Welche Rechte haben betroffene Personen unter der DSGVO?

Welche Rechte haben betroffene Personen unter der DSGVO?    

Die DSGVO ist seit dem 25. Mai 2018 in Kraft und ist derzeit eines der wichtigsten Themen für alle Online-Händler. Doch, obwohl diese sehr stark im Fokus der Verordnung liegen, dienen die Neuerungen in erster Linie dem Datenschutz des Verbrauchers im digitalen Verkehr. Dafür räumt die DSGVO, wie auch in Teilen schon das BDSG, „betroffenen Personen“ gewisse Rechte ein. 

Wer sind die betroffenen Personen?

Dies ist jede Person, von der personenbezogene Daten im Online-Handel gesammelt und verarbeitet werden – sei es beim Aufrufen Ihres Shops, beim Kauf oder bei der Anfrage über das Kontaktformular.

Wer ist Verantwortlicher?

Als Verantwortlicher gilt nach der Verordnung (Art. 4 Nr. 7 DSGVO) die Person (natürlich oder juristisch) oder Stelle, „die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Dies bedeutet, dass die entsprechenden Verpflichtungen für alle gelten, die befugt sind, personenbezogene Daten über ihren Online-Shop zu erheben und zu verarbeiten. Er ist auch Ansprechpartner, wenn der Betroffene seine Rechte geltend machen möchte.

Welche Rechte haben betroffene Personen unter der DSGVO?

Die Rechte der Betroffenen und die entsprechenden Pflichten der Verantwortlichen richten sich nach Kapitel 3 der DSGVO. Dies sind: 

• Recht auf Information
• Recht auf Berichtigung
• Recht auf Löschung
• Recht auf Einschränkung der Datenverarbeitung
• Recht auf Widerspruch gegen die Datenverarbeitung
• Recht auf Datenübertragbarkeit

Der Betroffene darf also erfahren, ob und welche personenbezogenen Daten von ihm verarbeitet werden, und entscheiden, ob, inwieweit und von wem sie verarbeitet werden.

Auskunftsrecht

Nach Art. 15 DSGVO kann die betroffene Person die Bestätigung verlangen, dass die sie betreffenden personenbezogenen Daten verarbeitet werden. In diesem Fall muss er sowohl über die erhobenen personenbezogenen Daten als auch über diese Informationen informiert werden:

• Verarbeitungszweck;
• Kategorien der verarbeiteten Daten;
• (beabsichtigte) Empfänger der Daten;
• geplante Speicherdauer oder die Kriterien, wie diese festgelegt wird;
• Bestehen eines Rechts auf Berichtigung/Löschung der Daten sowie auf Einschränkung/Widerspruch der Verarbeitung;
• Herkunft der Daten, wenn sie nicht bei dem Betroffenen erhoben wurden;
• Bestehen eines automatisierten Entscheidungsverfahrens (inkl. Profiling) sowie dessen Logik und Zweck.
• Geeignete Garantien (z. B. Zertifizierungen), wenn Daten an Drittland oder internationale Organisation übermittelt werden.

Berichtigungs- und Löschungsrecht

Die betroffene Person kann verlangen, dass unwahre Daten über sie entsprechend korrigiert oder ergänzt werden (Art. 16 DSGVO). Er kann auch jederzeit die Löschung seiner Daten beantragen (Art. 17 Abs. 1 DSGVO). Löschen bedeutet, dass die Daten tatsächlich zerstört werden müssen. Hierfür muss einer der folgenden Gründe vorliegen:

• Daten sind für den Verarbeitungszweck nicht mehr notwendig;
• Widerruf einer erteilten Einwilligung des Betroffenen in die Datenverarbeitung (wenn eine anderweitige Rechtsgrundlage für die Verarbeitung fehlt);
• Widerspruch des Betroffenen gegen die Verarbeitung (s.u.) und Fehlen eines vorrangigen berechtigten Grundes dafür;
• unrechtmäßige Datenverarbeitung;
• sonstige Löschungspflicht nach nationalem oder Unionsrecht.

Darüber hinaus ist das Recht auf Vergessen gesetzlich verankert, was insbesondere für veröffentlichte Informationen relevant ist. Falls Sie personenbezogene Daten öffentlich gemacht haben, müssen Sie das für Sie technologisch und kostentechnisch mögliche, angemessene und zumutbare unternehmen, um andere Verarbeitende von einem Einschränkungs-, Löschungs- oder Berichtigungsantrag des Betroffenen zu informieren.

Einschränkungsrecht

Die betroffene Person hat das Recht, die Verarbeitung ihrer Daten einzuschränken (Art. 18 DSGVO). Dieses Recht ist auch dann von Interesse, wenn eine Löschung unmöglich oder unverhältnismäßig ist. Wenn er die Einschränkung beantragt, dürfen diese Daten (mit Ausnahme der Speicherung selbst) nur mit seiner Zustimmung zur Durchsetzung von Rechtsansprüchen oder zum Rechtsschutz gespeichert werden oder wenn ein wichtiges öffentliches Interesse der EU oder eines Mitgliedstaats besteht.

Die Einschränkung kann allerdings nur unter einer der im Art. 18 Abs. 1 DSGVO genannten Voraussetzungen verlangt werden, also:

• wenn der Betroffene die Richtigkeit seiner Daten für eine Dauer bestreitet, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
• bei einer unrechtmäßigen Datenverarbeitung, wenn der Betroffene die Einschränkung statt der Löschung verlangt;
• der Verantwortliche die Daten für seine Zwecke nicht mehr benötigt, aber der Betroffene sie für die Durchsetzung eines Anspruches benötigt, oder
• bei Widerspruch des Betroffenen gegen die Verarbeitung durch den Verantwortlichen nach Art. 21 Abs. 1 DSGVO, solange noch nicht feststeht, wessen Interessen im konkreten Fall schutzwürdiger sind.

Widerspruchsrecht

Die betroffene Person kann dem gemäß Absatz 2 widersprechen. Dazu gehört auch die Datenverarbeitung für Direktwerbung oder die damit verbundene Profilerstellung – eine direkte Umsetzung ist hier unabdingbar. Schließlich hat die betroffene Person nach Artikel 21 Absatz 1 DSGVO das Recht, der Datenverarbeitung jederzeit zu widersprechen, um eine Aufgabe des öffentlichen Dienstes zu erfüllen oder die eigenen Interessen des für die Verarbeitung Verantwortlichen zu wahren. Dies gilt nach Absatz 6 auch für den Fall, dass die Verarbeitung zu historischen, wissenschaftlichen oder statistischen Zwecken erfolgt (Art. 89 Abs. 1), es sei denn, dies ist zur Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich. In diesen Fällen ist eine weitere Verarbeitung nur zulässig, wenn Sie behaupten können, dass ohne diese Verarbeitung erhebliche und irreversible Nachteile auftreten (z. B. Inkassoverfahren).

Recht auf Datenübertragbarkeit

Art. 20 DSGVO räumt dem Betroffenen darüber hinaus das Recht ein, alle personenbezogenen Daten strukturiert und maschinenlesbar formatiert zu erhalten, oder diese direkt einem anderen Verantwortlichen zu übertragen, sofern die Verarbeitung aufgrund einer Einwilligung, eines Vertrages oder mithilfe automatisierter Verfahren erfolgt. Der Betroffene kann auch die direkte Übermittlung der Daten an den anderen Verantwortlichen erwirken, es sei denn die Verarbeitung durch den ersten Verantwortlichen hängt mit der Erfüllung einer ihm übertragenen Aufgabe im öffentlichen Interesse zusammen oder der Aufwand übersteigt die Interessen und Möglichkeiten des Unternehmers.