ImpressumDatenschutz
Kategorien
Neueste Beiträge

Rechte nach Artikel 15 – 20 DSGVO

Art. 15 - 20 DSGVO

Rechte nach Artikel 15 – 20 DSGVO – Personen, deren Daten verarbeitet werden (Betroffene), haben gegenüber denjenigen, die ihre Daten verarbeiten (Verantwortliche) bestimmte Rechte, wenn es um die Verarbeitung ihrer Daten geht (Art. 12 – 22 DSGVO). Demnach müssen ein datenverarbeitendes Unternehmen oder sonstige Verantwortliche Prozesse aufsetzen, um die Rechte der Betroffenen zu wahren. Bei Missachtung der Rechte der Betroffenen kann die Datenschutzaufsichtsbehörde Verantwortliche mit einem Bußgeld bis zu 20 Millionen Euro oder 4 % des Jahresgesamtumsatzes sanktionieren. Nachfolgend erklären wir dies näher.

Auskunftsrecht nach Art. 15 DSGVO

Genauso wie es die Pflicht eines Verantwortlichen ist, einen Betroffenen über die Verarbeitung seiner Daten zu informieren (Art. 12 & 13 DSGVO), kann ein Betroffener auch selbst eine Auskunft anfordern. In dieser kann er Informationen darüber anfordern, ob jemand Daten über ihn verarbeitet. Wenn dies zutrifft, kann er detaillierte Informationen anfordern. Folglich muss ein Verantwortlicher interne Prozesse vorsehen, um binnen Monatsfrist spätestens folgende Auskünfte erteilen zu können:

1) die Zwecke der Datenverarbeitung,

2) die Kategorien der verarbeiteten personenbezogenen Daten,

3) eventuelle durch Auftragsverarbeiter oder gemeinsam Verantwortliche verarbeiteten Daten,

4) die (Kategorien der) Empfänger (z. B. Dienstleister, Auftragsverarbeiter), gegenüber denen die personenbezogenen Daten offengelegt worden sind/werden sollen,

5) wenn möglich, die geplante Dauer der Verarbeitung bzw. gesetzliche Vorschriften für die Speicherung der Daten,

6) Hinweis auf die Rechte der betroffenen Person (Recht auf Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf gegen die Verarbeitung der Daten des Betroffenen, Beschwerde bei einer Aufsichtsbehörde),

7) Bestehen eines Beschwerderechts bei der zuständigen Aufsichtsbehörde,

8) gegebenenfalls die Herkunft der Daten, falls nicht durch den Verantwortlichen erhoben und

9) gegebenenfalls Bestehen einer automatisierten Entscheidungsfindung (beispielsweise Profiling), einschließlich detaillierter Informationen dazu (Hintergrund, Konsequenzen und Auswirkungen für die betroffene Person).

Näheres zu Art. 15 DSGVO können Sie hier nachlesen.

Berichtigung personenbezogener Daten nach Art. 16 DSGVO

Betroffene besitzen die Hoheit über ihre personenbezogenen Daten. Das heißt unter anderem, dass eine betroffene Person, deren Daten ein Unternehmen verarbeitet, sich diesbezüglich an das jeweilige Unternehmen wenden kann, beispielsweise um inkorrekte Daten berichtigen zu lassen.

Recht auf Löschung/Vergessenwerden nach Art. 17 DSGVO

Personenbezogene Daten dürfen Unternehmen nur solange verarbeiten, wie es erforderlich ist und es einen Rechtsgrund dafür gibt. Wendet sich eine betroffene Person zwecks Löschung ihrer Daten an ein Unternehmen, hat dieses dem Verlangen nachzukommen. Gründe hierfür können folgende sein bzw. kann sich ein Löschbegehren auf diese Weise ausdrücken:

1) Die Verarbeitung der Daten dieser Person ist nicht mehr nötig.

2) Der Betroffene widerruft seine Einwilligung zur Verarbeitung und eine andere Rechtsgrundlage liegt nicht vor.

3) Die betroffene Person legt Widerspruch gegen die Verarbeitung ihrer Daten ein (und es liegen keine höherrangigen berechtigten Gründe für die Verarbeitung vor).

4) Die Daten dieser Person wurden unrechtmäßig verarbeitet.

5) Die Löschung der Daten ist rechtlich vorgeschrieben.

6) Die Einwilligung wurde gem. Art. 8 Abs. 1 DSGVO bei Internetdiensten von bzw. für ein Kind erteilt.

Gründe, die nach Art. 17 Abs. 2 DSGVO gegen die Löschung sprechen

Es gibt allerdings Ausnahmen, wenn ein Unternehmen einem Löschbegehren nicht nachkommen kann, da dem andere Rechte und Pflichten entgegenstehen:

1) zur Ausübung des Rechts auf freie Meinungsäußerung und Information,

2) grundsätzlich zur Erfüllung einer rechtlichen Verpflichtung (z. B. Erfüllung einer rechtlich vorgegebenen Aufbewahrungsfrist, beispielsweise nach dem Handels- oder Steuerrecht, den Dokumentationspflichten von Ärzten und Anwälten) oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde,

3) wenn dem das öffentliche Interesse im Bereich der öffentlichen Gesundheit entgegensteht,

4) grundsätzlich für Archivzwecke, die im öffentlichen Interesse liegen gemäß Art. 89 DSGVO,

5) grundsätzlich für wissenschaftliche und historische Forschungszwecke gemäß Art. 89 DSGVO,

6) grundsätzlich für statistische Zwecke gemäß Art. 89 DSGVO oder

7) zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, weshalb im Löschkonzept die Verjährungsfristen bezogen auf mögliche Ansprüche gegen den Verantwortlichen berücksichtigt werden müssen.

Einschränkung der Verarbeitung nach Art. 18 DSGVO

Genauso wie eine Person sich an den Verantwortlichen wenden kann, um die Löschung ihrer Daten zu veranlassen, kann sie auch die Einschränkung der Verarbeitung verlangen. Gründe hierfür können folgende sein:

1) Die Richtigkeit der Daten ist zu überprüfen. Um Nachteile für die Person zu vermeiden, ist die Verarbeitung dieser Daten zeitweilig auf die Überprüfung der Daten zu beschränken.

2) Der Betroffene hat der Verarbeitung dieser Daten nicht zugestimmt, lehnt aber eine Löschung ab.

3) Die Daten der betroffenen Person werden zwar nicht mehr vom Verantwortlichen benötigt, jedoch von der betroffenen Person selbst zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

4) Die betroffene Person hat Widerspruch gegen die Datenverarbeitung eingelegt; es steht aber noch nicht fest, ob nicht berechtigte Gründe des Verantwortlichen dem Anliegen der betroffenen Person überwiegen.

5) Während überprüft werden muss, ob eventuelle rechtliche Bestimmungen einem Löschbegehren gegenüberstehen.

Die Einschränkung der Verarbeitung bedeutet in der Praxis, dass die jeweilige Person beispielsweise keine Werbeschreiben mehr erhält und die Zugriffsrechte auf die Daten auf die Personen begrenzt werden, die die Überprüfung vornehmen und Entscheidungen treffen.

Mitteilungspflicht an Datenempfänger bei Änderungen nach Art. 19 DSGVO

Der Verantwortliche, der Änderungen (Berichtigung, Löschung, Einschränkung der Verarbeitung) an den personenbezogenen Daten der betroffenen Person vornimmt, hat grundsätzlich alle Empfänger dieser Daten hierüber zu informieren. Entsprechende Prozesse sind vom Unternehmen zu implementieren, was z. B. die Dokumentation aller Datenübermittlungen erfordert. Die betroffene Person ist auf Verlangen über die Empfänger ihrer personenbezogenen Daten zu informieren.

Recht auf Datenübertragung (Datenportierung) nach Art. 20 DSGVO

Einem Betroffenen steht das Recht zu, die Herausgabe der eigenen personenbezogenen Daten zu verlangen und diese an einen anderen Verantwortlichen zu übermitteln. Alternativ kann der Betroffene verlangen, dass der Verantwortliche die zu übertragenden Daten direkt einem anderen, neuen Verantwortlichen überträgt. Hierbei darf der Verantwortliche die Datenübertragung nicht behindern und hat die personenbezogenen Daten in einem gängigen Format lesbar und strukturiert zur Verfügung zu stellen. Dieses Recht auf die Datenübertragbarkeit ist in folgenden Fällen gültig:

1) Wenn der Betroffene im Vornherein die Einwilligung zur Verarbeitung der Daten abgegeben hat oder die Verarbeitung zur Erfüllung eines Vertrags nötig ist und

2) die Daten mithilfe automatisierter Verfahren verarbeitet werden.

Voraussetzung ist, dass der Betroffene die Daten dem Verantwortlichen bereitgestellt hat. Hat beispielsweise ein Patient einem Arzt einen Vorbefund eines anderen Arztes mitgeteilt, könnte sich der Übertragungsanspruch auf diesen Befund beziehen, wenn der automatisiert verarbeitet (z. B. in das Arztinformationssystem und die elektronische Patientenakte eingescannt) wurde. Die Anamnese, die der Arzt selbst erhebt, ist jedoch nicht von dem Übertragungsrecht erfasst.

Hierdurch soll der Wettbewerb gefördert werden, indem es einem Kunden erleichtert wird, einen Anbieter zu wechseln. Dies erfordert, u. a. entsprechende Exportfunktionen in der IT vorzusehen bzw. zu schaffen.

Fazit

So eindeutig diese Vorgaben klingen, so schwierig kann manchmal die praktische Umsetzung im Unternehmen sein. So wundert es nicht, dass gerade die mangelhafte Umsetzung der Betroffenenrechte, z. B. unvollständige oder verspätete Auskünfte oder nicht erfolgte Datenlöschungen zu den bislang höchsten Bußgeldern geführt haben. Man muss auch Hinweise für betroffene Personen erarbeiten, um sie bei der Datenerhebung über die Rechte bezüglich ihrer Daten zu informieren (den Beitrag zu den diesbezüglichen Rechten Betroffener finden Sie hier). Hierbei können wir Ihnen sehr gern helfen. Rufen Sie uns am besten an.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.

Logo in weiß - dpc Data Protection Consulting GmbH Cottbus

Die dpc wurde 2018 gegründet, um mit gebündeltem datenschutzrechtlichem und technischem Knowhow Unternehmen und andere Verantwortliche in allen Fragen des Datenschutzrechts zu unterstützen, zu beraten, zu auditieren und externe Datenschutzbeauftragte zu stellen.

Kontakt

dpc Data Protection Consulting GmbH
 Karl-Liebknecht-Str. 33
03046 Cottbus

+49 (0) 355 - 78427884
+49 (0) 355 - 49459824
info@dpc-datenschutz.de
www.dpc-datenschutz.de

Navigation

© Copyright 2018 Data Protection Consulting GmbH | All Rights Reserved | Gestaltung & technische Umsetzung: Werbeagentur DesignSplash