• Gut zu sehen, was schon geschafft ist. Besser zu wissen was noch vor uns liegt.
  • Präzision, perfektes Timing und der Blick für das Wesentliche.
  • Im richtigen Moment das Richtige tun. Das unterscheidet die Besten von den Guten.
  • Ziele erreichen mit einem zuverlässigen Partner an der Seite.
Focus Datenschutz

Dr. Michael Rath

Betroffenenrechte im Datenschutzrecht ab 2018: Rechte und Pflichten nach der neuen Rechtslage

Ab 2018 werden die sog. „Betroffenenrechte“ gestärkt. Dahinter stecken die Rechte des einzelnen von der Erhebung personenbezogener Daten Betroffenen. Dieser hat gegenüber dem „Verantwortlichen“, also dem Unternehmen, welches ebendiese personenbezogenen Daten verarbeitet, umfassende Auskunfts-, Berichtigungs- und Löschungsrechte. Diese Rechte führen naturgemäß zu entsprechenden Verpflichtungen der Verantwortlichen, auf die sie sich angesichts drohender Abmahnwellen und einschneidender Sanktionen rechtzeitig vorbereiten sollten.

Die neuen Rechtsgrundlagen

Die EU-Datenschutzgrundverordnung (DSGVO) gilt ab dem 25.05.2018 in der gesamten EU. Auch das bisherige Bundesdatenschutzgesetz (BDSG-alt) wird ab diesem Zeitpunkt aktualisiert (BDSG-neu). Das BDSG-neu wird die DSGVO ergänzen und den von der DSGVO vorgesehenen Gestaltungsspielraum ausschöpfen. Dazu soll für den speziellen Bereich der elektronischen Kommunikation dann noch die sog. e-PrivacyVO der EU kommen, die sich derzeit noch in der Entwurfsphase befindet, deren Inkrafttreten aber ebenfalls für Mai 2018 avisiert wird.

Rechte der Betroffenen ab Mai 2018

Das wichtigste Betroffenenrecht ist das in Art. 15 DSGVO geregelte Auskunftsrecht, denn die damit eingeholten Informationen schaffen oft erst die Grundlage für die Ausübung weiterer Betroffenenrechte. Das Auskunftsrecht besteht dabei zwar schon nach der jetzigen Rechtslage im BDSG(-alt), wird aber ab nächstem Jahr durch die DSGVO weiter gestärkt. Zunächst kann der Betroffene Auskunft darüber verlangen, ob und welche Daten vom Verantwortlichen erhoben wurden. Neben Informationen zu Verarbeitungszweck und Empfänger der Übermittlung hat der Betroffene auch Anspruch auf Auskunft über die geplante Speicherdauer.

Die Auskunft muss spätestens innerhalb eines Monats erfolgen und dem Betroffenen muss auf Verlangen eine Kopie der Daten ausgehändigt werden. Die Auskunft ist zudem – mit Ausnahme missbräuchlicher Auskunftsverlangen oder Verlangen mehrfacher Kopien – kostenlos zu erteilen. Demgegenüber steht das Recht des Verantwortlichen, nähere Informationen über die Identität des Antragsstellers zu verlangen und bei zu pauschalen Auskunftsverlangen eine Präzisierung zu fordern.

Löschung von Daten: Recht auf Vergessenwerden

Ergibt die eingeholte Auskunft des Betroffenen, dass über ihn Daten erhoben werden, hat er unter bestimmten Umständen das Recht, ihre Löschung zu verlangen. Die Vorschrift listet zahlreiche Fälle auf, in denen der Betroffene so ein Recht genießt, bspw. wenn die weitere Verarbeitung zur Erreichung des ursprünglichen Zwecks der Datenerhebung nicht mehr nötig ist (z.B. weil der Vertrag abschließend abgewickelt wurde). Hier lohnt sich für die Unternehmen mit Blick auf die weitere Datennutzung stets die Prüfung der diversen Ausnahmetatbestände, die das Löschungsrecht des Betroffenen unter Umständen entfallen lassen.

Das BDSG-neu enthält mehrere ergänzende Vorschriften zur Löschung der Betroffenendaten, bspw. speziell für den Fall der Videoüberwachung im öffentlichen Raum.

Nach Art. 18 DSGVO hat der Betroffene unter den dort genannten Umständen das Recht, eine Einschränkung der Datenverarbeitung verlangen. Im Falle einer Verarbeitungseinschränkung dürfen die Daten dann nur noch weiter gespeichert, nicht aber verarbeitet werden. Erfolgt eine Berichtigung oder Löschung von Daten des Betroffenen, hat der Verantwortliche allen Empfängern, denen er die Daten offengelegt hat, die Löschung bzw. Berichtigung mitzuteilen, soweit dies möglich und nicht unverhältnismäßig aufwändig ist.

Datenportabilität

Ein ganz neues Recht stellt das mit der DSGVO einzuführende Recht auf Datenübertragbarkeit (Art. 20 DSGVO) dar. Es soll vor allem den Wettbewerb fördern, indem der Wechsel zwischen verschiedenen Diensteanbietern für den Kunden erleichtert wird. Hiernach hat der Betroffene das Recht, alle von ihm bereitgestellten personenbezogenen Daten in gebündelt in einem gängigen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln oder, soweit dies technisch machbar ist, direkt vom alten Verantwortlichen auf den neuen Verantwortlichen übermitteln zu lassen. Die oben beschrieben Löschung der Daten(kopien) beim alten Verantwortlichen kann der Betroffene dabei zusätzlich zur Datenmigration verlangen.

Umfassendes Widerspruchsrecht

Ferner enthält Art. 21 DSGVO ein Widerspruchsrecht des Betroffenen gegen Datenverarbeitungen, die auf andere Rechtfertigungen gestützt werden als auf seine Einwilligung. Nämlich die Verarbeitung im öffentlichen Interesse bzw. aufgrund der (behaupteten) überwiegenden Interessen des Verantwortlichen. Auch ist hier ein ausdrückliches Widerspruchsrecht gegen eine Verarbeitung zum Zweck der Direktwerbung geregelt. Letztlich regelt Art. 22 DSGVO die Betroffenenrechte bei sog. „Automatisierten Entscheidungen im Einzelfall“, erlaubt diese nur unter engen Voraussetzungen (etwa, wenn dies zur Erfüllung eines Vertrages nötig ist) und sieht ein Mindestmaß an Einwirkungsmöglichkeiten des Betroffenen vor, das die Verarbeiter bei solchen automatischen Entscheidungen anbieten müssen.

Umfassende Informationspflichten

Auch die Informationspflichten der Verantwortlichen in Art. 13, 14 DSGVO werden umfangreicher. Dabei unterscheidet die DSGVO zwischen Daten, welche direkt beim Betroffenen erhoben werden, und solchen, die über ihn bei Dritten eingeholt werden. So ist der Betroffene bspw. über Name und Kontaktdaten des Verantwortlichen sowie Verarbeitungszweck und Speicherdauer zu informieren. Werden die über den Betroffenen erhobenen Daten später einem ursprünglich nicht vorgesehenen Empfänger offengelegt, ist auch hierüber zu informieren. Eine Abwehrmöglichkeit der Verantwortlichen stellt hier neben ggf. einschlägigen Ausnahmetatbeständen auch der Einwand dar, die Information nur unter Inkaufnahme unverhältnismäßigen Aufwands bereitstellen zu können.

Drohende Folgen für Unternehmen bei Verstößen gegen Betroffenenrechte

Verstößt ein Verantwortlicher gegen seine Informationspflicht oder gegen die Rechte der Betroffenen, drohen Geldbußen bis zu 20 Mio. Euro oder 4% des weltweiten Jahresgesamtumsatzes, je nachdem was höher ist. § 42 BDSG-neu enthält über die bloße Geldbuße hinaus sogar die Androhung von 2 bzw. 3 Jahren Freiheitsstrafe für bestimmte Fälle der unrechtmäßigen, strafbaren Datenverarbeitung. Ergänzt werden die vorgenannten Sanktionen durch die in Art. 82 DSGVO geregelte Möglichkeit eines Schadens- und ggf. sogar Schmerzensgeldanspruchs. Nicht ausdrücklich gesetzlich geregelt, aber mindestens genauso abschreckend für Unternehmen dürfte letztlich der Reputationsverlust sein, der bei medienwirksamen Datenschutzverstößen stets droht.

Spezialfall: Betroffenenrechte im Arbeitsverhältnis

Unternehmen werden sich aber nicht nur mit den Datenschutzrechten ihrer Kunden intensiver als bisher beschäftigen müssen, sondern im besonderen Maße auch mit jenen ihrer Beschäftigten. Einerseits weil Beschäftigten jedenfalls grundsätzlich dieselben Betroffenenrechte zustehen wie unternehmensfremden Personen. Andererseits weil dieser Bereich mit der nunmehr gesetzlich explizit genannten Möglichkeit von Kollektivvereinbarungen auch besonderes Gestaltungspotential für den Arbeitgeber birgt. So müssen Unternehmen zwar besondere Vorsicht bei jeglichen Maßnahmen zur Arbeitnehmerüberwachung und bei der Verarbeitung von Gesundheitsdaten als sog. „besondere Kategorien personenbezogener Daten“ (Art. 9 DSGVO) walten lassen. Andererseits können die Kollektivvereinbarungen die Grundlage für die notwendigen Datenverarbeitungen und –übermittlungen im Unternehmen und der Unternehmensgruppe schaffen.

Was müssen Unternehmen jetzt tun?

Knapp ein halbes Jahr haben Unternehmen jetzt noch Zeit, um sich auf die neue Rechtslage im Datenschutz vorzubereiten. Diese Zeit sollten sie angesichts der geschilderten, drohenden Sanktionen nutzen. Denn es ist damit zu rechnen, dass gerade in Bezug auf die Betroffenenrechte neue Player zur Rechtedurchsetzung auf dem Markt auftauchen werden, die zwar den Aufwand für Betroffene auf wenige Klicks reduzieren werden, jedoch dadurch spiegelbildlich für erhebliche Bearbeitungslast bei den Unternehmen sorgen werden. Das wird Unternehmen dazu zwingen, bisher womöglich vernachlässigte Maßnahmen zu ergreifen und sich vor allem Rechtsklarheit darüber zu verschaffen, von welchen der oben angesprochenen Ausnahmetatbestände und Abwehrrechte sie ggfls. profitieren könnten, um sich gegen missbräuchliche und unberechtigte Anfragen von Betroffenen und Abmahnungen von Wettbewerbern zu wehren. Die im Unternehmen vorhandenen Datenflüsse und –erhebungen müssen hierzu gesichtet, Mitarbeiter datenschutzrechtlich sensibilisiert und standardisierte Prozesse zur Reaktion auf Betroffenenrechte etabliert werden. Bestenfalls können durch präzise Analyse und bedarfsgerechte Etablierung standardisierter Prozesse sogar Kosten eingespart und der Ruf als besonders datenschutzfreundliches Unternehmen erlangt werden.

Die Autoren:

 

Dr. Michael Rath
Rechtsanwalt, Fachanwalt für IT-Recht
Certified ISO/IEC 27001 Lead Auditor
Partner

Anna-Schneider-Steig 22
50678 Köln
Telefon +49 221 9937 25795
michael.rath(at)luther-lawfirm.com

Daniel Lehmann

Anna-Schneider-Steig 22
50678 Köln
daniel.lehmann(at)luther-lawfirm.com