Betroffenenrechte

Im Personalbüro, in der Produktion, bei der Werbung im Netz: Fast überall im unternehmerischen Alltag fallen heute personenbezogene Daten an. Der Umgang damit erfordert Einiges an Wissen und Sorgfalt – und stellt die Verantwortlichen Ihrer Firma nicht selten vor Herausforderungen.

Zentrales Anliegen der DSGVO, des grundlegenden Rechtswerks zum Umgang mit Datenverarbeitung in der EU, sind die Betroffenenrechte. Im Bezug auf die eigenen personenbezogenen Daten haben Betroffene umfassende Rechte bekommen. Welche Rechte im Einzelnen zu beachten sind und was Sie wissen müssen, wenn eine betroffene Person von ihren Rechten Gebrauch macht, das klären wir einmal in der folgenden Übersicht.

Sie brauchen Hilfe beim Umgang mit Betroffenenrechten? Dann melden Sie sich direkt bei uns – als externer Datenschutzbeauftragte unterstützt FK-Datenschutz Sie bei allen Aufgaben rund um die Datenschutzgrundverordnung.

AdobeStock_562132106-min

Die Betroffenenrechte DSGVO - Definition

Im Jahr 2018 gingen die Staaten der Europäischen Union mit der DSGVO neue Wege: Die EU-weite Datenschutz-Grundverordnung brachte einigen Aufwand gerade für Unternehmen mit. Viele der Artikel dienen dem Schutz von Daten, die betroffene Personen inzwischen zu den unterschiedlichsten Gelegenheiten abgeben (müssen). Die DSGVO stärkt die Betroffenenrechte – im Alltag bedeutet das für Firmen eine ganze Reihe von Verpflichtungen bei der Verarbeitung personenbezogener Daten.

DSGVO Kapitel 3

Im dritten Kapitel der DSGVO dreht sich alles um die Betroffenenrechte. Unter dem Begriff der Betroffenenrechte verstehen wir Rechte, die von zentraler Bedeutung sind beim Schutz personenbezogener Daten. Sie sind ein Teilbereich der Rechte, die sich aus dem Allgemeinen Persönlichkeitsrecht des zweiten Artikels im Grundgesetz ergeben (Recht auf informationelle Selbstbestimmung). Betroffenenrechte gewährleisten den Menschen die Möglichkeit, auf die Verarbeitung der Daten zu ihrer Person Einfluss zu nehmen.

Das Ziel der DSGVO ist es, die Verarbeitung personenbezogener Daten transparent, also nachvollziehbar für die Betroffenen zu machen. Daraus entstehen Verpflichtungen für den Umgang mit diesen Daten, die die DSGVO näher regelt.

Im Gesamtüberblick geht es bei den Betroffenenrechten um folgende Teilbereiche:

  • Informationspflicht der Verantwortlichen für Datenschutz
  • Auskunftsrecht betroffener Personen
  • Recht auf Berichtigung
  • Recht auf Datenlöschung oder Recht auf Vergessenwerden
  • Recht auf Einschränkung der Verarbeitung von Daten
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
  • Recht auf Widerruf einer Einwilligung
  • Beschwerderecht bei der zuständigen Aufsichtsbehörde
  • Recht darauf, dass die Daten nicht automatisiert verarbeitet werden

Sie wollen mehr über Betroffenenrechte erfahren?

Wir unterstützen Sie dabei mit umfassender Beratung und Expertise.

<
Kostenloses Erstgespräch
AdobeStock_207983098-min

Die Betroffenenrechte der Datenschutzgrundverordnung stellen sich vor

Was verbirgt sich hinter diesen Schlagworten genau, und welche Pflichten haben die betroffenen Unternehmen zu erfüllen? Welcher Artikel legt welche Rechte fest? Verschaffen wir uns einmal eine Übersicht.

Informationspflicht Art 13 und 14

Diese beiden Artikel bilden zusammen einen Komplex, der wesentlich ist für die Betroffenenrechte, und sie werden, gemeinsam mit dem Artikel 15, als die „Magna Charta“ der DSGVO bezeichnet.

Im Artikel 13 heißt es, dass betroffene Personen das Recht haben zu erfahren, welche Daten zu welchem Zweck und für wie lange verarbeitet wurden. Außerdem umfasst die Informationspflicht das Recht, die Empfänger der verarbeiteten Daten zu erfahren und auch die Rechtsgrundlage, auf der die Datenverarbeitung erfolgt. Zudem haben Betroffene das Recht, die Kontaktdaten des Verantwortlichen zu erfahren und eine nachvollziehbare Interessenabwägung zu bekommen.

Außerdem besagt Artikel 13, dass betroffene Personen über ihre Betroffenenrechte informiert werden müssen. Diese Informationen müssen schon mit Beginn der Datenerhebung mitgeteilt werden. Transparenz und Verständlichkeit sind ausdrücklich gefordert: Die Informationen müssen in verständlicher Form und einfacher Sprache zur Verfügung gestellt werden.

Im Artikel 14 DSGVO sind zusätzlich die Informationspflichten geregelt, wenn nicht der Verantwortliche selbst, sondern jemand anderes die Daten erhebt.

Die Informationspflicht ist übrigens aktiv zu verstehen: Nicht erst dann, wenn Kunden danach fragen, müssen sie die Informationen erhalten, sondern bereits in dem Moment, in dem sie erhoben werden. Ausnahmen gibt es bei fehlenden Kontaktdaten oder wenn es einen unverhältnismäßigen Aufwand bedeuten würde, die Informationen zu liefern.

Auskunftsrecht Art 15

Passend zu den beiden vorangegangenen Artikeln regelt Artikel 15, ob und wie betroffene Personen Auskunft verlangen dürfen und wie ihnen dies gewährt wird. Das Auskunftsrecht soll weitere Transparenz schaffen. Auf Nachfrage muss die betroffene Person erfahren, ob und welche Daten zu ihrer Person wie verarbeitet wurden, woher die Daten stammten und ob sie an Dritte weitergegeben wurden. Für das Auskunftsrecht gelten Fristen, die Sie unbedingt einhalten sollten!

Nur, wenn Rechte von dritten Personen entgegenstehen, ist dieses Auskunftsrecht (interner Link Auskunftsersuchen) begrenzt. Betroffene haben das Recht, zu erfahren, ob und in welcher Form personenbezogene Daten verarbeitet wurden.

Recht auf Berichtigung Art 16

Sollten den Verantwortlichen bei der Übermittlung von Informationen Fehler unterlaufen, so haben betroffene Personen das Recht auf Berichtigung. Das bedeutet: Verantwortliche müssen, wenn Fehler übertragen wurden, diese berichtigen und auch weitere Empfänger der falschen Informationen benachrichtigen.

Recht auf Datenlöschung Art 17

Die DSGVO räumt betroffenen Personen das Recht auf Löschung ein. Betroffene können verlangen, dass Verantwortliche personenbezogene Daten löschen – und auch dritte Empfänger der Daten müssen sich an das Recht auf Löschung halten. Eine Ausnahme gilt, wenn die personenbezogenen Daten aus steuerrechtlichen Gründen aufbewahrt werden müssen. Sobald aber der Zweck der erhobenen Daten oder die Rechtsgrundlage zu ihrer Verarbeitung nicht mehr gegeben ist, greift das Recht auf Löschung von personenbezogenen Daten.

Einschränkung der Verarbeitung Art 18

Beim Recht auf Einschränkung der Verarbeitung können betroffene Personen erwarten, dass Daten, die sich nur schwer löschen lassen oder die weiter gespeichert werden müssen, nur eingeschränkt verarbeitet werden. Verantwortliche für die Datenverarbeitung sind darum verpflichtet, solche Daten zu kennzeichnen: Zum Beispiel kann den Daten der Vermerk „gesperrt“ hinzugefügt werden.

Recht auf Datenübertragbarkeit Art 20

Personenbezogene Daten müssen nicht nur herausgegeben werden, das Recht auf Datenübertragbarkeit legt auch die Form fest. So müssen die Informationen in einem gängigen, maschinenlesbaren Format übertragen werden. Die betroffene Person darf auch nicht daran gehindert werden, diese Daten anderen weiterzugeben.

Weitere Regelungen wie der Artikel 22 (Recht auf nicht ausschließlich automatisierte Entscheidungen) oder das Recht auf Beschwerde bei der Aufsichtsbehörde gemäß Artikel 77 sind zu beachten.

Angesichts des komplexen Gesamtbildes ist es sinnvoll, dem Datenschutz im Unternehmen mit der nötigen Expertise zu begegnen: Entweder in Form eines externen Datenschutzbeauftragten oder mit Hilfe von Schulungen, die die Verantwortlichen auf den rechtskonformen Umgang mit Betroffenenrechten vorbereiten.

AdobeStock_248297183-min

Ausnahmen beim Betroffenenrecht der Datenschutz Grundverordnung DSGVO

Die Rechte der betroffenen Personen gewähren auch einige Ausnahmen, denn, neben denen von Bürgern schützt der Gesetzgeber auch die Interessen der Unternehmen, die beteiligt sind am konkreten Fall. So gelten Ausnahmen vom Recht auf Auskunft, etwa dann, wenn der Aufwand für die Erfüllung der Informationspflicht unverhältnismäßig hoch wäre, oder bei Daten, die nur aufgrund von gesetzlichen Aufbewahrungsfristen gespeichert werden. Auch für Daten, die der Geheimhaltung unterliegen, gibt es Ausnahmen beim Recht auf Auskunft.

Welche Arten von Fehlverhalten dürfen gemeldet werden?

Eine ganze Reihe von Verstößen aus unterschiedlichsten Bereichen fallen unter das Hinweisgeberschutzgesetz. So melden Personen etwa Hinweise auf Verstöße gegen Strafvorschriften, Bußgeldverstöße, Regelverstöße aus dem Arbeits- und Gesundheitsschutz oder gegen das Mindestlohngesetz. Wer die Vorgaben des Arbeitnehmerüberlassungsgesetzes nicht einhält, kann ebenso mit einer Whistleblower-Meldung konfrontiert sein wie Unternehmen, die die Rechtsnormen bezüglich europäischer Regelungen nicht einhalten.

Hier geht es beispielsweise um Regelungen zu den Themen Produktsicherheit, Geldwäsche, Umweltschutz, Datenschutz oder Verbraucherschutz.

Das HinSchG greift, wenn die gemeldeten Vergehen von dem Beschäftigungsgeber des Whistleblowers oder einer anderen Stelle, mit der der Hinweisgeber beruflich im Kontakt stand, begangen wurden.

Die gesamte Liste der Rechtsnormen ist in der EU Whistleblower-Richtlinie im HinSchG enthalten, die folgende Aufzählung gibt einen groben Überblick

  • Straftaten nach dem Strafgesetzbuch
  • bestimmte Ordnungswidrigkeiten
  • Unternehmensbesteuerung/Geldwäsche
  • Datenschutz
  • öffentliches Auftragswesen
  • Finanzdienstleistungen
  • Produkt- und Verkehrssicherheit
  • nukleare Sicherheit
  • öffentliche Gesundheit
  • Missstände beim Verbraucherschutz

Regelungen und Rechte zum Umgang mit Daten EU-weit

Die DSGVO verfolgt mehrere Ziele, und eines davon ist es, für ein europaweit einheitliches Niveau beim Datenschutz zu sorgen. Darum sollten die Rechte theoretisch in allen EU-Staaten gleich sein. Aber es gibt Sonderregelungen: Die DSGVO enthält einige sogenannte Öffnungsklauseln. Diese räumen den Mitgliedsstaaten die Möglichkeit ein, eigene Regeln zu erlassen, die nur im nationalen Rahmen gelten. In Deutschland betrifft das zum Beispiel die als Medienprivileg bezeichnete Regelung aus dem Rundfunkstaatsvertrag: Die Bundesrepublik gewährt eine Ausnahme vom Datenschutzrecht für die Medien. Bei der Verarbeitung von personenbezogenen Daten zu journalistischen Zwecken gibt es Ausnahmen, festgelegt im Artikel 85 der DSGVO. Diese Ausnahme im Datenschutz ist deshalb möglich, weil neben dem Recht auf den Schutz personenbezogener Daten auch das Recht auf Informationsfreiheit und auf freie Meinungsäußerung zu beachten ist.

Grundsätzlich aber sollte die DSGVO dazu dienen, eine gewisse Einheitlichkeit beim Thema Betroffenenrechte in den EU-Staaten herzustellen.

Der Datenschutzbeauftragte: Zuständigkeiten beim Betroffenenrecht im Unternehmen

Als externe Datenschutzbeauftragte arbeiten wir bei FK-Datenschutz eng mit unseren Kunden zusammen. In dieser Funktion sind die Betroffenenrechte in unserer täglichen Arbeit ein zentrales Element, denn wir übernehmen nicht nur die Beratung zum Thema. Wir schulen auch Verantwortliche der Datenverarbeitung für den korrekten Umgang mit sämtlichen personenbezogenen Daten. Wir bieten zudem an, funktionierende Prozesse zu etablieren, wie in Ihrem Betrieb die Betroffenenrechte gewahrt bleiben. Wir unterstützen bei eingehenden Anfragen einer betroffenen Person und stellen Ihnen generell zu allen Fragen rund um die Betroffenenrechte die nötigen Informationen zur Verfügung.

Was brauchen Sie? Möchten Sie Mitarbeiter schulen lassen, oder planen Sie, das Thema generell an externe Verantwortliche auszulagern? Suchen Sie kurzfristige Unterstützung, oder fehlt es generell noch am Überblick über den Bereich Datenschutz?

Stellen Sie uns gerne Ihre Fragen, wir haben passende Antworten für Ihren Betrieb.

AdobeStock_259723371-min

Ihre Rechte und Pflichten: FK-Datenschutz hilft beim rechtskonformen Umgang mit Betroffenenrechten

Das Betroffenenrecht der EU, wie es in der DSGVO und anderen Gesetzen festgehalten ist, ist eine komplexe Angelegenheit. Fehler in diesem Bereich können allerdings angesichts hoher Bußgelder richtig teuer werden und dem Unternehmensimage massiv schaden. Darum lohnt es sich, sich ausführlich mit der DSGVO und den daraus folgenden Rechten der Betroffenen zu befassen.

Dafür haben Sie verschiedene Möglichkeiten. Unsere Leistungen umfassen Beratung, die Schulung von internen Datenschutzbeauftragten, aber auch die komplette Übernahme aller Aufgaben rund um den Datenschutz.

Übrigens sind wir nicht nur regional in Hamburg, Kiel und ganz Schleswig-Holstein für Sie da. Auch überregional betreuen wir unsere Kunden individuell, mit Leidenschaft und fachlicher Expertise. Rufen Sie uns an – wir kümmern uns um die Betroffenenrechte Ihrer Kunden und Mitarbeiter!