Betroffenenrechte sind in der DSGVO fest verankert. Doch nicht alle Unternehmen respektieren die Betroffenenrechte angemessen, weil sie auf Anfragen und Gesuche der Betroffenen nicht oder zu spät reagieren. Solch ein Verhalten ist als Verstoß zu werten, bei dem gravierende Folgen drohen, wie z.B. die Verhängung eines stattlichen Bußgelds.
Die einzelnen DSGVO Betroffenenrechte
Auskunftsrecht (Art. 15 DSGVO)
Die betroffene Person hat einen Auskunftsanspruch. Es besteht ein Recht auf Auskunft darüber, ob und welche ihrer personenbezogenen Daten verarbeitet werden.
Recht auf Berichtigung (Art. 16 DSGVO)
Die betroffene Person hat ein Recht auf die Berichtigung fehlerhafter personenbezogener Daten sowie die Ergänzung unvollständiger personenbezogener Daten.
Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO)
Die betroffene Person hat unter bestimmten Umständen ein Recht auf die Löschung der über sie gespeicherten personenbezogenen Daten.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Die betroffene Person hat bei einem Anbieterwechsel ein Recht auf die Übermittlung ihrer Daten an den neuen Anbieter.
Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)
Die betroffene Person hat ein Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Weitere Rechte
Die weiteren Rechte der betroffenen Person umfassen das Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) und das Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO). Zudem bestehen Informationsrechte, die aus den Informationspflichten des Verantwortlichen resultieren. Abseits der DSGVO können weitere Betroffenenrechte existieren, die nationalem Rechte (in Deutschland z.B. dem BDSG) entstammen.
Konsequenzen bei Missachtung sowie unzureichender Reaktion
Sobald sich Betroffene auf ihre DSGVO Rechte berufen, gilt es zu reagieren. Eine betroffene Person könnte z.B. anfragen, welche personenbezogene Daten von ihr erfasst wurden. In solch einem Fall gilt es die relevanten Informationen fristgerecht mitzuteilen.
Reagiert ein Unternehmen nicht oder in unzureichender Form, kann dies unangenehme Konsequenzen nach sich ziehen. Die betroffene Person könnte sich z.B. an die zuständige Aufsichtsbehörde wenden oder einen Rechtsanwalt einschalten. Dann drohen im Ernstfall
- eine juristische Auseinandersetzung
- und/oder die Verhängung eines Bußgelds.
Stolpersteine in der Praxis
Nicht immer sind Unternehmen mit den DSGVO Betroffenenrechten und deren Bedeutung vollständig vertraut. Damit geht das Risiko einher, relevante Anfragen falsch einzustufen. Streng genommen handelt es sich nicht nur um Anfragen, sondern um Aufforderungen. Dies setzt allerdings voraus, dass Mitarbeiter in den relevanten Abteilungen (z.B. Service oder Support) solche Aufforderungen erkennen und gezielt weiterleiten.
Ein weiterer Stolperstein sind Vorgehensweisen, die einen angemessenen Umgang mit Aufforderungen rund um die DSGVO Betroffenenrechte sicherstellen. Womöglich fehlen solche Prozesse vollständig, sodass beispielsweise Anfragen unvollständig beantwortet werden.
Ebenso sind die geltenden Fristen nicht außer Acht zu lassen. Sollte beispielsweise ein Auskunftsersuchen erst nach Fristablauf beantwortet werden, kann dies negative Konsequenzen haben.
Fahrplan für eine sichere Einhaltung der Betroffenenrechte
1. Anfrage erkennen: Zunächst ist zu verstehen, dass sich die betroffene Person auf ihre DSGVO Rechte beruft und somit die Notwendigkeit besteht, auf die jeweilige Aufforderung angemessen zu reagieren.
2. Betroffenenrecht zuordnen: Es gilt zu erkennen, mit welchem konkreten Recht eine Anfrage in Verbindung steht.
3. Passenden Prozess einleiten: Nun kann der zugehörige Prozess eingeleitet werden, der z.B. eine Ermittlung der notwendigen Daten mit anschließender Erstellung eines Antwortschreibens sicherstellt.
Fazit
Der sichere Umgang mit Betroffenenrechten ist vor allem eine Frage der Prozesse. Es gilt mit den Rechten der Betroffenen vertraut zu sein, um relevante Anfragen und Aufforderungen als solche zu erkennen und anschließend die richtigen Schritte einzuleiten. Wertvolle Unterstützung leistet ein abgestimmtes Datenschutzmanagementsystem (DSMS), das vom Datenschutzbeauftragten eingeführt wurde. Ein DSMS gewährleistet, dass jederzeit zielführend gehandelt wird.
Fragen & Antworten zum Thema
Gegenüber wem machen Betroffene ihre Rechte geltend?
Damit Betroffene ihr Anliegen korrekt adressieren können, müssen Unternehmen einen Ansprechpartner nennen. Anzugeben ist der für den Datenschutz Verantwortliche. Die Nennung hat je nach Zweck der Verarbeitung beispielsweise auf der Datenschutzerklärung im Web oder auch Hinweisschildern (z.B. bei Videoüberwachung) zu erfolgen.
Innerhalb welcher Frist ist zu reagieren, wenn sich Verbraucher auf Ihre Betroffenenrechte berufen?
Die genaue Frist hängt vom jeweiligen Recht ab, auf welches sich eine betroffene Person stützt. Angenommen der Betroffene macht Gebrauch von seinem Auskunftsrecht, so ist innerhalb von vier Wochen darauf zu antworten. In bestimmten Fällen ist eine Fristverlängerung möglich, wobei der Betroffene innerhalb der vier Wochen über die Verlängerung zu informieren ist.