Die Rechte der betroffenen Person

Das dritte Kapitel der DSGVO ist mit »Rechte der betroffenen Person« überschrieben. Das Kapitel umspannt die Artikel 12 bis 23 DSGVO.

Der Umgang mit Betroffenenanfragen, genauer gesagt die Erfüllung von Betroffenenrechten ist ein zentraler Baustein ein jeder Datenschutz-Compliance. Die Erfüllung von Betroffenenrechten stellt für viele Unternehmen eine nicht unerhebliche Herausforderung dar.

In einem kurzen Video führe ich Sie in das Thema ein. Sie können sich durch Abspielen der Audiodatei w.u. diesen Beitrag auch vorlesen lassen, also ganz dem multimedialen Ansatz der datenrecht.ACADEMY entsprechend.

Teilen Sie diesen Beitrag zur DSGVO:

Die Herausforderung im Bereich Betroffenenrecht beginnt häufig damit, eine Kundennachricht überhaupt als Betroffenenanfrage zu erkennen. Fallen dabei Schlüsselbegriffe wie »Datenschutz«, »Information«, »Auskunft, »Daten«, »Löschung«, »Spam«, »ohne meine Erlaubnis (…) Daten«, »widerspreche ich« o.ä., ist in der Regel von einer Betroffenenanfrage auszugehen. Erst recht sollten Unternehmen hellhörig werden, wenn nach dem Datenschutzbeauftragten gefragt oder die Datenschutzbehörden erwähnt und mit Meldungen an diese gedroht werden.

Ist die Kontaktaufnahme des Kunden als Betroffenenanfrage identifiziert, muss in einem zweiten Schritt auf die Betroffenenanfrage richtig reagiert werden. Eine Besonderheit liegt hier darin begründet, dass Anfragen zwar auf allen Kanälen (mündlich, elektronisch, telefonisch oder schriftlich) erfolgen können, die Antwort aber bereits aus Dokumentationszwecken schriftlich oder ggf. elektronisch erfolgen sollte (Rechenschafts- und Nachweispflicht, vgl. Artikel 5 Absatz 2 sowie 24 Absatz 1 Satz 1 DSGVO). Bei elektronischen Antworten sollte vorsichtig vorgegangen werden, da die Datensicherheit bei der Übertragung gewährleistet werden muss. Außerdem muss die Antwort in präziser, transparenter und verständlicher Form sowie leicht zugänglich für die Betroffenen gegeben werden, vgl. Artikel 12 Absatz 1 DSGVO.

Artikel 12 DSGVO als Grundnorm der Betroffenenrechte

Artikel 12 DSGVO ist praktisch die Grundnorm der Betroffenenrechte und regelt vor allen Dingen Form und Frist beim Umgang mit Betroffenenanfragen. Artikel 12 DSGVO enthält mithin Regelungen, wie die Informationen bei der Erhebung beim Betroffenen unmittelbar (Artikel 13 DSGVO), bei der Erhebung von Daten über den Betroffenen bei einem Dritten (Artikel 14 DSGVO) und die Mitteilungen zur Wahrnehmung seiner Rechte, z. B. auf Auskunft, Berichtigung, Löschung, Einschränkung (Artikel 15 bis 22 und Artikel 34 DSGVO), auszugestalten sind.

Transparente Darstellung

Artikel 12 Absatz 1 DSGVO verlangt, dass entsprechende Mitteilungen und Informationen »in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache« erfolgen. Anders ist der Grundsatz der Transparenz aus Artikel 5 Absatz 1 Buchstabe a) DSGVO auch gar nicht zu erfüllen. Es ist das eine, eine Information zur Verfügung zu stellen und eine ganz andere, dies so zu tun, dass eine durchschnittlich betroffene Person sie auch versteht, denn erst dann ist die Information transparent dargeboten. Wichtig also schon mal zu wissen, dass Sie nicht auf jeden intellektuellen Tiefstand Rücksicht nehmen müssen, sondern eine durchschnittlich verständige Person zum Vorbild nehmen können.

Etliche Datenschutzerklärungen auf Webseiten (= Erfüllung der Informationspflicht gemäß Artikel 13 DSGVO) sind auch mit zwei juristischen Staatsexamina teilweise nur schwer zu verstehen. Ich warne dringend davor, gewundenes Juristen- oder gar Amtsdeutsch zu verwenden oder eine Fachsprache. Dies führt zu einer intransparenten Darstellung, die einen Verstoß gegen datenschutzrechtliche Grundsätze darstellt, mag sie auch noch so gut gemeint sein. Nur weil etwas juristisch klingt, heißt es nicht, dass es rechtlich in Ordnung ist.

Anzustreben ist, dass der Erklärungswert datenschutzrechtlicher Informationen von einem verständigen und unvoreingenommenen Dritten erfasst werden kann. In den letzten Jahren wird darüber hinaus erwartet, dass derartige Erklärungen zudem in einer zuvorderst leichten und einfachen Sprache erfolgen sollen. Dabei soll eine leichte Sprache Menschen mit kognitiven Behinderungen erreichen. Einfache Sprache fokussiert sich auf Menschen mit geringer Lese- und Schreibkompetenz.

Sofern sich der Adressatenkreis jedoch konkret bestimmen lässt, z. B. durch die Gestaltung der Homepage oder die Top-Level-Domain, ist das Vorhalten der Informationen in der jeweiligen Sprache zu empfehlen.

Leicht zugänglich sind derartige Informationen, wenn sie nicht irgendwo versteckt werden oder im Wust anderer Informationen untergehen. Auf einer Website sollte sich die Datenschutzerklärung daher mit idealerweise einem (maximal zwei) Klick(s) von jeder Seite erreichen lassen. Die Datenschutzerklärung sollte dabei strikt vom Impressum getrennt werden und in keinem Fall mit diesem gemischt werden. So ist es nicht angeraten, für die Daten zum Verantwortlichen auf die entsprechenden Daten im Impressum zu verweisen. So viel Zeit sollte überdies sein, sie sowohl im Impressum, als auch in der Datenschutzerklärung aufzuführen.

Form und Übermittlungsweg

Eine strikte Form ist nicht vorgeschrieben. Artikel 12 DSGVO spricht von »schriftlich oder in anderer Form, gegebenenfalls auch elektronisch«. In jedem Fall sollte der Verantwortliche im Auge behalten, dass er verpflichtet ist, über die Einhaltung der Vorschriften der DSGVO Nachweis zu führen und ihn entsprechende Rechenschaftspflichten treffen, vgl. Artikel 5 Absatz 2, Artikel 24 Absatz 1 Satz 1 DSGVO. Es sollte also in der Beantwortung einer Betroffenenanfrage grundsätzlich ein Format gewählt werden, das sich leicht dokumentieren lässt.

Es ist zu beachten, dass gemäß Artikel 12 Absatz 3 Satz 4 DSGVO ein elektronisch (also per E-Mail) gestellter Antrag auch auf diesem Wege beantwortet werden sollte (sofern es an der Identität der betroffenen Person keine Zweifel gibt). Die betroffene Person kann überdies gemäß Artikel 12 Absatz 1 Satz 3 DSGVO verlangen, dass ihr die Informationen oder Auskünfte mündlich erteilt werden; dies darf aber natürlich nur dann geschehen, wenn die Identität zweifelsfrei feststeht. Werden der falschen Person die Daten übermittelt, kann dies eine (meldepflichtige) Datenpanne zur Folge haben.

Ganz entscheidend ist in diesem Zusammenhang die Dokumentation der gesamten Kommunikation, um die Vorgänge im Nachhinein ggf. belegen zu können.

Medienbruch

Als Medienbruch bezeichnet man das Zurverfügungstellen von Informationen auf verschiedenen Wegen, beispielsweise durch die Versendung eines Briefs in Papierform, der dann den Verweis auf eine Internetseite erhält. Dieser Medienbruch wird häufig als verbraucherunfreundlich und daher unzulässig angesehen. Wenn sich Betroffene nicht auf einen Blick Klarheit verschaffen können, sondern eine hinreichende Information nur aus verschiedenen Quellen möglich ist, kann dies als unzumutbar bewertet werden.

Frist

Vor allen Dingen gibt Artikel 12 DSGVO eine unbedingt zu beachtende Frist auf! Es ist vorgeschrieben, dass die Beantwortung unverzüglich, spätestens jedoch binnen eines Monats ab Eingang der Betroffenenanfrage erfolgen muss, vgl. Artikel 12 Absatz 3 DSGVO. An dieser Stelle setzen in der Praxis viele Bußgelder an: Unternehmen lassen Betroffenenanfragen schlicht zu lange unbeantwortet. Länger als einen Monat darf die Auskunftserteilung nur dauern, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist (Krankheit oder Urlaub von Mitarbeitern sind nicht als Ausnahmefall anerkannt). Die Frist kann dann um zwei Monate auf maximal drei Monate verlängert werden. In diesem Fall muss der Antragsteller aber innerhalb der Monatsfrist über die Verlängerung und die Gründe für diese informiert werden. Die Frist läuft ab dem Zugang des Auskunftsantrags.

Übersicht über die Regelungen des dritten Kapitels der DSGVO (mit weiterführenden Links)

• Artikel 12 DSGVO gibt die allgemeinen Anforderungen an die Ausgestaltung des Umgangs mit Betroffenenrechten vor, vorrangig Form und Frist – sogenannte »Rahmenregelungen«, siehe Video-Kurzkommentar zu Artikel 12 DSGVO.
• Artikel 13 DSGVO bestimmt das Recht, bei Erhebung seiner Daten informiert zu werden, siehe Video-Kurzkommentar zu Artikel 13 DSGVO.
• Artikel 14 DSGVO gibt dasselbe Recht für den Fall, dass der Verantwortliche Daten bei Dritten erhebt, siehe Video-Kurzkommentar zu Artikel 14 DSGVO.
• Artikel 15 DSGVO regelt das Recht, Auskunft über seine vom Verantwortlichen gespeicherten Daten zu verlangen, siehe Thembeitrag "Recht auf Auskunft" sowie Video-Kurzkommentar zu Artikel 15 DSGVO.
• Artikel 16 DSGVO zielt auf die Berichtigung unrichtiger Daten, siehe Video-Kurzkommentar zu Artikel 16 DSGVO.
• Artikel 17 DSGVO gewährt in bestimmten Fällen das Recht, Löschung seiner Daten zu verlangen, siehe Video-Kurzkommentar zu Artikel 17 DSGVO.
• Artikel 18 DSGVO bestimmt in definierten Fällen das Recht auf Einschränkung der Verarbeitung seiner Daten zu verlangen, siehe Video-Kurzkommentar zu Artikel 18 DSGVO.
• Artikel 19 DSGVO verpflichtet die verantwortliche Stelle im Interesse der betroffenen Person zur Mitteilung von Berichtigungen, Löschungen oder Einschränkungen an alle Empfänger der Daten und gewährt das Recht auf Auskunft, an wen die Daten überhaupt weitergeleitet worden sind, siehe Video-Kurzkommentar zu Artikel 19 DSGVO.
• Artikel 20 DSGVO bestimmt das Recht auf Datenübertragbarkeit an sich selbst bzw. an einen Dritten, siehe Video-Kurzkommentar zu Artikel 20 DSGVO.
• Artikel 21 DSGVO gewährt das Recht, in bestimmten Fällen der Verarbeitung insbesondere der Direktwerbung zu widersprechen, siehe Video-Kurzkommentar zu Artikel 21 DSGVO.
• Artikel 22 DSGVO stellt bestimmte Rechte im Rahmen automatisierter Einzelentscheidungen einschließlich Profiling auf, siehe Video-Kurzkommentar zu Artikel 22 DSGVO.
• Artikel 23 DSGVO schließlich gewährt der EU sowie den Mitgliedstaaten die Möglichkeit, die genannten Rechte sowie diejenigen aus Artikel 34 und Artikel 5 DSGVO unter bestimmten Bedingungen zu beschränken, siehe Video-Kurzkommentar zu Artikel 23 DSGVO.

Eine grafische Übersicht gewährt die nachfolgende Mindmap, die Sie auch als PNG-Datei downloaden können.

Download Mindmap als PNG

*Die Teilnahme an den aufgeführten Webinaren kostet kein Geld. Als Gegenleistung für die Teilnahme an einem der genannten Webinare notiere ich Sie als Empfänger meines regelmäßigen Newsletters und von Werbeinformationen über die datenrecht.ACADEMY. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter und vom Empfang von Werbung per E-Mail an mail@andreasriehn.biz oder durch Anklicken des Abmelde-Links am Ende des Newsletters abmelden. Weitere Informationen finden Sie in meiner Datenschutzerklärung (Menüpunkt »Datenschutz«).