Kapitel
Bild: mauritius images / blickwinkel /

Die Befassung mit der Erstellung von Verfahrensverzeichnisse sollte grundsätzlich den Ausgangspunkt bilden für eine umfassende Untersuchung der Datenschutzkonformität sämtlicher Aktivitäten, wobei insbesondere auch die nachfolgenden Gesichtspunkte in den Blick zu nehmen sein werden.

Welche Rechte stehen dem Betroffenen zu – DSGVO Auskunftsrecht?

a. Auskunftsrecht (Art. 15 DSGVO)

Auch unter der DSGVO besteht ein Auskunftsrecht des Betroffenen, welches dem bisherigen Auskunftsrecht nach § 34 Abs. 1 BDSG-alt im Wesentlichen gleicht. Im Rahmen dessen hat der Verantwortliche dem Betroffenen auch eine Kopie der personenbezogenen Daten, die von ihm verarbeitet werden, zur Verfügung zu stellen. Die Ausübung dieses Rechts muss für die betroffene Person dabei "problemlos“ und "in angemessenen Abständen“ wahrnehmbar sein.

b. Recht auf Berichtigung (Art. 16 DSGVO)

Neben der allg. Pflicht des Verantwortlichen, dafür zu sorgen, dass die verarbeiteten personenbezogenen Daten sachlich richtig sind, hat der Betroffene auch ein eigenes Recht auf Berichtigung unrichtiger personenbezogenen Daten. Ebenso besteht ein Recht auf Vervollständigung unvollständiger personenbezogener Daten. Die Berichtigung muss dabei unverzüglich, d.h. ohne schuldhaftes Zögern, erfolgen.

Insgesamt gleicht das Recht auf Berichtigung dabei dem bisher bestehenden Recht aus § 35 Abs. 1 BDSG-alt.

c. Recht auf Löschung ("Recht auf Vergessenwerden") (Art. 17 DSGVO)

Das "Recht auf Vergessenwerden“ ist die wohl am meisten diskutierte Neuerung des (europäischen) Datenschutzrechts. Klarstellend ist hierzu allerdings anzumerken, dass Löschungsverpflichtungen seit jeher im Datenschutzrecht vorgesehen waren. Die in Art. 17 Abs. 1 u. 2 DSGVO nunmehr enthaltene Regelung geht jedoch über die bisherige Rechtslage hinaus.

Nach Art. 17 Abs. 1 besteht (wie auch nach jetziger Rechtslage) ein Recht des Betroffenen, unter bestimmten Umständen die Löschung der personenbezogenen Daten vom Verantwortlichen zu verlangen. Unter welchen Umständen ein solches Recht auf Löschung für den Betroffenen besteht, ist in Art. 17 Abs. 1 lit. a bis f DSGVO geregelt.

Daneben erweitert Abs. 2 die Pflichten des Verantwortlichen, wenn er die Daten "öffentlich gemacht" hat. Der Verantwortliche muss dann unter Umständen auch einen Dritten zur Löschung von Daten veranlassen, soweit er selbst nach Abs. 1 zur Löschung verpflichtet ist und der Betroffene dies verlangt.

d. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Das Recht auf Datenübertragbarkeit, wonach der Betroffene nicht nur das Recht hat, die Daten in einem gängigen Format zu erhalten, sondern auch das Recht, diese Daten an eine andere Stelle zu übermitteln, ist neu. Der ursprüngliche Grundgedanke war eine Datenübertragbarkeit von Inhalten, die in soziale Netzwerke oder andere Plattformen eingestellt wurden. Hierdurch soll zum einen die Kontrolle des Betroffenen über seine eigenen Daten gestärkt werden, zum anderen aber auch die Möglichkeit eines Anbieterwechsels – bspw. in ein anderes soziales Netzwerk – erleichtert werden. Insofern handelt es sich bei Art. 20 DSGVO zumindest auch um eine wettbewerbsrechtliche Vorschrift, weil sie dem Kunden den Wechsel zu einem neuen Anbieter erheblich erleichtert und hierdurch dazu beiträgt, Lock-in-Effekte zu vermeiden. Unklar ist, ob und wie dieses Recht auf andere Dienstleistungen des Web 2.0 Anwendung finden soll, da der Wortlaut der Vorschrift sehr allgemein gehalten ist.

e. Weitere Rechte des Betroffenen und Beschränkungen der Betroffenenrechte aufgrund nationalen Rechts

Zu den weiteren Rechten des Betroffenen zählen das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie das Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO).

Zu beachten ist, dass das BDSG-neu in den §§ 32 ff. die Rechte des Betroffenen teilweise beschränkt. Möglich ist dies auf Grundlage des Art. 23 DSGVO, der die Mitgliedsstaaten unter gewissen Umständen zu einer Beschränkung der Betroffenenrechte ermächtigt.

DSGVO: “Privacy by Design” und “Privacy by Default”

Als eine für den Betroffenen erhebliche Verbesserung des Datenschutzes angepriesen, geht es bei Art. 25 um Pflichten des Verantwortlichen zum Datenschutz durch Technikgestaltung sowie durch datenschutzfreundliche Voreinstellungen.

a. Privacy by Design (Art. 25 Abs. 1 DSGVO)

Nach dem Prinzip des Privacy by Design soll der Schutz der Privatsphäre in allen Stufen der Produktentwicklung berücksichtigt werden. Produktentwickler sollen ihre Produkte also schon von Anfang an möglichst datenschutzfreundlich gestalten.

b. Privacy by Default (Art. 25 Abs. 2 DSGVO)

Dieser Grundsatz ist insbesondere auf die Voreinstellungen von Online-Diensten ausgerichtet. Danach ist der Betreiber eines solchen Dienstes als datenschutzrechtlich Verantwortlicher verpflichtet, Voreinstellungen so zu wählen, dass die Verarbeitung personenbezogener Daten minimiert wird. Will der Nutzer mehr Datenverarbeitungen zulassen, muss er diese Einstellungen dann aktiv ändern.

Schlagworte zum Thema:  Übermittelte Daten, EU-Datenschutzverordnung, Datenschutz-Management, IT-Compliance, Compliance, Compliance-Manager, Compliance-Organisation

Aktuell
Meistgelesen