Die DSGVO war zum 25. Mai 2018 umzusetzen. Ein wichtiges Thema waren die umfangreichen Betroffenenrechte.  Dabei stellt insbesondere die Löschung der personenbezogenen Daten viele Institute vor Herausforderungen. Einen Überblick der Betroffenenrechte erhalten Sie in der nachfolgenden Darstellung.

Bei der Ausübung der Rechte durch die Betroffenen sind die Anforderungen des Art. 19 DSGVO relevant; die DSGVO sieht eine Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung vor, soweit dies möglich und nicht mit einem unverhältnismäßigen Aufwand verbunden ist.

Recht auf Löschung – Recht auf Vergessenwerden (Art. 17 DSGVO)

Sofern ein Grund für die Löschung vorliegt, sind die personenbezogenen Daten unverzüglich zu löschen. Dies bedingt jedoch, dass die Verarbeitung nicht nach den Anforderungen des Art. 17 Abs. 3 DSGVO – wie beispielsweise für die Erfüllung einer rechtlichen Verpflichtung – erforderlich ist.

Löschgründe nach Art. 17 Abs. 1 DSGVO sind:

• Zwecke, für welche die Daten erhoben oder auf sonstige Weise verarbeitet wurden, sind entfallen
• Widerruf der Einwilligung und Fehlen anderweitiger Rechtsgrundlagen für die Verarbeitung
• Widerspruch gegen die Verarbeitung und Fehlen eines vorrangigen berechtigten Grund für die
• Verarbeitung
• Unrechtmäßige Datenverarbeitung
• Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung
• nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
• Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gem. Art. 8 DSGVO (Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft) erhoben.

Sofern Sie als Verantwortlicher personenbezogene Daten öffentlich zugänglich gemacht haben und zu deren Löschung verpflichtet sind, müssen Sie – unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten – angemessene Maßnahmen, auch technischer Art, ergreifen. Auf diese Weise sollen Verantwortliche, welche die personenbezogenen Daten verarbeiten, darüber informiert werden, dass eine betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO)

Zum Zeitpunkt der Erhebung der Daten sind der betroffenen Person neben Ihrem Namen und Ihren Kontaktdaten als Verantwortlicher auch die Kontaktdaten Ihres Datenschutzbeauftragten sowie der Zweck der Datenverarbeitung und die Empfänger der Daten (inkl. Drittländer/ internationale Organisationen) mitzuteilen.

Darüber hinaus sind Informationen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten, bereitzustellen. Das beinhaltet unter anderem die Dauer der Datenspeicherung bzw. alternativ die Kriterien für die Festlegung der Dauer.

Neben dem Hinweis auf die Betroffenenrechte sind auch Informationen darüber zu erteilen, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

Bei der Weiterverarbeitung für einen anderen Zweck als den, für den die personenbezogenen Daten erhoben wurden, sind der betroffenen Person vorab Informationen über den abweichenden Zweck und alle anderen maßgeblichen Informationen zur Verfügung zu stellen.

Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO)

Ergänzend zu den Anforderungen nach Art. 13 DSGVO teilen Sie als Verantwortlicher der betroffenen Person nach Art. 14 Abs. 2 (f) DSGVO mit, aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls, ob sie aus öffentlich zugänglichen Quellen stammen.

Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)

Die betroffene Person hat das Recht, eine Bestätigung darüber zu verlangen, ob und welche personenbezogenen Daten verarbeitet werden. Der Umfang der erforderlichen Auskunft ist in Art. 15 DSGVO festgelegt.

Recht auf Berichtigung (Art. 16 DSGVO)

Beim Vorliegen unrichtiger personenbezogener Daten kann die betroffene Person verlangen, dass die Daten unverzüglich berichtigt werden. Darunter fällt auch die Vervollständigung unvollständiger Daten, unter Berücksichtigung des Datenverarbeitungszwecks.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Art. 18 DSGVO definiert Voraussetzungen, unter denen die betroffene Person die Einschränkung der Verarbeitung verlangen kann. Das ist beispielsweise der Fall, wenn die betroffene Person Widerspruch gegen die Verarbeitung (Art.21 Abs.1 DSGVO) eingelegt hat und noch nicht feststeht, ob die berechtigten Gründe Ihrerseits, als Verantwortlicher, gegenüber denen der betroffenen Person überwiegen.

Abgesehen von der Speicherung dürfen die Daten nach der Einschränkung nur noch mit der Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. Bevor eine Einschränkung aufgehoben wird, ist die betroffene Person zu informieren.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Die Datenübertragung an die betroffene Person ist in einem strukturierten, gängigen und maschinenlesbaren Format vorzunehmen. Das Recht des Betroffenen gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die Ihnen, als Verantwortlicher, übertragen wurde.

Widerspruchsrecht (Art. 21 DSGVO)

Betroffene Personen haben aus unterschiedlichen Gründen das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen. Unter anderem können es Gründe sein, die sich aus ihrer besonderen Situation ergeben, oder aufgrund der Datenverarbeitung für das Betreiben von Direktwerbung. Wichtig für Sie als Verpflichteter ist, dass Sie die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation auf das Widerspruchsrecht hinweisen müssen. Der Hinweis muss in verständlicher Form erfolgen und ist von anderen Informationen getrennt zu erteilen.

Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Praktische Umsetzungshilfe

Eine lückenlose, prüfungssichere und nachvollziehbar dokumentierte Umsetzung der DSGVO-Anforderungen ist von hoher Bedeutung. Eine detaillierte Aufschlüsselung der Anforderungen an die Umsetzung der Betroffenenrechte hat das ORO Team in einer Checkliste dargestellt.

Severn Consultancy verfügt über ein umfangreiches Know-How und Projekterfahrung bei der Umsetzung der DSGVO. Für Fragen rund um das Thema Datenschutz stehen wir Ihnen gerne zur Verfügung.