Erfüllung der Betroffenenrechte

Viele Anfragen an die Aufsichtsbehörde von Unternehmen und Beschwerden von betroffenen Personen hatten die Erfüllung der Betroffenenrechte zum Inhalt. Häufig musste die Behörde feststellen, dass die einschlägigen Vorschriften der DSGVO von Verantwortlichen nicht beachtet oder die Rechte von den betroffenen Personen zu weitgehend eingefordert wurden. Es waren daher in vielen Fällen Hinweise zur Erfüllung dieser Pflichten gegenüber Verantwortlichen und zu den Grenzen der Rechte gegenüber den betroffenen Personen erforderlich.

Die Rechte der betroffenen Personen sind in Art. 12 bis 22 DSGVO geregelt. Mit Hilfe dieser Rechte sollen betroffene Personen die Verarbeitung ihrer personenbezogenen Daten genauer nachvollziehen und besser über die Verwendung ihrer Daten bestimmen können. Sie sind daher von erheblicher Bedeutung.

In etlichen Fällen baten betroffene Personen die Aufsichtbehörde, stellvertretend für sie ihre Rechte gegenüber den Verantwortlichen geltend zu machen. Dies ist jedoch nicht seine Aufgabe. Allerdings hat er die Anwendung der DSGVO zu überwachen und durchzusetzen. Werden gegenüber dem Verantwortlichen geltend gemachte Betroffenenrechte nicht gänzlich erfüllt, hat die Aufsichtsbehörde die Befugnis, von den Verantwortlichen z. B. Auskünfte zu verlangen, Datenschutzüberprüfungen durchzuführen oder Verantwortliche und Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Personen auf Ausübung ihrer Rechte zu entsprechen. Von allen diesen Befugnissen machte er mehrfach Gebrauch.

Informationspflichten

Die Informationen nach Art. 13 und 14 DSGVO müssen der betroffenen Person lediglich mitgeteilt werden. Der dafür nötige Nachweis kann z.B. durch Empfangsbestätigungen, einen Absende- bzw. Aktenvermerk oder durch praktizierte betriebliche Übungen aufgrund von betriebsinternen Verfügungen erbracht werden.

Die betroffene Person muss dieser Informationsmitteilung nicht zustimmen. In einigen Fällen wurde daher klargestellt, dass Personen durch die Entgegennahme der Informationen nicht ihre Einwilligung in die Datenverarbeitung erteilen. Insoweit ist die Mitteilung dieser Information von den Fällen zu unterscheiden, in denen als Rechtsgrundlage für die Verarbeitung personenbezogener Daten eine Einwilligung nach Art. 7 DSGVO erforderlich ist. Nur die Einwilligung verlangt eine eindeutige bestätigende Handlung, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.

In zahlreichen Fällen war festzustellen, dass die Informationspflichten auf Homepages unzureichend erfüllt wurden. Hier ist insbesondere darauf zu achten, dass über alle Zwecke der Verarbeitung personenbezogener Daten informiert wird. Dies gilt zumal für personenbezogene Daten, die schon beim Aufrufen der Homepage erhoben werden (z.B. IP-Adresse, Browserinformationen, Sprache, Betriebssystem) und auch für Daten, die durch den Nutzer in Online-Formularen eingetragen werden (z.B. Kontaktdaten, Bestellungen etc.). Auch wurde nicht immer über die Empfänger – einschließlich der Auftragsverarbeiter – oder die Kategorien von Empfängern informiert.

Auskunftsrecht

In vielen Beschwerden wurde beklagt, dass für die Datenverarbeitung Verantwortliche die Pflicht zur Auskunft nach Art. 15 DSGVO nicht erfüllen würden, insbesondere keinerlei Reaktion des Verantwortlichen auf das Auskunftsersuchen erfolgte. Auch wurden Auskünfte sehr zögerlich und unvollständig erteilt. Die Aufsichtsbehörde wies in diesen Fällen auf die notwendigen Inhalte der zu erteilenden Auskunft hin (Art. 15 Abs. 1 und 2 DSGVO) und darauf, dass die Auskunft unverzüglich, jedenfalls aber innerhalb eines Monats, zu erteilen ist. Eine Verlängerung dieser Frist ist nur möglich, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist (Art. 12 Abs. 3 DSGVO).

In anderen Fällen stellte der Landesbeauftragte klar, dass die betroffenen Personen ihr Auskunftsrecht zu weitgehend beanspruchten. Der Auskunftsanspruch nach Art. 15 DSGVO umfasst grundsätzlich nicht das Recht auf Übersendung vollständiger Schriftstücke oder gar Akten. Denn es handelt sich um ein Auskunftsrecht, nicht um ein Akteneinsichtsrecht.

Nach Art. 15 Abs. 3 DSGVO besteht nur ein Anspruch auf eine Kopie – hiermit ist nicht zwingend eine Fotokopie gemeint – der eigenen personenbezogenen Daten. Das beinhaltet lediglich den Anspruch auf eine verkörperte Auskunft ausschließlich zu den verarbeiteten personenbezogenen Daten des Antragstellers (z.B. Ausdruck), damit er in der Lage ist, seine weiteren Betroffenenrechte geltend zu machen. Zudem darf eine Auskunft nicht die Rechte anderer Personen beeinträchtigen (Art. 15 Abs. 4 DSGVO). So hat der Verantwortliche die Daten Dritter vor der Bereitstellung von Fotokopien regelmäßig zu schwärzen.

Schadensersatz in Höhe von 5000 Euro für Verstoß gegen das Auskunftsrecht

Recht auf Löschung

Im Zusammenhang mit Beschwerden gegen unterbliebene Löschungen personenbezogener Daten wies die Aufsichtsbehörde mehrfach darauf hin, dass die Pflicht zur Löschung gem. Art. 17 DSGVO unabhängig von einem gestellten Löschungsantrag besteht, insbesondere dann, wenn der Zweck, für welchen die Daten erhoben worden sind, nicht mehr existiert bzw. die Verarbeitung der Daten für diesen Zweck nicht mehr erforderlich ist.

In manchen Fällen kann der für die Datenverarbeitung Verantwortliche Grund zu der Annahme haben, dass die Datenlöschung schutzwürdige Interessen der betroffenen Person beeinträchtigen könnte. Er darf dann die jeweiligen Daten weiter ausschließlich zu dem Zweck speichern, die betroffene Person – soweit für ihn möglich und zumutbar – zu informieren (§ 35 Abs. 2 BDSG). Sie soll dann selbst über eine Löschung entscheiden können, was ihr der für die Datenverarbeitung Verantwortliche – hier durch sachgerechte Information – erleichtern muss (Art. 12 Abs. 2 Satz 1 DSGVO).

Quelle: LfD Sachsen-Anhalt

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks