Begriff und Bedeutung der Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz bezeichnen die in verschiedenen Datenschutzgesetzen verankerten Ansprüche und Rechtspositionen natürlicher Personen („Betroffene“) gegenüber verantwortlichen Stellen, die personenbezogene Daten verarbeiten. Diese Rechte sollen die informationelle Selbstbestimmung der Personen sichern und gewährleisten Transparenz, Kontrolle und Einflussnahme über die Verarbeitung der eigenen Daten. Von zentraler Bedeutung sind insbesondere die Vorschriften der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union sowie die jeweiligen nationalen Datenschutzgesetze.
Rechtsgrundlagen der Betroffenenrechte
Datenschutz-Grundverordnung (DSGVO)
Die wichtigste Rechtsgrundlage für Betroffenenrechte im Datenschutz innerhalb der Europäischen Union ist die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679). Die DSGVO regelt umfassend die Rechte von Personen, deren Daten erhoben oder verarbeitet werden. Maßgebliche Vorschriften finden sich insbesondere in den Artikeln 12 bis 23 DSGVO.
Bundesdatenschutzgesetz (BDSG) und andere nationale Regelungen
Neben der DSGVO enthalten auch nationale Regelungen, wie das Bundesdatenschutzgesetz (BDSG) in Deutschland, Ausführungs- und Ergänzungsbestimmungen zu Betroffenenrechten. Diese können insbesondere im Beschäftigtendatenschutz oder bei spezifischen Sachverhalten weitere Rechte und Pflichten statuieren.
Einzelne Betroffenenrechte im Detail
Recht auf Auskunft (Art. 15 DSGVO)
Das Auskunftsrecht ermöglicht es Betroffenen, von der verantwortlichen Stelle eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Im Falle einer Verarbeitung sind umfassende Informationen bereitzustellen, beispielsweise:
- Verarbeitungszwecke
- Kategorien personenbezogener Daten
- Empfänger bzw. Kategorien von Empfängern
- Speicherdauer
- Bestehen weiterer Rechte (z. B. Berichtigung, Löschung)
- Herkunft der Daten, sofern nicht direkt von der betroffenen Person erhoben
- Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
Recht auf Berichtigung (Art. 16 DSGVO)
Betroffene können verlangen, dass unrichtige personenbezogene Daten ohne Verzögerung berichtigt werden. Ergänzend besteht das Recht, unvollständige Daten unter Berücksichtigung der Verarbeitungszwecke vervollständigen zu lassen.
Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
Das Recht auf Löschung verpflichtet Verantwortliche, personenbezogene Daten zu löschen, wenn bestimmte Voraussetzungen erfüllt sind. Dies ist zum Beispiel der Fall, wenn:
- Die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind
- Die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage fehlt
- Die Verarbeitung unrechtmäßig erfolgte
- Die Löschung zur Erfüllung einer rechtlichen Verpflichtung notwendig ist
Es bestehen Ausnahmen, etwa bei überwiegenden Rechten auf freie Meinungsäußerung, bei rechtlichen Verpflichtungen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Dieses Recht erlaubt es Betroffenen, eine Einschränkung der Datenverarbeitung zu verlangen, etwa wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist, die Daten aber nicht gelöscht werden sollen beziehungsweise ein Widerspruchsverfahren noch nicht abgeschlossen ist.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Das Recht auf Datenübertragbarkeit bedeutet, dass Betroffene die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und diese einem anderen Verantwortlichen übermitteln oder übermitteln lassen können – sofern die Verarbeitung auf Einwilligung oder einem Vertrag beruht und automatisiert erfolgt.
Recht auf Widerspruch (Art. 21 DSGVO)
Betroffene können der Verarbeitung ihrer personenbezogenen Daten aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit widersprechen, sofern sich die Verarbeitung auf eine Interessenabwägung (Art. 6 Abs. 1 lit. e oder f DSGVO) stützt. Ein Widerspruch gegen Direktwerbung ist dabei stets möglich und verbindlich.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Eine einmal erteilte Einwilligung zur Datenverarbeitung kann jederzeit ohne Angabe von Gründen für die Zukunft widerrufen werden, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Betroffene haben das Recht, sich bei einer zuständigen Datenschutz-Aufsichtsbehörde zu beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen datenschutzrechtliche Vorschriften verstößt.
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)
Betroffene haben einer rein automatisierten Entscheidungsfindung, einschließlich Profiling, das ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigt, grundsätzlich nicht unterworfen zu werden. Ausnahmen bedürfen besonderer rechtlicher Grundlagen und geeigneter Schutzmaßnahmen.
Umsetzung und Ausübung der Betroffenenrechte
Antragstellung und Fristen
Betroffene können ihre Rechte grundsätzlich formfrei ausüben, etwa per E-Mail, Brief oder über bereitgestellte Online-Formulare. Verantwortliche sind verpflichtet, binnen eines Monats nach Eingang des Antrags zu reagieren (Art. 12 Abs. 3 DSGVO). In Ausnahmefällen, etwa bei komplexen Sachverhalten, kann diese Frist unter Information des Betroffenen um zwei Monate verlängert werden.
Informationspflichten und Transparenz
Verantwortliche Stellen müssen Betroffenen in transparenter, verständlicher und leicht zugänglicher Form Informationen über die Verarbeitung der Daten und die bestehenden Rechte bereitstellen (Art. 12 DSGVO).
Ablehnung und Einschränkung der Rechte
Einige Rechte können gesetzlich beschränkt sein, etwa zur Wahrung berechtigter Interessen Dritter, aus Gründen der nationalen Sicherheit, Verteidigung oder öffentlichen Sicherheit, zur Verhinderung oder Verfolgung von Straftaten oder zur Geltendmachung von Rechtsansprüchen (Art. 23 DSGVO).
Bedeutung der Betroffenenrechte für Verantwortliche und Auftragsverarbeiter
Pflichten der Verantwortlichen
Verantwortliche sind verpflichtet, Prozesse zur Wahrung der Betroffenenrechte einzurichten und deren Ausübung zu erleichtern. Sie müssen dokumentieren, wie die Ausübung der Rechte umgesetzt und innerhalb welcher Fristen reagiert wurde.
Zusammenarbeit mit Auftragsverarbeitern
Wenn personenbezogene Daten durch einen Auftragsverarbeiter im Auftrag verarbeitet werden, hat der Verantwortliche durch vertragliche Regelungen sicherzustellen, dass die Rechte der Betroffenen gewahrt werden (Art. 28 DSGVO).
Sanktionen und Durchsetzung der Betroffenenrechte
Maßnahmen bei Verletzung der Rechte
Verstöße gegen die Wahrung von Betroffenenrechten können von den Datenschutz-Aufsichtsbehörden mit Sanktionen belegt werden. Die DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder bei Unternehmen von bis zu 4 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist (Art. 83 DSGVO).
Durchsetzung durch Gerichte
Ergänzend zur Beschwerde bei Aufsichtsbehörden können Betroffene ihre Rechte auch gerichtlich durchsetzen, um die Wahrung der ihnen zustehenden Ansprüche zu erreichen (Art. 79 DSGVO).
Zusammenfassung
Betroffenenrechte im Datenschutz bilden das Herzstück des modernen Datenschutzrechts und stellen sicher, dass Personen umfassende Kontrolle über die Verarbeitung ihrer Daten behalten. Die Rechte dienen der Transparenz, dem Schutz und der Durchsetzung der informationellen Selbstbestimmung und sind sowohl für Einzelpersonen als auch für datenverarbeitende Stellen von zentraler Bedeutung. Das Verständnis und die Umsetzung der Betroffenenrechte sind unerlässlich für die rechtmäßige und verantwortungsvolle Verarbeitung personenbezogener Daten im digitalen Zeitalter.
Häufig gestellte Fragen
Wie kann eine betroffene Person ihr Auskunftsrecht nach der DSGVO geltend machen?
Das Auskunftsrecht gemäß Art. 15 DSGVO ermöglicht es betroffenen Personen, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Zur Ausübung dieses Rechts muss die betroffene Person einen Antrag auf Auskunft stellen, welcher grundsätzlich formlos möglich ist, jedoch aus Gründen der Nachweisbarkeit schriftlich oder per E-Mail empfohlen wird. Der Verantwortliche ist verpflichtet, unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags, Auskunft zu erteilen. Die Auskunft muss kostenfrei erfolgen und die Kategorien der verarbeiteten Daten, die Verarbeitungszwecke, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer sowie Hinweise auf Betroffenenrechte und das Beschwerderecht bei einer Aufsichtsbehörde umfassen. Zudem müssen Informationen zur Herkunft der Daten (sofern nicht direkt bei der betroffenen Person erhoben) sowie Angaben über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling beigefügt werden. Nur in Ausnahmefällen, etwa bei offenkundig unbegründeten oder exzessiven Anträgen, kann ein angemessenes Entgelt verlangt oder die Auskunft verweigert werden.
Unter welchen Bedingungen darf das Recht auf Löschung („Recht auf Vergessenwerden“) ausgeübt werden?
Das Recht auf Löschung nach Art. 17 DSGVO steht der betroffenen Person unter bestimmten Voraussetzungen zu. Es kann in Anspruch genommen werden, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind, die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt, oder wenn die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung bestehen. Weitere Gründe ergeben sich, wenn die Daten unrechtmäßig verarbeitet wurden, die Löschung zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist oder die Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben wurden. Das Recht auf Löschung besteht jedoch nicht uneingeschränkt; es gibt Ausnahmen, etwa wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
Welche Präzisierungen gelten beim Recht auf Berichtigung personenbezogener Daten?
Das Recht auf Berichtigung gemäß Art. 16 DSGVO gibt betroffenen Personen das Recht, von dem Verantwortlichen die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Auf Antrag der betroffenen Person müssen auch unvollständige Daten vervollständigt werden – gegebenenfalls durch eine ergänzende Erklärung. Der Verantwortliche hat sicherzustellen, dass die Berichtigung unverzüglich, in der Regel ohne schuldhaftes Zögern, vorgenommen wird. Falls die Daten weitergegeben wurden, hat der Verantwortliche, soweit möglich, auch die Empfänger über die Berichtigung zu informieren (Art. 19 DSGVO). Die betroffene Person kann auch Auskunft darüber verlangen, an wen ihre Daten übermittelt wurden.
Wie kann eine betroffene Person Widerspruch gegen die Datenverarbeitung einlegen?
Das Widerspruchsrecht nach Art. 21 DSGVO ermöglicht es betroffenen Personen, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen, sofern sich diese auf eine Interessensabwägung gem. Art. 6 Abs. 1 lit. e oder f DSGVO stützt. In einem solchen Fall darf der Verantwortliche die Daten nicht mehr verarbeiten, es sei denn, er weist zwingende schutzwürdige Gründe für die Verarbeitung nach, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Handelt es sich um Direktwerbung, besteht ein uneingeschränktes Widerspruchsrecht, sodass die Daten nicht mehr zu diesen Zwecken verarbeitet werden dürfen.
Welche Möglichkeiten bestehen, gegen die Datenverarbeitung Beschwerde einzulegen?
Betroffene Personen haben gemäß Art. 77 DSGVO das Recht, unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs Beschwerde bei einer Aufsichtsbehörde einzulegen, insbesondere in dem Mitgliedstaat ihres Aufenthaltsortes, ihres Arbeitsplatzes oder des Ortes des mutmaßlichen Verstoßes, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt. Die Aufsichtsbehörde informiert die beschwerdeführende Person über den Stand und die Ergebnisse der Beschwerde einschließlich der möglichen Rechtsbehelfe nach Art. 78 DSGVO. Daneben kann die betroffene Person auch gerichtliche Rechtsbehelfe gegen Entscheidungen der Aufsichtsbehörde sowie gegen den Verantwortlichen oder Auftragsverarbeiter nach Art. 79 DSGVO geltend machen.
Was ist beim Recht auf Datenübertragbarkeit zu beachten?
Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO gestattet es der betroffenen Person, die sie betreffenden personenbezogenen Daten, die sie dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. Dies gilt, soweit die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mittels automatisierter Verfahren erfolgt. Das Recht auf Datenübertragbarkeit darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen und kann insbesondere dann nicht in Anspruch genommen werden, wenn die Datenverarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erfolgt.
Unter welchen Umständen kann die Verarbeitung personenbezogener Daten eingeschränkt werden?
Das Recht auf Einschränkung der Verarbeitung beschränkt die Datenverarbeitung auf die Speicherung und findet Anwendung, wenn die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird (für die Dauer der Überprüfung), die Verarbeitung unrechtmäßig ist und die betroffene Person statt Löschung die Einschränkung verlangt, der Verantwortliche die Daten für die Verarbeitungszwecke nicht länger benötigt, die betroffene Person jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder wenn die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat und noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen überwiegen. Während der Einschränkung dürfen die Daten nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
