DatenschutzCybersicherheit und Risikomanagement

Datenschutz Basics - Betroffenenrechte

Datenschutz Basics - Betroffenenrechte
252x252-arthur_heydata_882dfef0fd.jpg
Arthur
23.01.2023

Verständnis für Betroffenenrechte und die Einhaltung der DSGVO

Durch die zunehmende Digitalisierung und Dokumentation unseres täglichen, beruflichen wie auch privaten, Lebens gelangen persönliche Daten vermehrt in die unendlichen Weiten von Internet und Aktenarchiven. Betroffenenrechte sind Instrumente für Einzelpersonen, um die Nutzung ihrer persönlichen Daten zu kontrollieren.

Durch die zunehmende Digitalisierung und Dokumentation unseres täglichen, beruflichen wie auch privaten, Lebens gelangen persönliche Daten vermehrt in die unendlichen Weiten von Internet und Aktenarchiven: Ob beim Versenden von Newslettern, durch Performance Marketing oder beim Consent Management, überall werden personenbezogene Daten gesammelt und archiviert. Sobald personenbezogene Daten einer natürlichen Person von einem Unternehmen gesammelt und verarbeitet werden (sollen), greift die Datenschutz-Grundverordnung (DSGVO) ein und spricht den betroffenen Personen sogenannte Betroffenenrechte zu, welche Sie zum Schutz Ihrer Daten nutzen können.

Was versteht man unter Betroffenenrechten?

Betroffenenrechte dienen natürlichen Personen als Werkzeuge, mit welchen Sie im  Rahmen der informationellen Selbstbestimmung die Nutzung Ihrer Daten beeinflussen können. Durch verstärkte Transparenz sollen natürliche Personen, deren Daten für verschiedene Zwecke erfasst werden, einen genauen Überblick über die Gesamtheit ihrer Daten erhalten und selbstbestimmt über die individuelle Nutzung der Daten entscheiden können. Hierbei ist es wichtig zu verstehen, dass Datenschutzgesuche nicht immer negativer Natur seinen müssen! Ändert man Beispielsweise seine Heimatadresse im Kundenportal seiner Bank, nimmt man automatisch sein Recht auf Berichtigung der eigenen Daten wahr und stellt ein Datenschutz Gesuch an seine Bank. Doch was beudeutet die Implikation der Betroffenenrechte für (junge) Unternehmen?  

Im Allgemeinen hat eine Person unabhängig von der Art des Gesuchs das Anrecht, folgende Informationen über die personenbezogenen Daten zu erfahren:

  • Um welchen Kategorien von Daten handelt es sich und zu welchem Zweck verfolgt das Unternehmen mit dem Erheben von Daten im vorliegenden Fall?
  • Wer erhält Zugriff auf die gesammelten Daten und warum? 
  • Welche Art der Datenerhebung wurde angewandt, solange diese nicht bei der Person selber erhoben worden sind?
  • Welche Art der Datenvorratsspeicherung wird angewandt und wie und über welchen Zeitraum ist eine Datenspeicherung vorgesehen?
  • Inwiefern werden die personenbezogenen Daten einem automatisierten Profiling unterzogen und welche Auswirkungen kann dies auf die jeweilige Person haben? 

Vor dem Hintergrund dieser Informationen haben betroffene Personen die Möglichkeit mittels der Betroffenenrechte selbstbestimmt über die eigenen Daten und Informationen zu bestimmen. Insgesamt gibt es sechs verschiedene Betroffenenrechte.  Diese lassen sich wie folgt definieren:

1. Die Informationspflicht 

Im Rahmen der sogenannten Informationspflicht sind Unternehmen gegenüber natürlichen Personen verpflichtet, diese transparent und umfassend über die Nutzung der individuellen personenbezogenen Daten aufzuklären. Dies kann auf dem schriftlichen, elektronischen oder mündlichem Wege passieren. Hierbei muss die Auskunft über die individuelle Datennutzung binnen einer Frist von einem Monat offenkundig gemacht werden. Im Rahmen der Informationspflicht erhält die betroffene Person lediglich Informationen über die erhobenen Daten. 

2. Recht auf Auskunft

Das Betroffenenrecht der Auskunft ist zweistufig gestaltet und gewährt der betroffenen Person einen Anspruch auf Auskunft über die bereits verarbeiteten Daten und die spezifischen Umstände der Datenverarbeitung. In der ersten Stufe kann eine natürliche Person erfragen, ob personenbezogene Daten über die eigene Person abgefragt und verarbeitet worden sind. Sollte dies nicht der Fall sein, so hat das Unternehmen eine Negativ-Auskunft zu erteilen. Werden Daten der betroffenen Person verarbeitet, so hat die betroffene Person ein Recht auf Auskunft und Information über die Art und Weise der Datenverarbeitung und Nutzung. Darüber hinaus hat eine Person das Anrecht auf eine schriftliche Übermittlung der Daten. Im Vergleich zur Informationspflicht, hat die antragstellende Person im Rahmen des Rechts auf Auskunft die Möglichkeit, sich über die Betroffenenrechte und mögliche Vorgehensweisen (gegen die Nutzung der personenbezogenen Daten) aufklären zu lassen.  

3. Recht auf Berichtigung

Das Recht auf Berichtigung ist eng mit dem Recht auf Auskunft und der Informationspflicht verknüpft, da betroffene Personen ohne Wissen über die personenbezogenen Daten das Recht auf Berichtigung in den meisten Fällen nicht in Anspruch nehmen können. Sollten Unstimmigkeiten in den personenbezogenen Daten auftreten, hat eine betroffene Person diese zwei Möglichkeiten: Zum einen können Datensätze, welche falsche Informationen über eine Person enthalten, korrigiert werden; Zum anderen können unvollständige Datensätze überarbeitet und ergänzt werden. Zu den klassischen Gesuchen dieser Art, gehören beispielsweise Adressänderungen nach einem Umzug. 

4. Recht auf “Vergessenwerden”

Das Recht des “Vergessenwerden” beschreibt das Recht auf Datenlöschung und ermöglicht es einer betroffenen Person, einen Anspruch auf unverzügliche Löschung der personenbezogenen Daten bei dem Datenverarbeitenden zu stellen. Dies ist jedoch nicht uneingeschränkt, sondern nur unter Berücksichtigung folgender Gründe für einen Widerruf der Daten möglich:

  • Die betroffene Person möchte Ihre Einwilligung zur Datenverarbeitung widerrufen oder möchte einen Widerspruch gegen eine weitere Verwendung Ihrer Daten einlegen, da diese zum Beispiel nicht mehr von Nöten (z.B. beim Wechsel eines Arztes). 
  • Die betroffene Person kann das Recht auf Datenverarbeitung widerrufen, sollten die personenbezogenen Daten unrechtmäßig verarbeitet worden sein. 
  • Sollte es sich bei der betroffenen Person um ein Kind oder einen jungen Erwachsen, welcher das 16. Lebensjahr noch nicht erreicht hat, handeln, so gelten besondere gesetzliche Vorschriften. Darüber hinaus kann es weitere rechtliche Vorschriften oder Gesetzte geben, welche eine besondere Behandlungung von Daten und deren Löschung vorschreibt. So dürfen Restaurants die im Rahmen der Covid-19 erhobenen Daten von Gästen beispielsweise nur über einen maximalen Zeitraum von 2 Wochen speichern. 

5. Recht auf eingeschränkte Verbreitung von Daten

Das Betroffenenrecht welches das Recht der Unternehmen in der Nutzung der jeweiligen personenbezogenen Daten einschränkt, kann auch als milderes Mittel im Vergleich zum Anspruch auf Löschung der Daten angesehen werden. Nimmt eine betroffene Person das Recht zur Einschränkung der Datennutzung in Anspruch, so werden die entsprechenden Daten für den allgemeinen Gebrauch gesperrt, können jedoch weiterhin für relevante Zwecke genutzt werden. Betroffene Personen können ihre Daten aus folgenden Gründen sperren lassen: 
 

  • Die betroffene Person kann die Richtigkeit der Daten und/ oder deren rechtmäßige Verarbeitung anzweifeln und ihre Daten für weitere Vorhergehensweisen sperren lassen. 
  • Betroffene Personen können ihre Daten sperren lassen, wenn diese aufgrund rechtlicher Vorschriften nicht gelöscht werden können oder eine Löschung im Zusammenhang mit dem Widerrufsrechts blockiert wird. 

6. Recht auf Übertragbarkeit der Daten

Unternehmen können von einer betroffenen Person dazu verpflichtet werden, gesammelte und bereits verarbeitete Daten an Dritte, zum Beispiel einem anderen Anbieter, zu übertragen. Da die Informationen einer betroffenen Person auch Informationen über dritte Personen enthalten können, muss sichergestellt werden, dass bei der Übertragung von Daten die Rechte Dritter nicht verletzt werden. 

Konsequenzen bei Missachtung von Datenschutzvorschriften oder Fristverletzungen

Ein Fehler ist schnell passiert und der Überblick über komplexe Themengebiete, wie in diesem Fall dem Datenschutz, ist schnell verloren. Während die Folgen einer umgestoßenen Kaffeetasse jedoch meist keine großen Konsequenzen mit sich zieht, sieht es beim Datenschutz jedoch schnell anders aus: Bei einem Verstoß gegen die Datenschutz-Grundverordnung drohen Unternehmen Bußgelder in einer Höhe von bis zu 20 Millionen Euro oder 4 % des Jahres Gesamtumsatzes. Bei Tochterunternehmen gilt darüber hinaus sogar der Jahresumsatz  des Konzerns als Berechnungsgrundlage. Wer sich bei der Bearbeitung von Datenschutzgesuchen oder der generellen Implementierung  von Datenschutz in die Unternehmensprozesse unsicher fühlt, sollte sich professionelle Unterstützung suchen. Ihr fühlt euch angesprochen, mit einem Datenschutzgesuch konfrontiert oder fühlt euch bei der Implementierung des  Datenschutzes unsicher? heyData bietet die Möglichkeit, euch in einem unverbindlichen Gespräch über die richtige Umsetzung der Datenschutz-Grundverordnung zu informieren.

Weitere Artikel

ISO 27001 Zertifizierung: So erreichst du Compliance in wenigen Schritten

ISO 27001 Zertifizierung: So erreichst du Compliance in wenigen Schritten

ISO 27001 ist ein wesentlicher Standard für das Management der Informationssicherheit, der sicherstellt, dass sensible Daten systematisch behandelt werden. Dieser Blog dient als umfassender Leitfaden für die ISO 27001-Zertifizierung und erläutert die wichtigsten Anforderungen und Vorteile für Unternehmen. Er betont, wie Organisationen jeder Größe den Datenschutz verbessern und ihr Engagement für Cybersicherheit unter Beweis stellen können. Der Artikel stellt ISO 27001 NIS2 gegenüber, untersucht ihre Unterschiede und Gemeinsamkeiten, liefert Beispiele für die Umsetzung in der Praxis und stellt einen Compliance-Rahmen mit Schritten zur Verwendung von Tools wie heyData für eine effektive Umsetzung vor.

Mehr erfahren
Informationssicherheitsmanagement: Definition, Vorteile und Leitfaden zur Umsetzung

Informationssicherheits-Managementsystem (ISMS): Definition, Vorteile und Leitfaden zur Umsetzung

Ein Informationssicherheits-Managementsystem (ISMS) ist ein strukturierter Ansatz zur Sicherung sensibler Daten, zur Risikominderung und zur Einhaltung von Compliance-Anforderungen. Durch Richtlinien, Verfahren und Kontrollen, die auf Standards wie ISO 27001 abgestimmt sind, gewährleistet ein ISMS die Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Zu den wichtigsten Vorteilen gehören ein verbesserter Datenschutz, die Einhaltung der DSGVO und des PCI DSS sowie die Geschäftskontinuität. Die Implementierung eines ISMS umfasst die Definition von Zielen, die Bewertung von Risiken, die Bereitstellung von Sicherheitsrahmen und möglicherweise die Erlangung einer ISO-Zertifizierung, was es zu einem wertvollen Gut in der sich entwickelnden digitalen Landschaft macht.

Mehr erfahren
hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz: So schaffst du eine Kultur des Vertrauens in deinem Unternehmen

Es ist wichtig, dass in deinem Unternehmen eine Kultur geschaffen wird, in der Whistleblower willkommen sind. Das sorgt für mehr Transparenz, Verantwortlichkeit und Compliance. Dieser Leitfaden zeigt, wie man eine Kultur schafft, in der Mitarbeiter:innen offen über Probleme sprechen können. Dazu muss man erst Whistleblowing-Programme einrichten. Diese Programme müssen einfach zu nutzen sein und alle Informationen vertraulich behandeln. Außerdem muss man die Mitarbeiter:innen schulen und ihnen zeigen, dass man ihnen vertraut. Wenn jemand einen Fehler macht, darf er oder sie nicht bestraft werden. Alle Meldungen müssen schnell bearbeitet werden. Wenn man das alles beachtet, kann man eine transparente und ethische Organisationskultur schaffen, in der alle vertrauen und gemeinsam Probleme lösen.

Mehr erfahren

Lerne jetzt unverbindlich unser Team kennen!

Kontakt aufnehmen