EU-Datenschutz-Grundverordnung (DSGVO): Betroffenenrechte
Die Betroffenenrechte im Überblick
Lesedauer: 4 Minuten
Was sind Betroffenenrechte?
Betroffenenrechte sind, wie der Name schon sagt, Rechte der von einer Datenverarbeitung betroffenen Person (= Betroffener) gegenüber dem Verantwortlichen. Sie kann damit z.B. erfahren, welche sie betreffende Daten verarbeitet werden, sich gegen unrichtige oder unvollständige Datensätze zur Wehr setzen oder verlangen, dass Daten wieder gelöscht werden.
Das Recht auf Geheimhaltung (= rechtmäßige Verarbeitung) nimmt eine Sonderstellung ein. Verletzt der Verantwortliche dieses Betroffenenrecht, kann sich der Betroffene unmittelbar an die Datenschutzbehörde oder an ein ordentliches Gericht wenden.
Welche Rechte gibt es?
- Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
- Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
- Auskunftsrecht
- Recht auf Berichtigung
- Recht auf Löschung ("Recht auf Vergessenwerden")
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
Transparente Information, Kommunikation und Modalitäten
Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen und alle Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.
Die Übermittlung der Informationen erfolgt schriftlich, elektronisch oder in einer anderen Form. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.
Achtung: Ratsam wäre, sich zumindest den Empfang der Informationen bei einer mündlichen Erteilung schriftlich bestätigen zu lassen!
Identitätsnachweis
Nach alter Rechtslage (DSG 2000) war es notwendig, dass der Betroffene seine Identität mit entsprechendem Nachweis (Ausweiskopie) bereits bei der Anfrage offengelegt hat.
Nach der DSGVO muss die betroffene Person das nur, wenn der Verantwortliche begründete Zweifel an seiner Identität hat. In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Hinweis: In der Regel werden begründete Zweifel bei telefonischen Anfragen oder wenn das Auskunftsersuchen von einer Fantasie-E-Mail-Adresse versandt wurde, bestehen.
Je nach Situation muss der Betroffene nicht mit seinem Klarnamen auftreten, z.B. wenn dieser für die konkrete Datenanwendung nicht relevant ist, sondern er mit einem frei gewählten Benutzer beim Verantwortlichen bekannt ist.
Tipp:
Sollte eine Anfrage z.B. von Max.Mustermann@domain.at kommen und nicht elektronisch signiert sein, wäre es ratsam, z.B. eine Ausweiskopie zu verlangen.
Es darf nicht pauschal nach einer Ausweiskopie verlangt werden, wenn die Identität der betroffenen Person auf eine andere Art und Weise bestimmt werden kann. Im Onlinekontext können z.B. bei Vorhandensein von Zugangsdaten für ein Online-Kundenkonto die Informationen über dieses zur Verfügung gestellt werden.
Frist
Die Angaben im Rahmen der Informationspflichten sind den Betroffenen zum Zeitpunkt der Erhebung der Daten, wenn diese bei dem Betroffenen direkt erhoben werden, zur Verfügung zu stellen. Werden Daten nicht beim Betroffenen selbst erhoben, erteilt der Verantwortliche die Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, spätestens innerhalb eines Monats. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an die Person, oder falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.
Laut Europäischem Datenschutzausschuss gilt als spätester Zeitpunkt die Einmonatsfrist, auch wenn die Offenlegung oder die Kommunikation erst danach erfolgt.
Alle weiteren Anfragen durch Betroffene (Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Widerspruchsrecht) müssen vom Verantwortlichen unverzüglich, jedenfalls innerhalb eines Monats nach Eingang der Anfrage beantwortet werden. Diese Frist kann um weitere zwei Monate verlängert werden (die Frist kann daher insgesamt drei Monate betragen), wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen (in der Regel des Betroffenen) erforderlich ist.
Laut Europäischem Datenschutzausschuss darf der Verantwortliche bei einer ungewöhnlichen Häufung von Anträgen einer Vielzahl von Personen nur in extremen Einzelfällen die Verlängerungsoption wählen.
Der Verantwortliche muss die betroffene Person aber innerhalb eines Monats nach Eingang der Anfrage über eine Fristverlängerung unterrichten, das zusammen mit den Gründen für die Verzögerung. Wurde der Antrag elektronisch eingebracht, soll auch diese Mitteilung elektronisch übersandt werden (sofern die betroffene Person dem nicht zuvor widersprochen hat).
Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, muss er ebenso die betroffene Person ohne Verzögerung informieren, spätestens aber innerhalb eines Monats nach Eingang der Anfrage über die Gründe für das Nicht-Tätigwerden und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.
Unentgeltlichkeit
Informationen und alle Mitteilungen und Maßnahmen sind unentgeltlich zur Verfügung zu stellen. Bei offenkundig unbegründeten oder exzessiven Anträgen (z.B., wenn die Anfrage häufig wiederholt wird) einer betroffenen Person kann der Verantwortliche
- ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
- sich weigern, aufgrund des Antrags tätig zu werden.
Ob der Verantwortliche hier ein freies Wahlrecht hat oder seine Entscheidung (Ablehnung oder Entgelt) begründen muss, ist noch nicht höchstgerichtlich geklärt.
Beim Entgelt können die Verwaltungskosten für das Verständigungsschreiben berücksichtigt werden. Ob die Anfrage des Betroffenen tatsächlich offenkundig unbegründet oder exzessiv war, hat der Verantwortliche zu beweisen.
Durchsetzung der Betroffenenrechte
Falls eine betroffene Person meint, in ihren Rechten verletzt worden zu sein, kann zur Durchsetzung der Betroffenenrechte binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde eingereicht werden. Alternativ kann der Betroffene auch ein ordentliches Gericht anrufen. Sind mehr als drei Jahre seit dem Ereignis vergangen, kann der Anspruch nicht mehr geltend gemacht werden (Präklusion), sofern kein Dauerdelikt (Speicherung) vorliegt.
Geldstrafen
Die Verletzung der Betroffenenrechte ist mit bis zu 20 Mio. EUR oder 4% des letztjährigen weltweiten Jahresumsatzes sanktioniert.
Relevante Artikel der DSGVO: Art 12 - 21
Relevante Erwägungsgründe: 58 ff
Relevante Bestimmungen des DSG: § 24
Stand: 01.05.2024