Betroffene Personen haben im Rahmen der DSGVO das Recht zu wissen, was mit ihren Daten passiert, für welchen Zweck sie eingesetzt werden und wie die Verarbeitung aussieht. Welche sonstigen Rechte ihnen nach der neuen EU-Verordnung zustehen, erfährst du hier.
Dieser Beitrag ist Teil der Blogserie zur DSGVO (GDPR) für die Schweiz.
Recht auf Information
Bei der Erhebung von personenbezogenen Daten, teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung nachstehende Informationen nach Art. 13 DSGVO und Art. 14 DSGVO mit:
- Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
- Kontaktdaten des Datenschutzbeauftragten (sofern vorhanden)
- Den Zweck, für die Verarbeitung personenbezogenen Daten, sowie die dazugehörige Rechtsgrundlage
- Die berechtigten Interessen, sofern die Verarbeitung auf Artikel 6, Abs. 1 DSGVO beruht
- Mögliche Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- Die eventuelle Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Hierzu gehört ebenfalls das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission – und den Verweis auf die Möglichkeit, wie eine Kopie zu erhalten ist
Um eine faire und transparente Bearbeitung zu gewährleisten, stellt der Verantwortliche ebenfalls zusätzliche Informationen an die betroffene Person zur Verfügung:
- Die Dauer der Speicherung der personenbezogenen Daten. Wenn dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
Auskunftsrecht
Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Wenn dies der Fall ist, kann sie Auskunft über Art und Umfang dieser Daten verlangen. Art. 15 DSGVO
Recht auf Berichtigung
Die betroffene Person kann verlangen, dass ihre Daten so rasch wie möglich berichtigt oder ergänzt werden. Art. 16 DSGVO
Recht auf Löschung ("Recht auf Vergessenwerden")
Die betroffene Person hat nach Art. 17 DSGVO das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn einer der folgenden Gründe zutrifft:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig
- Die betroffene Person widerruft ihre Einwilligung
- Die betroffene Person legt Widerspruch gegen die Verarbeitung ein
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt
Recht auf Einschränkung der Bearbeitung
Die betroffene Person kann auch nur die Einschränkung der Bearbeitung ihrer Daten verlangen. Wenn dies geschieht, kann der Verantwortliche die Daten nur noch aufbewahren. Andere Bearbeitungen dieser Daten dürfen nach Art. 18 DSGVO grundsätzlich nicht mehr erfolgen. Voraussetzungen für das Recht sind nachstehende:
- Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten
- Die Verarbeitung ist unrechtmäßig – und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab. Stattdessen verlangt sie die Einschränkung der Nutzung der Daten
- Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger. Die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- Die betroffene Person legt Widerspruch gegen die Verarbeitung ein. Dies, weil eventuell noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber der betroffenen Person überwiegen
Recht auf Mitteilung
Dieser Artikel verpflichtet den Verantwortlichen, der betroffenen Person jede Berichtigung, Löschung oder Einschränkung der Datenbearbeitung mitzuteilen. Art. 19 DSGVO
Recht auf Datenübertragbarkeit
Personenbezogene Daten, die einem Verantwortlichen bereitgestellt wurden, können in einem strukturierten und maschinenlesbaren Format angefordert werden. Hintergrund ist, dass diese Daten einem anderen Verantwortlichen bereitgestellt werden können, ohne dass eine Behinderung durch den ersten Verantwortlichen erfolgt. Art. 20 DSGVO
Widerspruchsrecht
Betroffene Personen können jederzeit Widerspruch gegen die Verarbeitung personenbezogener Daten einlegen, die sie betreffen. Dies gilt ebenfalls für Direktwerbung und damit verbundenes Profiling. Art. 21 DSGVO
Recht auf Verzicht einer automatisierten Entscheidung im Einzelfall
Recht, nicht Entscheidungen unterworfen zu sein, die auf einer automatischen Bearbeitung beruht, die der betroffenen Person gegenüber rechtliche Wirkung entfaltet bzw. sie in ähnlicher Weise erheblich beeinträchtigt. Das gilt ausdrücklich auch für Profiling. Art. 22 DSGVO
Recht auf Benachrichtigung über Datenschutzverletzungen
Wenn die Verletzung personenbezogener Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche die betroffene Person unverzüglich benachrichtigen. Art. 34 DSGVO
Beschwerden vermeiden
Selbstverständlich können sich betroffene Personen auch jederzeit bei den Aufsichtsbehörden beschweren, wenn sie das Gefühl haben, dass ihre Daten nicht zweckmässig verarbeitet – oder in einer sonstigen Weise missbraucht werden. Lass es gar nicht so weit kommen: Teile deinen Kunden von Beginn an offen und transparent mit, welche Daten für welchen Zweck verwendet – und wie lange sie gespeichert werden.
Persönlicher Eindruck
Gut zu wissen, was betroffene Person zukünftig für Rechte haben – denn damit ergeben sich für uns Unternehmen wiederum Pflichten, die wir ebenfalls kennen müssen – und die ich hier beschrieben habe.
Ich wünsche dir viel Erfolg bei den Vorbereitungen und hoffe, dir mit diesem Beitrag ein Stück weiterhelfen zu können.
Herzliche Grüsse
Sven
Hier gehts zur Übersicht der Blogserie: "DSGVO für die Schweiz"
Haftungsausschluss: Bitte beachte, dass die Beiträge innerhalb der Blogserie keine Rechtsberatung darstellen oder ersetzen. Für eine individuelle Abklärung der Massnahmen in deinem Unternehmen, empfehle ich ggf. einen Rechtsberater aufzusuchen.
Quellen: www.dsgvo-gesetz.de, https://www.edoeb.admin.ch