Im Datenschutzrecht geht es viel um Informationspflichten und um die Rechte der Betroffenen. Betroffener ist dabei jeder, dessen Daten erhoben, verarbeitet, gespeichert oder genutzt werden. Auch diese Betroffenenrechte werden in der DSGVO neu geregelt werden.

Die Rechte der Betroffenen sind in den Art. 12 bis 32 DSGVO geregelt.

Zunächst hat der Betroffene das Recht auf Information. Dies wird durch die Bereitstellung einer ausführlichen Datenschutzerklärung. Diese muss in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache gefasst sein.

Auskunftsrecht

Der Betroffene wird auch nach der DSGVO ein Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen (Art. 15 DSGVO):

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Recht auf Berichtigung

Sind die zum Betroffenen gespeicherten Daten nicht korrekt, so hat dieser das Recht, die unverzügliche Berichtigung zu verlangen. Außerdem kann der Kunde auch die unverzügliche Löschung seiner Daten verlangen.

Darüber hinaus darf der Betroffene – wie jetzt auch schon – der weiteren Verwendung seiner Daten widersprechen.

Recht auf Datenübertragbarkeit

Neu geschaffen wird in Art. 20 DSGVO das Recht auf Datenübertragbarkeit.

„Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern

  1. die Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a oder auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b beruht und
  2. die Verarbeitung mithilfe automatisierter Verfahren erfolgt.“

Das bedeutet also, ein Kunde könnte auf einen Online-Händler zugehen und verlangen, dass dieser ihm sämtliche Kundendaten aushändigt (Bestellhistorie, Umsatz etc.), damit zu einem anderen Händler gehen und ihm diese Daten zur Verfügung stellen. Ein im Online-Handel wohl eher selten eintretender Fall.

Frist: Ein Monat

Stellt der Betroffene beim Unternehmer einen Antrag auf Auskunft etc., ist der Händler verpflichtet, muss der Händler Informationen auch über die ergriffenen Maßnahmen wie z.B. die Löschung oder Berichtigung von Daten, unverzüglich, spätestens jedoch innerhalb von einem Monat zur Verfügung stellen.

Lediglich in Ausnahmefällen kann diese Frist um zwei weitere Monate verlängert werden.

Wird der Unternehmer aber auf einen solchen Antrag hin nicht tätig, muss er ebenfalls innerhalb von einem Monat den Betroffenen hierüber und auch über die Gründe dafür, unterrichten. Diese Information muss auch den Hinweis enthalten, dass der Betroffene die Möglichkeit hat, Beschwerde bei der Aufsichtsbehörde einzulegen.

Fazit

In der DSGVO sind die Rechte der Betroffenen wesentlich detaillierter aufgeschlüsselt als bislang im deutschen Datenschutzrecht. Verstöße gegen die Rechte der Betroffenen können mit einem Bußgeld in Höhe von bis zu 20 Millionen Euro oder 4 % des Welt-Jahresumsatzes belegt werden. (mr)

Bildnachweis: Bloomicon/shutterstock.com