Serie: Datenschutzgrundverordnung – was ist zu tun? (4-8)

Die Datenschutzgrundverordnung (DSGVO) wurde am 25.05.2016 verabschiedet. Nach einer Übergangsfrist von zwei Jahren trat sie am 25.05.2018 in Kraft. Als Verordnung ist sie in den Mitgliedstaaten unmittelbar anwendbar (vgl. Art. 288 Abs. 2 AEUV); es bedarf insoweit keines Umsetzungsakts wie bei Richtlinien. Zur Ausfüllung von Öffnungsklauseln und zur Anpassung des nationalen Datenschutzrechts an die Vorgaben der DSGVO wurde das deutsche Bundesdatenschutzgesetz (BDSG) – inzwischen bereits zweimal – geändert; die neue Fassung trat ebenfalls am 25.05.2018 in Kraft, die Änderungen durch das Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz sind am 26.11.2019 in Kraft getreten.

Die DSGVO bringt einige Änderungen mit sich; insbesondere wurden die Sanktionen drastisch verschärft. Unternehmen sollten die Vorgaben der DSGVO daher ernst nehmen; Grund zur Panik besteht allerdings nicht. In unserer Artikelserie zeigen wir Ihnen, worauf zu achten ist:

Artikel 1: Rechtsgrundlagen, Anwendungsbereich und Grundprinzipien
Artikel 2: Datenschutzbeauftragter (DSB) 
Artikel 3: Verfahrensverzeichnis, Schutzmaßnahmen und Folgeabschätzung 
Artikel 4: Informationspflichten und Betroffenenrechte (dieser Artikel)
Artikel 5: Datenpannen: Melde- / Benachrichtigungspflichten
Artikel 6: Auftragsverarbeitung
Artikel 7: Zivilrechtliche Haftungsrisiken und Sanktionen
Artikel 8: Wesentliche Begriffe

Artikel 4: Informationspflichten und Betroffenenrechte

Art. 13 DSGVO beinhaltet einen Katalog an Informationen, über die unterrichtet werden muss (sog. Datenschutzerklärung). Die Erklärung muss auch auf der Webseite leicht durch einfachen Link erreichbar sein; sie darf nicht in den AGB „versteckt“ werden. Zu informieren ist über Folgendes:

- Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters;

- ggf. Kontaktdaten des Datenschutzbeauftragten;

- Zweck der Verarbeitung der Daten;

- Rechtsgrundlage der Verarbeitung;

- ggf. die Empfänger/Kategorien von Empfängern der Daten;

- ggf. die Absicht, die Daten an Stellen außerhalb der EU/des EWR zu übermitteln;

- Dauer der Speicherung der Daten oder die Kriterien für die Festlegung dieser Dauer;

- Bestehen eines Rechts auf Auskunft sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder auf Widerspruch sowie des Rechts auf Datenübertragbarkeit;

- Beschwerderecht bei der Aufsichtsbehörde;

- Erklärung, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob der betroffene Nutzer verpflichtet ist, die Daten bereitzustellen und welche Folgen es hat, wenn er dem nicht nachkommt;

- Widerrufsrecht bei Einwilligung als Grundlage der Verarbeitung.

Hinweis: Die Datenschutzerklärungen auf den Webseiten sollten auf ihre Konformität mit der DSGVO hin überprüft werden. Dies auch vor dem Hintergrund, dass damit zu rechnen ist, das auf Abmahnungen „spezialisierte“ Anwälte bei Fehlen in der Datenschutzerklärung leichtes Spiel haben.

Die Datenschutzgrundverordnung bringt auch Änderungen bei den Rechten der Betroffenen. Das Auskunftsrecht gem. Art. 15 Abs. 1 DSGVO beinhaltet einen umfangreichen Katalog an Informationen, welche diejenigen, die Daten verarbeiten, den betroffenen Personen auf formlose Anfrage hin unverzüglich (= spätestens innerhalb eines Monats) mitteilen muss.

Die Betroffenen können künftig gem. Art. 15 Abs. 3
DSGVO eine kostenlose Kopie aller verarbeiteten Daten verlangen (Zugriffsrecht). Art. 16 DSGVO gewährt dem Betroffenen das Recht, vom Verantwortlichen zu verlangen, unrichtige oder unvollständige Daten zu berichtigen oder zu vervollständigen (Berichtigungsrecht). Art. 17 Abs. 1 DSGVO regelt die Löschungspflicht. Der Betroffene hat künftig in folgenden Fällen das Recht, vom Verantwortlichen zu verlangen, dass seine Daten gelöscht werden:

- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

- Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a) oder Art. 9 Abs. 2 lit. a) DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

- Die betroffene Person legt gem. Art. 21 Abs. 1 Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gem. Art. 21 Abs. 2 Widerspruch gegen die Verarbeitung ein.

- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gem. Art. 8 Abs. 1 erhoben.

Art. 17 Abs. 2 DSGVO regelt das Recht auf Vergessenwerden. Hiernach muss derjenige, der die Daten öffentlich gemacht hat, ggf. auch weitere Datenverarbeiter über das Löschungsverlagen informieren, damit diese auch Links resp. Kopien der Daten löschen.

Art. 19 DSGVO verpflichtet den Verantwortlichen, die Datenempfänger über Berichtigung, Löschung und Sperrung zu informieren (Benachrichtigung). Zudem statuiert Art. 20 Abs. 1 DSGVO das Recht auf Datenübertragbarkeit (Portabilität). Hiernach hat der Betroffene das Recht, seine Daten „mitzunehmen“.

Teilen Sie diesen Artikel. Wählen Sie Ihre Plattform

Alle Informationen und Angaben in unseren Artikeln und Informationen haben wir nach bestem Wissen zusammengestellt. Sie erfolgen jedoch ohne Gewähr. Diese Information kann eine individuelle Beratung im Einzelfall nicht ersetzen.