19.03.2018 von

Welche Rechte die DSGVO Betroffenen gibt

In unserem neuen Videoblog zur DSGVO in der Praxis gehen wir der Frage nach, wann und wie Sie Betroffene über einen Sicherheitsvorfall informieren müssen und welche Rechte Betroffene sonst noch gegen Sie geltend machen können. 

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler. Der Leiter des Teams für IT-Recht bei Baker McKenzie in Wien ist Autor folgender Bücher zur Datenschutz-Grundverordnung: 

 

Datenschutzmitteilungen und andere Rechte von Betroffenen (Fragen 31-42)

Florian Unterberger: Ich darf sie wieder ganz herzlich bei unserer Videoserie über die Datenschutz-Grundverordnung in der Praxis begrüßen. In dieser Folge wollen wir uns den Themen Datenschutzmitteilungen und Betroffenenrechte widmen.

Herr Dr. Feiler, in unserer digitalen Welt kann es ja schnell einmal passieren, dass Daten korrumpiert werden. Deshalb lautet die 32. Frage in Ihrem Buch: „Wann und wie sind die Betroffenen zu informieren?“

Lukas Feiler: Die Betroffenen muss ich von einer Sicherheitsverletzung dann informieren, wenn aufgrund der Sicherheitsverletzung ein hohes Risiko gegeben ist. Also beispielsweise, wenn sensible Daten wie Daten über die Religionszugehörigkeit oder die sexuelle Orientierung kompromittiert wurden. Oder aber auch, wenn Username und Passwort kompromittiert wurden, weil hier ein Identitätsdiebstahl sehr naheliegend, wenn nicht sogar wahrscheinlich ist. Dann müssen wirklich die Betroffenen von dem Sicherheitsvorfall informiert werden.

Betroffene haben Mitwirkungspflicht bei Auskunftsbegehren

Wenn ein Betroffener ein Auskunftsbegehren stellt, muss er dann selber auch aktiv mitwirken und muss er sich auch irgendwie identifizieren bzw. ausweisen, um überhaupt sicherzustellen, dass das die Daten sind, die diesen Betroffenen angehen?

Lukas Feiler: Ja, im Ergebnis trifft ihn eine Mitwirkungspflicht. Wenn er beispielsweise bei einer Videoüberwachung sagt, ich will alle meine Aufzeichnungen von einem Unternehmen wie den Wiener Linien, dann muss er sehr genau spezifizieren, von welchem Ort zu welchem Zeitpunkt er denn hier glaubt, dass sich personenbezogene Daten von ihm befinden.

Und ja, er muss sich auch identifizieren, weil sonst könnte ja ein Dritter behaupten, dieser Betroffene zu sein, und beispielsweise bei einem Reisebüro auf diese Art die gesamte Reiseplanung von jemandem anderen abfragen, ohne aber der Betroffene zu sein. Das heißt, selbst in derart simplen Fällen wie einem Reisebüro – und da sprechen wir noch gar nicht von Versicherungen oder Banken – ist eine Authentifizierung des Betroffenen notwendig. Sei es auch nur, dass man ihn auffordert, eine Kopie seines amtlichen Lichtbildausweises zu schicken.

Recht auf Datenübertragung nur bei selbst bereitgestellten Daten

Die Datenschutzgrundverordnung bringt ja ein Recht auf Datenübertragung an einen anderen Dienstleister. Gibt es dieses Recht immer für die Betroffenen oder gibt es hier Einschränkungen?

Lukas Feiler: In der Tat besteht das Recht auf Datenübertragbarkeit nur in einem in Wirklichkeit relativ engen Bereich. Zunächst muss der Betroffene nämlich die Daten dem Verantwortlichen selbst bereitgestellt haben, und die Daten müssen auch auf Grundlage entweder der Notwendigkeit einer Vertragserfüllung gegenüber dem Betroffenen oder aufgrund seiner Einwilligung verarbeitet werden. Hingegen wenn die Daten auf einer anderen Rechtsgrundlage wie insbesondere einer Rechtspflicht oder eines überwiegenden berechtigten Interesses verarbeitet werden, gibt es das Recht auf Datenübertragbarkeit gar nicht.

Ein konkretes Beispiel: Sie wollen von Ihrer Bank Ihre ganzen Transaktionen, also im Wesentlichen alle Kontoauszüge in elektronischer Form und machen entsprechend Ihr Recht geltend, da kann Ihnen die Bank entgegenhalten: Bereitgestellt haben Sie nur die Transaktionen, die Sie ausgelöst haben. Eingehende Überweisungen sind keine Daten, die Sie bereitgestellt haben.

Recht auf Lösung nur bei rechtswidrig verarbeiteten Daten

Seit vielen Jahren heiß diskutiert wird auch das Recht auf Vergessenwerden. Auch das ist jetzt enthalten in der Datenschutzgrundverordnung. Wann kann das geltend gemacht werden?

Lukas Feiler: Das Recht auf Vergessenwerden, oder früher auch einfach Recht auf Löschung genannt, besteht nur dann, wenn die Daten rechtswidrig verarbeitet werden. Das heißt, solange das Unternehmen eine Rechtsgrundlage für die Datenverarbeitung hat, insbesondere vielleicht sogar noch eine Rechtspflicht besteht, diese Daten zum Beispiel aus steuerrechtlichen Gründen zu speichern, greift das Recht auf Löschung nicht.

Was ist vom Recht auf Auskunft eigentlich umfasst? Wie schnell muss man reagieren, wenn Betroffene ihre Rechte geltend machen? Oder auch: Haben juristische Personen Betroffenenrechte? Oder auch eine spannende Frage: Sind bei Ausübung des Löschungsrechts auch Daten von Backups zu löschen?

Wir wünschen Ihnen viel Vergnügen mit dem Buch und mit unserer Website www.digitalwave.at.  

Weitere Fragen zur Datenschutz-Folgenabschätzung

Das waren Einblicke in das Kapitel Datenschutzmitteilungen und Betroffenenrechte aus dem Buch von Lukas Feiler und Bernhard Horn. Die weiteren Fragen dieses Kapitels lauten:

  • Muss die Verarbeitung gegenüber den Betroffenen offengelegt werden?
  • Was ist vom Recht auf Auskunft umfasst?
  • In welchem Format müssen Daten übergeben werden, wenn der Betroffene Datenübertragbarkeit fordert?
  • Können Betroffene immer einen Widerspruch erheben?
  • Wie schnell muss man reagieren, wenn Betroffene ihre Rechte geltend machen?
  • Haben auch juristische Personen Betroffenenrechte?
  • Sind bei Ausübung des Löschungsrechts auch Daten von Backups zu löschen?

Praktische Umsetzung der DSGVO in 12 Schritten

Zur Videoserie „Die DSGVO in der Praxis“

Dieses Video ist Teil einer mehrteiligen Serie, in der Lukas Feiler praktische Tipps gibt, wie Unternehmen die Datenschutz-Grundverordnung in der Praxis umsetzen können:

Diese Videoserie beruht auf dem neuen Buch von Lukas Feiler und Bernhard Horn: „Umsetzung der DSGVO in der Praxis – Fragen, Antworten, Muster“

Einführung in die Datenschutz-Grundverordnung

Für eine grundsätzliche Einführung in das Thema Datenschutz-Grundverordnung empfehlen wir Ihnen unsere erste Videoserie zur DSGVO:

Autor:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.