Ihr Recht

Auskunftsrecht

Die Betroffenen haben gem. Art. 15 DSGVO ein umfassendes Auskunftsrecht, das mit dem bisherigen § 34 BDSG vergleichbar ist. Neu ist allerdings, dass der Betroffene auch die Auskunft und die Übermittlung der Daten in elektronischer (gängiger) Form und auch eine Kopie der Daten verlangen kann.

Wenn das Unternehmen die personenbezogenen Daten verarbeitet, kann die betroffene Person über diese etwa Informationen verlangen wie: Woher stammen die Daten und an wen werden sie übermittelt? Zu welchen Zwecken werden die Daten verarbeitet? Wird daraus etwa ein „Profiling“ erstellt? Und wie lange werden sie gespeichert?

Unklar ist, ob nur der Betroffene selbst oder etwa ein Vertreter (z.B. ein Rechtsanwalt) diese Auskunft verlangen darf. Die meisten Juristen gehen davon aus, dass es ein höchstpersönlicher Anspruch ist, den man nur selbst geltend machen kann oder der zumindest eine spezielle auf den Auskunftsanspruch gerichtete Vollmacht des Betroffenen erfordert.

Recht auf Datenübertragbarkeit

Der Betroffene wir durch das neu etablierte Recht auf Datenübertragbarkeit (Datenportabilität) gem. Art.
20 DSGVO befugt, ihre Daten „mitzunehmen“. Das bedeutet, dass er ein Unternehmen anweisen kann, gewisse Daten von einer automatisierten Anwendung (etwa einem sozialen Netzwerk) auf eine andere Anwendung zu übertragen. Dieses Recht soll es Betroffenen erleichtern, von den Anbieter zu wechseln, ohne Daten zu verlieren. Diese müssen dann in einem strukturierten, maschinenlesbaren Format übermittelt werden. Die Datenportabilität betrifft aber nur solche Daten, die der Nutzer selbst zur Verfügung gestellt hat und nicht etwa sonstige erhobene personenbezogene Daten.

Recht auf Löschung („Recht auf Vergessenwerden“)

Art.17 DSGVO gibt Betroffenen erstmal qua Gesetz ein „Recht auf Vergessenwerden“, also ein Recht auf Löschung der eigenen Daten, wenn:

  • die Speicherung der Daten nicht mehr notwendig ist
  • der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
  • die Daten unrechtmäßig verarbeitet wurden
  • eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht

Das Recht auf Vergessenwerden findet allerdings keine Anwendung, wenn:

  • die freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen
  • die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient
  • das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
  • Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen
  • die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist

Bislang hatte es zu diesem Punkt lediglich Gerichtsentscheidungen gegeben und die Umsetzung der Löschpflicht war in großen Teilen unklar. Die neue Norm sieht hierzu eine detaillierte Prozedur vor.

Ergänzend dazu sieht Art. 16 ein „Recht auf Berichtigung“ vor. Danach können Betroffene verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollständige vervollständigt werden.

Schließlich sieht Art. 18 noch ein Recht vor, dass Daten nur aus eingeschränkten Gründen verarbeitet werden dürfen. Dies kommt etwa dann zur Anwendung, wenn der Betroffene die Richtigkeit der Daten bestritten hat oder wenn die Verarbeitung unrechtmäßig ist.

Widerspruch bei automatisierten Einzelfallentscheidungen

Nach Art. 22 DSGVO sollen Betroffene nur noch das Recht haben, einer automatisierten Einzelfallentscheidung zu widersprechen. Die Regelung unterscheidet sich damit erheblich von dem bisherigen § 6a BDSG. Die deutsche Norm hatte solche Entscheidungen bis auf enge Ausnahmen generell verboten, unabhängig von einem Widerspruch des Betroffenen.

Zu automatisierten Einzelfallentscheidungen zählen alle rechtlich relevanten oder sonst erheblich einschränkenden Entscheidungen, die nicht von einem Mensch getroffen wurden. Das können z.B. die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen sein, bei denen persönlichen Aspekte lediglich elektronisch ausgewertet werden. Dazu zählt vor allem auch das Profiling (z. B. für die Werbung), bei dem Daten zur Analyse oder Prognose für Persönlichkeitsmerkmale verwendet werden wie etwa die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönlichen Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten.

Weiterhin verboten bleiben solche Entscheidungen aber bei den bereits beschriebenen besonders sensiblen Daten (Art.
22 Abs. 4, Art. 9 DSGVO).

Das Widerspruchsrecht gilt nach Abs. 2 ausnahmsweise nicht, wenn eine automatisierte Entscheidung z. B. für den Abschluss oder die Erfüllung eines Vertrages mit dem Betroffenen oder mit ausdrücklicher Einwilligung des Betroffenen erfolgt. Außerdem enthält das deutsche Umsetzungsgesetzentwurf in § 37 weitere Ausnahmen vor – u. a. wenn dem Begehren des Betroffenen uneingeschränkt stattgegeben wird sowie und für Krankenversicherer im Rahmen der Leistungsprüfung. Dem Betroffenen ist in diesen Fällen aber die Möglichkeit zu eröffnen, die automatisierte Entscheidung überprüfen zu lassen.

Firmensitz
Albert-Einstein-Str.8
76829 Landau

Niederlassung:
Rupprechtstr. 10
66954 Pirmasens

info@datenschutzperten.de
06341 3807110

©  2023 Datenschutzperten.  Impressum   Datenschutz