Ein zentrales Element der Datenschutzgrundverordnung (DSGVO) sind die sogenannten Betroffenenrechte. Als Betroffener wird die Person bezeichnet, deren Daten im Sinne der DSGVO erhoben und verarbeitet wurden. Durch diese Rechte wird sichergestellt, dass Betroffene Einfluss auf Art, Umfang und Dauer der Nutzung ihrer personenbezogenen Daten durch Dritte haben. Für Unternehmen ist es sehr wichtig, diese Betroffenenrechte zu kennen, denn Betroffene können diese Rechte dem Verantwortlichen gegenüber jederzeit geltend machen. Sobald eine Anfrage durch eine betroffene Person im Unternehmen eingeht, ist es zum Handeln verpflichtet.
Dies ist der erste Artikel unserer dreiteiligen Serie zu Betroffenenrechten. In der DSGVO sind insgesamt acht Betroffenenrechte geregelt, von denen wir Ihnen in diesem Artikel vier im Detail vorstellen. In den nächsten Beiträgen erläutern wir die weiteren vier Betroffenenrechte und geben konkrete Hinweise, die Unternehmen bei einer Anfrage durch Betroffene berücksichtigen sollten.
Recht auf Auskunft
Mit dem Recht auf Auskunft wird sichergestellt, dass jeder Betroffene bei dem Verantwortlichen eines Unternehmens in Erfahrung bringen kann, ob personenbezogenen Daten erhoben wurden und falls ja, welche Daten das sind und zu welchem Zweck sie verarbeitet werden. Folgende Informationen müssen in der Auskunft enthalten sein:
- Woher stammen die erhobenen Daten?
- Welche Daten wurden erhoben?
- Zu welchem Zweck werden sie verarbeitet?
- Wie lange werden die Daten gespeichert?
- Wurden Daten weitergeben, zum Beispiel an einen Dienstleister?
- Wann bzw. nach welchen Kriterien erfolgt die Löschung?
Recht auf Berichtigung
Sollte ein Betroffener feststellen, dass ein Unternehmen falsche Daten von ihm verarbeitet, hat er das Recht eine Berichtigung zu verlangen. Das betrifft sowohl unvollständige als auch falsche Daten. Sobald die Berichtigung stattgefunden hat, sollte das Unternehmen dem Betroffenen dies bestätigen, um den Vorgang korrekt abzuschließen.
Recht auf Löschung
Das Recht auf Löschung wird auch „Recht auf Vergessenwerden“ genannt. Es bedeutet, dass der Betroffene die Löschung seiner Daten beantragen kann, wenn die Daten unrechtmäßig erhoben wurden, er seine Einwilligung widerrufen hat oder wenn der Verarbeitungszweck entfällt. Ganz so einfach ist die Umsetzung dieses Rechts in der Praxis für Unternehmen allerdings nicht, da Daten nur gelöscht werden dürfen, wenn dem keine anderen rechtlichen Pflichten wie zum Beispiel Aufbewahrungsfristen entgegenstehen. Hier sollte der Datenschutzbeauftragte zu Rate gezogen werden.
Recht auf Einschränkung der Verarbeitung
Das Recht auf Einschränkung der Verarbeitung betrifft eher Einzelfälle, wenn zum Beispiel eventuelle Rechtsansprüche noch in Klärung sind. Hier sollte eine detaillierte Prüfung bzw. Beratung durch einen Datenschutzbeauftragten erfolgen.
Unternehmen sollten sich in jedem Fall auf die mögliche Anfrage einer betroffenen Person vorbereiten, damit sie im akuten Fall handlungsfähig sind. Haben Sie Fragen zum Umgang mit Betroffenenrechten in Ihrem Unternehmen oder benötigen Sie Unterstützung bei der Auswahl der richtigen Prozessschritte? Sprechen Sie uns gerne an. Das Team von HUBIT Datenschutz unterstützt Sie gern!