Die Betroffenenrechte der DSGVO: Ein Überblick

Bedeutung der Betroffenenrechte für den Datenschutz

Die Betroffenenrechte sind ein zentraler Bestandteil der seit 2018 geltenden DSGVO. Sie stellen sicher, dass Einzelpersonen die Kontrolle über ihre personenbezogenen Daten behalten und geben ihnen die Möglichkeit, Einfluss auf die Art der Datenverarbeitung zu nehmen.

Diese Rechte

• schützen die Privatsphäre von EU-Bürgern,
• ermöglichen Betroffenen, ihre Datenrechte aktiv wahrzunehmen und
• schaffen Transparenz in der Datenverarbeitung.

Die Betroffenenrechte der DSGVO sind auch für Unternehmen relevant. Wer die Rechte von Betroffenen achtet und die gesetzlichen Verpflichtungen der DSGVO erfüllt, muss keine Bußgelder fürchten und stärkt gleichzeitig das Vertrauen von Kunden und Geschäftspartnern.
Doch was sind Betroffenenrechte und wie können Unternehmen ihre Prozesse darauf ausrichten, die Daten ihrer Kunden und Partner zu schützen?

Was sind Betroffenenrechte? Definition und rechtlicher Rahmen

Laut DSGVO sind Betroffenenrechte die Rechte, die Einzelpersonen in Bezug auf ihre personenbezogenen Daten haben. Sie sind in Kapitel 3 der DSGVO nachzulesen und umfassen unter anderem das Recht auf

• Information
• Auskunft
• Berichtigung
• Löschung
• Einschränkung
• Datenübertragbarkeit
• Widerspruch

An die Regelungen müssen sich alle Unternehmen halten, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig von ihrem Sitz.

Welche Ziele haben die Betroffenenrechte der DSGVO?

Die Hauptziele der Betroffenenrechte der DSGVO lassen sich wie folgt zusammenfassen:

• Schutz der Privatsphäre: Individuen sollen die Kontrolle über ihre personenbezogenen Daten behalten.
• Transparenz: Betroffene sollen wissen, welche Daten über sie verarbeitet werden und zu welchem Zweck.
• Sicherheit: Die Rechte sollen gewährleisten, dass personenbezogene Daten korrekt und sicher verarbeitet werden.

Die Betroffenenrechte der DSGVO einfach erklärt

In Kapitel 3 der DSGVO beschreiben die Artikel 12 bis 22 detailliert, welche Rechte Betroffene haben, deren Daten verarbeitet werden, und welche Anforderungen Unternehmen erfüllen müssen, um die Betroffenenrechte in der Praxis umzusetzen.

Im Folgenden sehen wir uns die wichtigsten Kapitel und Regeln im Detail an.

Art. 12: Anforderungen an die Transparenz gegenüber den Betroffenen

Damit Betroffene ihre Rechte überhaupt ausüben können, müssen sie verstehen, wie ihre Daten verarbeitet werden und welche Rechte sie haben. Artikel 12 DSGVO verpflichtet Unternehmen deshalb dazu,

• verantwortungsvoll und offen mit den Daten Betroffener umzugehen und
• Betroffene klar und verständlich darüber zu informieren, welche ihrer Daten gesammelt und wie diese Daten verwendet werden.

Diese Informationen müssen leicht zugänglich und für die betroffene Person einfach zu verstehen sein.

Art. 13 bis 15: Informationspflicht und Auskunftsrecht

Artikel 13 und Artikel 14 der DSGVO regeln die Informationspflichten, die Unternehmen erfüllen müssen, wenn sie Daten direkt oder indirekt erheben. Sie müssen Betroffene unter anderem über den Zweck der Datenverarbeitung, die Rechtsgrundlage und die Dauer der Speicherung informieren.

Darüber hinaus müssen die Betroffenen darüber informiert werden, dass sie einen Anspruch auf Auskunft, Berichtigung, Löschung und Widerspruch haben, sowie über die Dauer der Datenspeicherung und automatisierte Entscheidungsfindung. Und sie müssen erfahren, an welchen Datenschutzbeauftragten sie sich bei Fragen wenden können.

Erheben Unternehmen personenbezogene Daten mit Unterstützung von Dritten oder aus öffentlichen Quellen, müssen die Betroffenen außerdem wissen, aus welcher Quelle die Daten stammen.

Artikel 15 gewährt den Betroffenen das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Wichtig für Unternehmen: Sie müssen eine Identitätsprüfung durchführen, damit Informationen nicht an Unbefugte herausgegeben werden.

Tipp: Nutzen Sie unser kostenloses Muster, um Ihre Informationspflichten zu erfüllen.

Art. 16 bis 20: Recht auf Berichtigung, Löschung, Einschränkung und Datenübertragbarkeit

Stellen Betroffene fest, dass ihre Daten falsch oder unvollständig sind, haben sie gemäß Artikel 16 und Artikel 17 DSGVO das Recht auf Berichtigung oder Vervollständigung. Das Recht auf Löschung, auch als „Recht auf Vergessenwerden“ bekannt, erlaubt es Betroffenen außerdem, die Löschung ihrer Daten zu verlangen, wenn diese nicht mehr erforderlich sind oder die Verarbeitung unrechtmäßig ist.

Möchten Betroffene, dass ihre Daten zwar gespeichert bleiben, aber nicht weiterverarbeitet werden, greift Artikel 18 DSGVO, der das Recht auf Einschränkung der Datenverarbeitung regelt.

Die Herausforderung für Unternehmen im Zusammenhang mit diesen Betroffenenrechten der DSGVO besteht darin, klare Prozesse für die Löschung von Daten und die unverzügliche Bearbeitung von Anfragen zu implementieren. Außerdem sind sie laut Artikel 19 mit wenigen Ausnahmen dazu verpflichtet, den Empfängern von personenbezogenen Daten jede Berichtigung, Löschung oder Einschränkung der Verarbeitung mitzuteilen.

Artikel 20 beschreibt das Recht auf Datenübertragbarkeit oder Datenportabilität. Es geht darum, dass Betroffene das Recht haben, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, etwa in Form einer ZIP-Datei.

Wann Betroffene von diesem Recht in der Praxis profitieren und wie Unternehmen damit umgehen können, erfahren Sie in unserem Artikel zur Datenportabilität.

Art. 21: Widerspruchsrecht

Mit Artikel 21 haben Betroffene die Möglichkeit, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, selbst wenn diese rechtmäßig ist – ein typisches Beispiel ist der Widerspruch gegen Werbe-E-Mails.

Wann die Datenverarbeitung für Unternehmen rechtmäßig ist und wann nicht, erfahren Sie in unserem Blogartikel zur Datenschutzkonformität.

Artikel 22: Was gilt bei Profiling – und was ist das?

Vor dem Hintergrund, dass immer mehr Unternehmen ihre Prozesse automatisieren und auf neue Technologien wie Künstliche Intelligenz setzen, wird Artikel 22 immer relevanter für Unternehmen. Anders als die meisten Betroffenenrechte der DSGVO stellt es ein Verbot und kein Recht dar, das Betroffene aktiv einfordern müssen.

Der Artikel bezieht sich auf automatisierte Entscheidungen wie das sogenannte Profiling. Dabei werden personenbezogene Daten analysiert, um ein detailliertes Bild von einer Person zu erhalten und zum Beispiel personalisierte Produktempfehlungen zu geben. Banken können Profiling nutzen, um die Kreditvergabe zu automatisieren. Erfolgt ein Kredit-Scoring allerdings ohne menschliches Zutun, ist es laut Artikel 22 DSGVO verboten.

Art. 23: Wann können die Betroffenenrechte der DSGVO eingeschränkt werden

Die Umsetzung der DSGVO-Betroffenenrechte kann für Unternehmen ohne Datenschutzkonzept und Datenschutzbeauftragten eine Herausforderung sein. Allerdings führt kaum ein Weg daran vorbei. Denn die Einschränkung der Rechte von Betroffenen ist laut Artikel 23 DSGVO nur in Ausnahmefällen möglich, etwa aus Gründen der nationalen Sicherheit oder der Strafverfolgung.

Fristen und Verfahren zur Wahrnehmung der Betroffenenrechte

Möchten Ihre Kunden von den Betroffenenrechten der DSGVO Gebrauch machen, müssen Sie unverzüglich reagieren: Art. 12 DSGVO verlangt von Unternehmen, Anfragen innerhalb eines Monats zu beantworten. Bei besonders komplexen Betroffenenanfragen kann diese Frist jedoch um weitere zwei Monate verlängert werden.

Wird eine Anfrage nicht bearbeitet, müssen Sie die betroffene Person über die Gründe dafür und über Möglichkeiten informieren, Beschwerde bei einer Aufsichtsbehörde einzulegen.

So gehen Sie mit Betroffenenrechten der DSGVO richtig um

Die Betroffenenrechte der DSGVO sind ein wesentlicher Bestandteil des Datenschutzrechts und bieten den Menschen in der EU weitreichende Kontrolle über ihre personenbezogenen Daten. Für Unternehmen ist es von entscheidender Bedeutung, diese Rechte nicht nur zu kennen, sondern auch effektiv umzusetzen.

Wie Sie mit Informationspflichten, Auskunftsersuchen und anderen Betroffenenrechten richtig umgehen, und welche Maßnahmen Ihr Unternehmen ergreifen sollte, um Bußgelder zu vermeiden, erfahren Sie in unserem Ratgeber zum Management von Betroffenenanfragen.

Wichtig ist, Infrastrukturen zu schaffen, um Anfragen von Betroffenen korrekt und fristgerecht zu beantworten. Ein Datenschutzkonzept und Bearbeitungsroutinen helfen Ihnen dabei genauso wie ein externer Datenschutzbeauftragter. Er hält Ihnen den Rücken frei und weiß, wie mit Betroffenenanfragen umzugehen ist.