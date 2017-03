21.03.2017 | Top-Thema EU-Datenschutz-Grundverordnung

Durch die neuen Regelungen im Datenschutz will der Gesetzgeber sicherstellen, dass die Betroffenen über die Verwertung und Verbreitung ihrer persönlichen Daten informiert werden. Der Betroffene soll selbst bestimmen können, was über ihn gespeichert ist. Doch welche Rechte hat er nun konkret?

Grundsatz

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) räumt den betroffenen Personen viele Rechte ein, darunter Informationsrechte, Recht auf Korrekturen und das umstrittene Recht auf Vergessen.

Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden und dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Die Daten müssen dem Zweck angemessen und erheblich sein, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt werden. Dieses bereits im Bundesdatenschutzgesetz (BDSG) verankerte Prinzip der Datensparsamkeit gilt als eines der zentralen Grundsätze.

Informationsrechte

Personen, deren Daten verarbeitet werden, haben das Recht auf bestimmte Informationen (auch wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden), darunter mindestens folgende (Art. 13 und 14 EU-DSGVO):

Namen und Kontaktdaten des für die Verarbeitung Verantwortlichen

Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung

Quelle der Daten

Berechtigte Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, allenfalls die Empfänger und die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln

Dauer, für die die personenbezogenen Daten gespeichert werden

Information über automatisierte Entscheidungsfindung, einschließlich Profiling

Information über die Rechte, die sie als Betroffene haben, auch, dass ein Beschwerderecht bei einer Aufsichtsbehörde besteht

Betroffene Personen können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten verarbeitet werden, sowie über die Verarbeitungszwecke, die Datenkategorien und die Empfänger. Bestimmte Funktionen, um ihre Rechte auszuüben, sollten den Nutzern elektronisch angeboten werden, z.B. die Auskunft warum und wie Daten verarbeitet werden, sowie Informationen über das Recht auf Widerspruch, Berichtigung oder Löschung.

Informationen für die Betroffen sollten auf Anfrage innerhalb eines Monats erteilt werden und unentgeltlich sein gem. Art. 12 EU-DSGVO. Bei offenkundig unbegründeten oder insbesondere im Fall von häufiger Wiederholung kann ein angemessenes Entgelt für Verwaltungskosten verlangt werden oder die Weigerung, aufgrund des Antrags tätig zu werden.

Einwilligung der betroffenen Person

Gem. Art. 6 EU-DSGVO gilt eine Verarbeitung nur als rechtmäßig, wenn ein Unternehmen mindestens eine der folgenden Bedingungen erfüllt:

- Die betroffene Person hat ihre nachweisbare Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für genau festgelegte Zwecke gegeben.

- Die Verarbeitung ist

für die Erfüllung eines Vertrags oder einer anderen gesetzlichen Verpflichtung erforderlich

zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich

nötig, um lebenswichtige Interessen der betroffenen Person zu schützen

für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung hoheitlicher Gewalt erfolgt.

Der für die Verarbeitung Verantwortliche trägt die Beweislast dafür, dass die betroffene Person ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten für eindeutig festgelegte Zwecke erteilt hat (Art. 7 EU-DSGVO). Der Verantwortliche muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache bekannt machen, dass eine schriftliche Einwilligung erforderlich ist. Diese muss äußerlich erkennbar von anderen Sachverhalten getrennt werden.

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen, was die bisherige Datenverarbeitung aber nicht unrechtmäßig macht. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Bei Internetdienstleistungen für Kinder ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat (Art. 8 EU-DSGVO). Anderenfalls wird die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind benötigt.

Sammlung sensibler Daten nur mit Erlaubnis

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt gem. Art. 9 EU-DSGVO. Die Verarbeitung ist erlaubt, wenn die betroffene Person in die Verarbeitung solcher Daten ausdrücklich eingewilligt oder diese eindeutig publiziert hat.

Recht auf Zugriff, Berichtigung und Widerspruch

Die betroffenen Personen haben das Recht auf Datenübertragbarkeit, d.h. auf Zugriff auf die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten gem. Art. 20 EU-DSGVO. Sie haben das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder auf einem Vertrag und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Die betroffenen Personen haben das Recht, von dem Verantwortlichen zu verlangen, dass er unrichtige personenbezogene Daten unverzüglich berichtigt, allenfalls auch mittels einer ergänzenden Erklärung vervollständigt (Art. 16 EU-DSGVO). Die betroffene Person kann von dem Verantwortlichen auch die Einschränkung der Verarbeitung zu verlangen, z.B. wenn die personenbezogenen Daten unrichtig oder die Verarbeitung unrechtmäßig ist (Art. 18 EU-DSGVO).

Die betroffenen Personen können jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten und Profilings Widerspruch einzlegen (Art. 21 EU-DSGVO). Dies gilt speziell, wenn diese für Werbung benutzt werden. Der Verantwortliche muss dann aufhören, die personenbezogenen Daten zu verarbeiten. Eine Ausnahme besteht beim Nachweis zwingender schutzwürdiger Gründe für die Verarbeitung, z.B. wenn diese der Geltendmachung von Rechtsansprüchen dient.

Betroffene Personen müssen keine automatisierten Verarbeitungen oder Profiling dulden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie erheblich beeinträchtigen (Art. 22 EU-DSGVO).

Der Verantwortliche teilt allen Empfängern, denen personenbezogene Daten offengelegt wurden, jede Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung mit, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden (Art. 19 EU-DSGVO).

Recht auf Vergessenwerden

Eine wichtige Neuerung ist das Recht auf Löschung („Recht auf auf Vergessenwerden“) gem. Art. 17 EU-DSGVO.

Die betroffene Person kann von dem Verantwortlichen verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, vor allem, wenn die

personenbezogenen Daten für den vorgesehenen Zweck nicht mehr notwendig sind,

betreffende Person ihre Einwilligung widerrufen oder das Widerspruchsrecht ausgeübt hat,

Löschung gesetzlich vorgeschrieben ist oder die personenbezogenen Daten unrechtmäßig verarbeitet wurden.

Hat der Verantwortliche die zu löschenden Daten veröffentlicht, muss er die anderen Verantwortlichen darüber informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat. Dabei müssen angemessene Maßnahmen, auch technischer Art, ergriffen werden, wobei die verfügbaren Technologien und die Implementierungskosten zu berücksichtigen sind.

Umgekehrt muss ein Verantwortlicher personenbezogene Daten auch nicht aufbewahren, wenn er diese nicht mehr benötigt (Art. 11 EU-DSGVO).

Das Recht auf Vergessenwerden war seit 2012 umstritten. So publizierte die European Union Agency for Network and Information Security (ENISA) einen Bericht darüber, dass dieses Recht schon aus technischen Gründen nicht ohne weiteres durchsetzbar ist. Deswegen sollte interdisziplinär zusammengearbeitet werden.