Datenschutz Verstehen – Betroffenenrechte gem. DSGVO
Die Betroffenenrechte wurden durch die europäische Datenschutz-Grundverordnung (DSGVO) erheblich gestärkt und erweitert. Betroffene können nun Ihr Recht auf Auskunft, Löschung oder sogar Datenübertragbarkeit gegenüber dem Verantwortlichen geltend machen. Während Datenschützer und betroffene Personen sich über diese Entwicklung freuen, müssen Verantwortliche Mechanismen entwickeln, um Betroffenenrechte richtig und fristgerecht zu bearbeiten. In diesem Blogbeitrag erfahren Sie, welche Betroffenenrechte seit der Anwendbarkeit der DSGVO in Deutschland und allen Mitgliedstaaten der EU gelten und wie Sie Betroffenenrechte bearbeiten müssen.
Neue Betroffenen- und Kontrollrechte in der DSGVO
Durch die neue Datenschutzgrundverordnung soll ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU etabliert werden. Die EU-Datenschutzgrundverordnung regelt u.a. die Rechte und Kontrollmöglichkeiten der Betroffenen, welche durch das neue Regelwerk gestärkt werden. Es geht also um den Schutz der Personen, deren personenbezogene Daten verwendet werden. Die Betroffenenrechte wurden in den Art. 15 ff. DSGVO erheblich gestärkt. Betroffene Personen besitzen verschiedene Rechte, wie z.B. das Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit und das Widerspruchsrecht. Kurioserweise werden die Informationspflichten gem. Art. 12 ff. DSGVO ebenfalls als Betroffenenrechte betitelt, vgl. Art. 83 Abs. 5 lit. b) DSGVO.
Was ist bei der Bearbeitung von Betroffenenrechten zu beachten?
In diesem Zusammenhang müssen Verantwortliche die frist- und formgerechte Bearbeitung derartiger Rechte beachten. Insbesondere ein Verfahren für die Verifizierung von Personen, die derartige Rechte geltend machen, ist dringend einzuhalten. Aus datenschutzrechtlicher Sicht wäre es z.B. im Rahmen der Geltendmachung eines Auskunftsrechts gem. Art. 15 DSGVO besonders verwerflich die betroffenen personenbezogenen Daten von dem Auskunftsersuchenden an eine Person herauszugeben, die nicht der Inhaber der Daten ist und somit lediglich über seine Identität getäuscht hat. Die nationalen Regelungen der §§ 34 ff. BDSG-neu weichen in einigen Punkten von der DSGVO ab bzw. schränken die Betroffenenrechte wiederum ein. So regelt beispielsweise § 35 BDSG-neu, in welchen Konstellation das Recht auf Löschung gem. Art. 17 DSGVO nicht gilt .
Wir empfehlen die Implementierung eines dokumentierten Verfahrens für die Bearbeitung von Betroffenenrechten. In diesem Verfahren müssen Zuständigkeiten für die Bearbeitung von Anträgen von Betroffenenrechten und ein vorgeschriebener Prozess definiert werden. Alle Mitarbeiter müssen über dieses Verfahren informiert werden. Für die Verifikation von betroffenen Personen muss ein Prozess etabliert werden, damit nur tatsächlich betroffene Personen Ihre Rechte geltend machen können und keine Identitätstäuschungen verwirklicht werden können.
Bußgelder, wenn Anfragen nicht DSGVO-konform beantwortet werden
Der Bußgeldrahmen für Verstöße gegen die Regelungen der Betroffenenrechte werden im hoch geahndet: Von der zuständigen Aufsichtsbehörde kann je Verstoß gem. Art. 83 Abs. 5 lit. b) DSGVO ein Bußgeld von bis zu 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher der Beträge höher ist.
Daher ist ein interner Verfahrensprozess für die Bearbeitung von Betroffenenrechten unverzichtbar, damit die gesetzlichen Vorgaben bezüglich der Betroffenenrechte gesetzeskonform bearbeitet werden können.
Der Datenschutzbeauftragte bei Anfragen von Betroffenen
Der Datenschutzbeauftragte erarbeitet gemeinsam mit Ihnen ein Konzept für die Bearbeitung von Betroffenenrechten. Dabei werden Zuständigkeiten geregelt und erforderliche Prozesse, wie z.B. die Verifizierung von Betroffenen für den Fall der Geltendmachung von Betroffenenrechte, eingerichtet. Darüber hinaus werden Muster für die unterschiedlichen Betroffenenrechte, wie z.B. das Recht auf Auskunft, Recht auf Löschung oder Recht auf Datenübertragbarkeit, erstellt, damit Betroffenenrechte im Fall ihrer Geltendmachung innerhalb der gesetzlich vorgesehenen Frist formgerecht bearbeitet werden können.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
