single.php
< Beitrag von Samira Nuhu

DSGVO Basics: Das Recht auf den Schutz der eigenen Daten

Auch wenn momentan die Pflichten der Unternehmen vielfach im Fokus stehen – ihre Wirksamkeit wird die DSGVO aber erst dann voll entfalten, wenn die Verbraucher das Recht auf den Schutz ihrer Daten wahrnehmen. Hier ein Überblick, auf welche Weise die DSGVO das Recht jeder Person stärkt, über die eigenen Daten zu verfügen.

Das Recht auf den Schutz der eigenen Daten

1. Strengere Einwilligung (Verbot mit Erlaubnisvorbehalt)

Das deutsche Bundesdatenschutzgesetz (BDSG) enthält ein umfassendes Verbot der Nutzung personenbezogener Daten mit dem Erlaubnisvorbehalt der betroffenen Personen. Das heißt: Die Nutzung der Daten ist grundsätzlich verboten, es sei denn, eine ausdrückliche gesetzliche Erlaubnis oder die Einwilligung der betroffenen Person liegt vor.

Art. 6 der DSGVO zählt die Erlaubnistatbestände auf, die eine Datenverarbeitung rechtfertigen. Dabei ist die Einwilligung nur eine von mehreren möglichen Ausnahmen, die die DSGVO vorsieht. Eine Einwilligung ist also nicht – wie bisher – die einzige Möglichkeit, personenbezogene Daten zu verarbeiten.

Für die Einwilligung zur Verarbeitung personenbezogener Daten gelten allerdings strengere Regeln: Pauschaleinwilligungen sind unwirksam. Vielmehr muss die Einwilligung

  • auf einen bestimmten Fall und einen bestimmten Zweck bezogen sein,
  • eine verständliche und leicht zugängliche Form haben,
  • in einer klaren und einfachen Sprache verfasst sein und
  • freiwillig von der betroffenen Person erteilt werden.

Wer seine Einwilligung gibt, muss informiert werden,

  • in welchem Umfang die Einwilligung gilt,
  • wer die verantwortliche Stelle für die Datenverarbeitung ist und
  • dass die Einwilligung widerrufen werden kann.

Die verantwortliche Stelle muss nachweisen können, dass eine Einwilligung vorliegt, wenn sie personenbezogene Daten verarbeitet.

2. Unbegründetes und einfaches Widerrufsrecht

Wie bisher können Betroffene die erteilte Einwilligung jederzeit widerrufen, wobei dieser Widerruf einfach möglich sein muss und ohne Angabe von Gründen wirksam ist.

3. Auskunftsrecht

Jede Person kann bei einem Unternehmen Auskunft darüber verlangen, ob ihre Daten verarbeitet werden oder nicht. Das Unternehmen ist verpflichtet, diese Auskunft zu erteilen. Das gilt auch für den Fall, dass das Unternehmen keine Daten dieser Person verarbeitet.

Wenn personenbezogene Daten eines Antragstellers verarbeitet werden, muss der Verantwortliche detaillierte Auskunft erteilen,

  • welche Daten dem Verantwortlichen vorliegen,
  • über den Zweck die Datenverarbeitung,
  • an wen die Daten weitergegeben werden,
  • über die Dauer der Datenspeicherung und
  • den Zeitpunkt Datenlöschung (Art. 15 Abs. 1 DSGVO).

Im Hinblick auf die Beantwortung der Anfrage zur Verarbeitung personenbezogener Daten gilt eine strenge Frist: Die Antwort muss unverzüglich erfolgen, in jedem Fall aber innerhalb eines Monats nach Eingang der Anfrage (Art. 12 Abs. 3 DSGVO). Diese Monatsfrist darf nur in begründeten Ausnahmefällen überschritten werden. Auch darüber muss, die betroffene Person informiert werden. (Art. 12 Abs. 3 Satz 3 DSGVO).

Das datenverarbeitende Unternehmen muss im Vorhinein und rechtzeitig geeignete organisatorische Maßnahmen treffen, damit die betroffene Person eine beantragte Auskunft zeitnah und in verständlicher Form erhalten kann (Art. 12 Abs. 1 Satz 1 und Art. 5 Abs. 2 DSGVO).

4. Recht auf ein portables und sicheres Datenformat

Jede Person hat das Recht, die Daten, in deren Verarbeitung sie eingewilligt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und wiederum anderen zu übermitteln. Das Recht auf Datenübertragbarkeit ermöglicht es dem Verbraucher, einfach und unkompliziert Informationen über seine personenbezogenen Daten zu erhalten und z. B. einen Anbieter zu wechseln.

5. Recht auf Löschung/Recht auf Vergessenwerden

Die DSGVO formuliert in Art. 17 erstmalig das Recht auf Vergessenwerden: Jede Person hat einen Anspruch auf die Löschung oder Sperrung ihrer Daten, wenn

  • der Zweck für die Verarbeitung wegfällt,
  • die Einwilligung widerrufen wird oder
  • die Datenverarbeitung unrechtmäßig ist.

Grundsätzlich ist der verantwortliche Datenverarbeiter verpflichtet, personenbezogene Daten zu löschen, wenn der Betroffene dies wünscht. Dies gilt allerdings nur dann, wenn der Datenverarbeiter keinen anderen Vorschriften unterliegt, die ihn wiederum verpflichten, personenbezogene Daten eine gewisse Zeit lang zu speichern. Ein Beispiel hierfür sind die Aufbewahrungsfristen der Steuergesetze.

6. Recht auf Schadenersatz

Jede Person hat bei einem Verstoß gegen die DSGVO, durch den sie einen materiellen oder immateriellen Schaden erleidet, Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter (Art. 82 Abs. 1 DSGVO). Der Verstoß muss bei der Verarbeitung von personenbezogenen Daten geschehen sein.

Schadenersatzansprüche konnten Betroffene schon nach § 7 BDSG geltend machen. Neu ist, dass der „Auftragsdatenverarbeiter“ strengeren Pflichten unterliegt als beim noch geltenden BDSG.

Nach Art. 82 Abs. 4 DSGVO haftet der Auftragsverarbeiter gesamtschuldnerisch mit dem Verantwortlichen, wenn sie an derselben Verarbeitung beteiligt sind. Sowohl der Verantwortliche als auch der Auftragsdatenverarbeiter müssen daher nachweisen können, dass sie nicht verantwortlich sind für den Umstand, durch den der Schaden entstanden ist (Art. 82 Abs. 3 DSGVO).

Von den Rechten zu den Pflichten

Die Erläuterung zum Recht auf Schadenersatz zeigt schon, wie eng die Rechte jeder Person mit den Pflichten der datenverarbeitenden Unternehmen zusammenhängen. Dazu mehr im nächsten Blog-Beitrag von Samira Nuhu.

Folgen
X

Folgen

E-mail : *
Kategorie: IT-Security | Schlagwörter: , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.