Datenschutzbeauftragter und Sachverständiger für Datenschutz

Datenschutz betrifft alle: In erster Linie dienen die verschiedenen Vorschriften wie zum Beispiel die Datenschutzgrundverordnung jedoch Verbrauchern und dem Schutz ihrer Daten im analogen und digitalen Miteinander. Die DSGVO sollte auch auf europäischer Ebene dafür sorgen, die Verbraucher- und Betroffenenrechte zu stärken und Unternehmen sowie Webseitenbetreiber stärker in die Pflicht zu nehmen.

Welche Pflichten sind für Unternehmen einschlägig?

Nicht erst seit der Datenschutzgrundverordnung treffen Unternehmen zahlreiche Dokumentations- und Nachweispflichten. Die DSGVO hat diese Pflichten noch verstärkt und verlangt von Unternehmen, dass sie lückenlos nachweisen können, DSGVO-konform gehandelt zu haben. Das betrifft sowohl einzelne Vorgänge als auch regelmäßig wiederkehrende Prozesse und firmeninterne Abläufe.

Ebenfalls modifiziert wurden durch die DSGVO die Auskunfts- und Informationspflichten von Unternehmen: Sie sind nun dazu angehalten, Betroffene und Verbraucher über den Umfang und den Zweck einer Datenverarbeitung zu informieren. Das gilt auch bei Verstößen gegen datenschutzrechtliche Bestimmungen: Unternehmen sind durch die DSGVO angehalten, diese bei der zuständigen Behörde zu melden.

Eine weitere Neuerung betrifft die Bestellung eines Datenschutzbeauftragten: Unter bestimmten Voraussetzungen sind Unternehmen durch die Datenschutzgrundverordnung nun verpflichtet, einen Datenschutzbeauftragten zu bestellen – dieser kann entweder aus den eigenen Reihen stammen oder als externer Profi das Unternehmen in allen datenschutzrechtlichen Fragestellungen unterstützen.

Der Datenschutzbeauftragte nimmt dabei nicht erst seit der DSGVO eine wichtige Position ein: Er hilft sowohl bei der Umsetzung der einzelnen Vorschriften als auch bei der Überwachung und Kontrolle der gesetzlichen Vorgaben. 

Was haben Verbraucher davon?

Für Verbraucher ändert sich durch die Datenschutzgrundverordnung auf den ersten Blick nicht viel – interessant wird es erst bei einem Blick „hinter die Kulissen“. Die Tatsache, dass die europäische Datenschutzgrundverordnung gerade auch auf die Rechte der Verbraucher abzielt, ist angesichts der zahlreichen Datenskandale der letzten Jahre und Monate von übergeordneter Bedeutung. Verbraucher beklagten zunehmend eine Unsicherheit bezüglich der eigenen Daten – das soll mit der DSGVO nun endgültig der Vergangenheit angehören. Wichtig sind für Verbraucher insbesondere die folgenden Rechte:

  • Recht auf Information
    Werden Daten von einer Person erhoben, dann muss der oder die Betroffene sofort und vollumfänglich darüber informiert werden – und nicht erst auf Nachfrage. Unternehmen sind somit verpflichtet, transparent zu agieren und Verbraucher hierüber nicht außen vor zu lassen.
  • Recht auf Auskunft
    Auf Nachfrage müssen Unternehmen in der Lage sein, vollständig Auskunft über die erhobenen Daten zu geben.
  • Recht auf Löschung
    Werden personenbezogene Daten erhoben, dann steht den Betroffenen das Recht auf Löschung zu – das bedeutet, dass Unternehmen die erhobenen Daten auf Verlangen ohne Verzögerung und vollständig löschen müssen.

 Im Folgenden gehe ich auf die Verbraucherrechte nun detailliert ein:

Recht auf Auskunft und auf eine Kopie der Daten

Auf Nachfrage müssen Unternehmen in der Lage sein, vollständig Auskunft über die erhobenen Daten zu geben: Die Datenschutzgrundverordnung stärkt Verbraucher in ihren Rechten, indem das sogenannte Auskunftsrecht durch Art. 15 DSGVO eine zentrale Rolle erhält. Das Auskunftsrecht gilt daher zu Recht als das elementarste Recht, das Verbraucher durch die Datenschutzgrundverordnung erhalten. Zwar war bereits durch § 34 Bundesdatenschutzgesetz ein Auskunftsrecht normiert worden: Mit der DSGVO haben hier jedoch die Anforderungen zum Teil grundlegende Änderungen erfahren.

Was beinhaltet das Auskunftsrecht nach Art. 15 DSGVO?

Das Auskunftsrecht nach Art. 15 DSGVO beinhaltet das Recht der Betroffenen, Auskunft über die gesammelten personenbezogenen Daten und deren Verarbeitung zu erhalten. Damit lassen sich aus Art. 15 DSGVO zwei verschiedene Ansprüche ableiten:

  1. Auskunft darüber, ob überhaupt personenbezogene Daten erhoben wurden.
  2. Auskunft darüber, welche personenbezogenen Daten erhoben wurden und wie diese Daten verarbeitet wurden.

Damit sind dem Betroffenen auf Wunsch folgende Auskünfte zu erteilen:

  • Verarbeitungszweck
  • Kategorien der personenbezogenen Daten, die verarbeitet werden bzw. wurden
  • Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
  • Speicherdauer für die personenbezogenen Daten (oder ggf. die Kriterien für die Festlegung dieser Dauer)
  • Recht auf Berichtigung oder Löschung der gesammelten personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen bzw. Widerspruchsrecht gegen die Verarbeitung
  • Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden
  • Beschwerderecht bei einer Aufsichtsbehörde.

Wichtig zu wissen: Wenn Verbraucher von ihrem Auskunftsrecht Gebrauch machen, dann ist dieser Forderung unverzüglich nachzukommen. Art. 12 III DSGVO sieht hierzu vor, dass die angeforderten Informationen innerhalb eines Monats nach Eingang des Antrags zur Verfügung stehen müssen. Nur in Ausnahmefällen ist eine Fristverlängerung möglich – Unternehmer sind also gut beraten, wenn sie sich um derartige Anfragen zeitnah kümmern.

Dürfen Verbraucher eine Kopie der Daten verlangen?

Die Auskunft über die personenbezogenen Daten und deren Verarbeitung kann in elektronischer Form (zum Beispiel im PDF-Format), aber auch in schriftlicher Form erfolgen. Wichtig ist dabei aber, dass die Auskunft in präziser und verständlicher Art und Weise erfolgen muss – sie muss auch für einen Laien zu verstehen sein und keine speziellen Fachkenntnisse voraussetzen. Verlangt der Betroffene eine Kopie der personenbezogenen Daten, dann müssen die Daten so herausgegeben werden, wie sie faktisch auch vorliegen: Angaben, die sich auf andere Betroffene beziehen, können und sollten dabei unkenntlich gemacht werden. Die zur Verfügung gestellten Informationen sind gem. Art. 12 V DSGVO unentgeltlich. Für Unternehmen empfiehlt sich die Hinzuziehung eines Datenschutzbeauftragten, um Anfragen und Auskünfte rechtssicher beantworten zu können. Ebenfalls empfiehlt es sich, organisatorische Maßnahmen zu treffen, um Anfragen auch vollständig beantworten zu können. Ein externer Datenschutzbeauftragter kann hier wertvolle Hilfestellung leisten und sowohl die Auskunftserteilung als auch die Negativauskunft (für den Fall, dass überhaupt keine Daten vorliegen) übernehmen und leiten.

 

Recht auf Löschung / Recht auf Vergessenwerden

Parallel zum Auskunftsrecht gem. Art. 15 DSGVO hat der europäische Gesetzgeber mit Art. 17 DSGVO auch das Recht auf Löschung in die Datenschutzgrundverordnung aufgenommen. Das Recht auf Löschung ist keine neue Erfindung und Datenschützern schon durch einschlägige Gerichtsurteile zum Thema bekannt – durch die Datenschutzgrundverordnung hat dieses Recht aber eine umfassende Überarbeitung erfahren.

Was beinhaltet das Recht auf Löschung?

Wenn in der Datenschutzgrundverordnung von Löschen die Rede ist, dann ist darunter zu verstehen, dass im Anschluss an den entsprechenden Vorgang ein Zugriff auf die personenbezogenen Daten faktisch nicht mehr möglich ist. Dies kann – in Abhängigkeit der Speicher- bzw. Datenmedien – ganz unterschiedlich aussehen: Ob durch physische Zerstörung oder durch den Einsatz von geeigneter Software ist dabei von untergeordneter Relevanz.

  • Wichtig zu wissen
    Es ist nicht ausreichend, einen Datenträger im Müll zu entsorgen. Hier hat sich in der Vergangenheit gezeigt, dass auch nach einer Entsorgung häufig noch ein Datenzugriff möglich war.

Wann ist das Recht auf Löschung einschlägig?

Auch Art. 17 DSGVO ist nur dann anwendbar, wenn die Voraussetzungen der Regelung vorliegen. Dazu zählen unter anderem:

  • Die erhobenen personenbezogenen Daten sind für den konkreten Zweck, für den sie erhoben wurden, nicht mehr notwendig.
  • Der Betroffene widerruft die Einwilligung zur Erhebung der personenbezogenen Daten.
  • Die Rechtsgrundlage für die Erhebung der personenbezogenen Daten fehlt.
  • Der Betroffene erhebt Widerspruch gegen die Verarbeitung und ein berechtigter vorrangiger Grund für die Verarbeitung liegt nicht vor.
  • Die erhobenen personenbezogenen Daten wurden unrechtmäßig verarbeitet.

Ähnlich wie beim Auskunftsrecht gem. Art. 15 DSGVO ist auch dem Anspruch auf Löschung unverzüglich nachzukommen.

 

Widerspruchsrecht

Als weiteres Betroffenenrecht sieht die DSGVO in Art. 21 ein Widerspruchsrecht vor. Danach kann jeder Betroffene aus Gründen, die sich aus seiner besonderen und individuellen Situation ergeben, der Verarbeitung seiner personenbezogenen Daten widersprechen. Hierbei müssen Betroffene einen plausiblen Grund angeben – im Internet sind dazu zahlreiche Musterschreiben bzw. Musterformulierungen erhältlich.

  • Wichtig zu wissen
    Das Widerspruchsrecht ist gerade dann einschlägig, wenn es sich um rechtmäßig erhobene Daten handelt – die Unrechtmäßigkeit der Datenerhebung ist somit keine Voraussetzung für das den Verbrauchern zustehende Recht. Für unrechtmäßig erhobene personenbezogene Daten steht Betroffenen aber der Weg über Art. 77 DSGVO offen: Dieser sieht insbesondere eine Beschwerde bei einer Aufsichtsbehörde vor.
    Betroffene, die von ihrem Widerspruchsrecht Gebrauch machen möchten, müssen dies im Wege eines aktiven Widerspruchs tun: Dadurch verlangt der Gesetzgeber, dass der Betroffene von sich aus den Verarbeiter kontaktiert und diesen auf seinen Widerruf hinweist. Damit dies auch möglich ist, sieht Art. 21 IV DSGVO vor, dass der Verantwortliche in der Pflicht ist, den Betroffenen auf sein Widerrufsrecht hinzuweisen.
  • Sonderfall: Direktwerbung
    Das Widerspruchsrecht besteht insbesondere in den Fällen der sogenannten Direktwerbung. Auch hier steht den Betroffenen in jedem Moment und ohne die Notwendigkeit einer Begründung ein umfassendes Widerspruchsrecht zu. Nehmen Betroffene dieses Recht in Anspruch, dann dürfen die zuvor erhobenen Daten nicht mehr weiterverwendet werden. Gleiches gilt auch für das Profiling, also der Profilbildung aufgrund verschiedener Kriterien.

 

Recht auf Berichtigung

Der große Vorteil der DSGVO ist die Fülle an Rechten, die die Verordnung für Verbraucher gesetzlich verankert. Während die unterschiedlichen nationalen Regelungen hier teilweise einen umfassenden Schutz vermissen ließen, zeichnet sich die DSGVO gerade dadurch aus, dass sie auf europäischer Ebene kaum noch Schlupflöcher offen lässt, durch die der unsachgemäße Umgang mit personenbezogenen Daten möglich wäre. Ein weiteres Betroffenenrecht, das sich direkt aus der Datenschutzgrundverordnung ableiten lässt, ist das Recht auf Berichtigung: Es steht Betroffenen immer dann zu, wenn personenbezogene Daten erhoben wurden, diese aber als unrichtig einzustufen sind. Art. 16 DSGVO sieht demnach vor, dass Betroffene jederzeit und unverzüglich von dem Verantwortlichen die Berichtigung ihrer unrichtigen personenbezogenen Daten verlangen können. Damit einhergehend steht den Betroffenen aber auch das Recht zu, die Vervollständigung unvollständiger personenbezogener Daten (ggf. auch mit ergänzenden Angaben) zu verlangen.

Welche Voraussetzungen gelten für die Anwendung von Art. 16 DSGVO?

Art. 16 DSGVO ist nur dann einschlägig, wenn es um die Berichtigung von unrichtigen personenbezogenen Daten geht. Weitere Voraussetzungen hat der Gesetzgeber in diesem Fall nicht vorgesehen – ganz im Gegensatz zum Recht auf Löschung gem. Art. 17 DSGVO, das an gleich mehrere Bedingungen geknüpft ist (vgl. auch oben).

Welche Folgen lassen sich aus Art. 16 DSGVO ableiten?

Das Recht auf Berichtigung gilt richtigerweise als eines der wichtigsten Betroffenenrechte, die sich direkt aus der Datenschutzgrundverordnung ableiten lassen. Für Unternehmen stellt die Vielzahl an Betroffenenrechten jedoch auch eine große Herausforderung dar: Je größer das Unternehmen, desto schwieriger und zeitintensiver wird es, die verschiedenen Rechte auseinanderzuhalten und den Betroffenen bei Geltendmachung unverzüglich gerecht zu werden. Hier empfiehlt sich der Einsatz eines externen Datenschutzexperten: Er kümmert sich im Rahmen seiner Kompetenzen auch darum, dass Betroffenenrechte bei Inanspruchnahme umfassend umgesetzt werden.

Art. 16 DSGVO verlangt die unverzügliche Berichtigung unrichtiger personenbezogener Daten. Diese Möglichkeit war auch vor der Datenschutzgrundverordnung schon durch § 35 I Bundesdatenschutzgesetz vorgesehen.

  • Wichtig zu wissen
    Werden unrichtige Daten i. S. d. genannten Vorschrift einer Berichtigung unterzogen, so ist der Verantwortliche gem. Art. 19 DSGVO auch verpflichtet, den oder die Empfänger der Daten über die Berichtigung zu informieren.

 

Recht auf Einschränkung der Verarbeitung / Sperrung der Daten

Völlig neu ist dagegen das vom EU-Gesetzgeber aufgenommene Recht auf Einschränkung der Verarbeitung personenbezogener Daten. Es ist in Art. 18 der Datenschutzgrundverordnung normiert. Demnach kann der Betroffene einfordern, dass die von ihm erhobenen personenbezogenen Daten zukünftig nur noch nach individueller Einwilligung verarbeitet werden dürfen.

  • Wichtig zu wissen
    Das Recht auf Einschränkung der Verarbeitung tangiert nicht die Speicherung von personenbezogenen Daten!

Art. 18 DSGVO greift unter anderem immer dann, wenn folgende Konstellationen vorliegen:

  • Der Betroffene hält die personenbezogenen Daten für unrichtig.
  • Die Verarbeitung der personenbezogenen Daten erfolgt unrechtmäßig.
  • Der Betroffene legt Widerspruch gem. Art. 21 DSGVO ein (Widerspruchsrecht, s. o.).
  • Wichtig zu wissen
    Macht der Betroffene seine Rechte i. S. d. genannten Vorschrift geltend, so ist der Verantwortliche gem. Art. 19 DSGVO auch verpflichtet, den oder die Empfänger der Daten über die Einschränkung der Verarbeitung zu informieren.

 

Recht auf Datenmitnahme / Recht auf Datenübertragbarkeit

Während viele Betroffenenrechte bereits in der alten Fassung des Bundesdatenschutzgesetzes teilweise oder auch vollständig enthalten waren, ist mit dem Recht auf Datenübertragbarkeit durch die Datenschutzgrundverordnung ein völlig neues Betroffenenrecht geschaffen worden. Es wird durch Art. 20 DSGVO normiert und sieht vor, dass Betroffene die Möglichkeit haben, gespeicherte Daten automatisch auf einen anderen Anbieter übertragen zu lassen. Von übergeordneter Relevanz ist dieses Recht insbesondere bei den sogenannten sozialen Medien wie Facebook, Instagram & Co. Die Tatsache, dass die dort angelegten Profile sonst faktisch dazu führen könnten, mögliche Konkurrenten auszuschalten, war Anlass für die europäische Regelung. Ebenso soll durch Art. 20 DSGVO gewährleistet werden, dass Usern eine bessere Überwachung bzw. Kontrolle zukommt – das Recht auf Datenübertragung stellt zudem sicher, dass angelegte Profile auf Verlangen des Betroffenen unmittelbar an andere, bestimmungsgemäße Empfänger übertragen werden.

  • Praxishinweis
    In der Umsetzung des Rechts auf Datenübertragbarkeit gab es schon vor dem Inkrafttreten der DSGVO große Unsicherheiten bzgl. der praktischen Umsetzung. Im Vordergrund steht auch hierbei der Verbraucherschutz – und die Idee, dass die Kontrolle über die eigenen personenbezogenen Daten durch die DSGVO gestärkt werden soll. Zum Zuge kommt Art. 20 DSGVO immer dann, wenn ein User den Anbieter wechseln möchte – das kann ein soziales Netzwerk sein, aber auch ein Cloud-Dienstleister.

Welche Voraussetzungen gelten für das Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO?

Artikel 20 der Datenschutzgrundverordnung findet nur dann Anwendung, wenn die folgenden Bedingungen erfüllt sind:

  • Es handelt sich um personenbezogene Daten gem. Art. 4 I DSGVO.
  • Die personenbezogenen Daten wurden von dem Betroffenen zur Verfügung gestellt.
  • Die Verarbeitung der personenbezogenen Daten war rechtmäßig gem. Art. 6 DSGVO.
  • Die Verarbeitung der personenbezogenen Daten erfolgte automatisiert.

Wie können Betroffene das Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO geltend machen?

Um das Betroffenenrecht nach Art. 20 der Datenschutzgrundverordnung in Anspruch zu nehmen, ist ein Antrag beim jeweiligen Anbieter zu stellen. Eine Formerfordernis für den Antrag sieht die Datenschutzgrundverordnung nicht vor; aus praktischen Erwägungen heraus empfiehlt es sich aber, diesen Antrag in schriftlicher Form zu stellen.

  • Wichtig zu wissen
    Wird das Recht auf Datenübertragbarkeit geltend gemacht, dann darf dieser Anspruch nicht mit der Zahlung eines Entgelts verbunden werden. Hierzu enthält Art. 12 V DSGVO eine explizite Regelung.

 

Form und Fristen

Wer als Betroffener die in der Datenschutzgrundverordnung vorgesehenen Rechte geltend machen möchte, der ist dabei an keine spezielle Form gebunden. Das bedeutet, dass die genannten Rechte sowohl schriftlich als auch mündlich geltend gemacht werden können. Als Datenschutzexperte empfehle ich hierbei die Schriftform – schon alleine deshalb, um bei Streitigkeiten Nachweise unkompliziert erbringen zu können. Für Verantwortliche hat sich der zeitliche Reaktionsrahmen, innerhalb dessen er aktiv werden muss, deutlich verschärft: Art. 12 III DSGVO hält hierzu fest, dass der Verantwortliche unverzüglich bzw. spätestens innerhalb von einem Monat nach Eingang des Antrags des Betroffenen zur beantragten Maßnahme Stellung nehmen muss.

  • Keine Regel ohne Ausnahme
    Auch für das in Art. 12 DSGVO festgelegte Fristerfordernis hält die Datenschutzgrundverordnung eine Ausnahme bereit. Diese ist immer dann einschlägig, wenn aufgrund der Komplexität und der Anzahl von Anträgen eine Fristverlängerung erforderlich ist. Allerdings reicht es auch hierfür nicht aus, dass der Verantwortliche innerhalb der regulären Frist einfach untätig bleibt: Er ist vielmehr dazu verpflichtet, den Betroffenen innerhalb eines Monats darüber zu informieren, dass die Bearbeitung seines Anliegens mehr Zeit in Anspruch nehmen wird.
  • Wichtig zu wissen
    Verantwortliche, die die Fristverlängerung durchsetzen möchten, müssen den Betroffenen darüber informieren, in welchem Zeitrahmen sie die Rechte des Betroffenen umsetzen werden und welche Gründe für die verlängerte Bearbeitung vorliegen (vgl. dazu auch Art. 12 III S. 3 DSGVO).

Fazit:
Die Umsetzung der datenschutzrechtlichen Vorschriften stellt für viele Unternehmen eine große Herausforderung dar – besonders dann, wenn diese dem Datenschutz bislang nur einen reduzierten Rahmen eingeräumt haben. Im wirtschaftlichen Miteinander ist es aber gerade die DSGVO-Compliance, die ein Unternehmen bei Kunden und Verbrauchern positiv von Konkurrenten unterscheidet: Verbraucher sind heute mehr als je zuvor daran interessiert, dass die eigenen Daten vollumfänglich geschützt werden und gegen den Zugriff und Missbrauch von außen sicher aufbewahrt werden.

© 2019 Frank Hartung - Datenschutzbeauftragter und Sachverständiger für Datenschutz in Dessau-Roßlau