Rechte und Pflichten

Die Datenschutzgrundverordnung räumt Privatpersonen (den sog. Betroffenen) zusätzliche Rechte betreffend ihrer personenbezogenen Daten ein. Aus diesen Rechten ergeben sich unmittelbare Pflichten, die jede Unternehmerin und jeder Unternehmer einzuhalten hat. Zudem wurden Fristen festgelegt, innerhalb derer den Verpflichtungen nachzukommen ist.

Die Rechte der Betroffenen sind:

Über den Umgang mit Ihren Daten informiert zu werden (Informationspflicht):

Worüber genau informiert werden muss, ist genau geregelt. Z.B. müssen Verarbeitungszweck, ggf. Empfänger der Daten und Dauer der Datenspeicherung genannt werden. Sollte in weiterer Folge z.B. ein neuer Verarbeitungszweck hinzukommen (z.B. geplanter Newsletterversand), müssen auch über diesen neuen Zweck alle maßgeblichen Informationen erteilt werden.

Die Informationspflicht gilt wenn die Daten direkt bei der betroffenen Person eingehoben werden (z.B. Neukundenanlage im Zuge eines Telefonats) und auch wenn die Daten nicht direkt bei ihr eingehoben wurden (z.B. Franchisegeber vermittelt an Franchisenehmer).

Fristen: Bei direkter Erhebung der Daten muss unmittelbar informiert werden. Werden die Daten nicht direkt erhoben, muss spätestens innerhalb eines Monats nach Erlangung der Daten informiert werden.

Über die Verarbeitung ihrer Daten Auskunft zu erlangen (Auskunftsrecht):

Das die personenbezogenen Daten verarbeitende Unternehmen ist dazu verpflichtet, den betroffenen Personen alle Informationen ihre Daten betreffend zur Verfügung zu stellen. Das muss in einer klaren und einfachen Sprache, in verständlicher Weise erfolgen und für die betroffene Person kostenlos sein.

Als verarbeitendes Unternehmen empfiehlt es sich, der betroffenen Person eine Bestätigung über den Erhalt der Informationen abzuverlangen.

Frist: Anfragen müssen innerhalb eines Monats beantwortet werden.

Ihre Daten aktuell halten zu können (Berichtigung):

Die betroffene Person hat das Recht auf Berichtigung und Ergänzung Ihrer Daten. Dafür kann sie einen formlosen Antrag stellen. Dabei hat nur der/die für die Verarbeitung der Daten verantwortliche die Pflicht, die Daten zu berichtigen. Voraussetzung für das Recht auf Berichtigung ist, dass die Daten unkorrekt sind (z.B. falsche Telefonnummer) oder dass die Daten den Verarbeitungszweck betreffend unvollständig sind.

Vergessen zu werden (Löschung):

In der Praxis heißt das, dass personenbezogene Daten nicht mehr bis in alle Ewigkeit gespeichert werden dürfen. Die Dauer der Speicherung muss begründets sein (z.B. Rechtsgrundlagen). Voraussetzungen für das Recht auf Vergessen werden sind:

  • Die personenbezogenen Daten sind für die ursprünglichen Zwecke nicht mehr notwendig (z.B. Bewerbungsunterlagen nach Ablauf der Bewerbungsfrist).
  • Die betroffene Person hat ihre Einwilligung zur Datenverarbeitung widerrufen. Und: es steht dem keine andere Rechtsgrundlage entgegen (z.B. Belegaufbewahrungspflicht, etc.).
  • Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt. Und: für die Verarbeitung liegen keine vorrangigen berechtigten Gründe vor.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung nach dem EU-Recht oder dem Recht eines Mitgliedsstaates notwendig.

Kann eine Löschung nicht unverzüglich erfolgen, weil das z.B. technisch nicht möglich ist, muss die Verarbeitung bis zur endgültigen Löschung umgehend eingeschränkt werden (siehe nächster Punkt).

Den Umfang der Verarbeitung einzuschränken (Einschränkung):

Hierbei hat die betroffene Person das Recht, zu verlangen, dass sämtliche erhobenen personenbezogenen Daten in Folge nicht mehr verarbeitet werden dürfen.

Voraussetzungen dieses Recht geltend zu machen sind:

  • die Richtigkeit der Daten wird von der betroffenen Person bestritten. Für die Dauer, die zur Prüfung der Daten notwendig ist, dürfen diese nicht verarbeitet werden (Ausnahme: Speicherung).

  • es wurde Widerspruch gegen die Verarbeitung eingelegt. Dieser Widerspruch ist erfolgt, solange nicht feststeht, ob die Gründe des Verantwortlichen überwiegen. Hierbei dürfen die Daten ebenfalls für die Dauer der Prüfung nicht weiter verarbeitet werden.

  • die Verarbeitung ist unrechtmäßig; die betroffene Person lehnt die Löschung ab und verlangt die Einschränkung der Verarbeitung. Beispiel: Man bestellt bei einer Firma ein Kleidungsstück und erhält daraufhin automatisch einen Newsletter für den keine Zustimmung eingeholt wurde. Dann kann die betroffene Person erwirken, dass kein Newsletter mehr versendet werden darf. Die Einschränkung ist auf unbestimmte Zeit gültig.

  • das Unternehmen (der Verantwortliche) benötigt die Daten für die Verarbeitungszwecke nicht mehr. Die betroffene Person benötigt sie zu Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Die Einschränkung ist hier ebenfalls auf unbeschränkte Zeit gültig.

Frist: unverzüglich, jedoch innerhalb eines Monats.

Mitteilungspflichten

Aus diesen Rechten betroffener Personen ergeben sich spezielle Mitteilungspflichten für Unternehmen. Wurden Daten auf Antrag berichtigt, gelöscht oder eingschränkt, muss der Verantwortliche jeden anderen Empfänger, an den er die Daten weiter gegeben hat über die Geltendmachung in Kenntnis setzen.


Quellen:

Disclaimer: siehe Impressum