Begriff und rechtliche Einordnung
Betroffenenrechte im Datenschutz sind die gesetzlich verankerten Ansprüche von Personen, deren personenbezogene Daten verarbeitet werden. Sie sichern Transparenz, Kontrolle und Fairness bei der Verarbeitung von Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ziel dieser Rechte ist es, die informationelle Selbstbestimmung zu gewährleisten, Machtasymmetrien zwischen verarbeitenden Stellen und Betroffenen auszugleichen und die Verantwortlichkeit der datenverarbeitenden Stellen sicherzustellen.
Geltungsbereich
Persönlicher und sachlicher Anwendungsbereich
Betroffenenrechte gelten für natürliche Personen. Erfasst sind alle Informationen, die sich auf eine Person beziehen oder sie identifizierbar machen, etwa Name, Kontaktdaten, Kennnummern, Online-Kennungen, Standortdaten oder Merkmale zu Identität, Verhalten und Präferenzen. Vollständig anonymisierte Daten fallen nicht darunter. Pseudonymisierte Daten bleiben personenbezogen, wenn eine Re-Identifizierung möglich ist oder nicht ausgeschlossen werden kann.
Räumlicher Anwendungsbereich
Die Rechte finden Anwendung gegenüber privaten und öffentlichen Stellen, die im europäischen Rechtsraum ansässig sind. Sie gelten zudem gegenüber Stellen außerhalb dieses Raums, soweit diese sich mit Angeboten oder Verhaltensbeobachtungen an Personen im europäischen Rechtsraum richten. Maßgeblich ist nicht nur der Speicherort, sondern die tatsächliche Verarbeitungstätigkeit und ihre Ausrichtung.
Einzelne Betroffenenrechte
Transparenz und Informationspflichten
Betroffene haben Anspruch auf klare, verständliche Informationen über die Datenverarbeitung. Dazu zählen die Identität der verarbeitenden Stelle, Zwecke und Rechtsgrundlagen der Verarbeitung, Kategorien betroffener Daten, Empfänger oder Kategorien von Empfängern, Speicherfristen oder Kriterien dafür, die Herkunft der Daten (soweit nicht bei der Person erhoben), Hinweise auf Rechte sowie gegebenenfalls Informationen zu Übermittlungen in Drittstaaten und zu deren Schutzmechanismen. Diese Informationen sind in der Regel zum Zeitpunkt der Datenerhebung oder innerhalb angemessener Fristen bereitzustellen.
Auskunft
Das Auskunftsrecht ermöglicht es, von der verarbeitenden Stelle eine Bestätigung zu verlangen, ob personenbezogene Daten verarbeitet werden, und, wenn dies der Fall ist, Zugang zu diesen Daten sowie zu weiterführenden Informationen zu erhalten. Dazu gehören etwa die Verarbeitungszwecke, Datenkategorien, Empfänger, geplante Speicherdauer, Hinweise auf Rechte und die Existenz einer automatisierten Entscheidungsfindung. Betroffene können zudem eine Kopie der verarbeiteten Daten verlangen, sofern dadurch keine Rechte Dritter beeinträchtigt werden.
Berichtigung
Betroffene können die unverzügliche Korrektur unrichtiger personenbezogener Daten verlangen sowie die Vervollständigung unvollständiger Daten. Der Anspruch umfasst auch die Pflicht der verarbeitenden Stelle, die Richtigkeit im angemessenen Umfang zu prüfen.
Löschung
Das Recht auf Löschung umfasst die Entfernung personenbezogener Daten unter bestimmten Voraussetzungen, etwa wenn sie für die Zwecke der Verarbeitung nicht mehr erforderlich sind, eine Einwilligung widerrufen wurde oder die Verarbeitung unzulässig ist. Der Anspruch ist nicht schrankenlos: Entgegenstehende Pflichten oder überwiegende Interessen können eine Fortsetzung der Speicherung rechtfertigen, insbesondere zur Erfüllung gesetzlicher Aufbewahrungspflichten, zur Geltendmachung oder Verteidigung von Ansprüchen oder zur Ausübung des Rechts auf freie Meinungsäußerung und Information.
Einschränkung der Verarbeitung
Die Einschränkung der Verarbeitung ermöglicht es, Daten vorübergehend nur noch zu speichern und nicht anderweitig zu nutzen, wenn beispielsweise die Richtigkeit bestritten oder die Verarbeitung unrechtmäßig ist, die Löschung jedoch nicht verlangt wird, oder wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden.
Datenübertragbarkeit
Das Recht auf Datenübertragbarkeit umfasst die Herausgabe personenbezogener Daten, die die betroffene Person bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format sowie, soweit technisch machbar, die direkte Übermittlung an eine andere Stelle. Es gilt insbesondere bei automatisierter Verarbeitung auf Grundlage einer Einwilligung oder eines Vertragsverhältnisses. Rechte und Freiheiten anderer Personen dürfen dadurch nicht beeinträchtigt werden.
Widerspruch
Betroffene können aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Verarbeitung widersprechen, wenn diese auf einer Interessenabwägung beruht. Bei Verarbeitung zu Zwecken der Direktwerbung besteht ein jederzeitiges Widerspruchsrecht mit der Folge, dass diese Verarbeitung zu diesem Zweck zu unterbleiben hat.
Automatisierte Entscheidungen einschließlich Profiling
Bei Entscheidungen, die ausschließlich automatisiert erfolgen und rechtliche Wirkung entfalten oder Betroffene in ähnlicher Weise erheblich beeinträchtigen, besteht ein besonderer Schutz. Betroffene haben Anspruch darauf, nicht einer solchen Entscheidung unterworfen zu werden, sowie auf Eingreifen einer natürlichen Person, Darlegung des eigenen Standpunkts und Anfechtung der Entscheidung. Ausnahmen bestehen nur in eng begrenzten Konstellationen mit angemessenen Schutzmaßnahmen.
Widerruf der Einwilligung
Eine erteilte Einwilligung kann jederzeit für die Zukunft widerrufen werden. Der Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung bis zum Zeitpunkt des Widerrufs. Wird die Verarbeitung ausschließlich auf eine Einwilligung gestützt, entfällt mit dem Widerruf die Grundlage für die weitere Verarbeitung zu diesem Zweck.
Schranken und Abwägungen
Schutz berechtigter Interessen Dritter
Betroffenenrechte können eingeschränkt sein, wenn die Ausübung die Rechte und Freiheiten anderer Personen beeinträchtigt, etwa deren personenbezogene Daten, Geschäftsgeheimnisse oder geistiges Eigentum. In solchen Fällen ist eine sorgfältige Abwägung erforderlich, die beide Seiten berücksichtigt.
Gesetzliche Aufbewahrungspflichten
Pflichten zur Aufbewahrung, Dokumentation oder Archivierung können einer Löschung entgegenstehen. In diesen Fällen kommt vorrangig eine Einschränkung der Verarbeitung in Betracht, bis die Aufbewahrungsfristen abgelaufen sind.
Öffentliche Sicherheit und behördliche Aufgaben
Bei Verarbeitungen im öffentlichen Interesse, zur Wahrung der öffentlichen Sicherheit oder zur Durchsetzung von Rechtsansprüchen können Information, Auskunft und andere Rechte unter bestimmten Voraussetzungen beschränkt werden. Solche Beschränkungen bedürfen einer gesetzlichen Grundlage und müssen verhältnismäßig sein.
Verantwortlichkeiten und Verfahren
Rolle des Verantwortlichen und des Auftragsverarbeiters
Verantwortlicher ist die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Sie hat Betroffenenrechte zu ermöglichen, Anfragen zu prüfen, fristgerecht zu beantworten und erforderliche Maßnahmen umzusetzen. Auftragsverarbeiter sind weisungsgebundene Dienstleister; sie unterstützen den Verantwortlichen bei der Erfüllung der Betroffenenrechte entsprechend vertraglicher Vorgaben.
Form der Antwort, Fristen und Transparenz
Antworten auf Betroffenenanfragen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form erfolgen. Üblich sind schriftliche oder elektronische Antworten; auf Wunsch kann eine mündliche Auskunft erteilt werden, sofern die Identität nachgewiesen ist. Die Bearbeitung hat innerhalb einer kurzen, gesetzlich bestimmten Frist zu erfolgen; bei komplexen oder zahlreichen Anfragen ist eine angemessene Verlängerung zulässig, über die zu informieren ist.
Identitätsprüfung und Missbrauchsschutz
Verarbeitende Stellen dürfen angemessene Maßnahmen zur Identitätsprüfung ergreifen, um unbefugte Zugriffe zu verhindern. Offensichtlich unbegründete oder exzessive Anfragen können abgelehnt oder mit einem angemessenen Entgelt belegt werden, sofern dies begründet wird.
Unentgeltlichkeit und Gebühren
Die Ausübung der Betroffenenrechte erfolgt grundsätzlich unentgeltlich. Kosten können nur in Ausnahmefällen erhoben werden, etwa bei wiederholten oder offensichtlich unbegründeten Anträgen, und müssen verhältnismäßig sein.
Dokumentation und Nachweis
Verantwortliche haben Abläufe zur Bearbeitung von Betroffenenrechten nachweisbar zu organisieren. Dazu gehören die Dokumentation eingehender Anfragen, der ergriffenen Maßnahmen, der Fristeinhaltung und der Gründe für etwaige Ablehnungen oder Beschränkungen.
Besondere Konstellationen
Besondere Kategorien personenbezogener Daten
Daten, die besonders sensibel sind, wie etwa Gesundheitsangaben oder biometrische Merkmale, unterliegen erhöhten Schutzanforderungen. Die Betroffenenrechte gelten uneingeschränkt, können aber in der Abwägung mit Schutzinteressen und Verarbeitungszwecken besonderen Darlegungen und Sicherungen bedürfen.
Kinder und Minderjährige
Bei Daten von Kindern gelten erhöhte Schutzmaßstäbe. Informationen sind in altersgerechter, klarer Sprache bereitzustellen. Die Ausübung von Rechten kann je nach Alter und Reife der betroffenen Person sowie nach den gesetzlichen Vertretungsregeln ausgestaltet sein.
Grenzüberschreitende Datenverarbeitung
Betroffenenrechte bestehen unabhängig davon, ob Daten innerhalb oder außerhalb des europäischen Rechtsraums gespeichert oder verarbeitet werden. Bei Übermittlungen in Staaten ohne gleichwertiges Schutzniveau sind zusätzliche Garantien erforderlich; Betroffene haben Anspruch auf Informationen über die einschlägigen Schutzmechanismen.
Rechtsdurchsetzung
Aufsichtsbehörden
Zur Kontrolle der Einhaltung des Datenschutzes bestehen unabhängige Aufsichtsbehörden. Sie befassen sich mit Beschwerden, führen Untersuchungen durch und können Maßnahmen zur Abhilfe treffen. Betroffene haben das Recht, sich an die zuständige Aufsicht zu wenden.
Ansprüche gegenüber Verantwortlichen
Betroffene können bei Verstößen neben der Ausübung ihrer Rechte die Unterlassung rechtswidriger Verarbeitungen und den Ausgleich materieller oder immaterieller Schäden verlangen. Daneben bestehen gerichtliche Rechtsbehelfe gegen Entscheidungen von Aufsichtsbehörden oder gegen Verantwortliche und Auftragsverarbeiter.
Häufig gestellte Fragen
Was gilt als personenbezogene Daten im Sinne der Betroffenenrechte?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu zählen klassische Identifikationsmerkmale wie Name und Adresse, aber auch Online-Kennungen, Nutzer-IDs, Standortdaten oder Merkmale zu Verhalten und Präferenzen. Vollständig anonymisierte Informationen fallen nicht darunter; pseudonymisierte Daten sind erfasst, wenn eine Re-Identifizierung möglich bleibt.
Gelten Betroffenenrechte auch in Beschäftigungsverhältnissen?
Ja. Beschäftigte sind Betroffene im datenschutzrechtlichen Sinn. Ihre personenbezogenen Daten unterliegen denselben Grundsätzen und Rechten wie die Daten anderer Personen, wobei betriebliche Erfordernisse und gesetzliche Pflichten in der Abwägung berücksichtigt werden.
Ist das Recht auf Löschung uneingeschränkt?
Nein. Der Anspruch auf Löschung besteht nur unter bestimmten Voraussetzungen und kann durch entgegenstehende Pflichten oder überwiegende Interessen begrenzt sein, etwa durch gesetzliche Aufbewahrungspflichten, Belange der öffentlichen Sicherheit oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Wie verhält sich das Auskunftsrecht zu Geschäftsgeheimnissen und Rechten Dritter?
Das Auskunftsrecht besteht grundsätzlich, darf aber die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Dazu gehören Geschäftsgeheimnisse und geistiges Eigentum. In der Praxis kann dies zu Teilinformationen, Schwärzungen oder zur Zurückhaltung bestimmter Angaben führen, sofern dies erforderlich und verhältnismäßig ist.
Wann besteht ein Widerspruchsrecht gegen die Verarbeitung?
Ein Widerspruchsrecht besteht insbesondere bei Verarbeitungen, die auf einer Interessenabwägung beruhen. Bei Verarbeitungen zum Zwecke der Direktwerbung kann jederzeit widersprochen werden; die Verarbeitung zu diesem Zweck ist dann zu unterlassen. In anderen Fällen ist eine Abwägung der widerstreitenden Interessen erforderlich.
Welche Rolle spielt die Einwilligung im Verhältnis zu Betroffenenrechten?
Betroffenenrechte bestehen unabhängig von der gewählten Grundlage der Verarbeitung. Wird die Verarbeitung auf eine Einwilligung gestützt, kann diese jederzeit für die Zukunft widerrufen werden. Andere Rechte, wie Auskunft, Berichtigung oder Löschung, gelten davon unberührt nach den gesetzlichen Voraussetzungen.
Gelten Betroffenenrechte auch gegenüber Unternehmen außerhalb der EU?
Ja, sofern diese Unternehmen ihre Angebote auf Personen im europäischen Rechtsraum ausrichten oder deren Verhalten dort beobachten. In solchen Fällen sind die Betroffenenrechte gegenüber der verarbeitenden Stelle geltend, unabhängig davon, wo die Daten tatsächlich gespeichert werden.
