Welche Rechte haben betroffene Personen unter der DSGVO?
Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.
Wir erläutern die rechtliche Definition aus der Praxis und der Rechtsprechung.
Die DSGVO ist seit dem 25. Mai 2018 in Kraft und ist derzeit eines der wichtigsten Themen für alle Online-Händler. Doch, obwohl diese sehr stark im Fokus der Verordnung liegen, dienen die Neuerungen in erster Linie dem Datenschutz des Verbrauchers im digitalen Verkehr. Dafür räumt die DSGVO, wie auch in Teilen schon das BDSG, „betroffenen Personen“ gewisse Rechte ein.
Dies ist jede Person, von der personenbezogene Daten im Online-Handel gesammelt und verarbeitet werden – sei es beim Aufrufen Ihres Shops, beim Kauf oder bei der Anfrage über das Kontaktformular.
Als Verantwortlicher gilt nach der Verordnung (Art. 4 Nr. 7 DSGVO) die Person (natürlich oder juristisch) oder Stelle, „die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Dies bedeutet, dass die entsprechenden Verpflichtungen für alle gelten, die befugt sind, personenbezogene Daten über ihren Online-Shop zu erheben und zu verarbeiten. Er ist auch Ansprechpartner, wenn der Betroffene seine Rechte geltend machen möchte.
Die Rechte der Betroffenen und die entsprechenden Pflichten der Verantwortlichen richten sich nach Kapitel 3 der DSGVO. Dies sind:
Der Betroffene darf also erfahren, ob und welche personenbezogenen Daten von ihm verarbeitet werden, und entscheiden, ob, inwieweit und von wem sie verarbeitet werden.
Nach Art. 15 DSGVO kann die betroffene Person die Bestätigung verlangen, dass die sie betreffenden personenbezogenen Daten verarbeitet werden. In diesem Fall muss er sowohl über die erhobenen personenbezogenen Daten als auch über diese Informationen informiert werden:
Die betroffene Person kann verlangen, dass unwahre Daten über sie entsprechend korrigiert oder ergänzt werden (Art. 16 DSGVO). Er kann auch jederzeit die Löschung seiner Daten beantragen (Art. 17 Abs. 1 DSGVO). Löschen bedeutet, dass die Daten tatsächlich zerstört werden müssen. Hierfür muss einer der folgenden Gründe vorliegen:
Darüber hinaus ist das Recht auf Vergessen gesetzlich verankert, was insbesondere für veröffentlichte Informationen relevant ist. Falls Sie personenbezogene Daten öffentlich gemacht haben, müssen Sie das für Sie technologisch und kostentechnisch mögliche, angemessene und zumutbare unternehmen, um andere Verarbeitende von einem Einschränkungs-, Löschungs- oder Berichtigungsantrag des Betroffenen zu informieren.
Die betroffene Person hat das Recht, die Verarbeitung ihrer Daten einzuschränken (Art. 18 DSGVO). Dieses Recht ist auch dann von Interesse, wenn eine Löschung unmöglich oder unverhältnismäßig ist. Wenn er die Einschränkung beantragt, dürfen diese Daten (mit Ausnahme der Speicherung selbst) nur mit seiner Zustimmung zur Durchsetzung von Rechtsansprüchen oder zum Rechtsschutz gespeichert werden oder wenn ein wichtiges öffentliches Interesse der EU oder eines Mitgliedstaats besteht.
Die Einschränkung kann allerdings nur unter einer der im Art. 18 Abs. 1 DSGVO genannten Voraussetzungen verlangt werden, also:
Die betroffene Person kann dem gemäß Absatz 2 widersprechen. Dazu gehört auch die Datenverarbeitung für Direktwerbung oder die damit verbundene Profilerstellung – eine direkte Umsetzung ist hier unabdingbar. Schließlich hat die betroffene Person nach Artikel 21 Absatz 1 DSGVO das Recht, der Datenverarbeitung jederzeit zu widersprechen, um eine Aufgabe des öffentlichen Dienstes zu erfüllen oder die eigenen Interessen des für die Verarbeitung Verantwortlichen zu wahren. Dies gilt nach Absatz 6 auch für den Fall, dass die Verarbeitung zu historischen, wissenschaftlichen oder statistischen Zwecken erfolgt (Art. 89 Abs. 1), es sei denn, dies ist zur Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich. In diesen Fällen ist eine weitere Verarbeitung nur zulässig, wenn Sie behaupten können, dass ohne diese Verarbeitung erhebliche und irreversible Nachteile auftreten (z. B. Inkassoverfahren).
Art. 20 DSGVO räumt dem Betroffenen darüber hinaus das Recht ein, alle personenbezogenen Daten strukturiert und maschinenlesbar formatiert zu erhalten, oder diese direkt einem anderen Verantwortlichen zu übertragen, sofern die Verarbeitung aufgrund einer Einwilligung, eines Vertrages oder mithilfe automatisierter Verfahren erfolgt. Der Betroffene kann auch die direkte Übermittlung der Daten an den anderen Verantwortlichen erwirken, es sei denn die Verarbeitung durch den ersten Verantwortlichen hängt mit der Erfüllung einer ihm übertragenen Aufgabe im öffentlichen Interesse zusammen oder der Aufwand übersteigt die Interessen und Möglichkeiten des Unternehmers.
1 Kommentar. Hinterlasse eine Antwort
[…] sollten, die direkt auf E-Mails angewendet werden sollte. Dazu gehört die Beurteilung, wie lange personenbezogene Daten aufbewahrt werden, warum sie verwendet werden und wie sie entsorgt werden […]