geburtsdatum, Mobilfunknummer, Datum und Höhe der letzten Rechnung oder einer Kundennummer vornehmen. Sollte der Verantwortliche keine Daten der anfragenden Person besitzen, so ist keine weitere Identifikation notwendig.
Beispiel zum Umgang mit einem Auskunftsersuchen
Geht eine Anfrage einer betroffenen Person (nach Art. 15 DSGVO) bei dem Verantwortlichen ein, sollte dieser tätig werden und eine Auskunft innerhalb der Monatsfrist erteilen (Art. 12 Abs. 3 DSGVO). Sollte der Verantwortliche aber nicht tätig werden (Art. 12 Abs. 4 DSGVO), hat er den Betroffenen neben den Gründen hierfür auch über die Möglichkeit zu unterrichten, bei einer Aufsichtsbehörde Beschwerde oder bei Gericht einen entsprechenden Rechtsbehelf einzulegen.
Die Auskunftserteilung erfolgt grundsätzlich unentgeltlich. Sollten Anfragen offensichtlich unbegründet oder von exzessiver häufiger Wiederholung eines Betroffenen zeugen, kann der Verantwortliche ein angemessenes Entgelt verlangen oder sich weigern aufgrund der Anfrage tätig zu werden. Hierfür trägt der Verantwortliche aber die Nachweispflicht (Art. 12 Abs. 5 DSGVO).
Sofern dem Verantwortlichen keine Daten der anfragenden Person bekannt sind, ist dem Anfragenden eine sogenannte Negativauskunft zukommen zu lassen, in der man ihm mitteilt, dass keine Daten verarbeitet werden, außer dieser, die bei der Anfrage übermittelt wurden.
Vorlage: Antwortschreiben auf das Auskunftsbegehren eines Betroffenen
Folgen bei nicht rechtzeitiger oder falscher Bearbeitung
Eine gut geführte Datenschutzabteilung, die fristgerecht, umfassend und verlässlich die Betroffenenrechte wahrt, ist ein starkes Aushängeschild für Ihr Unternehmen.
Ein mangelhafter Umgang mit den Betroffenenrechten, wird von den Behörden mit empfindlichen Geldbußen geahndet und kann das Verhältnis zum Kunden dauerhaft schädigen. Die Anfragen von betroffenen Personen sollten professionell dazu genutzt werden, die bestehenden Datenschutzprozesse einer regelmäßigen Selbstkontrolle zu unterziehen und diese stetig zu verbessern.
Die DSGVO sieht bei Datenschutzverstößen Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor (je nachdem, welcher Betrag höher ist).
Die Betroffenenrechte sind eine der zentralen Säulen der DSGVO. Verstöße werden von den Aufsichtsbehörden daher kritisch geahndet. Für die betroffene Person sind die Betroffenenrechte sowohl Kommunikations- als auch Überwachungsmittel im Verhältnis zum Verantwortlichen. Spätestens seit der DSGVO ist der Datenschutz für viele Verbraucher ein wichtiges Bewertungskriterium geworden. Genau aus diesem Grund ist es für Unternehmen wichtig, auf ihre datenschutzrechtliche Außendarstellung zu achten.
Das gehört in die Beantwortung eines Auskunftsersuchens
Wie umfangreich eine Auskunft sein muss, regelt Art. 15 DSGVO. Folgende Informationen müssen dem Betroffenen über seine Daten zur Verfügung gestellt werden:
- die Verarbeitungszwecke
- die Kategorien personenbezogener Daten
- die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt wurden. (insbesondere bei Empfängern im Drittland)
- falls möglich die geplante Dauer der Speicherung
- das Bestehen eines Berichtigungsrechts
- das Bestehen eines Rechts auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
- das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
- falls die Daten nicht vom Verantwortlichen erhoben wurden, muss dem Betroffenen die Herkunft der Daten mitgeteilt werden
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
- bei Datenübermittlung in ein Drittland, hat der Betroffene das Recht auf Unterrichtung über die geeigneten Garantien gemäß Artikel 46
Neue Entwicklung zum Auskunftsersuchen: Das BGH-Urteil vom 15.06.2021
Durch das jüngste Urteil des Bundesgerichtshofs (BGH, Urt. v. 15.06.2021, Az. VI ZR 576/19) wird nun eine konkretere Aussage über die Reichweite des Auskunftsanspruchs definiert. Dabei hält der BGH fest, dass dem Betroffenen auch interne Kommunikation oder Ihm bereits bekannte Daten beauskunftet werden müssen. Der Auskunftsanspruch ist dreigeteilt, wonach der Betroffene verlangen kann, dass
- der Verantwortliche ihm bestätigt, ob zu seiner Person bezogene Daten verarbeitet werden.
- ihm ein Recht auf Auskunft über diese Daten zusteht, sollten ihn betreffende Daten verarbeitet werden.
- der Betroffene auch Anspruch auf eine Kopie seiner Daten nach Art. 15 Abs. 3 geltend machen kann.
Hier können Sie das Urteil des BGH finden.
Durch das BGH-Urteil können wir also kurzgefasst festhalten, dass Betroffene im Zweifel ein Recht auf eine umfassende Auskunft haben und zu allen vorhandenen Daten eine Kopie einfordern können.
Fazit
Das Wichtigste bei Anfragen von Betroffenen ist, dass schnell, effizient und vollständig gehandelt wird. Im besten Fall hat Ihr Unternehmen einen Datenschutzbeauftragten bestellt, der Ihnen bei der Beantwortung der Anfragen durch Betroffene behilflich ist.
Durch das jüngste Urteil des BGH besteht eine hohe Wahrscheinlichkeit, dass rechtliche Auseinandersetzungen sowie Diskussionen über den Umfang der Auskunftsansprüche nach Art. 15 DSGVO wohl mehr und mehr zunehmen werden. Dies wird sich aller Voraussicht nach auf dem Schauplatz der sogenannten Ausschlussnormen (z.B. Art. 12 Abs. 5 S. 2 oder Art. 15 Abs. 4 DSGVO) bewegen.
Sven Brodermanns