Betroffenenrechte – aus der EU DS-GVO und darüber hinaus
Mit den Schwerpunktthemen „Einwilligung“ und „Informationspflichten“ haben wir uns bereits ausgiebig den wichtigsten Aspekten der EU DS-GVO und des BDSG gewidmet, die den Kern der Betroffenenrechte konkretisieren. Darüberhinaus existieren jedoch viele weitere Aspekte, die in diesem Schwerpunktthema systematisiert vertieft werden soll.
Das Einverständnis
Artikel 6 Abs. 1 lit. a) der EU DS-GVO erklärt die Verarbeitung als rechtmäßig, wenn – eine der sechs Bedingungen des Artikels – die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Für unter Sechzehnjährige besteht bei diesen ein Einwilligungs-, bzw. Zustimmungserfordernis durch die Erziehungsberechtigten.
Die nationale Gesetzgebung macht bei Werbemaßnahmen per Telefon, Telefax, E-Mail- und SMS-Werbung die Einwilligung gemäß § 7 Abs. 2 Nr. 1 UWG erforderlich: „Eine unzumutbare Belästigung ist stets anzunehmen bei Werbung … ohne … vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung“.
Die Entbindung von der Schweigepflicht, die formfrei erfolgen kann, stellt eine Offenbarungsbefugnis im Sinne des § 203 StGB (Verletzung von Privatgeheimnissen), eine Einwilligung dar. Eine Aufsichtsbehörde kann übrigens nicht die Offenbarung eines Geheimnissen, ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, verlangen. (§ 29 Ans. 3 BDSG, Art. 90 EU DS-GVO).
Das Einschreiten
Der Betroffene kann gemäß Art. 7 Abs. 3 EU DS-GVO jederzeit eine Einwilligung zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
Es besteht u.U. jedoch auch ein Widerspruchsrecht: Die betroffene Person hat gem. Art. 21 EU DS-GVO ganz unterschiedliche Rechte, die sich aus ihrer besonderen Situation ergeben, gegene die Direktwerbung zu widersprechen, gegen Profiling zu widersprechen.
Ein allgemeiner Unterlassungs- und Beseitigungsanspruch ergibt sich aus den §§ 1004 Abs. 1, 823 Abs. 1 und 2 BGB mit dem allgemeinen Persönlichkeitsrecht bzw. konkreten datenschutzrechtlichen Vorschriften. So gewährt § 1004 Abs. 1 BGB bei Wiederholungs- oder Erstbegehungsgefahr einen Titel auf zukünftige Unterlassung.
Außerdem hat die betroffene Person gem. Art. 22 Abs.1 EU DS-GVO das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Anbieter von Telemedien mit journalistisch-redaktionell gestalteten Angeboten, in denen insbesondere vollständig oder teilweise Inhalte periodischer Druckerzeugnisse in Text oder Bild wiedergegeben werden, sind gemäß § 56 RStV verpflichtet, unverzüglich eine Gegendarstellung der Person oder Stelle, die durch eine in ihrem Angebot aufgestellte Tatsachenbehauptung betroffen ist, ohne Kosten für den Betroffenen in ihr Angebot ohne zusätzliches Abrufentgelt aufzunehmen.
Das in Art. 17 EU DS-GVO geregelte Recht auf Löschung ist ein zentrales Betroffenenrecht. Es dient der Verwirklichung des unionalen Datenschutzgrundrechts wie auch des nationalen Grundrechts auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz – GG). Es zielt auf die Entfernung personenbezogener Daten aus Datenbeständen des Verantwortlichen. Werden personenbezogene Daten unrechtmäßig verarbeitet oder fällt der ursprüngliche Verarbeitungszweck später weg, so gibt es für den Verantwortlichen grundsätzlich keinen Grund mehr, die Daten weiter zu verarbeiten. Das Recht
auf Löschung ermöglicht der betroffenen Person, das Schicksal ihrer personenbezogenen Daten maßgeblich mitzubestimmen, auch wenn diese sich in einer für die betroffene Person an sich „unzugänglichen“ Verarbeitungssphäre des Verantwortlichen befinden.
Das „Recht auf Vergessenwerden“ im engeren Sinne gemäß Art. 17 Abs. 2 DSGVO ist ein spezielles Betroffenenrecht bei öffentlich gemachten Daten, etwa – aber nicht ausschließlich – im Bereich von Internetveröffentlichungen. Ein Verantwortlicher, der personenbezogenen Daten öffentlich gemacht hat, wird verpflichtet, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen der personenbezogenen Daten zu löschen. Dabei sollte der Verantwortliche, unter Berücksichtigung der verfügbaren Technologien und der ihm zur Verfügung stehenden Mittel, angemessene Maßnahmen – auch technischer Art – treffen, um die Verantwortlichen, die diese personenbezogenen Daten verarbeiten, über den Antrag der betroffenen Person zu informieren. (Erwägungsgrund 66.)
Das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 EU DS-GVO kann zum Löschungsanspruch eine Alternative darstellen. Die betroffene Person
kann von dem Anspruch Gebrauch machen, so dass der Verantwortliche personenbezogene Daten zunächst nur noch in den engen Grenzen des Art. 18 Abs. 2 verarbeiten kann. Das Recht auf Einschränkung der Verarbeitung dient dem Zweck, die Rechtsposition der betroffenen Person vorübergehend zu sichern.
Die betroffene Person hat die Wahl, ob sie das Recht auf Löschung und Vergessenwerden gemäß Art. 17 DSGVO oder das Berichtigungsrecht gemäß Art. 16 EU DS-GVO geltend machen möchte, sofern die Voraussetzungen beider Ansprüche vorliegen. Die Verarbeitung unrichtiger Daten begründet nicht nur den Berichtigungsanspruch gemäß Art. 16, sondern kann auch den Löschungsgrund des Art. 17 Abs. 1 Buchst. d) EU DS-GVO begründen: Eine Verarbeitung unrichtiger Daten ist regelmäßig nicht von der jeweiligen Rechtsgrundlage gedeckt und daher unrechtmäßig
Informiertheit des Betroffenen
Die Informationspflichten nach Art. 13 und 14 EU DS-GVO verpflichten den Verantwortlichen dazu, den betroffenen Personen, also beispielsweise Kunden und Patienten etc., Informationen über die sie betreffende Verarbeitung ihrer personenbezogenen Daten zu geben. Nur wenn die betroffene Person weiß, dass ihre personenbezogenen Daten verarbeitet werden, hat sie die Möglichkeit, ihre Rechte, insbesondere ihr Auskunftsrecht nach Art. 15 EU DS-GVO geltend zu machen.
Es gibt zwei Wege, wie Verantwortliche Daten von betroffenen Personen erhalten können. Zum einen gibt es die Direkterhebung der personenbezogenen Daten bei der betroffenen Person selbst (Art. 13). Zum anderen können die personenbezogenen Daten der betroffenen Person bei einem Dritten erhoben werden (Art. 14). Dies nennt man Dritterhebung. In beiden Fällen müssen der betroffenen Person sämtliche in Art. 13 Abs. 1 DS-GVO bzw. 14 Abs. 1 aufgelisteten Informationen mitgeteilt werden. Davon sind unter anderem Name und Kontaktdaten des Verantwortlicher, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten und die Zwecke und Rechtsgrundlage für die Verarbeitung umfasst. Darüber hinaus müssen die in Art. 13 Abs. 2 bzw. 14 Abs. 2 genannten Informationen zur Verfügung gestellt werden, damit eine faire und transparente Verarbeitung der Daten gewährleistet wird. Dabei handelt es sich unter anderem um die Speicherdauer der personenbezogenen Daten und den Hinweis an die betroffene Person, dass ein Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs,- Widerspruchs,- und Datenübertragbarkeitsrecht gegenüber dem Verantwortlichen besteht.
Bei der Direkterhebung (Art. 13 DS-GVO) müssen der betroffenen Person die gesetzlichen Informationen zum Zeitpunkt der Erhebung der Daten mitteilen bzw. zur Verfügung gestellt werden. Bei der Dritterhebung (Art. 14 DS-GVO) werden die Daten der betroffenen Person ohne deren Kenntnis bei einem Dritten erhoben. Es ist daher nicht möglich, die betroffene Person in diesem Moment zu informieren. Daher ist der Verantwortlicher verpflichtet, der betroffenen Person spätestens innerhalb eines Monats nach Erhebung der Daten beim Dritten die in Art. 14 Abs. 1 und 2 EU DS-GVO geforderten Informationen mitzuteilen bzw. zur Verfügung zu stellen. Falls die Daten zur Kommunikation mit der betroffenen Person selbst verwendet werden oder falls eine Offenlegung der Daten an einen anderen Empfänger beabsichtigt ist, müssen die Informationen spätestens zum Zeitpunkt der ersten Mitteilung bzw. Offenlegung erteilt werden.
Ausnahmen von den Informationspflichten sind gegebenenfalls unter strengen gesetzlichen Voraussetzungen nach der DS-GVO, dem Bundesdatenschutzgesetz (BDSG) und den Fachgesetzen, beispielsweise nach dem Sozialgesetzbuch (SGB), möglich.
Beschwerden
Nach Art. 38 Abs. 4 EU DS-GVO können betroffene Personen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte aus der Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. Der Datenschutzbeauftragte ist demnach verpflichtet, Datenschutzbeschwerden zu prüfen und die betroffenen Personen über das Ergebnis seiner Prüfung zu informieren. Stellt er Datenschutzverletzungen, z.B. die Missachtung von Betroffenenrechten, fest, hat er darauf hinzuwirken, dass diese abgestellt werden.
Die Anrufung des Datenschutzbeauftragten ist nicht formgebunden, kann also auch mündlich erfolgen. Von der Anrufung des Datenschutzbeauftragten zu unterscheiden sind allgemeine Datenschutzanfragen sowie Eingaben, mit denen die betroffene Person ihre Rechte nach Art. 12 ff. EU DS-GVO geltend macht, wie z.B. Berichtigungs- oder Löschungsansprüche oder Widersprüche. Für solche Anfragen ist die Unternehmensleitung zuständig bzw. in abgeleiteter Verantwortung die jeweilige Fachabteilung.
Über Fragen des Beschäftigtendatenschutzes wacht außerdem gemäß § 80 Abs. 1 Nr. 1 BetrVG der Betriebsrat – er kann gemäß § 85 Abs. 1 BetrVG angerufen werden.
Jede betroffene Person hat gem. Art. 77 EU DS-GVO das Recht, bei einer einzigen Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, eine Beschwerde einzureichen und einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die Aufsichtsbehörde hat die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde zu unterrichten.
Das UKlaG, das Unterlassungsklagengesetz , das in erster Linie dem Verbraucherschutz dient, schafft neben formell-rechtlichen Bestimmungen auch Unterlassungsansprüche, die vorrangig zu §§ 823, 1004 BGB sind. §1 UKlaG richtet sich gegen die Verwendung unzulässiger allgemeiner Geschäftsbedingungen, §2 UKlaG richtet sich gegen sonstige verbraucherschutzwidrige Verstöße, §2a UKlaG gegen Urheberrechtsverstöße nach § 95b Urheberrechtsgesetz (UrhG). Aktiv zur Klage legitimiert sind anspruchsberechtigten Stellen, die sich auf einer beim Bundesamt für Justiz geführten Liste befinden und den Betroffenen vertreten.
Art. 80 Abs. 1 EU DS-GVO gewährt den Betroffenen darüber hinaus auch die Möglichkeit, Einrichtungen, Organisationen oder Vereinigungen konkret mit der Durchsetzung ihrer Betroffenenrechte zu beauftragten. Vertretungsberechtigt sind nur solche Institutionen, die keinen Erwerbszweck verfolgen, deren satzungsmäßige Ziele von öffentlichem Interesse sind und die bereits im Bereich des Datenschutzes tätig sind. Erfasst sind das Beschwerderecht bei der Aufsichtsbehörde (Art. 77 EU DS-GVO), die justiziellen Rechte (Art. 78 f. EU DS-GVO) sowie die Inanspruchnahme wegen Schadensersatzes (Art. 82 EU DS-GVO).
Berufs- und gewerbespezifische Strukturen, z.B. Ärzte-, Notar- und Rechtsanwalts- und Steuerberaterkammern, Handelskammern u.a., bieten ebenfalls
Ansprechpartner für Fragen des Datenschutzes. Verstöße gegen berufsrechtliche Verschwiegenheitspflichten können den jeweiligen Kammern vorgetragen werden und führen ggf. zur standesrechtlichen Ahndung.
Möglicherweise strafrechtlich relevante Datenschutzverstöße nach den §§ 201 ff. und 303a f. StGB, § 33 KUG62 oder auch § 17 UWG können schließlich gem. § 158 Abs. 1 StPO bei Polizei und Staatsanwaltschaft zur Anzeige gebracht werden.
Ausgleichsforderungen
Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Der Verantwortliche oder der Auftragsverarbeiter ist von seiner Haftung zu befreien, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Dies kommt einer Beweislastumkehr gleich: Der beschuldigte Verantwortliche hat sich zu exkulpieren! Auftragsverarbeiter können sich gem. Art. 82 Abs. 2 S. 2 EU DS-GVO exkulpieren, wenn sie ihren speziellen gesetzlich auferlegten Pflichten, hier wären vorrangig Dokumentationspflichten zu nennen, nachgekommen sind und unter Beachtung der rechtmäßig erteilten Anweisungen des Auftraggebers gehandelt haben.
Sonstiges Schadensersatzrecht nach §§ 280 ff. BGB für die vertragliche sowie die §§ 823 ff. BGB für die deliktische Haftung kann neben Art. 77 EU DS-GVO Anwendung finden.