Teil 4/7: Betroffenenrechte & weitere Pflichten der Verantwortlichen

Mit der DSGVO sollen die Rechte der Betroffenen gestärkt werden. Hier wird beispielhaft das Recht auf Vergessen werden genannt. Dieses Recht wurde durch die DSGVO eingeführt und umfasst den Anspruch auf Löschung der personenbezogenen Daten des Betroffenen sowie auch von eventuellen Querverweisen. Das setzt allerding voraus, dass die Daten für die Zwecke, für die eingesetzt worden sind nicht mehr notwendig; der Betroffene widerruft seine Einwilligung; der Betroffene legt Widerspruch gegen die Verarbeitung ein; die Daten wurden zu Unrecht verarbeitet; die Löschung der Daten unterliegt einer rechtlichen Verpflichtung oder es handelt sich um Daten von einer Person, die noch nicht volljährig ist.

Ebenfalls neu ist die Datenportabilität. So soll es bspw. möglich sein, seine Daten von einer Plattform in eine andere einzuspielen. Dies kommt vor, wenn Betroffene z.B. den Anbieter für Telekommunikation wechseln möchten.

Beim Auskunftsrecht kann der Betroffene von dem Verantwortlichen erfahren, ob von ihm personenbezogene Daten verarbeitet werden. Wenn das der Fall ist hat der Betroffene das Recht Auskunft über seine Daten, die Verarbeitungszwecke, die erfassten Datenkategorien, die möglichen Empfänger und die geplante Dauer der Speicherung der Daten. Des Weiteren hat er das Recht auf Berichtigung oder Löschung der Daten oder das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht gegen die Verarbeitung. Es besteht außerdem das Recht einer Beschwerde bei einer Aufsichtsbehörde und alle Informationen über die Herkunft der Daten, wenn diese nicht beim Betroffenen selbst erhoben worden sind.

Die Betroffenen haben also eine Vielzahl an Rechten gegenüber datenverarbeitenden Unternehmen, die sie im Zweifel auch mit Hilfe der Aufsichtsbehörden oder Gerichten durchsetzen können. Die Rechte sind aber nicht grenzenlos. So können Rechte auf Auskunft, Widerspruch, Löschung, Vergessen werden, Datenübertragbarkeit, usw. unter bestimmten Voraussetzungen auch eingeschränkt werden. bei den Einschränkungen geht es um folgende Maßnahmen:

  • Die nationale Sicherheit
  • Die Landesverteidigung
  • Die öffentliche Sicherheit
  • Öffentliches Interesse
  • Wirtschaftliches und finanzielles Interesse
  • Unabhängigkeit der Justiz
  • Ausübung öffentlicher Gewalt
  • Zivilrechtliche Ansprüche
  • Schutz des Betroffenen
  • Rechte und Freiheiten andere Personen

Neben den Rechten der Betroffenen sind verschiedene Pflichten der für die Daten verantwortlichen Stellen ebenfalls in der DSGVO geregelt. Das sind Durchführungen von externen Audits, Bereitstellungen von Regelungen im Hinblick auf Datenschutz und IT-Sicherheit, Implementierung von Prozessen zur Sicherstellung der Compliance nach DSGVO, Dokumentation von Datenverarbeitungsprozessen, Risikoanalyse im Bezug auf die Folgen der Datenverarbeitung, Bereitstellung von geeigneten technischen und organisatorischen Maßnahmen, Durchführung von Datenschutzfolgenabschätzungen, Bereitstellung von Informationen (bspw. auf der Unternehmenswebseite), die Bestellung eines Datenschutzbeauftragten, Privacy by design sowie privacy by default.

Bei den letztgenannten Pflichten geht es um die datenschutzfreundliche Technikgestaltung sowie die datenschutzfreundliche Voreinstellung. So muss die verantwortliche Stelle sowohl zum Planungszeitpunkt, als auch bei der eigentlichen Verarbeitung geeignete ToM treffen, um die Datenschutzgrundsätze wirksam umzusetzen und die Rechte der betroffenen Personen zu schützen. Dabei spielen neben dem Stand der Technik, auch die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung eine Rolle. Mit Privacy by design ist die Pflicht zur Berücksichtigung von möglichst datenschutzfreundlichen Techniken schon bei der Entwicklung von neuen Produkten gemeint. Außerdem muss der Verantwortliche geeignete ToM treffen, die durch Voreinstellung sicherstellen, dass grundsätzlich nur die für den konkreten Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden. Privacy by default bedeutet für die Praxis, dass immer die datenschutzfreundlichsten Voreinstellungen vorzunehmen sind. Wenn Nutzer also nicht aktiv etwas ändern, dürfen Ihnen keine Nachteile dadurch entstehen.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.