IHK Industrie und Handelskammer Bonn/Rhein-Sieg


DSGVO: Welche Rechte Betroffene haben

EU-Datenschutzgrundverordnung

© mixmagic (AdobeStock.com)Seit Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) – mit zahlreichen neuen Pflichten für IT-Sicherheit und Datenschutz. Betroffene haben nun umfassende Rechte, die neben dem Informations-, dem Auskunftsrecht und dem Recht auf Widerspruch auch neue Rechte wie das auf Datenportabilität und das Recht auf Vergessenwerden umfassen. Mit Konsequenzen nicht nur für den Umgang mit Kunden, sondern auch mit den eigenen Mitarbeitern.

Das Thema Datenschutz beherrscht derzeit wieder einmal die Schlagzeilen. Grund sind weniger technische Pannen oder Angriffe von Computerhackern denn die umfassenden Regelungen der EU-Datenschutz-Grundverordnung (DSGVO). Diese gilt seit Ende Mai 2018 und vereinheitlicht das europäische Datenschutzrecht.

Mit der DSGVO werden Verantwortliche und Auftragsverarbeiter stärker als bisher in die Pflicht genommen. Hinzu kommen neue Rechte für die betroffenen Personen. Diese Betroffenenrechte beinhalten neben bisher bereits bekannten Ansprüchen wie dem Informationsrecht, dem Auskunftsrecht und dem Recht auf Widerspruch auch neue Rechte, die unter bestimmten Voraussetzungen greifen.

Auskunftsrecht: Wie lange wird gespeichert?

Bereits nach der bisherigen Rechtslage haben Betroffene das Recht, Auskunft über gespeicherte personenbezogene Daten zu verlangen. Das Auskunftsrecht ist in der DSGVO nun gestärkt worden und legt die Basis für alle weiteren Rechte von Betroffenen. „So haben sie beispielsweise Anspruch zu erfahren, welche Speicherdauer geplant ist“, erklärt Detlev Langer, Leiter der Abteilung Recht und Steuern der IHK Bonn/Rhein-Sieg.

Anfragen von Betroffenen müssen innerhalb eines Monats beantwortet werden – wird die Sache kompliziert, darf die Frist ausnahmsweise um weitere zwei Monate verlängert werden. „Trotzdem ist Vorsicht geboten, denn die Frist wird schnell knapp, wenn die Einzelinformationen erst aus verschiedenen Bereichen zusammengetragen werden müssen.

Im Idealfall sollte der Verantwortliche die Übersicht haben, in welchen Systemen personenbezogene Daten gespeichert sind“, rät Langer. Kommen Anfragen in elektronischer Form an, müssen sie auf demselben Rückweg bearbeitet werden. Dem Betroffenen dürfen außerdem keine Kosten entstehen, wenn er seine Rechte geltend macht.

Ein ganz neues Recht führt die neue Verordnung mit der Datenübertragbarkeit ein. Der Betroffene hat das Recht, alle personenbezogenen Daten gebündelt in einem gängigen Format zu erhalten und einem anderen Verantwortlichen zu übermitteln. Dies soll den Wettbewerb fördern und den Wechsel zwischen verschiedenen Diensteanbietern erleichtern.

Im Netz vergessen

Wer im Netz agiert, muss mit dem Grundsatz „Das Internet vergisst nichts“ leben. Das soll zumindest bei gespeicherten Kundendaten nun anders werden. Denn die DSGVO führt ein „Recht auf Vergessenwerden“ ein. Demnach hat die betroffene Person das Recht vom Verantwortlichen zu verlangen, dass die Daten unverzüglich gelöscht werden.

Dafür müssen aber bestimmte Voraussetzungen erfüllt sein. So greift das Recht auf Vergessenwerden dann, wenn die Daten für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind. Auch wenn die personenbezogenen Daten unrechtmäßig verarbeitet wurden oder der Betroffene seine Einwilligung widerruft, hat er einen Anspruch auf Löschung.

Darüber hinaus kann das Recht auf Vergessenwerden geltend gemacht werden, wenn die personenbezogenen Daten in Bezug auf direkt gegenüber einem Kind angebotene Dienste der Informationsgesellschaft erhoben wurden. „Die Verordnung versucht hier die Idee des ‚digitalen Radiergummis‘ zu verwirklichen. Dies gilt übrigens nicht nur für den Online-Bereich. Der Verantwortliche im Unternehmen muss auch andere darüber informieren, dass der Betroffene beispielsweise die Löschung von Links oder Kopien verlangt“, so Detlev Langer.

Ausnahmen bestehen dann, wenn es um das Recht auf freie Meinungsäußerung geht oder etwa gesetzliche Aufbewahrungspflichten erfüllt werden müssen. Auch öffentliches Interesse – zum Beispiel im Zusammenhang mit Archiven, wissenschaftlicher oder historischer Forschung sowie Statistik – kann dazu führen, dass Betroffene keinen Gebrauch von ihrem Recht auf Vergessenwerden machen können.

Datenschutz im Arbeitsverhältnis

Ein Spezialfall sind die Betroffenenrechte im Arbeitsverhältnis. Arbeitnehmern stehen grundsätzlich dieselben Betroffenenrechte zu wie Kunden oder anderen Personen. Es gibt aber die Möglichkeit, Kollektivvereinbarungen zu schließen und damit die Grundlage für die notwendige Datenverarbeitung im Unternehmen zu legen.

Darüber hinaus müssen die Datenschutzbestimmungen sprachlich klar und für jeden verständlich formuliert sein. Die DS-GVO verlangt, dass Informationen in „transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ vorgelegt werden. Auf mehrdeutige Formulierungen, Fremdwörter und komplizierte Satzkonstruktionen sollten Unternehmen in ihren Datenschutzhinweisen künftig verzichten. Diese sollten näher an der Alltagssprache formuliert sein – auch dies eine Herausforderung, die ausnahmsweise nichts mit Datenschutz und IT-Sicherheit zu tun hat, dafür aber mit mehr Kundenfreundlichkeit.

Constanze Elter, Die Steuerjournalistin

Die Wirtschaft

Aktuelle Ausgabe

Ansprechpartner

Photo of Detlev  Langer

Tel.: 0228 2284-134
Fax.: 0228 2284-222