Teil 2 unserer Blog-Serie zur DSGVO. Lesen Sie hier Teil 1.
Am 25. Mai endet die Übergangsfrist von der alten EU-Datenschutzrichtlinie auf die neue EU-DSGVO, die damit zu diesem Datum vollständig in Kraft tritt. Dies bedeutet auch, dass die neue Bußgeldbewehrung bei Datenschutzverstößen ab diesem Tag greift. Grund genug, die grundlegenden Inhalte der DSGVO einmal näher zu betrachten und sie sowohl in Bezug zu Digitalen Diensten zu setzen als auch anhand aktueller Beispiele zu illustrieren, was sich bereits jetzt an Veränderungen abzeichnet, zu denen die DSGVO führen wird. Der Blog des Fraunhofer IESE setzt mit diesem Artikel seine vierteilige Artikelserie zur DSGVO fort.
Die Datenschutzrichtlinie der EU (1995/46/EG) ist angesichts der fortschreitenden Digitalisierung und der immer stärker datenbezogenen und explosionsartig wachsenden Menge von digitalen Diensten in die Jahre gekommen. Die Richtlinie, deren Umsetzung im Bundesdatenschutzgesetz verankert ist, stammt aus dem Jahr 1995 und damit genau aus dem Jahr, in dem HTML 2.0 erstmalig als Standard für Internet-basierte Informationsdienste veröffentlicht wurde. Zeit also, diese Richtlinie gründlich zu überarbeiten, um personenbezogenen Daten und deren Verarbeitung im Zeitalter der Digitalisierung gerecht zu werden. In der neuen EU-Datenschutzgrundverordnung, kurz DSGVO (2016/679/EU), wird dies neu geregelt. Gleichzeitig wird die Richtlinie zu einer Verordnung aufgewertet. Eine Besonderheit ist, dass für die DSGVO das Marktortprinzip gilt. Das heißt, dass auch Anbieter von Diensten, deren Firmensitz sich außerhalb der EU befindet, den Regularien unterliegen, wenn sie ihren Dienst innerhalb der EU anbieten.
Die Pflichten der Verantwortlichen
Die grundlegenden Pflichten des für die Verarbeitung von personenbezogenen Daten Verantwortlichen, also ein Unternehmen oder eine Organisation, zur Information von betroffenen Personen sind insbesondere in Artikel 13 und 14 DSGVO geregelt.
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Artikel 13 DSGVO)
Werden personenbezogene Daten bei der betroffenen Person erhoben (Artikel 13 DSGVO), so muss der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten dies mitteilen. Zu der Mitteilung gehören unter anderem der Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters (z.B. des Geschäftsführers eines Unternehmens) oder die Kontaktdaten des Datenschutzbeauftragten. Dazu ist es erforderlich die Zwecke, für welche die personenbezogenen Daten verarbeitet werden sollen und die Rechtsgrundlage für die Verarbeitung zu benennen. Ebenso sollen die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten benannt werden und, falls der Verantwortliche dies beabsichtigt, auch die geplante Weitergabe der Daten an Drittländer oder internationale Organisationen. Ein Online Shop beispielsweise sollte in seiner Datenschutzerklärung mitteilen, dass bei Bestellungen Adressdaten der betroffenen Person an den jeweiligen Logistikdienstleister zum Zweck des Transports und der Zustellung der bestellten Ware weitergegeben werden, oder, dass bei Zahlungsausfall die Weitergabe der Kontaktdaten der betroffenen Person an ein Inkassobüro zwecks Verfolgung der offenen Zahlung erfolgt.
Zusätzlich soll der Verantwortliche zum Zeitpunkt der Erhebung der personenbezogenen Daten der betroffenen Person weitere Informationen zur Verfügung stellen, die die Prinzipien einer transparenten und fairen Verarbeitung berücksichtigen. Dazu gehört unter anderem die Dauer der Speicherung der Daten oder zumindest Kriterien, nach denen die Dauer bestimmt oder entschieden werden kann. Ein Beispiel wäre, dass die Speicherung der Daten bis zur Kündigung des Accounts bei einem Online-Shop und der Abwicklung (Lieferung und Bezahlung) der letzten Bestellung erfolgt. Hier ist auch handelsrechtlich zu beachten, dass darüber hinaus Aufbewahrungsfristen für Rechnungen bestehen, die über den Zeitpunkt der Kündigung des Kunden Accounts hinaus reichen können. Weiter ist der Hinweis erforderlich, dass jederzeit ein Recht auf Auskunft, die Lösung oder die Einschränkung der Verarbeitung der personenbezogenen Daten besteht. Daneben ist auf die Möglichkeit hinzuweisen, dass eine einmal gegebene – nicht für die Erfüllung des Vertrags erforderliche – Einwilligung zur Verarbeitung von Daten jederzeit widerrufen werden kann. Ebenso muss ein Hinweis auf ein Beschwerderecht bei der Aufsichtsbehörde für Datenschutz – bei Unternehmen ist dies der jeweilige Landesdatenschutzbeauftragte – erfolgen. Zudem muss der Verantwortliche auch über die Existenz einer automatisierten Entscheidungsfindung einschließlich Profiling informieren.
Auch eine beabsichtigte Umwidmung des Verarbeitungszwecks der personenbezogenen Daten durch den Verantwortlichen ist der betroffenen Person vorab mitzuteilen. Hier besteht gegebenenfalls Bedarf an einer gesonderten Einwilligung oder das Recht auf Widerspruch gegen die Verarbeitung durch die betroffene Person.
Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Artikel 14 DSGVO)
Ähnliche geartete Mitteilungen wie die nach Artikel 13 DSGVO müssen Verantwortliche der betroffenen Person machen, wenn die Daten nicht bei der betroffenen Person erhoben wurden (Artikel 14 DSGVO), sondern aus anderen Quellen, wie z.B. Internetrecherchen, stammen. Hier ist auch die Quelle, aus der die Daten stammen, mit anzugeben und darüber zu informieren, falls der Grund für die Verarbeitung der Daten im Bereich des berechtigten Interesses Dritter liegt.
Ich selbst erhielt vor wenigen Wochen von einem Unternehmen meine erste Mitteilung gemäß Artikel 14 DSGVO. In diesem Fall wurden meine beruflichen personenbezogenen Daten (Name, Anschrift, E-Mail Adresse und Telefonnummer) auf unserer Unternehmenswebseite erhoben. Ein korrektes Vorgehen des informierenden Unternehmens, das mit Geschäftsadressen weltweit – also auch in Europa – handelt. Ein wenig nachdenklich machte mich, dass ausgerechnet die erste Information gemäß Artikel 14 aus Kanada kam, also nicht von einem Unternehmen aus der EU. Ist Nordamerika hier tatsächlich schneller als Europa? Und das obwohl wir den neuen Datenschutz mit Marktortprinzip doch erfunden haben?
Die Rechte der betroffenen Person
Das Recht auf Auskunft (Artikel 15 DSGVO)
Als betroffene Person haben Sie, verankert in Artikel 15 DSGVO, das Recht auf Auskunft über Art und Umfang aller Verarbeitungen der Sie betreffenden personenbezogenen Daten. Dazu zählen die Kategorien von personenbezogenen Daten und die Verarbeitungszwecke der Daten, also welche Auswertungen oder Analysen ausgeführt werden. Auch besteht ein Auskunftsrecht darüber, welche Empfänger und Kategorien von Empfängern die personenbezogenen Daten erhalten und wie lang die geplante Dauer der Datenspeicherung ist; zumindest jedoch über die Kriterien, nach denen dies entschieden wird. Weiter ist der Hinweis auf das Recht zur Berichtigung oder Löschung der betreffenden Daten bei der Auskunftserteilung zu geben. Ebenso muss über das Widerspruchsrecht zur Verarbeitung, das Beschwerderecht bei einer Aufsichtsbehörde und die Quellen der Daten informiert werden.
Weiterhin muss der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Eine einmalige Auskunft muss dabei kostenfrei bleiben. Stellt die betroffene Person den Antrag auf Auskunft elektronisch, so sind – falls nichts anderes angegeben – die Daten auch in einem gängigen elektronischen Format zur Verfügung zu stellen. Somit kann die betroffene Person nicht nur die Arten der Verarbeitung und die Kategorien ihrer personenbezogenen Daten in Erfahrung bringen, sondern auch die Daten selbst in einer Art Kontoauszug entweder auf schriftlichem oder elektronischem Wege erhalten.
Das Recht auf Berichtigung und Vervollständigung personenbezogener Daten (Artikel 16 DSGVO)
Artikel 16 DSGVO räumt den betroffenen Personen das Recht auf unverzügliche Berichtigung und Vervollständigung personenbezogener Daten ein. Dies kann zum Beispiel durch eine ergänzende Erklärung zu den Daten und den Verarbeitungszwecken erfolgen. Dies ist ein wichtiges Recht, da z.B. bei automatisierten Entscheidungen auf Basis unvollständiger oder nicht korrekter Daten erhebliche Nachteile für die betroffene Person entstehen können.
Das »Recht auf Vergessenwerden« (Artikel 17 DSGVO)
Das Recht auf Löschung von personenbezogenen Daten (»Recht auf Vergessenwerden«) ist in Artikel 17 DSGVO verankert und versetzt die betroffene Person in die Lage eine unverzügliche Löschung der personenbezogenen Daten zu verlangen. Der Verantwortliche ist dabei verpflichtet dies auch zu tun, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr notwendig sind. Dies kann z.B. der Fall sein, wenn ein Benutzerkonto oder Dienstvertrag gekündigt wurde und alle gegebenenfalls noch offenen Transaktionen, wie z.B. Bestellungen, abgeschlossen sind. Ebenso kann die Löschung auf Basis des Widerrufs einer gegebenen Einwilligung zur Verarbeitung gefordert werden. Alternativ kann die betroffene Person Widerspruch gegen die Verarbeitung einlegen, wenn keine offenen berechtigten Interessen des Verantwortlichen mehr bestehen (beispielsweise eine noch nicht gezahlte Rechnung zu einer Bestellung bei einem Online-Shop).
Das Recht auf Löschung geht sogar noch weiter: Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er zur Löschung verpflichtet, so muss er auch – unter Berücksichtigung der verfügbaren Technologie und der Umsetzungskosten – weitere Stellen, an denen die personenbezogenen Daten vorliegen, über die Notwendigkeit der Löschung informieren sowie darüber informieren, dass eine betroffene Person die Löschung aller Links zu diesen Daten, Kopien oder Replikationen verlangt hat. Dies dürfte eine der spannendsten technischen Herausforderungen werden.
Denken wir dabei an Dienste wie Facebook oder Instagram, bei denen es beispielsweise für jeden einfach möglich ist, gepostete Bilder durch Screenshots oder einfaches Speichern zu kopieren oder zu replizieren. Voraussetzung ist z.B. die Verbindung mit dem betroffenen Benutzerkonto über die Freundesliste. Hierin liegt eine echte technische Herausforderung.
Das Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
Das Recht auf Einschränkung der Verarbeitung, in Artikel 18 DSGVO festgelegt, gibt der betroffenen Person das Recht auf eine Einschränkung der Verarbeitung in verschiedenen Fällen. Dazu gehören unter anderem Fälle, in welchen die Richtigkeit der Daten bestritten wird, die Verarbeitung unrechtmäßig ist oder die Löschung der Daten von der betroffenen Person abgelehnt wird. Ebenso gilt dies, wenn der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person aber die Daten beispielsweise zur Durchsetzung von Rechtsansprüchen benötigt oder die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat. Wenn die Verarbeitung der Daten wirksam eingeschränkt wurde, dürfen keine weiteren Verarbeitungen der Daten, außer der reinen Speicherung, ohne Einwilligung der betroffenen Person erfolgen. Eine Ausnahme hiervon bildet die Durchsetzung berechtigter Interessen des Verantwortlichen. Vor Aufhebung der Einschränkung der Verarbeitung muss der Verantwortliche die betroffene Person informieren.
Das Recht auf Widerspruch (Artikel 21 DSGVO)
Das Widerspruchsrecht zur Verarbeitung personenbezogener Daten wird von Artikel 21 DSGVO definiert. Hier hat die betroffene Person aus besonderen Gründen jederzeit das Recht, Widerspruch gegen die Verarbeitung personenbezogener Daten aus öffentlichem Interesse oder in Ausübung öffentlicher Gewalt sowie zur Wahrnehmung berechtigter Interessen einzulegen. Dies gilt auch für ein in diesem Zusammenhang stattfindendes Profiling. In diesen Fällen verarbeitet der Verantwortliche die Daten nicht mehr. Eine Ausnahme liegt vor, wenn der Verantwortliche zwingende Gründe für die weitere Verarbeitung nachweisen kann, welche die Rechte und Freiheiten der betroffenen Person überwiegen.
Im Fall der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann die betroffene Person jederzeit Widerspruch gegen diese Verarbeitung einlegen. Dieser Widerspruch darf auch ein zu diesem Zwecke durchgeführtes Profiling einschließen. Hierzu passt gut die aktuelle Beobachtung, die Sie vielleicht auch gemacht haben, dass die großen Suchportale dieser Tage ihre Privatsphäreneinstellungen neu und erweitert abfragen. So ist es zum Beispiel jetzt möglich jegliche Art von Werbung in den Suchergebnissen per Schalter zu deaktivieren und auch die Suchverläufe nicht mehr dem Profiling zuzuführen.
Generell kann im Zusammenhang mit der Nutzung von digitalen Diensten (Diensten der Informationsgesellschaft) die betroffene Person ihr Widerspruchsrecht auch mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden. Dies könnte zum Beispiel mittels einer Art von Menü für Einstellungen zur Privatsphäre gelöst werden.
Zusammenfassung und Ausblick
Neben den Grundsätzen der DSGVO gibt es eine Reihe von Rechten und Pflichten, welche die Rechte der Verbraucher hinsichtlich des Umgangs mit ihren personenbezogenen Daten – und Verbraucher sind wir letztlich alle.
Die vier wichtigsten Take-aways des zweiten Teils der Serie sind:
- Der Verantwortliche muss die betroffene Person über die Erhebung und Verarbeitung von personenbezogenen Daten informieren – unabhängig davon, aus welcher Quelle die Daten stammen.
- Die betroffene Person hat ein Recht auf Auskunft über sie betreffende personenbezogene Daten in Form der Kategorien der Daten, der Zwecke der Verarbeitung und der Daten selbst.
- Die betroffene Person hat ein Recht auf Berichtigung von Daten, die sie betreffen, sowie ein Recht auf Vergessenwerden (Löschung der Daten) – sofern davon keine anderen berechtigten Interessen berührt werden.
- Die betroffene Person hat ein Recht auf Einschränkung der Verarbeitung und ein Recht auf Widerspruch gegen die Verarbeitung von personenbezogenen Daten, die sie betreffen. Eine reine Speicherung der Daten bleibt zunächst davon unberührt. Das Widerspruchsrecht schließt den Widerspruch gegen Direktwerbung und diesbezügliches Profiling ein.
In Teil 3 der Serie werden die technischen Neuerungen der DSGVO, das Recht auf Datenübertragbarkeit und Datenschutz durch Technikgestaltung sowie datenschutzfreundliche Voreinstellungen (»Privacy by Design« und »Privacy by Default«), näher beleuchtet. Beide Themen stellen in der DSGVO auch die rechtliche Grundlage und Öffnung für sichere datenbasierte Dienste, digitale Ökosysteme und Plattformökonomie dar. Sie sind im Vergleich zur alten Datenschutzrichtlinie die technisch vermutlich weitreichendsten Änderungen in der DSGVO. Teil 3 erscheint am 28. Februar 2018 auf diesem Blog.
Rechtlicher Hinweis
Die Inhalte dieses Artikels und der Artikelserie zur DSGVO stellen keine Rechtsberatung dar.
Sie repräsentieren lediglich die Auslegung und technische Interpretation der Inhalte der DSGVO nach dem Verständnis des Autors.
Anna Blume sagt:
Vielen Dank für Ihre ausgezeichnete Darlegung der Verbraucher-Rechte. Dazu eine Frage: Muss in einer Datenschutzerklärung auf einer Webseite der Verantwortliche per Namen genannt werden, wenn es sich um kein „sensibles“ Unternehmen (Arzt etc), sondern um ein „normales“ mit weniger als 10 Mitarbeitern handelt? Leider habe ich bei verschiedenen Anwaltsportalen dazu widersprüchliche Aussagen gefunden.
Danke für gelegentliche Antwort.