Der ultimative Leitfaden zu den Betroffenenrechten unter der DSGVO
In Bezug auf umfassenden Datenschutz kann man die Geschichte in die Zeit vor und nach der DSGVO einteilen.
- Wer Betroffenenrechte nach der DSGVO hat
- Welche Betroffenenrechte die DSGVO Nutzern gewährt
- Wie diese Rechte ausgeübt werden können
- Was Unternehmen tun müssen, wenn ein Nutzer seine Rechte ausüben möchte
- Welche Folgen die Nichteinhaltung eines Antrags eines Betroffenen hat
Die wegweisende EU-Verordnung war eine der ersten, die Internetnutzern umfassende Datenschutzrechte und Schutzmaßnahmen einräumte. Sie hat großen Einfluss auf Regierungen weltweit, sodass die meisten seit der DSGVO verabschiedeten Datenschutzgesetze der EU-Verordnung ähneln.
Unter anderem bedeutet dies, dass die neueren Datenschutzgesetze den Nutzern umfassende Datenschutzrechte gewähren.
Bevor wir jedoch näher darauf eingehen, müssen Sie den Unterschied zwischen dem Datenverantwortlichen, dem Datenverarbeiter und dem Betroffenen verstehen, da wir diese Begriffe verwenden werden.
Ein Datenverantwortlicher ist ein Unternehmen, das personenbezogene Daten erhebt.
Ein Datenverarbeiter ist ein Unternehmen, das Daten im Auftrag des Verantwortlichen verarbeitet.
Der Kernunterschied liegt darin, dass der Datenverantwortliche über die Art, die Gründe und die Methoden der Datenverarbeitung bestimmt, während der Auftragsverarbeiter die tatsächliche Verarbeitung durchführt. Wenn Sie sich entscheiden, E-Mail-Adressen (das „Was“) über ein Anmeldeformular (das „Wie“) zum Zweck des Versands Ihres Newsletters (das „Warum“) zu sammeln, übernimmt Mailchimp diese Aufgabe für Sie. In diesem Szenario sind Sie der Datenverantwortliche und Mailchimp fungiert als Ihr Auftragsverarbeiter.
Die betroffene Person ist jeder Internetnutzer, dessen Daten von Ihnen gesammelt und/oder verarbeitet werden. Diese Personen haben bestimmte Rechte. Wenn sie diese Rechte geltend machen, sind Sie verpflichtet, darauf zu reagieren. Die Nichtbeachtung kann zu Bußgeldern führen.
Es ist essentiell, sich mit den Rechten der betroffenen Personen gemäß der DSGVO vertraut zu machen.
Wer hat Betroffenenrechte nach der DSGVO?
Die DSGVO gilt für Interaktionen zwischen Unternehmen und Nutzern, bei denen mindestens einer aus der Europäischen Union stammt.
Das bedeutet, dass sie gilt, wenn:
- Sowohl das Unternehmen als auch der Nutzer aus der EU stammen
- Das Unternehmen aus der EU stammt und der Nutzer aus irgendeinem Land der Welt
- Der Nutzer aus der EU stammt und das Unternehmen aus irgendeinem Land der Welt
Welche Rechte gewährt die DSGVO den Nutzern?
Die DSGVO gewährt Betroffenen folgende Rechte:
Recht auf Auskunft
Was es bedeutet: Dieses Recht ermöglicht es Betroffenen, Informationen darüber anzufordern, ob Sie personenbezogene Daten erheben, welche Kategorien von Daten Sie erfassen, warum Sie dies tun und alles, was mit Ihren Datenschutzpraktiken zusammenhängt.
Was Datenverantwortliche bereitstellen müssen: Wenn ein Unternehmen, also der Datenverantwortliche, eine Anfrage zur Kenntnisnahme erhält, muss er dem Betroffenen die angeforderten Informationen zur Verfügung stellen, wie z.B. die Kategorien der erhobenen und verarbeiteten Daten, die Zwecke der Verarbeitung, die Methoden der Erhebung und Verarbeitung, die Dritten, an die die Daten offengelegt wurden, den Ort, an den die Daten übermittelt wurden, und so weiter.
Recht auf Zugang
Was es bedeutet: Das Recht auf Zugang gewährt dem Betroffenen die Möglichkeit, auf seine unter Ihrer Kontrolle befindlichen Daten zuzugreifen.
Was Datenverantwortliche bereitstellen müssen: Wenn Sie deren Namen und E-Mail-Adresse haben, haben sie das Recht darauf zuzugreifen. Manchmal bezieht sich die Anfrage auf alle Daten, manchmal nur auf Teile. Sie müssen sich an die tatsächliche Forderung halten und Zugang zu den angeforderten Daten gewähren.
Recht auf Berichtigung
Was es bedeutet: Das Recht auf Berichtigung bedeutet das Recht, eigene personenbezogene Daten zu korrigieren. Zum Beispiel kann der Datenverantwortliche, der Rabattcodes an Kunden sendet, einen Fehler in der E-Mail-Adresse eines Kunden haben, sodass sie keine Codes erhält. Dieser Nutzer, also der Betroffene, hat das Recht, eine Berichtigung seiner Daten zu verlangen, seine E-Mail-Adresse korrigieren zu lassen und die Codes zu erhalten.
Was Datenverantwortliche bereitstellen müssen: Der Datenverantwortliche muss die Daten des Betroffenen gemäß deren Anfrage korrigieren.
Recht auf Löschung (Recht auf Vergessenwerden)
Was es bedeutet: Das Recht, personenbezogene Daten zu löschen, auch allgemein als Recht auf Vergessenwerden bekannt, bedeutet, die Daten eines Betroffenen aus den Aufzeichnungen des Datenverantwortlichen zu löschen. Der Betroffene kann die Löschung aller seiner Daten oder nur von Teilen verlangen. Sie können beispielsweise verlangen, dass Sie ihre Telefonnummer löschen, weil sie nur per E-Mail mit Ihnen kommunizieren möchten.
Was Datenverantwortliche bereitstellen müssen: Sie müssen personenbezogene Daten gemäß der Anfrage löschen. Denken Sie daran, dass der Vorschlag, einige Kategorien von Daten zu löschen, nicht die Löschung aller Daten bedeutet.
Recht auf Einschränkung der Verarbeitung
Was es bedeutet: Der Betroffene kann den Datenverantwortlichen auffordern, die Verarbeitung seiner personenbezogenen Daten einzustellen, wenn einer der folgenden Punkte zutrifft:
- Die personenbezogenen Daten sind ungenau
- Die Verarbeitung ist rechtswidrig, aber der Betroffene wählt die Einschränkung der Verarbeitung statt der Löschung
- Der Datenverantwortliche benötigt die Daten nicht mehr zur Verarbeitung
- Der Betroffene hat der Verarbeitung widersprochen, wartet aber noch auf die Überprüfung
Was Datenverantwortliche bereitstellen müssen: Der Datenverantwortliche sollte der Anfrage nachkommen, die Datenverarbeitung der Kategorien personenbezogener Daten einzuschränken, auf die sich die Anfrage bezieht.
Recht auf Datenübertragbarkeit
Was es bedeutet: Manchmal möchten Nutzer ihre Daten an einen anderen Datenverantwortlichen übertragen. Dies geschieht in der Regel, wenn der Nutzer den Dienstleister wechselt. Zum Beispiel können sie von Hulu zu Netflix wechseln und möchten die Daten, die Hulu über sie gesammelt hat, mitnehmen.
Was Datenverantwortliche bereitstellen müssen: Der Verantwortliche muss eine Datei mit allen personenbezogenen Daten des Anfragenden erstellen und sie ihnen zur Verfügung stellen. Die Daten müssen in einem Format vorliegen, das auch von anderen Datenverantwortlichen verwendet werden kann. Wenn der Betroffene die Übertragung aller personenbezogenen Daten verlangt, darf der Verantwortliche keine weiteren Daten des Betroffenen speichern, außer im Zusammenhang mit Einhaltung von Vorschriften und rechtlichen Ansprüchen.
Recht auf Widerspruch
Was es bedeutet: Der Betroffene kann der Datenverarbeitung widersprechen und den Verantwortlichen auffordern, diese einzustellen.
Was Datenverantwortliche bereitstellen müssen: Der Verantwortliche sollte die Datenverarbeitung gemäß der Anfrage einstellen, es sei denn, sie können berechtigte Gründe dafür vorweisen. Die berechtigten Gründe müssen die Widerspruchsgründe des Betroffenen überwiegen.
Zum Beispiel kann der Betroffene der Verarbeitung seiner Zahlungsdaten widersprechen. Der Verantwortliche muss dem nachkommen, aber wenn sie zeigen können, dass die Verarbeitung dieser Daten zur Betrugsprävention erforderlich ist, können sie die Zahlungsdaten weiterverarbeiten.
Die Ausnahme bildet der Widerspruch gegen die Datenverarbeitung zu Direktmarketingzwecken. Wenn der Betroffene dem widerspricht, muss der Verantwortliche dem nachkommen.
Recht, nicht Gegenstand automatisierter Entscheidungsfindung einschließlich Profiling zu sein
Was es bedeutet: Einige Unternehmen treffen automatisierte Entscheidungen über Kunden basierend auf Algorithmen. Zum Beispiel kann eine Versicherungsgesellschaft Versicherungsprämien für potenzielle Kunden aufgrund ihrer persönlichen Daten (einschließlich Gesundheitsdaten, Gehalt usw.) berechnen. Die DSGVO erlaubt es Nutzern, zu verlangen, solchen Entscheidungen nicht unterworfen zu sein.
Was Datenverantwortliche bereitstellen müssen: Sie müssen aufhören, Entscheidungen über den Betroffenen auf der Grundlage automatisierter Verfahren, einschließlich Profiling, zu treffen.
Ausübung der Rechte
Der Weg vom Recht der betroffenen Person auf dem Papier zur praktischen Umsetzung führt über die Ausübung der Rechte der betroffenen Personen durch die betroffenen Personen selbst.
Die Rechte betroffener Personen werden ausgeübt, indem Anfragen betroffener Personen eingereicht werden. Nutzer können jede Anfrage betroffener Personen einreichen, und Sie müssen rechtzeitig darauf antworten.
Die DSGVO verlangt von Datenverantwortlichen, innerhalb von 30 Tagen oder 60 Tagen für komplexere Anfragen auf die Anfragen zu reagieren. Sie müssen den Nutzer über die Verlängerung von weiteren 30 Tagen informieren.
Wenn der Datenverantwortliche nicht antwortet oder unzureichend antwortet, kann die Datenschutzbehörde sie mit Geldbußen belegen.
Im Allgemeinen durchlaufen die Ausübung der Rechte betroffener Personen fünf Schritte. Hier ist, wie jeder von ihnen aus der Sicht des Betroffenen und des Datenverantwortlichen aussieht:
Anfrage einreichen
Der Betroffene reicht die Anfrage beim Datenverantwortlichen ein. Er kann die Anfrage auf jede gewünschte Weise einreichen – sei es per E-Mail, über ein Webformular, das speziell für Anfragen eingerichtet ist, telefonisch oder auf andere Weise.
Der Datenverantwortliche erhält die Anfrage. Für sie spielt es keine Rolle, wie die Anfrage eingereicht wurde. Sie müssen sie akzeptieren. Unternehmen fügen oft Anfrageformulare für betroffene Personen auf Websites oder dedizierte E-Mail-Adressen ein, aber wenn der Betroffene sie ignoriert hat, macht das keinen Unterschied. Jede auf beliebige Weise eingegangene Anfrage betroffener Personen muss gleich behandelt und beantwortet werden.
Identitätsprüfung
Der Datenverantwortliche muss die Identität des Antragstellers überprüfen. Dies ist ein wichtiger Schritt, da personenbezogene Daten im Prozess offengelegt werden können; wenn dies geschieht, muss dies der richtigen Person mitgeteilt werden. Der Verantwortliche muss sicherstellen, dass er keine Daten an Personen weitergibt, die keinen Zugang dazu haben sollten.
Der Datenverantwortliche sollte keine zusätzlichen personenbezogenen Daten für die Identitätsprüfung verlangen, es sei denn, dies ist erforderlich. Idealerweise sollte die Überprüfung auf bereits vorhandenen personenbezogenen Daten basieren. Zum Beispiel können Sie die Daten, die mit einer E-Mail-Adresse verknüpft sind, anhand der E-Mail-Adresse überprüfen, von der aus die Anfrage gesendet wurde.
Wenn der Datenverantwortliche die Identität des Betroffenen nicht vernünftigerweise überprüfen kann, können sie die Anfrage ablehnen.
Der Betroffene sollte alle vom Verantwortlichen geforderten Informationen angeben.
Anfrage identifizieren
Der Datenverantwortliche sollte die Anfrage identifizieren. Betroffene Personen reichen manchmal unklare Anfragen ein. In solchen Fällen sollte der Verantwortliche die Anfrage klären. Sie können den Betroffenen auch um Klarstellungen bitten.
Der Betroffene sollte auf alle Fragen des Verantwortlichen antworten. Wenn keine Fragen gestellt werden, sollten sie in dieser Phase warten.
Daten sammeln und verpacken
Als nächstes sollte der Datenverantwortliche die zur Erfüllung der Anfrage benötigten Daten prüfen, sammeln und verpacken.
Der Betroffene muss dabei nichts tun.
Anfrage erfüllen
Am Ende sollte der Datenverantwortliche die Anfrage erfüllen. Das kann bedeuten, einige Daten bereitzustellen, zu korrigieren, zu löschen oder etwas anderes zu tun.
Der Betroffene sollte die Lieferung überprüfen. Wenn sie unzufrieden sind, können sie weitere Anfragen stellen oder sich bei der Datenschutzbehörde beschweren.
Schlussworte
Anfragen betroffener Personen sind keine Belastung für Unternehmen und auch kein Mittel für Nutzer, um sie zu belästigen.
Transparenz schafft Vertrauen, und das Vertrauen der Nutzer ist ein großer Vorteil für jedes Unternehmen. Es ist ein Mittel für eine bessere Verbindung zwischen Unternehmen und Nutzern. Es bietet eine Möglichkeit für Transparenz, die letztendlich ihre Beziehung stärken kann.
Das Bewusstsein für den Datenschutz im Internet wächst stetig. Unternehmen müssen nicht nur die hohen Bußgelder vermeiden, sondern auch Ressourcen erweitern.
Schauen Sie sich unsere Liste aller bekannten DSGVO-Bußgelder an, um einen Eindruck von den Folgen einer Nichteinhaltung dieser Vorschriften zu bekommen.
Der Aufwand ist nicht so hoch, wie es scheint. Die Einhaltung der Anfragen ist eher einfach und leicht zu erreichen. Der Nutzen hingegen ist größer und lohnt sich, um die Anstrengungen zur Einhaltung zu unternehmen. Es ist ein Kinderspiel.