Welche Rechte haben Einzelpersonen im Rahmen der DSGVO?

Die DSGVO gewährt den Betroffenen, d. h. Personen, deren Daten verarbeitet werden, folgende Rechte:

  1. Recht auf Auskunft
  2. Recht auf Zugang
  3. Recht auf Berichtigung
  4. Recht auf Löschung (Recht auf Vergessenwerden)
  5. Recht auf Einschränkung der Verarbeitung
  6. Recht auf Datenübertragbarkeit
  7. Widerspruchsrecht
  8. Recht darauf, einer Entscheidung zu unterliegen, die nicht ausschließlich auf einer automatisierten Verarbeitung beruht
     

Bitte beachten Sie, dass einige dieser Rechte nicht in allen Situationen gelten, Sie können die Tabelle der Rechte der betroffenen Person für jede Rechtsgrundlage für weitere Informationen einsehen.

Der für die Verarbeitung Verantwortliche ist verpflichtet, auf Anfragen betroffener Personen zu reagieren, die ihre Rechte ausüben und muss die Ausübung dieser Rechte erleichtern. Der Datenverarbeiter muss den für die Verarbeitung Verantwortlichen bei dieser Aufgabe unterstützen.

Checkliste für den Umgang mit Betroffenenrechten:

  • Seien Sie vorbereitet: Entwickeln Sie Systeme und Verfahren, um auf Anfragen von Betroffenenrechten zu reagieren, und schulen Sie Ihre Mitarbeitenden, um Anfragen von Betroffenenrechten in Ihre internen Arbeitsabläufe zu integrieren.
  • Erleichterung der Ausübung von Rechten: Machen Sie es den betroffenen Personen leicht zu erfahren, was ihre Rechte sind und wie Sie kontaktiert werden können, um die Rechte auszuüben.
  • Kennen Sie Ihre Datenströme: Halten Sie Ihr Register auf dem neuesten Stand, um die von Ihnen verarbeiteten Daten schnell zu identifizieren und Informationen effizient zu lokalisieren und abzurufen.
  • Transparent sein: Informieren Sie die betroffenen Personen vor der Verarbeitung (z. B. in Ihrer Datenschutzerklärung) und während der Verarbeitung (z. B. bei Erfüllung einer Anfrage an eine betroffene Person) stets klar und verständlich über die von Ihnen verarbeiteten personenbezogenen Daten .
  • Antwort innerhalb von 1 Monat: Beantworten Sie eine Anfrage aufgrund von Betroffenenrechten immer innerhalb eines Monats. Wenn Sie zusätzliche Zeit benötigen, um zu antworten oder wenn Sie der Anfrage nicht nachkommen können: Informieren Sie die betroffene Person innerhalb eines Monats.
  • Geben Sie es weiter: Wenn Sie eine Anfrage bezüglich personenbezogener Daten erhalten, die Sie an andere Empfänger übermittelt haben, vergessen Sie nicht, die Empfänger über das Ergebnis der Anfrage zu informieren.
  • Dokumentation: Dokumentieren Sie Anfragen von betroffenen Personen und erfassen Sie Ihre Antworten. Dokumentieren Sie auch Ihre Begründung, wenn Sie nicht auf eine Anfrage antworten.

Wie man mit der Anfrage aufgrund von Betroffenenrechten umgeht

Transparenz ist für den Datenschutz im Allgemeinen und natürlich auch im Rahmen der Rechte der betroffenen Person von entscheidender Bedeutung.
Der für die Verarbeitung Verantwortliche muss

  • mit betroffenen Personen in einer klaren und verständlichen Sprache kommunizieren (dies ist besonders wichtig, wenn eine Organisation sich an Kinder wendet); und
  • die Ausübung dieser Rechte erleichtern, insbesondere auf elektronischem Wege. So können Sie beispielsweise auf Ihrer Website ein Online-Formular bereitstellen, mit dem betroffene Personen ihre Datenschutzrechte problemlos ausüben können.

Schriftlich antworten

Die allgemeine Regel lautet, dass eine Organisation auf die Zugangsanfrage einer Person in der gleichen Weise reagieren sollte, wie die Anfrage gestellt wurde, oder in der Art und Weise, wie die betroffene Person speziell um eine Antwort gebeten hat. Vorzugsweise sollten Sie schriftlich antworten, gegebenenfalls auch auf elektronischem Wege. Eine Antwort auf die Anfrage einer betroffene Person könnte mündlich gegeben werden. Dies wird nicht empfohlen, da Sie in der Lage sein müssen, zu beweisen, dass Sie die Anfrage beantwortet haben.

 

Antwort innerhalb eines Monats

Die DSGVO legt fest, wie schnell ein Datenverantwortlicher auf eine Anfrage reagieren muss und in welchen Fällen er Gebühren erheben kann.

Wenn die betroffenen Personen eines ihrer Rechte ausüben, muss der für die Verarbeitung Verantwortliche innerhalb eines Monats antworten. Wenn die Anfrage zu komplex ist und mehr Zeit für die Beantwortung benötigt wird, kann Ihre Organisation die Frist um zwei weitere Monate verlängern, vorausgesetzt, die betroffene Person wird innerhalb eines Monats nach Eingang der Anfrage informiert. 

Wenn Sie dem spezifischen Antrag der betroffenen Person nicht nachkommen wollen, müssen Sie die betroffene Person innerhalb eines Monats nach Erhalt der Anfrage über die Gründe informieren, aus denen Sie dem Antrag nicht stattgeben (z. B. warum Sie die angeforderten Daten nicht löschen). Darüber hinaus müssen Sie die betroffenen Personen über die Möglichkeit informieren, eine Beschwerde bei ihrer nationalen Datenschutzbehörde einzureichen und einen gerichtlichen Rechtsbehelf einzulegen.

 

Berechnen Sie keine Gebühr

Ihre Organisation kann keine Zahlung von einer betroffenen Person verlangen, die darum bittet, eines ihrer Rechte auszuüben. Sie können jedoch eine Gebühr erheben, wenn der Antrag der betroffenen Person offensichtlich unbegründet oder unverhältnismäßig ist, insbesondere wegen ihres sich wiederholenden Charakters. Bei der Berechnung der Gebühr müssen die Verwaltungskosten für die Beantwortung der Anfrage für Ihre Organisation berücksichtigt werden. Wie oben erläutert, ist es auch möglich, auf einen offensichtlich unbegründeten oder unverhältnismäßigen Antrag nicht zu reagieren. In einer solchen Situation müssen Sie nachweisen können, dass dies der Fall ist.

In der Praxis

  • Eine betroffene Person legt alle zwei Monate Zugriffsanfragen bei dem Tischler ein, der ihren Tisch herstellt. Der Zimmermann beantwortete die erste Anfrage vollständig. Da der Zimmermann keine personenbezogene Daten im Rahmen seiner Kerntätigkeit verarbeitet und nicht mehr als eine Dienstleistung für die betroffene Person erbracht hat, ist es unwahrscheinlich, dass Änderungen im Datensatz in Bezug auf die betroffene Person eingetreten sind. Die betroffene Person hat klargestellt, dass das neue Ersuchen dieselben Informationen betrifft wie das letzte Ersuchen. Folglich kann dieser Antrag aufgrund seines sich wiederholenden Charakters als unverhältnismäßig angesehen werden.
  • Wenn der Zimmermann nun beschließt, der betroffenen Person die personenbezogenen Daten, gegen eine Gebühr, zur Verfügung zu stellen, ist es ratsam, diese im Voraus darüber zu informieren und ihr so die Möglichkeit zu geben, die Anfrage zurückzuziehen, um eine Zahlung zu vermeiden. Alternativ kann der Zimmermann die betroffene Person darüber informieren, warum er auf diese Anfrage nicht antworten wird, sowie über die Möglichkeit, eine Beschwerde bei einer Datenschutzbehörde einzureichen und einen gerichtlichen Rechtsbehelf einzulegen.
     

Recht auf Auskunft

Das Recht auf Auskunft ermöglicht es den Menschen, zu verstehen, was mit ihren Daten getan wird, und folglich fundierte Entscheidungen zu treffen und mehr Kontrolle über ihre personenbezogenen Daten zu haben. Alle betroffenen Personen haben das Recht, bei der Verarbeitung ihrer Daten Auskunft zu erhalten.

Als für die Verarbeitung Verantwortlicher sind Sie verpflichtet, die betroffenen Personen zu informieren.

 

Welche Informationen?

Die zur Verfügung zu stellenden Informationen unterscheiden sich je nachdem, ob Sie die personenbezogenen Daten direkt bei der betroffenen Person erhoben haben (direkte Erhebung gemäß Art. 13 DSGVO) oder ob Sie diese aus einer anderen Quelle (indirekte Erhebung gemäß Art. 14 DSGVO) erhalten haben. Die folgenden Tabellen geben einen Überblick über die Informationen, die Sie der betroffenen Person zur Verfügung stellen müssen:

table: data subject rights

Darüber hinaus verlangt die DSGVO, dass Ihr Unternehmen die folgenden Informationen zur Verfügung stellt, um eine faire und transparente Verarbeitung zu gewährleisten:

table: data subject rights

Im Falle einer Weiterverarbeitung für einen neuen Zweck, der sich vom ursprünglichen Zweck unterscheidet, muss Ihre Organisation die Informationen in dieser zweiten Tabelle erneut angeben. Diese Informationen müssen vor dieser weiteren Verarbeitung zur Verfügung gestellt werden. In diesem Fall müssen Sie der betroffenen Person auch erklären, wie die neuen und früheren Zwecke miteinander vereinbar sind.

 

Wann sollten die Informationen bereitgestellt werden?

Wenn Ihre Organisation die personenbezogenen Daten direkt bei der betroffenen Person erhebt, muss sie zum Zeitpunkt der Erhebung die erforderlichen Informationen bereitstellen.

Im Falle einer indirekten Erhebung personenbezogener Daten muss Ihre Organisation die Informationen spätestens innerhalb eines Monats nach Erhalt der personenbezogenen Daten übermitteln. Dieser Zeitraum von maximal einem Monat wird reduziert:

  • wenn die personenbezogenen Daten zum Zwecke der Kommunikation mit der betroffenen Person verwendet werden. In diesem Fall müssen Sie die betroffene Person spätestens zum Zeitpunkt der ersten Mitteilung an die betroffene Person informieren;
  • wenn die Daten an einen anderen Empfänger übermittelt werden, informiert die Organisation die betroffenen Personen spätestens bei der Übermittlung der personenbezogenen Daten darüber.
     

In keinem Fall kann die maximale Frist von einem Monat verlängert werden.

Im Falle späterer Änderungen der Verarbeitung (z. B. neue Empfänger, kompatibler Zweck, Übertragung außerhalb des EWR usw.), muss Ihre Organisation die betroffene Person in jedem Fall informieren, bevor die Änderung wirksam wird, und Sie sollten dies rechtzeitig im Voraus tun. Je substanzieller die Änderung ist, desto früher sollte Ihre Organisation die betroffene Person informieren, damit diese eine angemessene Zeit hat, um die Auswirkungen abzuschätzen und ihre Rechte auszuüben.

 

Wann ist Ihre Organisation nicht verpflichtet, Informationen zu übermitteln?

Ihre Organisation ist nicht verpflichtet, die betroffene Person zu informieren, wenn diese Person bereits die erforderlichen Informationen erhalten hat.

Bei indirekter Erhebung personenbezogener Daten gelten zusätzliche Ausnahmen. In diesem Fall ist die Bereitstellung von Informationen nicht erforderlich, wenn:

  • die Bereitstellung solcher Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Die Messlatte für diese Ausnahme ist jedoch sehr hoch, was bedeutet, dass ein Verantwortlicher dieses Kriterium nur ausnahmsweise geltend machen kann;
  • die Erhebung oder Weitergabe von Daten ist ausdrücklich gesetzlich vorgesehen;
  • die personenbezogenen Daten müssen aufgrund einer gesetzlichen Verpflichtung zum Berufsgeheimnis vertraulich behandelt werden.

In der Praxis

  • In einigen EU-Ländern können die nationalen Rechtsvorschriften die Steuerbehörden verpflichten, bestimmte Informationen über Arbeitnehmer von den Arbeitgebern anzufordern. Die Steuerbehörden müssen den Arbeitnehmer in einem solchen Fall nicht informieren. Im Rahmen seiner Informationspflicht wird der Arbeitgeber dem Arbeitnehmer jedoch mitteilen, dass die Steuerbehörden einer der Empfänger der personenbezogenen Daten sind.

 

Wie sollten die Informationen an die betroffene Person weitergegeben werden?

Eine gute Möglichkeit, Informationen bereitzustellen, besteht darin, mit verschiedenen Informationsschichten zu arbeiten. Dadurch wird vermieden, dass eine übermäßige Menge an Informationen auf einmal zur Verfügung gestellt wird, was der Transparenz schaden kann und die betroffene Person mit Informationen überhäuft. Die Anwendung eines geschichteten Ansatzes folgt sowohl der Anforderung der Prägnanz als auch der Anforderung, alle notwendigen Informationen bereitzustellen. Dies vereinfacht nicht nur die Aufgabe des Verantwortlichen, sondern ermöglicht es dem Betroffenen auch, die wesentlichen Informationen schnell und effizient zu erfassen. Die Darstellung der Informationen könnte wie folgt lauten:

  • Eine erste Ebene grundlegender Informationen
    • WAS? Die Organisation stellt eine Zusammenfassung der grundlegenden Informationen zur Verfügung, die die betroffene Person zur Bewertung der Auswirkungen und des Umfangs der Verarbeitung benötigt (d. h. Identität des für die Verarbeitung Verantwortlichen, Zwecke der Verarbeitung, Kategorien von Empfängern, Datenquelle, Rechte der betroffenen Person,...).
    • WIE? Zum Beispiel in einem Tabellenformat, an einer gut sichtbaren Stelle mit dem Titel „Grundlegende Datenschutzinformationen“ oder über Pop-ups, die Erläuterungen bei der Erhebung personenbezogener Daten liefern. Wenn die Verarbeitung auf einer Einwilligung beruht, ist es vorzuziehen, diese Informationen an dem Ort anzugeben, an dem die betroffene Person ihre Einwilligung erteilen muss (in der Nähe des Buttons „Zustimmung“).
  • Eine zweite Ebene mit zusätzlichen und detaillierteren Informationen
    • WAS? In diesem Teil werden die verbleibenden Informationen, die die Organisation gemäß Art. 13 und 14 DSGVO bereitstellen muss, verständlich und umfassend dargestellt.
    • WIE? Zusätzliche Informationen können auf verschiedene Weise bereitgestellt werden, z. B. durch Hyperlinks, die in den Basisinformationen enthalten sind, oder durch Herunterladen eines Dokuments. Die Bereitstellung dieser zusätzlichen Informationen sollte ein Gleichgewicht zwischen Prägnanz einerseits und Vollständigkeit und Genauigkeit andererseits bieten. Die Informationen sollten so strukturiert sein, dass sie leicht lesbar sind. Vergessen Sie nicht, die Informationen an die Zielgruppe anzupassen (z. B.: wenn Ihr Dienst auf Kinder abzielt, schreiben Sie die Informationen auf eine Weise, die sie verstehen können).
       

Recht auf Zugang

Durch die Ausübung ihres Auskunftsrechts können die betroffenen Personen die Rechtmäßigkeit jeder Verarbeitungstätigkeit, die sie betrifft, überprüfen.

Wenn sie von ihrem Recht auf Auskunft Gebrauch machen, sollten die betroffenen Personen eine Bestätigung des für die Verarbeitung Verantwortlichen erhalten, ob ihre personenbezogenen Daten verarbeitet werden oder nicht. Ist dies der Fall, haben die betroffenen Personen ein Recht auf Zugang zu ihren personenbezogenen Daten und den folgenden Informationen:

  • die Zwecke der Verarbeitung;
  • die betroffenen Kategorien personenbezogener Daten;
  • die Empfänger (oder Kategorien von Empfängern) der personenbezogenen Daten;
  • die Aufbewahrungsfrist für die personenbezogenen Daten oder die Kriterien für die Festlegung dieses Zeitraums;
  • den Hinweis auf das Recht auf Berichtigung oder Löschung personenbezogener Daten durch den Verantwortlichen oder auf Einschränkung der Verarbeitung personenbezogener Daten, die die betroffene Person betreffen, oder auf Widerspruch gegen diese Verarbeitung;
  • den Hinweis auf das Beschwerderecht bei einer Datenschutzbehörde;
  • die Quelle der Daten (wenn die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben werden);
  • den Hinweis auf eine automatisierte Entscheidungsfindung, einschließlich Profiling, aussagekräftige Informationen über die involvierte Logik sowie die Bedeutung und die geplanten Folgen einer solchen Verarbeitung für die betroffene Person;
  • bei der Übermittlung personenbezogener Daten außerhalb der Europäischen Union werden alle geeigneten Garantien getroffen (gemäß Art. 46 DSGVO betreffend die Datenübermittlung).
     

Darüber hinaus hat die Person das Recht, (kostenlos) eine Kopie der sie betreffenden personenbezogenen Daten zu erhalten, die Ihre Organisation verarbeitet. Wenn die Person um zusätzliche Kopien bittet, könnte Ihre Organisation beschließen, eine angemessene Gebühr zu erheben, die auf der Grundlage der Verwaltungskosten für die Herstellung von Kopien berechnet wird. Beachten Sie, dass in den meisten Fällen Personen nicht verpflichtet werden können, eine Gebühr für den Zugriff auf ihre persönlichen Daten zu zahlen.

Wenn ein Antrag elektronisch gestellt wird, sollte Ihre Organisation die erforderlichen Informationen in einem gängigen elektronischen Format bereitstellen, es sei denn, die einzelnen Anträge stellen etwas anderes ein.

Wichtig zu beachten

Bevor Sie eine Kopie der personenbezogenen Daten zur Verfügung stellen, müssen Sie überprüfen, dass dies die Rechte und Freiheiten anderer nicht beeinträchtigt (z. B. wenn Informationen über mehr als eine Person in derselben Datei verarbeitet werden oder Informationen über Geschäftsgeheimnisse und geistiges Eigentum).

Recht auf Berichtigung

Die betroffene Person hat das Recht, vom Verantwortlichen die Berichtigung unrichtiger Daten und die Vervollständigung unvollständiger Daten zu verlangen. Wenn Ihre Organisation die personenbezogenen Daten an Dritte weitergegeben hat, müssen Sie sie über die Berichtigung informieren, es sei denn, dies erweist sich als unmöglich oder erfordert unverhältnismäßige Mühen.

In der Praxis

  • Ein Kunde informiert Ihre Organisation, dass er in eine andere Stadt gezogen ist. Sie müssen die Adresse in Ihrer Kundendatenbank ändern.

Recht auf Löschung (Recht auf Vergessenwerden)

Eine betroffene Person kann verlangen, dass eine Organisation die sie betreffenden personenbezogenen Daten in folgenden Fällen löscht:

  • die personenbezogenen Daten sind für den Zweck, zu dem sie erhoben wurden, nicht mehr erforderlich;
  • die Organisation verarbeitet die personenbezogenen Daten unrechtmäßig;
  • die Organisation muss die personenbezogenen Daten aufgrund einer gesetzlichen Verpflichtung löschen;
  • die betroffene Person widerruft die Einwilligung und die Verarbeitung hat keine andere Rechtsgrundlage;
  • die betroffene Person hat das Recht auf Widerspruch erfolgreich ausgeübt;
  • minderjährige, die in die Nutzung eines Online-Dienstes eingewilligt haben, können jederzeit die Löschung dieser personenbezogenen Daten beantragen (unabhängig von ihrem aktuellen Alter).

Wenn die zu löschenden personenbezogenen Daten zuvor an andere Organisationen übermittelt wurden, müssen Sie diese Empfänger darüber informieren, dass die betroffene Person die Löschung beantragt hat, es sei denn, dies erweist sich als unmöglich oder erfordert unverhältnismäßige Anstrengungen.

Wenn Ihre Organisation verpflichtet ist, personenbezogene Daten, die sie veröffentlicht hat, zu löschen, muss sie alle angemessenen Schritte unternehmen, um andere Verantwortliche, die diese Daten verarbeiten, darüber zu informieren, dass die betroffene Person die Löschung von Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen dieser personenbezogenen Daten beantragt hat.

Ihre Organisation kann die Löschung personenbezogener Daten nur in einer begrenzten Anzahl von Fällen verweigern, wie z. B.:

  • die Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit;
  • die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
  • die Erfüllung einer rechtlichen Verpflichtung, der die Organisation unterliegt, oder die Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die der Organisation übertragen wurde;
  • gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;
  • archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke (unter bestimmten Bedingungen).

In der Praxis

  • Ein Mitarbeiter aus Ihrer Organisation wurde entlassen. Der Mitarbeiter fordert, dass seine personenbezogenen Daten aus seiner Personalakte gelöscht werden. Das Arbeitsrecht verlangt jedoch, dass Sie mehrere Personalverwaltungs-Dokumente (Register der Mitarbeiter, Kopien der Gehaltsabrechnungen usw.) für einen bestimmten Zeitraum aufbewahren. Für diese Dokumente müssen Sie den Antrag auf Löschung der Daten ablehnen.
  • Ein ehemaliger Kunde möchte keine Marketing-E-Mails mehr von Ihrem Unternehmen erhalten und fordert Sie auf, seine Kontaktdaten zu löschen. Da es keine zwingenden Gründe für die weitere Verarbeitung der Kontaktdaten gibt, müssen Sie diese löschen.

Recht auf Einschränkung der Verarbeitung

Unter bestimmten Umständen können die betroffenen Personen eine Einschränkung der Verarbeitung ihrer Daten verlangen. Infolgedessen kann Ihr Unternehmen die personenbezogenen Daten weiterhin aufbewahren, muss jedoch alle anderen Verarbeitungstätigkeiten einstellen.

Die betroffene Person hat das Recht, die Einschränkung der Datenverarbeitung zu verlangen, wenn:

  • die betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet;
  • die Verarbeitung rechtswidrig ist: anstatt die Daten zu löschen, kann die betroffene Person stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
  • die Organisation die personenbezogenen Daten nicht mehr benötigt, aber die Daten weiterhin erforderlich sind, damit die betroffene Person einen Rechtsanspruch geltend machen kann;
  • die betroffene Person das Recht auf Widerspruch geltend gemacht hat. Die Beschränkung gilt für den Zeitraum, der erforderlich ist, um zu überprüfen, ob die von der Organisation verfolgten berechtigten Gründe Vorrang vor denen der betroffenen Person haben.

Übt die betroffene Person ihr Recht auf Einschränkung der Verarbeitung erfolgreich aus, kann Ihre Organisation die Daten nur unter bestimmten Umständen, beispielsweise mit Einwilligung der betroffenen Person oder zur Verteidigung von Rechtsansprüchen verwenden. Haben Sie zuvor die „beschränkten“ Daten an andere Empfänger weitergegeben? Sie müssen diese Empfänger dann über die Einschränkung der Verarbeitung informieren, es sei denn, dies erweist sich als unmöglich oder erfordert unverhältnismäßige Anstrengungen.

Bevor Sie die Einschränkung aufheben, stellen Sie sicher, dass Sie die betroffene Person über Ihre Absicht informieren.

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit ermöglicht es betroffenen Personen, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Auf diese Weise können sie die Daten einfach wiederverwenden und, wenn sie dies wünschen, ihre Daten an einen anderen Datenverantwortlichen übermitteln. Das Recht auf Datenübertragbarkeit kann nur ausgeübt werden, wenn diese drei Voraussetzungen gleichzeitig erfüllt sind:

  • die Verarbeitung basiert auf einer Einwilligung oder einem Vertrag;
  • die Verarbeitung erfolgt automatisiert (d. h. keine Papierdokumente);
  • und die betroffenen Personen haben die Daten selbst zur Verfügung gestellt. Dazu gehören auch alle Daten, die Ihr Unternehmen anhand des Verhaltens der betroffenen Person (z. B. mit angeschlossenem Zubehör) beobachtet hat.

Daher betrifft dieses Recht keine Daten, die die Organisation selbst auf der Grundlage der oben genannten Daten erstellt.

Konkret haben die betroffenen Personen das Recht:

  • ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Das Format muss es der betroffenen Person ermöglichen, die personenbezogenen Daten für einen anderen Dienst wiederzuverwenden.
    Beispiel: XML, JSON und CSV sind gängige Formate, die dieses Kriterium erfüllen. Metadaten müssen ebenfalls bereitgestellt werden, damit die Daten auf einer anderen Plattform verwendet werden können. Ein PDF-Format reicht nicht aus;
  • ihre personenbezogenen Daten direkt an einen anderen Verantwortlichen übermitteln zu lassen. Ihre Organisation sollte dies nur tun, wenn eine solche direkte Übertragung technisch möglich ist.

In der Praxis

  • Ihre Organisation bietet Online-Musik-Streaming-Dienste an. Ihre Kunden können die Übertragung ihrer Songlisten auf einen anderen Musik-Streaming-Dienst beantragen.
  • Sie sind ein KMU, das einen Webmail-Service anbietet. Wenn Ihr Kunde, der ein E-Mail-Konto für rein persönliche oder private Bedürfnisse hat, es verlangt, müssen Sie seine Adressliste und seine E-Mails an einen anderen Webmail-Dienst übermitteln, sofern dies technisch machbar ist. Ist dies nicht möglich, müssen Sie dem Kunden die Adressliste und E-Mails in einem wiederverwendbaren digitalen Format zur Verfügung stellen.

Widerspruchsrecht

Betroffene Personen können der Verarbeitung sie betreffender personenbezogener Daten „aus Gründen, die sich aus ihrer besonderen Situation ergeben“, widersprechen. Das Widerspruchsrecht kann nur ausgeübt werden, wenn die Verarbeitung auf einer der folgenden Rechtsgrundlagen beruht:

  • das berechtigte Interesse der Organisation oder eines Dritten; oder
  • die Erfüllung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt ausgeübt wird.

In anderen Fällen kann die betroffene Person das Recht auf Widerspruch nicht nutzen, da es für die anderen Rechtsgrundlagen Alternativen gibt, um denselben Zweck zu erreichen: im Falle einer Einwilligung kann die betroffene Person die Einwilligung einfach widerrufen. Die betroffene Person kann einer gesetzlich vorgeschriebenen Verarbeitung nicht widersprechen.

Wenn betroffene Personen ihr Widerspruchsrecht ausüben, muss Ihre Organisation die Interessen beider Parteien abwägen. Sie müssen die Verarbeitung dieser personenbezogenen Daten beenden, es sei denn, sie können zwingende schutzwürdige Gründe nachweisen, die den Rechten und Freiheiten der betroffenen Person überwiegen (z. B. wenn Sie ein Gerichtsverfahren führen). Ihre Organisation muss diese Gründe dokumentieren und der betroffenen Person mitteilen.

Wichtig zu beachten

Bei der Verarbeitung der Daten zu Marketingzwecken hat die betroffene Person das Recht, ohne Angabe von Gründen Widerspruch gegen diese Verarbeitung einzulegen. In diesem Fall sind die Gründe, warum Ihre Organisation diese Daten verarbeitet, nicht relevant, stattdessen muss der Widerspruch zum sofortigen Ende der Verarbeitung für diesen Zweck führen.

In der Praxis

  • Sie führen ein kleines Event-Marketing-Unternehmen. Wenn eine Person ein Ticket für ein Konzert einer Band online kauft, erhält sie Werbung für andere ähnliche Konzerte. Wenn die Person keine Anzeigen und Objekte mehr erhalten will, muss die Organisation das Direktmarketing stoppen.
  • Sie führen ein KMU, das in der Versicherungsbranche tätig ist. In dieser Branche sind personenbezogene Daten in bestimmten Situationen erforderlich, um Geldwäschepraktiken zu bekämpfen. Sie können sich als Versicherungsmakler weigern, ein Widerspruchsrecht umzusetzen, weil Ihre nationalen Gesetze zur Geldwäschebekämpfung Sie zur Verarbeitung der Daten verpflichten.

Das Recht einer Entscheidung zu unterliegen, die nicht ausschließlich auf einer automatisierten Verarbeitung beruht

Eine Person hat das Recht, nicht ausschließlich einer vollautomatischen Entscheidung (d. h. ohne menschliches Eingreifen in den Entscheidungsprozess) unterworfen zu werden, die Rechtswirkungen oder erhebliche Auswirkungen auf die betreffende Person hat.

Automatisierte Entscheidungen gehen häufig Hand in Hand mit Profiling, das in der DSGVO definiert wird als „jede Form der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, insbesondere um Aspekte der Leistung dieser natürlichen Person bei der Arbeit, der wirtschaftlichen Situation, der Gesundheit, der persönlichen Präferenzen, der Interessen, der Zuverlässigkeit, des Verhaltens, des Standorts oder der Bewegungen dieser natürlichen Person zu analysieren oder vorherzusagen“ (Art. 4 Abs. 4 DSGVO).

Damit dieses Recht auf Anwendung besteht, muss die automatisierte Verarbeitung Folgendes beinhalten:

  • eine Entscheidung, die ausschließlich auf einer automatisierten Verarbeitung ohne menschliches Eingreifen beruht. Dies bedeutet, dass keine natürliche Person eine wesentliche Kontrolle über die Entscheidung hat und die Entscheidung beispielsweise nicht ändern oder rückgängig machen kann;
  • eine Entscheidung, die Rechtswirkungen für die betroffenen Personen hat oder die sie erheblich beeinträchtigt.

In der Praxis

  • Ein Beispiel für Rechtswirkungen könnte die automatische Kündigung eines Telefonie-Vertrags sein, da der Kunde die monatliche Rechnung nicht bezahlt hat.
  • Eine Entscheidung, die die Person erheblich beeinflusst, konnte in den folgenden Beispielen gefunden werden (obwohl bei der Beurteilung, ob die Auswirkungen auf die betroffene Person erheblich sind, immer der Kontext berücksichtigt werden muss):
    • entscheidungen, die sich auf die finanziellen Umstände der Menschen auswirken, wie z. B. ihre Berechtigung zum Abheben von Krediten;
    • automatische Ablehnung von Antragstellern, die sich über eine Online-Plattform bewerben;
    • preisdifferenzierung auf der Grundlage des Browserverlaufs und der Kaufgewohnheiten eines Verbrauchers;
    • entscheidungen, die den Zugang einer Person zu Bildung beeinflussen, zum Beispiel Hochschulzulassungen.

Es gibt drei Situationen, in denen dennoch eine automatisierte individuelle Entscheidung getroffen werden kann:

  • wenn dies gesetzlich zulässig ist (z. B. Betrugsprävention oder Steuerhinterziehung);
  • wenn die Entscheidung auf der ausdrücklichen Einwilligung der betroffenen Person beruht; oder
  • wenn es für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist. Beachten Sie jedoch, dass es in dieser letzten Situation immer von einer Einzelfallbeurteilung abhängt. Sobald weniger datenschutz-invasive Methoden bestehen, um den Vertrag abzuschließen oder auszuführen, gilt die automatisierte Entscheidung nicht mehr als „notwendig“.

Handelt es sich um sensible Daten, ist die automatisierte Entscheidungsfindung nur auf der Grundlage einer ausdrücklichen Einwilligung oder eines wesentlichen öffentlichen Interesses nach Unionsrecht oder nationalem Recht möglich.

Rechte der betroffenen Person für jede Rechtsgrundlage

table: data subject rights for each legal basis