datenrecht.ACADEMY

DSGVO-Compliance auf die smarte Art.

Recht auf Einschränkung der Verarbeitung – Artikel 18 DSGVO

»Einschränkung der Verarbeitung« – Was heißt das nun wieder? Einschränken müssen wir uns in diesen Zeiten doch ohnehin genug, da braucht es kein Recht drauf – ganz im Gegenteil. Der nachfolgende Beitrag befasst sich mit dem Inhalt und Umfang dieses Anspruchs, greift Praxisprobleme auf und gibt Tipps zum Umgang mit diesem Recht der betroffenen Person. In einem einführenden Video gebe ich einen Überblick in die Materie und, wenn Sie möchten, können Sie sich den Beitrag vorlesen lassen. Eben multimedial, so wie Sie es von der datenrecht.ACADEMY gewohnt sind.

Einen ersten Eindruck von der Regelung vermittelt meine Video-Kurzkommentierung zu Artikel 18 DSGVO.

Vimeo Video

Teilen Sie diesen Beitrag zur DSGVO:

»Einschränkung der Verarbeitung« – Was heißt das nun wieder? Nun, wenn ein Begriff der DSGVO nicht unmittelbar aus sich selbst heraus erklärlich ist, dann werfen wir einen Blick in Artikel 4 DSGVO, der mit »Begriffsbestimmungen« überschrieben ist. Und dort werden wir schnell fündig, denn bereits unter Nummer 3 heißt es:

»Einschränkung der Verarbeitung« bezeichnet die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
Artikel 4 Nummer 3 DSGVO

Der Begriff der Einschränkung der Verarbeitung personenbezogener Daten nach DSGVO

Jetzt bleibt natürlich die Frage, ob uns diese Begriffsbestimmung sehr viel schlauer gemacht hat? Ich bin überzeugt, so richtig packen können wir den Begriff der Einschränkung noch nicht, sofern wir es nicht täglich mit der DSGVO zu tun haben. Versuchen wir uns an einem Beispiel. Nehmen wir an, eine Wirtschaftsauskunftei speichert Informationen über Ihre Bonität.

Apropos: Was ist eine Wirtschaftsauskunftei?

Die Aufgaben einer Wirtschaftsauskunftei liegen in Sammlung, Auswertung und Mitteilung von wirtschaftsrelevanten Daten über Unternehmen und Privatpersonen. Empfänger solcher Daten sind Geschäftspartner, die daran ein berechtigtes Interesse vorweisen können. Die in Deutschland wohl bekannteste Auskunftei ist die Schufa Holding AG (Schutzgemeinschaft für allgemeine Kreditsicherheit). Die Dienste der Auskunfteien werden aber nicht nur bei Kreditgeschäften, sondern auch bei einer Reihe weiterer Geschäftsanbahnungen sowie für Forderungseinzüge und Kauf-, Miet- und Leasingverträge in Anspruch genommen.

Als Sie Auskunft über die gespeicherten und verarbeiteten Daten von der Auskunftei gemäß Artikel 17 DSGVO verlangen, fällt Ihnen in der Antwort ein angeblich nicht ordnungsgemäß bedienter Kredit auf, der Ihre Bonität verschlechtert. Natürlich beschweren Sie sich bei der Auskunftei und verlangen die Entfernung dieses negativen Eintrags. Jetzt kann es aber natürlich nicht sein, dass die Auskunftei Ihre Beschwerde einfach so für wahr unterstellt und den Eintrag ohne weitere Prüfung löscht. Sie wird den Kreditgeber kontaktieren und Nachweise darüber verlangen, dass der Kredit tatsächlich nicht ordnungsgemäß bedient wurde und nicht vielleicht eine Verwechslung vorliegt oder ein falsch gebuchter Zahlungsbetrag. Eine solche Überprüfung wird eine gewisse Zeit beanspruchen und währenddessen steht eine schlechte Bonität für Sie im Raum und Sie können keinen Mobilfunkvertrag abschließen oder einen weiteren Kredit beantragen. Dieser misslichen Situation trägt das Recht auf Einschränkung Rechnung. Es wird dieser Eintrag nämlich in den Daten der Auskunftei entsprechend markiert, dass er also bestritten und derzeit überprüft wird. Das kann oder sollte dazu führen, dass dieser Eintrag in der Zwischenzeit nicht mehr bei Anfragen kommuniziert wird. Die Verarbeitung dieser Information ist dann eben eingeschränkt.

Vor diesem Hintergrund werden die in Artikel 18 Absatz 1 DSGVO aufgezählten Anwendungsfälle verständlich.

Das genannte Recht auf Einschränkung ist daher in den folgenden »Konstellationen« gegeben:

  • Der Betroffene bestreitet die Richtigkeit der verarbeiteten Daten (Artikel 18 Absatz 1 Buchstabe a DSGVO).
  • Die Daten sind aufgrund einer Unrechtmäßigkeit der Datenverarbeitung zu löschen (Artikel 18 Absatz 1 Buchstabe b DSGVO).
  • Der Zweck der Datenverarbeitung ist auf Seiten des Verantwortlichen erfüllt, der Betroffene benötigt diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Artikel 18 Absatz 1 Buchstabe c DSGVO).
  • Der Betroffene hat gegen die Datenverarbeitung nach Artikel 21 Absatz 1 DSGVO Widerspruch eingelegt, es steht jedoch noch nicht fest, ob die berechtigten Gründe des Verantwortlichen an einer Fortsetzung der Datenverarbeitung überwiegen (Artikel 18 Absatz 1 Buchstabe d DSGVO).

Der w.o. aufgeführte Beispielfall (Wirtschaftsauskunftei) wäre also ein Fall des Artikel 18 Absatz 1 Buchstabe a DSGVO:

Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die Richtigkeit der personenbezogenen Daten von der betroffenen Person bestritten wird, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
Artikel 18 Absatz 1 Buchstabe a) DSGVO

Werden personenbezogene Daten unrechtmäßig verarbeitet, hat der Betroffene die Möglichkeit, anstelle der Löschung der Daten die Einschränkung der Verarbeitung zu verlangen:

Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt.
Artikel 18 Absatz 1 Buchstabe b) DSGVO

Die Einschränkung stellt ein »Minus« zur Löschung dar. Der Gesetzgeber gibt dem Betroffenen daher für den Fall einer unrechtmäßigen Datenverarbeitung, deren Folge grundsätzlich eine Verpflichtung zur Löschung der Daten wäre (Artikel 17 Absatz 1 Buchstabe d DSGVO), eine gewisse Dispositionsbefugnis. Die betroffene Person soll also so weit wie möglich die Herrschaft über ihre Daten behalten.

Eine unrechtmäßige Datenverarbeitung liegt insbesondere dann vor, wenn Daten ohne Vorliegen einer Rechtsgrundlage verarbeitet werden. Ein Fall des Artikel 18 Absatz 1 Buchstabe b DSGVO könnte beispielsweise in dem Fall gegeben sein, dass der Betroffene die (unzulässig) verarbeiteten Daten zu Beweissicherungszwecken erhalten möchte.

Artikel 18 Absatz 1 Buchstabe c DSGVO regelt den Fall, dass der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt. Auch dies ein eindrückliches Beispiel dafür, wie die DSGVO die Interessen der betroffenen Person in den Fokus rückt. Andererseits auch ein anschauliches Beispiel, dass die Löschung von Daten nicht immer im Interesse der betroffenen Person sein muss.

Artikel 18 Absatz 1 Buchstabe d) DSGVO wiederum korrespondiert mit Nummer 1. Im Falle der Verarbeitung personenbezogener Daten gemäß Artikel 6 Absatz 1 Satz 1 Buchstaben e) und f) kann die betroffene Person gemäß Artikel 21 Absatz 1 Satz 1 DSGVO Widerspruch gegen die Verarbeitung einlegen:

Die betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Artikel 21 Absatz Satz 1 DSGVO

Schauen wir insoweit auf die Rechtsgrundlage des berechtigten Interesses nach Artikel 6 Absatz 1 Buchstabe f DSGVO: Die verantwortliche Stelle muss, um diese Rechtsgrundlage einsetzen zu können, nicht nur überhaupt ein berechtigtes Interesse vorweisen können, sondern dieses auch noch gegen die berechtigten Interessen der betroffenen Person abwägen. Nur wenn die Interessen der betroffenen Person(en) die Interessen des Verantwortlichen nicht (!) überwiegen, kommt diese Rechtsgrundlage zum Tragen. Nun kann es aber im Einzelfall sein, dass die individuelle Abwägung zu einem anderen Ergebnis führt und die berechtigten Interessen einer bestimmten betroffenen Person überwiegen die Interessen des Verantwortlichen. Für diesen Fall und nach Ausspruch eines Widerspruchs ordnet Artikel 21 Absatz 1 Satz 2 DSGVO eine Art Überprüfungsverfahren an.

Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Artikel 21 Absatz 1 Satz 2 DSGVO

Und genau wie die Überprüfung bei der Berichtigung von personenbezogenen Daten benötigt auch die erneute Abwägung eine gewisse Zeit; für diesen Zeitraum darf die verantwortliche Stelle die personenbezogenen Daten eben nur noch eingeschränkt verarbeiten.

Wurde die Verarbeitung gemäß Absatz 1 eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden.
Artikel 18 Absatz 2 DSGVO

Wie sieht die Einschränkung der Verarbeitung in der Praxis aus?

Da hilft uns jetzt doch noch die Begriffsbestimmung in Artikel 4 Nummer 3 DSGVO, denn das entscheidende Wort dort lautet »Markierung«. Im zentralen Anwendungsfall, dass nämlich eine betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet, müssen die Daten einen Hinweis erhalten: »Achtung! Richtigkeit bestritten; bitte vorerst nicht weiterleiten oder verwenden.«.

In der analogen Papierwelt würde wohl ein Post-It an eine Karteikarte geheftet werden oder ein anderer kleiner Zettel mit dem Hinweis. In der digitalen Welt müssen die Daten dann einen entsprechenden Hinweis bekommen oder der Zugriff wird auf bestimmte Personen beschränkt, die mit der Überprüfung der Daten beauftragt sind und daher wissen, dass die Daten auch tatsächlich unrichtig sein können. Der Begriff der »Markierung« aus Artikel 4 Nummer 3 DSGVO bekommt vor diesem Hintergrund also eine nachvollziehbare Erklärung.

Eingeschränkt werden können Daten übrigens auch, wenn sie für die eigentlichen Zwecke, für die sie erhoben wurden, nicht länger gebraucht und nur noch aufgrund von Aufbewahrungspflichten vorgehalten werden. Nachdem ein Mitarbeiter ein Unternehmen verlassen hat, werden seine Personalakten für die tägliche Personalverwaltung nicht mehr benötigt und wandern in das Archiv, häufig also in den Keller. Das ist auch eine Einschränkung der Verarbeitung, weil jetzt eben nur noch die Person mit dem Schlüssel zum Keller die Akten einsehen kann. In der digitalen Welt muss dann der Zugriff auf die »ausgelagerten« Daten entsprechend auf wenige Personen beschränkt werden, z.B. auf die Geschäftsführung oder die Leitung der Personalabteilung.

Kostenlose* Webinare der datenrecht.ACADEMY

*Die Teilnahme an den aufgeführten Webinaren kostet kein Geld. Als Gegenleistung für die Teilnahme an einem der genannten Webinare notiere ich Sie als Empfänger meines regelmäßigen Newsletters und von Werbeinformationen über die datenrecht.ACADEMY. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter und vom Empfang von Werbung per E-Mail an mail@andreasriehn.biz oder durch Anklicken des Abmelde-Links am Ende des Newsletters abmelden. Weitere Informationen finden Sie in meiner Datenschutzerklärung (Menüpunkt »Datenschutz«).

Zuletzt aktualisiert am 27.03.2023 um 17:40 Uhr.
Hier geht es zum DSGVO-Praxiskurs der datenrecht.ACADEMY

Hier klicken zum DSGVO-Praxiskurs