Kontaktieren Sie uns unter:

+41 (0) 445 866 210 (Zürich)



DSGVO: Betroffenenrechte für mehr Verbraucherschutz


Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) Ende Mai 2018 wird das Datenschutzniveau in der Europäischen Union (EU) vereinheitlicht. Unabhängig vom Firmensitz eines Anbieters gelten aufgrund des Auswirkungsprinzips (Art. 3(2) DSGVO)) für Verbraucher und Arbeitnehmer innerhalb der EU die Regelungen der DSGVO auch wenn es sich um einen ausländischen Anbieter handelt. Betroffenenrechte werden gestärkt und die Pflichten für Unternehmen ausgeweitet.

Höhere Bussen ab Mai 2018


Ziel dieser Harmonisierung ist nicht einzig die Vereinfachung des freien Verkehrs personenbezogener Daten, sondern explizit auch der stärkere Schutz von Grundrechten und -freiheiten. Entsprechend dieses Schutzgutes sind die Bussen empfindlich hoch angesetzt. Als Entscheider in Unternehmen sollten Sie Risiken und Handlungsbedarf prüfen. Denn für Verstösse gegen die DSGVO-Betroffenenrechte sind in Artikel 83 bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des welt- und konzernweiten Jahresumsatzes vorgesehen. Anzusetzen ist der höhere Betrag. Die Datenschutz-Grundverordnung wirkt unmittelbar, bedarf also anders als EU-Richtlinien keiner gesetzgeberischen Massnahmen in den Mitgliedsländern.

Informationspflichten


Die Basis für die DSGVO-Betroffenenrechte bilden die Informationspflichten. Erst mit dem Wissen um die Verarbeitung von Daten kann der Betroffene seine Rechte ausüben. Erhebt Ihr Unternehmen als verantwortliche Stelle im Sinne der DSGVO Daten direkt bei einem Betroffenen, sind Sie verpflichtet, diese Person gemäss der Artikel 12 bis 14 zu informieren. Dies darf nicht nachgelagert geschehen, sondern muss bereits zum Zeitpunkt der Datenerhebung erfolgen. Zu den erforderlichen Angaben zählen beispielsweise Details zu Ihrem Unternehmen wie Name und Kontaktdaten des Verantwortlichen und Ihres Datenschutzbeauftragten. Auch der Zweck, für den Sie die personenbezogenen Daten verwenden wollen, sowie die geplante Speicherdauer sind nebst Rechtsgrundlage mitzuteilen. Gleiches gilt für Informationen über die DSGVO-Betroffenenrechte inklusive eines Hinweises auf das Beschwerderecht bei der Aufsichtsbehörde. Falls Sie planen, die Daten an Dritte weiter zu geben, sind die Empfänger beziehungsweise Kategorien von Empfängern zu benennen. Gleiches gilt, wenn Sie personenbezogene Daten in ein Drittland oder eine internationale Organisation übermitteln. Diese Informationspflichten gelten auch, wenn Sie personenbezogene Daten nicht direkt beim Betroffenen erheben, sondern von anderen Unternehmen beziehen (Dritterhebung). Hierbei ist zusätzlich die Datenquelle anzugeben.

Recht auf Auskunft, Berichtigung und Löschung


Zusätzlich zu den Vorabinformationen dürfen Betroffene eine Bestätigung über die Verarbeitung von personenbezogenen Daten verlangen. Eine Antwort sollte gemäss Artikel 12 unverzüglich binnen eines Monats erfolgen. Benötigen Sie mehr Zeit, ist eine Verlängerung um bis zu zwei Monate zulässig. Darüber ist der Anfragende nebst einer Begründung zu informieren. Auskünfte müssen Sie dem Betroffenen unentgeltlich zur Verfügung stellen - sofern er nicht exzessiv oder unbegründet davon Gebrauch macht. Dieses Mehr an Transparenz zählt zu den Grundsätzen der DSGVO. Betroffenenrechte beschränken sich jedoch nicht nur auf Information und Auskunft. Ergibt ein Auskunftsersuchen, dass personenbezogene Daten eines Betroffenen falsch oder unvollständig sind, steht ihm gemäss Artikel 16 die Berichtigung beziehungsweise Vervollständigung zu. Zusätzlich sieht die DSGVO in Artikel 17 das Recht auf Vergessenwerden vor. Auf Anfrage des Betroffenen müssen Sie personenbezogene Daten löschen (wenn unter einer Einwilligung bearbeitet), sofern dem nicht wichtige Gründe entgegenstehen. Zur fristgerechten und vollständigen Umsetzung dieser Vorgaben sollten Sie im Vorfeld geeignete organisatorische Vorkehrungen treffen.

Einschränkung, Widerspruch und Übertragbarkeit


Ergänzend zu den Löschrechten existieren Fallkonstellationen, in denen Sie die Verarbeitung personenbezogener Daten beispielsweise über einen Sperrvermerk einzuschränken haben. Dies gilt im Fall von Widersprüchen gegen die Verarbeitung nach Artikel 21 vor Abschluss einer Interessenabwägung oder wenn ein Betroffener gemäss Artikel 18 die Einschränkung verlangt. Ein Novum der DSGVO stellt das Recht auf Datenübertragbarkeit dar. Ein Betroffener darf von Ihnen verlangen, dass Sie ihm seine Daten in einem gängigen, strukturierten und maschinell lesbarem Format übermitteln. Auf Anfragen bezüglich dieser DSGVO-Betroffenenrechte sollten Sie vorbereitet sein. Sehen Sie hierzu auch die Informationen zu unserer Softwareentwicklung.

Weitere DSGVO-Betroffenenrechte


Automatisierte Einzelfallentscheidungen sind nach der DSGVO generell zulässig. Artikel 22 detailliert Rechte und Pflichten für Entscheidungen ohne menschliche Mitwirkung. Zwar dürfen Bewertungen grundsätzlich nicht vollautomatisiert gefällt werden, jedoch sind Ausnahmetatbestände definiert. Dazu zählt neben der vorherigen und informierten Einwilligung die Vertragserfüllung. Jedoch müssen Sie als Verantwortlicher den Betroffenen informieren und ihm seine Rechte mitteilen. Zu nennen sind hierbei zusätzlich die Rechtsansprüche auf Darlegung des eigenen Standpunkts, auf das Eingreifen einer Person in die Entscheidung sowie auf Anfechtung der Entscheidung.

Rechtsfolgen und Rechenschaftspflicht


Die finanziellen Risiken aus dem Inkrafttreten der DSGVO beschränken sich nicht auf die eingangs erwähnten Bussen. Neben dem Beschwerderecht bei einer Aufsichtsbehörde haben Betroffene einen Schadensanspruch bezüglich der DSGVO-Betroffenenrechte. Dabei sind in Artikel 82 explizit auch immaterielle Schäden als ersatzfähig anerkannt. Des weiteren enthält die Verordnung in Artikel 80 die Option der Vertretung von Betroffenen durch gemeinnützige Vereinigungen vor. Dies eröffnet die Möglichkeit von Verbandsklagen. Aus der Rechenschaftspflicht in Artikel 5 der DSGVO resultieren umfassende Dokumentationspflichten: Als Verantwortlicher tragen Sie die Beweislast für die rechtmässige Datenverarbeitung und müssen in der Lage sein, die Einhaltung der DSGVO nachzuweisen.

Datenschutzbeauftragter benötigt? Wir sind Ihr Ansprechpartner!


Für den professionellen Umgang mit Anfragen bezüglich der DSGVO-Betroffenenrechte gilt es, Prozesse zu implementieren und involvierte Mitarbeiter zu sensibilisieren. Zögern Sie nicht, uns bei Unterstützungsbedarf oder Fragen via contact@sidd.swiss zu kontaktieren.




Vielen Dank für Ihre Anfrage. Wir werden Sie schnellstmöglich kontaktieren. Der Verarbeitung Ihrer E-Mail Adresse können Sie jederzeit per E-Mail an contact@sidd.swiss widersprechen.
Fehler, bitte erneut versuchen.


SIDD Institut für Datenschutz und Datensicherheit hat 4,91 von 5 Sternen | 4 Bewertungen auf ProvenExpert.com