Data Protection Academy » Data Protection Wiki » Data subjects' rights in the General Data Protection Regulation

A judge's gavel is on the block. Data subject rights in the GDPR

Data subjects' rights in the General Data Protection Regulation

The processing of personal data. kann Menschen in vielerlei Weise betreffen. Deren Rechte, die „Betroffenenrechte“, sind ein Kernbestandteil der General Data Protection Regulation (GDPR). Sie widmet ihnen ein ganzes Kapitel. Um diese Rechte wahrnehmen zu können, muss man wissen, welche Daten von wem über die eigene Person gespeichert und verarbeitet werden. Daher sehen die Artikel 13 and the 14 DSGVO umfangreiche Transparenzpflichten für datenverarbeitende Stellen vor. Diese Informationen müssen in verständlicher Form einen Überblick über die Datenverarbeitung vermitteln. Meistens sind sie in der Datenschutzerklärung enthalten. Darüber hinaus gewährt Article 15 GDPR a right of access, according to which each body must provide information on request on what data relating to a person are being processed.

Betroffene können sich direkt an Unternehmen, Behörden und andere datenverarbeitende Stellen wenden. Sollten Probleme auftreten, haben sie die Möglichkeit, die Aufsichtsbehörde to switch on. In particular, the following rights of data subjects are at stake.

Überblick gesetzliche Betroffenenrechte in der DSGVO

Right to withdraw consent (Article 7 GDPR)

Betroffene Personen haben das Recht, ihre Einwilligung in die Verarbeitung ihrer Daten zu widerrufen. Vor Abgabe der Einwilligung muss darüber informiert werden. Der Widerruf muss so einfach wie die Erteilung der Einwilligung sein. Werden die Daten bei der betroffenen Person erhoben, so muss nach Article 13 II c GDPR der Verantwortliche zum Zeitpunkt der Datenerhebung die betroffene Person neben vielen anderen Informationspflichten auch über das Recht auf Widerruf einer Einwilligung aufklären.

Right of rectification (Article 16 GDPR)

Wenn unrichtige Daten zu einer Person verarbeitet werden, so kann deren Berichtigung verlangt werden. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt werden.

Recht auf Löschung (Article 17 GDPR)

Wenn bestimmte Löschgründe vorliegen, so hat der Betroffene einen Anspruch auf die Löschung der personenbezogenen Daten. Das ist insbesondere der Fall, wenn diese zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind. Wurden sie öffentlich gemacht, so steht ihm ein „Recht auf Vergessenwerden“ zu. Dieses explizite Recht ist neu.

Recht auf Einschränkung der Verarbeitung (Article 18 GDPR)

Mit dem Recht auf Einschränkung der Verarbeitung können Betroffene unter bestimmten Voraussetzungen erreichen, dass ihre personenbezogenen Daten beim für die Verarbeitung Verantwortlichen gesperrt werden. Der Verantwortliche muss Betroffenen die Berichtigung, Löschung und Einschränkung der Verarbeitung mitteilen.

Recht auf Datenübertragbarkeit (Article 20 GDPR)

Betroffene haben das Recht, die eigenen Daten von einem Verantwortlichen zu einem anderen Verantwortliche (z. B. von einem Sozialen Netzwerk in ein anderes) zu übertragen. Zu diesem Zweck muss der Betreiber des bspw. Netzwerks dem Nutzer eine Kopie der betroffenen personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zur Verfügung stellen. Gegenüber der alten Rechtslage nach dem Bundesdatenschutzgesetz stellt dieser Anspruch eine Innovation dar.

Right of objection (Article 21 GDPR)

Betroffene haben ein Recht auf Widerspruch auch gegen rechtmäßige Datenverarbeitungen, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses einer Stelle erfolgen. Gegen Direktwerbung und damit verbundenes Profiling können Betroffene jederzeit Widerspruch einlegen. Dieser führt zu einem sofortigen Verarbeitungsstop. Auf diesen Anspruch muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation in einer verständlichen Form hingewiesen werden.

Automatisierte Entscheidung im Einzelfall einschließlich Profiling (Article 22 GDPR)

Betroffene dürfen einer rein automatisierten Entscheidung – einschließlich Profiling – nicht unterworfen werden, wenn diese rechtlich relevant ist oder erheblich Beeinträchtigung bedeutet. Betroffene müssen die Möglichkeit haben, die Entscheidung anzufechten, den eigenen Standpunkt darzulegen und das Eingreifen einer Person zu erwirken.

External Data Protection Officer

Gern können Sie uns als external data protection officer (DPO) order. We also offer individual consulting services as well as audits and will be happy to provide you with a non-binding offer. You can find more information about our external data protection officers on our website.

Discover DSB services

General provisions on data subject rights in the GDPR

Right of appeal

Die DSGVO stärkt die Position des Betroffenen, indem sie Beschwerderechte ausbaut und ihre Ausübung gegenüber ausländischen Stellen erleichtert. Die Landesdatenschutzbeauftragten sind nicht länger auf die Kontrolle öffentlicher und nicht-öffentlicher Stellen in ihren Bundesländern beschränkt. Nach dem Marktortprinzip können sich Bürger bei ihnen auch über die Datenverarbeitungen ausländischer Unternehmen innerhalb und außerhalb der EU beschweren.

Data subject rights in the GDPR in the event of unlawful processing of personal data

Während die bisher aufgeführten Betroffenenrechte in der Datenschutzgrundverordnung unabhängig davon gelten, ob die Verarbeitung rechtmäßig oder rechtswidrig ist, gibt es bei einer rechtswidrigen Verarbeitung zusätzliche Rechte, die in den Articles 77 et seq. GDPR geregelt sind. Dazu zählen unter anderem wirksame gerichtliche Rechtsbehelfe, Haftung und Schadenersatz sowie Geldbußen.

Requests from interested parties

Seit dem Inkrafttreten der DSGVO mehrt sich die Anzahl der Anfragen von Betroffenen. Der Umgang mit diesen Anfragen stellt für viele Unternehmen eine erhebliche Herausforderung dar. Schnell wird die Drohung, sich bei nicht fristgerechter oder nicht zufriedenstellender Reaktion an die Datenschutzbehörde zu wenden, zur echten Gefahr, denn es drohen bei Verstößen hohe Bußgelder. Die Aufsichtsbehörde muss tätig werden, wenn ein Betroffener sich an sie wendet.

Da viele Anfragen beim Kundenservice eingehen, sollte dieser zum Umgang mit eingehenden Anfragen entsprechend sensibilisiert sein und im Datenschutz geschult werden. Zunächst sollte der Datenschutzbeauftragte die Anfragen prüfen. Ist die Berechtigung des geltend gemachten Rechts geklärt, müssen Unternehmen eine zügige und rechtlich einwandfreie Beantwortung der Anfrage sicherstellen. Dazu ist oft die Einbindung mehrerer Unternehmensbereiche erforderlich.

Die Information des Betroffenen muss in sicherer und nachweisbarer Weise erfolgen. Die schnelle und korrekte Behandlung von Betroffenenanfragen ist wichtig, da sie der Verantwortliche nach der DSGVO unverzüglich beantworten muss. Die Nichteinhaltung der datenschutzrechtlichen Fristen kann für Unternehmen schwere Folgen haben. Denn Verstöße können Schadensersatzansprüche nach sich ziehen und mit hohen Bußgeldern geahndet werden.

Unternehmen müssen Anfragen von Betroffenen zügig und rechtlich korrekt bearbeiten. Dafür ist oft die Zusammenarbeit mehrerer Firmenbereiche nötig. Die Mitarbeiter müssen dafür sensibilisiert werden. Bei Verstößen gegen die Vorschriften drohen hohe Bußgelder.

Ulrich Hottelet
Latest posts by Ulrich Hottelet (see all)

Das könnte Sie auch interessieren:

Löschkonzept nach DSGVO

Muster, Vorlagen und Beispiele für Ihr DSGVO Löschkonzept gemäß DIN 66398. Automatisiert das Löschkonzept erstellen.
Read more

Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeit nach Art. 30 DSGVO. Schritt für Schritt erklärt mit umfangreichen Informationen. Datenschutz einfach gemacht.
Read more

Technisch organisatorische Maßnahmen (TOMs)

Alle Informationen zu den Technisch Organisatorischen Maßnahmen nach DSGVO. Was müssen Verantwortliche bei der Umsetzung und Dokumentation beachten?
Read more