Das GDPR erweitert die Rechte der betroffenen Personen. Sie sollten diese Rechte kennen, damit Sie Ihre Rechte wahrnehmen und bei Datenschutzanfragen an Ihr Unternehmen gesetzeskonform reagieren können. Wie Sie aus der Grafik ersehen können, sieht das GDPR folgende Rechte für natürliche Personen vor:
Aber was bedeuten diese Rechte eigentlich in der Praxis? Schauen wir genauer hin:
Beginnen wir mit dem Recht, informiert zu werden. Wenn Ihre persönlichen Daten verarbeitet werden, ist der für die Datenverarbeitung Verantwortliche bzw. die für die Datenverarbeitung Verantwortliche verpflichtet, Ihnen zum Zeitpunkt der Erfassung Ihrer Daten bestimmte Informationen zu geben, darunter insbesondere:
wer Ihre Daten verarbeitet (Name und Kontaktangaben)
welche Daten sie verarbeiten,
warum sie es bearbeiten und
für wie lange die Daten aufbewahrt werden
Darüber hinaus verlangt das GDPR, dass die Informationen Ihnen zur Verfügung gestellt werden
in einer präzisen, transparenten und leicht zugänglichen Form
in klarer und einfacher Sprache und
kostenlos
Um dem Recht auf Information gerecht zu werden, müssen die für die Datenverarbeitung Verantwortlichen den Personen aktiv bestimmte Informationen zur Verfügung stellen. Im Gegensatz dazu berechtigt das Auskunftsrecht jede betroffene Person, eine Kopie ihrer persönlichen Daten und andere ergänzende Informationen über die Datenverarbeitung zu erhalten.
Die folgende Grafik zeigt die richtige Antwort, wenn eine betroffene Person ihr Auskunftsrecht ausüben möchte:
Wie Sie aus der Grafik ersehen können, kann das Auskunftsersuchen persönlich, schriftlich oder telefonisch gestellt werden. Es ist wichtig, die Identität der Person, die das Ersuchen stellt, zweifelsfrei zu klären.
Der nächste Schritt ist die Prüfung der Verantwortlichkeit.
Wichtig
Betroffene Rechte können nur bei der verantwortlichen Stelle geltend gemacht werden! Da der/ die DatenverarbeiterIn jedoch eine Unterstützungspflicht hat, sollte die Datenschutzanfrage direkt an die für die Datenverarbeitung Verantwortlichen weitergeleitet werden.
Ohne ausdrückliche Weisung sind Sie als MitarbeiterIn nicht berechtigt, Auskunft über Personendaten zu erteilen!
Wie Sie vielleicht schon aus der Grafik ersehen konnten, müssen die für die Verarbeitung Verantwortlichen dem Antrag auf Ausübung des Auskunftsrechts nachkommen, wenn keine personenbezogenen Daten verarbeitet werden (Negativinformation). Werden personenbezogene Daten tatsächlich verarbeitet, haben die Personen jedoch das Recht, auf diese Daten zuzugreifen, eine Kopie der verarbeiteten personenbezogenen Daten zu erhalten und alle relevanten Zusatzinformationen zu erhalten.
Wichtig
Im Falle eines Datenschutzbegehrens beträgt die Frist für die Auskunftserteilung grundsätzlich nureinen Monat nach Eingang des Begehrens.
Hinweis
Die bisher erlernten Regelungen in Bezug auf
– Form der Datenschutzanfrage (schriftlich, elektronisch, persönlich, telefonisch)
– Verpflichtung, im Zweifelsfall die Identität der betroffenen Person zu überprüfen
– Verantwortung des Datenschutzantrags (nur für die Datenverarbeitung Verantwortlichen)
– Frist für die Antwort zum Datenschutz (1 Monat)
gelten gleichermaßen für ALLE Rechte der betroffenen Personen!
Das Recht auf Berichtigung gibt Einzelpersonen das Recht, die Berichtigung unrichtiger, ungenauer oder unvollständiger personenbezogener Daten zu verlangen.
Der Einzelne kann die Löschung von Personendaten verlangen, wenn beispielsweise die vom Unternehmen verarbeiteten Daten nicht mehr benötigt werden oder wenn die Daten unrechtmäßig verwendet worden sind. Dieses Recht gilt auch online und wird oft als das “Recht, vergessen zu werden” bezeichnet. Dieses Recht verpflichtet die für die Datenverarbeitung Verantwortlichen, alle angemessenen Schritte zu unternehmen, um öffentlich bekannt gegebene personenbezogene Daten zu entfernen.
Das Recht, die Verarbeitung einzuschränken, ist ein Recht, das nur unter bestimmten Bedingungen ausgeübt werden kann. Beispiele hierfür sind der Einspruch einer betroffenen Person gegen die Datenverarbeitung, wobei die Entscheidung über den Einspruch noch aussteht, oder ein Streit über die Richtigkeit der Daten.
Das Recht auf Datenportabilität soll sicherstellen, dass Einzelpersonen die Übermittlung der von ihnen zur Verfügung gestellten personenbezogenen Daten in einem strukturierten, gemeinsamen und maschinenlesbaren Format an einen für die Datenverarbeitung Verantwortlichen beantragen können. Das Recht gilt nur, wenn die Daten auf der Grundlage einer Einwilligung oder eines Vertrages verarbeitet werden. Sie können auch verlangen, dass personenbezogene Daten direkt an einen anderen für die Datenverarbeitung Verantwortlichen übermittelt werden, wenn dies technisch machbar ist.
Beispiel
Angenommen, Sie möchten Ihren E-Mail-Provider wechseln. Das Recht auf Datenübertragbarkeit ermöglicht es Ihnen, Ihren derzeitigen E-Mail-Provider zu bitten, Ihre Kontaktliste an einen neuen E-Mail-Provider zu senden.
Grundsätzlich haben die betroffenen Personen das Recht, gegen die Verarbeitung personenbezogener Daten Widerspruch einzulegen. Ob dieses Recht gilt, hängt vom Zweck und der rechtmäßigen Grundlage der Verarbeitung ab. Beispielsweise haben Sie immer das Recht, der Verarbeitung zum Zweck der Direktwerbung zu widersprechen. Werden Daten jedoch beispielsweise für wissenschaftliche oder historische Forschung oder für statistische Zwecke verarbeitet, ist das Widerspruchsrecht eingeschränkter.
Das GDPR gibt Einzelpersonen das Recht, sich nicht einer Entscheidung zu unterwerfen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich der Erstellung von Profilen, beruht.
Wichtig
Nur natürliche Personen haben Anspruch auf Ausübung der Datenschutzrechte! Die Ausübung der Rechte der betroffenen Personen muss unentgeltlich sein. Die Nichteinhaltung dieser Rechte kann zu hohen Geldstrafen führen.
Das GDPR erweitert die Rechte der betroffenen Personen. Sie sollten diese Rechte kennen, damit Sie Ihre Rechte wahrnehmen und bei Datenschutzanfragen an Ihr Unternehmen gesetzeskonform reagieren können. Wie Sie aus der Grafik ersehen können, sieht das GDPR folgende Rechte für natürliche Personen vor:
Aber was bedeuten diese Rechte eigentlich in der Praxis? Schauen wir genauer hin:
Beginnen wir mit dem Recht, informiert zu werden. Wenn Ihre persönlichen Daten verarbeitet werden, ist der für die Datenverarbeitung Verantwortliche bzw. die für die Datenverarbeitung Verantwortliche verpflichtet, Ihnen zum Zeitpunkt der Erfassung Ihrer Daten bestimmte Informationen zu geben, darunter insbesondere:
Darüber hinaus verlangt das GDPR, dass die Informationen Ihnen zur Verfügung gestellt werden
Um dem Recht auf Information gerecht zu werden, müssen die für die Datenverarbeitung Verantwortlichen den Personen aktiv bestimmte Informationen zur Verfügung stellen. Im Gegensatz dazu berechtigt das Auskunftsrecht jede betroffene Person, eine Kopie ihrer persönlichen Daten und andere ergänzende Informationen über die Datenverarbeitung zu erhalten.
Die folgende Grafik zeigt die richtige Antwort, wenn eine betroffene Person ihr Auskunftsrecht ausüben möchte:
Wie Sie aus der Grafik ersehen können, kann das Auskunftsersuchen persönlich, schriftlich oder telefonisch gestellt werden. Es ist wichtig, die Identität der Person, die das Ersuchen stellt, zweifelsfrei zu klären.
Der nächste Schritt ist die Prüfung der Verantwortlichkeit.
Wichtig
Betroffene Rechte können nur bei der verantwortlichen Stelle geltend gemacht werden! Da der/ die DatenverarbeiterIn jedoch eine Unterstützungspflicht hat, sollte die Datenschutzanfrage direkt an die für die Datenverarbeitung Verantwortlichen weitergeleitet werden.
Ohne ausdrückliche Weisung sind Sie als MitarbeiterIn nicht berechtigt, Auskunft über Personendaten zu erteilen!
Wie Sie vielleicht schon aus der Grafik ersehen konnten, müssen die für die Verarbeitung Verantwortlichen dem Antrag auf Ausübung des Auskunftsrechts nachkommen, wenn keine personenbezogenen Daten verarbeitet werden (Negativinformation). Werden personenbezogene Daten tatsächlich verarbeitet, haben die Personen jedoch das Recht, auf diese Daten zuzugreifen, eine Kopie der verarbeiteten personenbezogenen Daten zu erhalten und alle relevanten Zusatzinformationen zu erhalten.
Wichtig
Im Falle eines Datenschutzbegehrens beträgt die Frist für die Auskunftserteilung grundsätzlich nur einen Monat nach Eingang des Begehrens.
Hinweis
Die bisher erlernten Regelungen in Bezug auf
– Form der Datenschutzanfrage (schriftlich, elektronisch, persönlich, telefonisch)
– Verpflichtung, im Zweifelsfall die Identität der betroffenen Person zu überprüfen
– Verantwortung des Datenschutzantrags (nur für die Datenverarbeitung Verantwortlichen)
– Frist für die Antwort zum Datenschutz (1 Monat)
gelten gleichermaßen für ALLE Rechte der betroffenen Personen!
Das Recht auf Berichtigung gibt Einzelpersonen das Recht, die Berichtigung unrichtiger, ungenauer oder unvollständiger personenbezogener Daten zu verlangen.
Der Einzelne kann die Löschung von Personendaten verlangen, wenn beispielsweise die vom Unternehmen verarbeiteten Daten nicht mehr benötigt werden oder wenn die Daten unrechtmäßig verwendet worden sind. Dieses Recht gilt auch online und wird oft als das “Recht, vergessen zu werden” bezeichnet. Dieses Recht verpflichtet die für die Datenverarbeitung Verantwortlichen, alle angemessenen Schritte zu unternehmen, um öffentlich bekannt gegebene personenbezogene Daten zu entfernen.
Das Recht, die Verarbeitung einzuschränken, ist ein Recht, das nur unter bestimmten Bedingungen ausgeübt werden kann. Beispiele hierfür sind der Einspruch einer betroffenen Person gegen die Datenverarbeitung, wobei die Entscheidung über den Einspruch noch aussteht, oder ein Streit über die Richtigkeit der Daten.
Das Recht auf Datenportabilität soll sicherstellen, dass Einzelpersonen die Übermittlung der von ihnen zur Verfügung gestellten personenbezogenen Daten in einem strukturierten, gemeinsamen und maschinenlesbaren Format an einen für die Datenverarbeitung Verantwortlichen beantragen können. Das Recht gilt nur, wenn die Daten auf der Grundlage einer Einwilligung oder eines Vertrages verarbeitet werden. Sie können auch verlangen, dass personenbezogene Daten direkt an einen anderen für die Datenverarbeitung Verantwortlichen übermittelt werden, wenn dies technisch machbar ist.
Beispiel
Angenommen, Sie möchten Ihren E-Mail-Provider wechseln. Das Recht auf Datenübertragbarkeit ermöglicht es Ihnen, Ihren derzeitigen E-Mail-Provider zu bitten, Ihre Kontaktliste an einen neuen E-Mail-Provider zu senden.
Grundsätzlich haben die betroffenen Personen das Recht, gegen die Verarbeitung personenbezogener Daten Widerspruch einzulegen. Ob dieses Recht gilt, hängt vom Zweck und der rechtmäßigen Grundlage der Verarbeitung ab. Beispielsweise haben Sie immer das Recht, der Verarbeitung zum Zweck der Direktwerbung zu widersprechen. Werden Daten jedoch beispielsweise für wissenschaftliche oder historische Forschung oder für statistische Zwecke verarbeitet, ist das Widerspruchsrecht eingeschränkter.
Das GDPR gibt Einzelpersonen das Recht, sich nicht einer Entscheidung zu unterwerfen, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich der Erstellung von Profilen, beruht.
Wichtig
Nur natürliche Personen haben Anspruch auf Ausübung der Datenschutzrechte! Die Ausübung der Rechte der betroffenen Personen muss unentgeltlich sein. Die Nichteinhaltung dieser Rechte kann zu hohen Geldstrafen führen.