Zum Hauptinhalt springen
Datenschutz AGADDatenschutz AGAD
 
alt text

Kontakt

Lernmodul 3 von 6

3. Betroffenenrechte

Die Datenschutz-Grundverordnung (DSGVO) stärkt die Rechte jeder Person, deren Daten verarbeitet werden, und gibt ihr Kontrolle über die eigenen personenbezogenen Daten. Diese Betroffenenrechte dienen der Transparenz und der informationellen Selbstbestimmung, damit man weiß, welche Daten über einen verarbeitet werden und Einfluss darauf nehmen kann. Im Folgenden werden alle Betroffenenrechte nach der DSGVO vorgestellt, jeweils mit ihrer rechtlichen Grundlage.

Ein erstes wichtiges Recht ist das Recht auf Information gemäß Art. 13 und 14 DSGVO. Dieses verpflichtet den Verantwortlichen, der betroffenen Person bestimmte Angaben zur Datenverarbeitung mitzuteilen, noch bevor oder während die Daten erhoben werden.

Zentral für die Transparenz ist das Recht auf Auskunft (Art. 15 DSGVO). Es erlaubt jeder betroffenen Person, von dem Verantwortlichen zu erfahren, ob und welche personenbezogenen Daten von ihr verarbeitet werden. Man kann also eine Auskunftsanfrage stellen und erhält dann eine Kopie der eigenen Daten sowie umfassende Informationen zur Verarbeitung. Dazu gehören etwa die Verarbeitungszwecke, die Kategorien der Daten, die Empfänger (oder Kategorien von Empfängern), an die die Daten weitergegeben wurden, die geplante Speicherdauer und Hinweise auf weitere Rechte wie Berichtigung oder Löschung. Auch muss mitgeteilt werden, woher die Daten stammen (falls sie nicht direkt bei der Person erhoben wurden) und ob automatisierte Entscheidungen einschließlich Profiling stattfinden. Unternehmen müssen auf solche Anfragen schnell und fristgerecht reagieren – sonst drohen rechtliche Konsequenzen. Übrigens: Auch wenn keine Daten gespeichert sind, muss dies ebenfalls aktiv und pünktlich mitgeteilt werden.

Stellt sich heraus, dass gespeicherte Daten falsch oder unvollständig sind, haben Betroffene das Recht auf Berichtigung oder Ergänzung (Art. 16 DSGVO). Unternehmen müssen diese Korrekturen umgehend umsetzen.

Ein besonders einschneidendes Recht ist das Recht auf Löschung (Art. 17 DSGVO). Es besagt: Immer dann, wenn für bestimmte personenbezogene Daten kein legitimer Verarbeitungsgrund mehr besteht, hat die betroffene Person das Recht, deren Löschung zu verlangen. Beispielsweise muss ein Unternehmen personenbezogene Daten löschen, wenn der ursprüngliche Zweck der Speicherung erreicht wurde oder weggefallen ist und die Daten nicht mehr benötigt werden. Ebenso kann man Löschung verlangen, wenn eine zuvor erteilte Einwilligung widerrufen wurde und keine andere Rechtsgrundlage die Verarbeitung erlaubt. Auch wenn personenbezogene Daten unrechtmäßig verarbeitet wurden (d.h. ohne gültige Rechtsgrundlage). Es besteht aber beispielsweise keine Löschpflicht, solange die Verarbeitung noch erforderlich ist – etwa weil eine gesetzliche Aufbewahrungsfrist läuft, die das Unternehmen einhalten muss.

Manchmal ist jedoch nicht gleich eine Löschung notwendig. In bestimmten Fällen, etwa wenn Zweifel an der Richtigkeit der Daten bestehen, kann die Verarbeitung der Daten vorübergehend eingeschränkt werden (Art. 18 DSGVO). Das bedeutet: Die Daten dürfen noch gespeichert, aber nicht weiter genutzt werden.

Darüber hinaus steht es Betroffenen zu, ihre personenbezogenen Daten in einem strukturierten, gängigen Format zu erhalten – und sie auf Wunsch zu einem anderen Anbieter mitzunehmen. Das ist das sogenannte Recht auf Datenübertragbarkeit (Art. 20 DSGVO).

Auch gegen bestimmte Arten der Datenverarbeitung, etwa zu Zwecken der Direktwerbung, kann jederzeit Widerspruch eingelegt werden (Art. 21 DSGVO). Unternehmen sind verpflichtet, diesem Wunsch Folge zu leisten.

Besonders sensibel ist der Bereich der automatisierten Entscheidungen (Art. 22 DSGVO). Niemand darf durch automatisierte Prozesse – also durch Algorithmen oder Software – benachteiligt werden, ohne dass ein Mensch in die Entscheidung eingebunden ist. Es sei denn, gesetzliche Regelungen lassen das ausdrücklich zu und gewährleisten zusätzliche Schutzmaßnahmen.

Und schließlich haben betroffene Personen Anspruch auf Schadenersatz, wenn durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist (Art. 82 DGVO).

Abschließend sei das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO) erwähnt. Wenn eine betroffene Person der Ansicht ist, dass ihre Daten rechtswidrig verarbeitet werden oder ein Verantwortlicher ihren Betroffenenrechten nicht nachkommt, kann sie sich jederzeit an die zuständige Datenschutzbehörde wenden und dort Beschwerde einlegen.