Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.

Eines der wesentlichen Ziele bei der Neuregelung des europäischen Datenschutzrechts durch die Datenschutz-Grundverordnung (DSGVO) ist der Ausbau der Betroffenenrechte. Diese sollen laut der Erwägungsgründe der DSGVO durch die Verordnung gestärkt und präzisiert werden. Unter Betroffenenrechten, oder unter „Rechten der betroffenen Person“ im Terminus der DSGVO, versteht das Datenschutzrecht die Rechte jedes Einzelnen gegenüber für die Verarbeitung Verantwortlichen. Das deutsche Bundesdatenschutzgesetz (BDSG) kennt in seinen §§ 33 bis 35 bereits eine Reihe derartiger Rechte.

Gegenstand dieses Beitrags wird nun die Darstellung der Regelungen zu den Rechten der betroffenen Personen in den Artikeln 12 ff. der DSGVO sowie ein Vergleich dieser Regelungen mit der gegenwärtig noch bestehenden Rechtslage nach dem BDSG sein. Anhand dieser Gegenüberstellung kann anschließend bewertet werden, inwieweit es durch die DSGVO tatsächlich zur Stärkung und Präzisierung der Rechte der betroffenen Personen kommt.

Informationspflichten

Den Auftakt unter den Rechten der betroffenen Personen in der DSGVO machen die in Art. 13 und Art. 14 geregelten Informationspflichten. Jene waren bereits Gegenstand dieses Beitrags aus unserer Reihe zur DSGVO.

Auskunftsrecht der betroffenen Person

Weiter geht es mit dem Auskunftsrecht der betroffenen Person in Art. 15 DSGVO. Im groben entspricht dieses der Regelung des § 34 BDSG. Die betroffene Person hat nach Art. 15 DSGVO ein Recht zu erfahren, ob ein für die Verarbeitung Verantwortlicher sie betreffende personenbezogene Daten verarbeitet. Soweit dies der Fall ist, hat die betroffene Person weiter ein Recht auf Auskunft über die Umstände der Datenverarbeitung.

Wie schon in § 34 BDSG erstreckt sich das Auskunftsrecht auf die jeweiligen Daten, die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden und die Empfänger, an die die Daten weitergegeben werden oder worden sind.

Darüber hinaus erweitert Art. 15 DSGVO den Anspruchsumfang auf die geplante Dauer der Speicherung, die Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden und das Vorliegen einer automatisierten Entscheidungsfindung einschließlich Profiling. Zusätzlich umfasst das Auskunftsrecht nun auch einen Anspruch auf Informationen über das Bestehen eines Rechts auf Berichtigung oder Löschung der personenbezogenen Daten und einen Anspruch auf Informationen über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

In formeller Hinsicht bestimmt Art. 12 Abs. 5 DSGVO, dass die Auskunft grundsätzlich unentgeltlich erteilt werden muss. Während diese Regelung so bereits in § 34 Abs. 8 BDSG enthalten ist, ergeben sich aus Art. 12 Abs. 3 DSGVO zwei Neuerungen. Anders als § 34 BDSG enthält Art. 12 Abs. 3 DSGVO zum einen eine konkrete Frist zur Beantwortung des Auskunftsersuchen. Die Antwort hat ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu erfolgen. Zum anderen bestimmt Art. 12 Abs. 3 DSGVO, dass Auskunftsersuchen nach Möglichkeit auf elektronischem Wege zu beantworten sind, wenn sie auf elektronischem Wege gestellt wurden. Eine weitere Neuerung enthält Art. 12 Abs. 4 DSGVO. Nach dieser Norm ist die betroffene Person über die Gründe für ein etwaiges Untätigbleiben auf ein Auskunftsersuchen hin und über die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde zu unterrichten.

Recht auf Löschung („Recht auf Vergessenwerden“)

Art. 17 Abs. 1 DSGVO bringt mit dem Recht auf Löschung personenbezogener Daten zunächst keine wesentlichen Änderungen im Vergleich zum entsprechenden § 35 Abs. 2 BDSG. Die wichtigsten Fallgruppen, in denen die Löschung von Daten verlangt werden kann, bleiben dieselben. Nach Art. 17 Abs. 3b DSGVO scheidet eine Löschung dabei auch weiterhin aus, wenn gesetzliche Aufbewahrungsfristen bestehen (siehe § 35 Abs. 3 Nr. 1 BDSG).

In Art. 17 Abs. 2 DSGVO ist nunmehr das in der Öffentlichkeit bereits viel zitierte „Recht auf Vergessenwerden“ normiert. Was sich genau hinter dem großen Namen verbirgt ist jedoch fraglich. Hat ein für die Verarbeitung Verantwortlicher, der nach Art. 17 Abs. 1 DSGVO zur Löschung von personenbezogenen Daten verpflichtet ist, diese Daten zuvor öffentlich gemacht, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat. Für den für die Verarbeitung Verantwortlichen bedeutet dies Aufwand dahingehend, als dass er andere Verantwortliche ermitteln und informieren muss. Unklar bleibt vorerst, ob es mit der Information allein schon getan ist, oder ob der für die Verarbeitung Verantwortliche den Löschungsanspruch gegen die anderen Stellen im Namen der betroffenen Personen durchsetzen soll. Weiterhin bleibt abzuwarten, inwieweit Unternehmen die schwammigen Formulierungen des Gesetzes ausnutzen werden, um technische Probleme als Hinderungsgrund anzuführen.

Unterm Strich stellt das „Recht auf Vergessenwerden“ somit eine Erweiterung des Anspruchsumfangs des bekannten „Rechts auf Löschung“ dar.

Recht auf Datenübertragbarkeit

Etwas wirklich Neues bringt Art. 20 DSGVO mit dem Recht auf Datenübertragbarkeit. Betroffene haben in Zukunft das Recht, die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie haben das Recht, diese Daten einem anderen für die Verarbeitung Verantwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln. Dieses Recht soll dann bestehen, wenn eine automatisierte Datenverarbeitung zur Durchführung eines Vertrags erfolgte oder auf einer Einwilligung basierte. Der Anspruch aus Art. 20 DSGVO beinhaltet darüber hinaus auch das Recht zu erwirken, dass die Daten direkt von einem für die Verarbeitung Verantwortlichen einem anderen für die Verarbeitung Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

Durch die Schaffung des Rechts auf Datenübertragbarkeit soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten, die automatisiert verarbeitet werden, gestärkt werden. Hauptanwendungsfall werden wohl zunächst Soziale Netzwerke sein. Der Wechsel von einer Plattform wie Facebook hin zu einem anderen Anbieter soll durch die Möglichkeit zur Mitnahme der eingestellten Daten (Fotos, Beiträge, Kontaktdaten, persönliche Angaben) erleichtert werden. Dem Lock-In-Effekt bei der Nutzung eines Sozialen Netzwerks soll entgegengewirkt werden. Ein weiterer denkbarer Anwendungsfall könnte sich etwa beim Wechsel des Stromanbieters eines Verbrauchers ergeben. Bereits heute werden bei einem Wechsel Daten zwischen den betroffenen Anbietern weitergegeben.

Welche weiteren Anwendungsbereiche das Recht auf Datenübertragbarkeit finden wird bleibt abzuwarten. Ebenso wird sich zeigen müssen, ob sich für die Verarbeitung Verantwortliche nicht hinter angeblichen technischen Hürden verschanzen werden, die einer Datenübermittlung an andere Anbieter angeblich im Wege stünden.

Weitere Betroffenenrechte

Vervollständigt wird das Kapitel der Betroffenenrechte in der DSGVO schließlich durch das Widerspruchsrecht in Art. 21, das Recht auf Einschränkung der Verarbeitung in Art. 18 und das Recht auf Berichtigung in Art. 16. Das Widerspruchsrecht beinhaltet zum einen die Möglichkeit, der Verarbeitung eigener Daten zu werblichen Zwecken zu widersprechen. Die entsprechende Regelung im BDSG ist § 28 Abs. 4. Daneben kann beim Vorliegen besonderer Gründe auch einer ursprünglich rechtmäßigen Datenverarbeitung zu anderen Zwecken widersprochen werden. Eine ähnliche, wenn auch weitgehend unbekannte Regelung gibt es bereits in § 35 Abs. 5 BDSG. Mit dem Recht auf Einschränkung der Verarbeitung können Betroffene beim Vorliegen bestimmter Voraussetzungen erreichen, dass ihre personenbezogenen Daten beim für die Verarbeitung Verantwortlichen gesperrt und somit nicht weiter verarbeitet werden. So kann die Sperrung für die Dauer der Aufklärung verlangt werden, wenn die Richtigkeit der gespeicherten Daten bestritten wird. Eine entsprechende Vorschrift findet sich im BDSG in § 35 Abs. 4. Das Recht bietet außerdem eine Alternative zur Löschung der Daten, wenn die weitere Verarbeitung unzulässig ist. Das Recht auf Berichtigung aus Art. 16 DSGVO umfasst einen Anspruch der betroffenen Person, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Eine vergleichbare Regelung befindet sich in § 35 Abs. 1 BDSG.

Fazit

Die Regelungen zu den Betroffenenrechten in der EU Datenschutzgrundverordnung bringen zwar nur wenig wirklich Neues im Vergleich zur Rechtslage unter dem BDSG. Eine Schwächung sind sie jedoch keinesfalls. Die bereits bekannten Rechte auf Auskunft und Löschung werden inhaltlich erweitert und in formeller Hinsicht konkretisiert. Das Recht auf Datenübertragbarkeit stellt sogar eine Innovation dar.

Weitere Beiträge zur DSGVO in unserem Blog.