Skip to main content

Rechte der betroffenen Person – Einführung

Betroffenen Personen sind eine Vielzahl von Werkzeugen an die Hand gegeben worden, durch die sie den Umgang mit ihren personenbezogenen Daten kontrollieren und steuern können. Im Zentrum stehen die »Rechte der betroffenen Person«. Sie sind in Kapitel III der DSGVO beschrieben, schützen die informationelle Selbstbestimmung und dienen der Information und Transparenz.

Diese Einführung in die Lektion »Rechte der betroffenen Person« ist für alle Besucher dieser Website kostenlos zugänglich. Die weiteren Lektionsbeiträge sind dann wieder ausschließlich registrierten Kursteilnehmern vorbehalten. Bitte beachten Sie, dass nur registrierte Kursteilnehmer*innen Verständnisfragen stellen können, die zeitnah und kompetent beantwortet werden. Aber nun starten wir mit dem Thema dieser Lektion.

https://vimeo.com/772420736

Beitrag zum Hören (29 Minuten):

Die Rechte der betroffenen Person sind im dritten Kapitel der DSGVO geregelt. Dieses dritte Kapitel umfasst die Artikel 12 bis 23 DSGVO. Es zählt außerhalb dieses Kapitels aber auch noch Artikel 34 DSGVO zu den Betroffenenrechten, weil hier das Recht der betroffenen Person geregelt ist, über eine Verletzung, der von ihm verarbeiteten personenbezogenen Daten (bei einer sog. »Datenpanne«) benachrichtigt zu werden.

Der Schutz personenbezogener Daten steht im Zentrum der DSGVO. Erinnern Sie sich an den Wortlaut von Artikel 1 DSGVO?

Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.

Artikel 1 Absatz 2 DSGVO

Die DSGVO arrangiert für die Erreichung dieses Ziels verschiedene Bedingungen und Instrumente, die sich im Wesentlichen aus den Grundsätzen der Verarbeitung gemäß Artikel 5 DSGVO ergeben, die wir bereits kennengelernt haben.

So muss die Verarbeitung rechtmäßig erfolgen, sich also auf eine Rechtsgrundlage stützen lassen (»Verbot mit Erlaubnisvorbehalt«) und überhaupt nur für bestimmte, legitime Zwecke durchgeführt werden (Zweckbindung). Die Verarbeitung muss transparent erfolgen, sodass die betroffene Person idealerweise weiß, wer, was, mit welchen Daten von ihr veranstaltet.

Lässt sich die Verarbeitung auf eine Rechtsgrundlage stützen und verfolgt sie ausschließlich legitime Zwecke, so muss sie fair vonstattengehen (»Treu und Glauben«). Der Grundsatz der fairen Verarbeitung spiegelt sich auch in weiteren Grundsätzen, insbesondere dem Grundsatz der Datenminimierung, der Richtigkeit und der Speicherbegrenzung, wider, denn es gehört auch zu einem fairen Umgang mit den Rechten der betroffenen Personen und es entspricht deren Erwartungshaltung, dass die Daten richtig sind, nur in dem Umfang verarbeitet werden, wie es für die Zwecke, für die sie erhoben worden sind, auch erforderlich ist und ein Personenbezug zum frühestmöglichen Zeitpunkt entfernt wird bzw. die Daten gelöscht werden.

Es ist klar, dass die Postulierung dieser Grundsätze allein nicht ausreicht, den Schutz der Verarbeitung personenbezogener Daten natürlicher Personen sicherzustellen. Es wäre nicht viel erreicht gewesen, wenn die DSGVO sich darauf beschränkt hätte, eine Art Selbstverpflichtung der Unternehmen einzugehen, jedwede Verarbeitung nur nach diesen Grundsätzen zu absolvieren. Der DSGVO war es daran gelegen, die betroffene Person in eine aktivere Rolle zu bringen, die Umsetzung der Grundsätze durchzusetzen. So folgt zum Beispiel aus der Verpflichtung, dass personenbezogene Daten nur rechtmäßig verarbeitet werden dürfen, das aktive Recht der betroffenen Person, die Löschung der Daten zu verlangen und zu erwarten, die unrechtmäßig verarbeitet wurden (Artikel 17 Absatz 1 Buchstabe d DSGVO) oder deren Rechtsgrundlage die betroffene Person wieder entzogen hat (Artikel 17 Absatz 1 Buchstabe b DSGVO, Widerruf der Einwilligung bzw. Buchstabe c DSGVO, Widerspruch).

Die transparente Verarbeitung lässt sich nur garantieren, wenn die verantwortliche Stelle zu einer aktiven Information der betroffenen Personen verpflichtet wird, wie es die Informationspflichten der Artikel 13 und 14 DSGVO verlangen, die in der Praxis zur Bereitstellung von Datenschutzerklärungen führen. Dies ist nur ein Ausschnitt, wie die erwähnten Grundsätze der Verarbeitung mit den Rechten der betroffenen Person sozusagen »Hand-in-Hand« gehen. Wir werden weitere Aspekte noch bei der Besprechung der einzelnen Rechte kennenlernen.

Zusammenfassend lässt sich sagen: Die Grundsätze des Artikel 5 Absatz 1 DSGVO sind das Fundament für das Rechtesystem der betroffenen Personen zur Wahrung ihres Persönlichkeitsrechts bei der Verarbeitung ihrer personenbezogenen Daten. Auf dieser Grundlage aufbauend, stehen den Betroffenen Kontrollrechte, Berichtigungs- und Löschrechte, Widerspruchsrechte, Beschwerderechte sowie Schadensersatz- und Sanktionsrechte sowie Unterlassungsansprüche zur Verfügung.

Struktur der Regelungen im dritten Kapitel der DSGVO

Wie stellt sich nun die Struktur der Regelungen im dritten Kapitel der DSGVO dar?

Artikel 12 DSGVO ist praktisch die Grundnorm der Betroffenenrechte und regelt vor allen Dingen Form und Frist beim Umgang mit Betroffenenanfragen. Artikel 12 DSGVO enthält mithin Regelungen, wie die Informationen bei der Erhebung beim Betroffenen unmittelbar (Artikel 13 DSGVO), bei der Erhebung von Daten über den Betroffenen bei einem Dritten (Artikel 14 DSGVO) und die Mitteilungen zur Wahrnehmung seiner Rechte, z. B. auf Auskunft, Berichtigung, Löschung, Einschränkung (Artikel 15 bis 22 und Artikel 34 DSGVO), auszugestalten sind. Wir werden uns Artikel 12 DSGVO und seine Anforderungen in diesem Beitrag anschauen.

Artikel 13 und 14 DSGVO widmen sich den Informationspflichten (»Datenschutzerklärung«) und werden uns en Detail im folgenden Beitrag beschäftigen. In den Artikeln 15 bis 18 DSGVO sind die klassischen Betroffenenrechte auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung geregelt und diesen und ihren speziellen Herausforderungen werden wir uns in den Beiträgen im Anschluss an die Informationspflichten zuwenden. Diese Rechte aus Artikel 15 bis 18 DSGVO bezeichne ich bisweilen auch als Betroffenenrechte im »engeren Sinne«, weil sie eben die klassischen Rechte darstellen, an die wir als Erstes denken, wenn wir auf Betroffenenrechte zu sprechen kommen.

Artikel 19 DSGVO verpflichtet die verantwortliche Stelle, etwaige Empfänger der verarbeiteten personenbezogenen Daten eben über Berichtigung, Löschung oder Einschränkung zu unterrichten. Im Artikel 20 DSGVO lernen wir ein neues Betroffenenrecht kennen, nämlich das Recht auf Datenübertragbarkeit und Artikel 21 DSGVO ermöglicht der betroffenen Person, der Verarbeitung seiner personenbezogenen Daten unter bestimmten Bedingung zu widersprechen. Artikel 22 DSGVO konzentriert sich auf einen besonderen Knackpunkt der Verarbeitung personenbezogener Daten in unserer Zeit – der automatisierten Entscheidung. Artikel 23 DSGVO schließlich lässt unter bestimmten Voraussetzungen (gesetzliche) Beschränkungen der Betroffenenrechte zu. Diese Regelung hat faktisch keine Praxisrelevanz und soll daher lediglich erwähnt sein.

Einen Überblick über die Regelungen gibt die nachfolgende Grafik:

Download der Mindmap als PNG

Videokommentar

Mithilfe meiner Videokommentare können Sie sich auch einen Überblick über die einzelnen Regelungen verschaffen:

Artikel 12 DSGVO

https://vimeo.com/666462971/493277ac6e

Artikel 13 DSGVO

https://vimeo.com/666466742/976fb5fbe3

Artikel 14 DSGVO

https://vimeo.com/666467838/a6d7a902ac

Artikel 15 DSGVO

https://vimeo.com/669109886

Artikel 16 DSGVO

https://vimeo.com/669111071/4212d02fe6

Artikel 17 DSGVO

https://vimeo.com/669111757

Artikel 18 DSGVO

https://vimeo.com/686750715/3983441117

Artikel 19 DSGVO

https://vimeo.com/686751073/0db9f6e128

Artikel 20 DSGVO

https://vimeo.com/686751328/a42ae2e1cd

Artikel 21 DSGVO

https://vimeo.com/686751627/2570bb7ec6

Artikel 22 DSGVO

https://vimeo.com/686752141/3770f9dcc2

Artikel 23 DSGVO

https://vimeo.com/686752708/c34d2b6af5

Über allem schwebt die Transparenz

Wenn wir einen ersten Blick auf Artikel 12 DSGVO werfen, bzw. den Artikel zu lesen beginnen, dann stoßen wir wiederholt auf den Begriff der Transparenz. Er findet sich bereits in der Überschrift zum Artikel und in Absatz 1 heißt es dann auch: »Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen (...) und alle Mitteilungen (...) in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln;«

Über allem schwebt also der Grundsatz der Transparenz. Das kommt nicht von ungefähr. Nur eine transparente Verarbeitung kann dem verfassungsrechtlichen Gebot der informationellen Selbstbestimmung gerecht werden (dazu gleich) und die Ausübung weiterer Betroffenenrechte ermöglichen.

Demgemäß folgen auf die Grundnorm des Artikel 12 DSGVO die Informationspflichten  der Artikel 13 und 14 DSGVO, bevor wir zu den Betroffenenrechten im »engeren Sinn« gelangen. Wie kommt es, dass Informationspflichten in den »Rechten« der betroffenen Person geregelt sind? Nun, weil jeder Pflicht spiegelbildlich ein Recht gegenübersteht; hier also das Informationsrecht der betroffenen Person. Ebenso verhält es sich ja mit Artikel 34 DSGVO, der den Verantwortlichen verpflichtet, die betroffene Person unter bestimmten Voraussetzungen über eine Datenschutzverletzung (»Datenpanne«) zu benachrichtigen. Der Benachrichtigungspflicht entspricht ein Benachrichtigungsrecht.

Wir werden uns im nächsten Beitrag (»Inhalt der Informationspflichten«) näher und en Detail mit den Anforderungen der Artikel 13 und 14 DSGVO beschäftigen. An dieser Stelle wollen wir aber noch mal einen vertieften Blick auf den Grundsatz der transparenten Verarbeitung richten, die sich nicht allein durch die Informationspflichten der Artikel 13 und 14 DSGVO erfüllen lässt.

Transparenz – die informierte betroffene Person

Als (ein) Kristallisationsmoment des Datenschutzes in Deutschland gilt das sogenannte Volkszählungsurteil. Das Volkszählungsurteil ist eine Grundsatzentscheidung des Bundesverfassungsgerichts vom 15. Dezember 1983 (Aktenzeichen BvR 209, 269, 362, 420, 440, 484/83), mit der das Grundrecht auf informationelle Selbstbestimmung als Ausfluss des allgemeinen Persönlichkeitsrechts und der Menschenwürde etabliert wurde.

Stichwort: Informationelle Selbstbestimmung

Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

Eine Bestimmung bzw. Entscheidung kann in diesem Sinne nur derjenige treffen, der über alle Umstände der Verarbeitung seiner personenbezogenen Daten unterrichtet ist. Das ist die wesentliche Bedeutung des Transparentgrundsatzes aus Artikel 5 DSGVO.

Artikel 12 DSGVO konkretisiert in Absatz 1 Satz 1 diesen Transparenzgrundsatz und regelt das Verfahren bei der Erteilung von Informationen und Mitteilungen im Zusammenhang mit der Wahrnehmung der Datenschutzrechte durch die betroffenen Personen.

Die Transparenzvorschriften des Artikel 12 Absatz 1 Satz 1 DSGVO gelten für alle Informationspflichten nach Artikel 13 und 14 DSGVO und für die Mitteilungspflichten, die sich aus den Artikeln 15 bis 22 DSGVO und aus Artikel 34 DSGVO ergeben. Von der Transparenzvorschrift des Artikel 12 Absatz 1 Satz 1 DSGVO ausgenommen sind die Erteilung von Kopien nach Artikeln 15 Absatz 3 DSGVO und die nach Artikel 20 DSGVO zu übertragenden Daten, weil diese Daten in der beim Verantwortlichen vorhandenen Form zur Verfügung gestellt werden müssen und nicht aufbereitet oder verändert werden dürfen. Alle Informationen und Mitteilungen, die von der Transparenzvorschrift erfasst werden, sind dann aber in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Sprache zu übermitteln.

Was ist nun unter einer »transparenten« Darstellung zu verstehen?

Es ist das eine, eine Information zur Verfügung zu stellen und etwas ganz anderes, dies so zu tun, dass eine durchschnittlich betroffene Person sie auch versteht, denn erst dann ist die Information transparent dargeboten. Wichtig also schon mal zu wissen, dass Sie nicht auf jeden intellektuellen Tiefstand Rücksicht nehmen müssen, sondern eine durchschnittlich verständige Person zum Vorbild nehmen können. Was wir gleich zu Datenschutzerklärungen feststellen werden, gilt selbstverständlich entsprechend auch für alle anderen Betroffenenrechte des Kapitel III und Artikel 34 DSGVO.

Etliche Datenschutzerklärungen auf Webseiten (= Erfüllung der Informationspflicht gemäß Artikel 13 DSGVO) sind auch mit zwei juristischen Staatsexamina teilweise nur schwer zu verstehen. Ich warne dringend davor, gewundenes Juristen- oder gar Amtsdeutsch zu verwenden oder eine Fachsprache. Dies führt zu einer intransparenten Darstellung, die einen Verstoß gegen datenschutzrechtliche Grundsätze darstellt, mag sie auch noch so gut gemeint sein. Nur weil etwas juristisch klingt, heißt es nicht, dass es rechtlich in Ordnung ist. Und, seien wir ehrlich: In der Praxis werden Datenschutzerklärungen nicht selten ganz oder teilweise abgekupfert. Das muss nicht falsch sein, schließlich muss man auch das Rad ja nicht dauernd neu erfinden und wenn der Mitbewerber nun schon eine so schöne Datenschutzerklärung hat, dann lassen wir uns doch davon einfach inspirieren. Aber, wenn jemand das macht, dann muss diese Person den Text schon verstehen und einordnen können, um keine Fehler zu übernehmen. Ganz generell gilt: Wenn Sie selbst schon Ihre Datenschutzerklärung nicht verstehen, wie soll es dann der Besucher Ihrer Website?

Exkurs: »Expecto Patronum« in der Datenschutzerklärung?

Bei der Gelegenheit: Nur weil etwas in einer Datenschutzerklärung steht, wird es nicht rechtmäßig. In der Frühzeit des römischen Rechts verhalfen korrekt vorgetragene Rechtsformeln bisweilen zum Sieg vor Gericht und führten falsch vorgetragene Rechtsformeln aber immer zur Niederlage. So einfach ist es mit einer Datenschutzerklärung nicht. Wenn die Nutzung bestimmter Tools zum Beispiel zur Werbeanalyse rechtswidrig ist, dann wird sie nicht mit einer bestimmten Formulierung in der Datenschutzerklärung rechtmäßig. Erinnern Sie sich an die Nutzung von Facebook-Unternehmensseiten? Wir haben sie im Rahmen der gemeinsamen Verantwortlichkeit im vorangegangenen Beitrag behandelt. Über diese muss in einer Datenschutzerklärung informiert werden, damit werden die Bedenken der Aufsichtsbehörden gegen die generelle Nutzung von Facebook-Unternehmensseiten aber nicht überwunden. Merken Sie sich, dass Sie in einer Datenschutzerklärung bestimmte Informationen aufnehmen und über genutzte Tools unterrichten müssen; die dahinterliegenden Verarbeitungen werden damit aber nicht automatisch rechtmäßig.

Nun aber zurück zur Transparenz. Anzustreben ist, dass der Erklärungswert datenschutzrechtlicher Informationen von einem verständigen und unvoreingenommenen Dritten erfasst werden kann. In den letzten Jahren wird darüber hinaus erwartet, dass derartige Erklärungen zudem in einer zuvorderst leichten und einfachen Sprache erfolgen sollen. Dabei soll eine leichte Sprache Menschen mit kognitiven Behinderungen erreichen. Einfache Sprache fokussiert sich auf Menschen mit geringer Lese- und Schreibkompetenz.

Sofern sich der Adressatenkreis jedoch konkret bestimmen lässt, z. B. durch die Gestaltung der Homepage oder die Top-Level-Domain, ist das Vorhalten der Informationen in der jeweiligen Sprache zu empfehlen.

Leicht zugänglich sind derartige Informationen, wenn sie nicht irgendwo versteckt werden oder im Wust anderer Informationen untergehen. Auf einer Website sollte sich die Datenschutzerklärung daher mit idealerweise einem (maximal zwei) Klick(s) von jeder Seite erreichen lassen. Die Datenschutzerklärung sollte dabei strikt vom Impressum getrennt und in keinem Fall mit diesem gemischt werden. So ist es nicht angeraten, für die Daten zum Verantwortlichen auf die entsprechenden Daten im Impressum zu verweisen. So viel Zeit sollte überdies sein, sie sowohl im Impressum, als auch in der Datenschutzerklärung aufzuführen.

Nochmal: Den Transparenzgrundsatz haben wir zwar anhand der Informationspflichten erläutert, das Gesagte gilt aber selbstverständlich auch für die übrigen Betroffenenrechte in Artikel 15 bis 22 DSGVO.

Das, was wir unter Informationspflichten zu verstehen haben, wird im »richtigen Leben« regelmäßig als Datenschutzerklärung bezeichnet und findet sich zuvorderst auf Webseiten, aber nicht nur dort. Sollten Sie  beispielsweise auf einer Messe auftreten und dort Kontakte knüpfen, sind Sie grundsätzlich auch zur Erfüllung der Informationspflichten verpflichtet und müssen eine passende Datenschutzerklärung zur Hand haben, falls ein Messebesucher danach fragt. Sie müssen die Datenschutzerklärung aber nicht »gegenzeichnen« lassen, denn sie ist kein Vertrag. Sie müssen einfach nur ein Exemplar vorhalten, das Sie im Fall der Fälle »hervorzaubern« und zur Kenntnisnahme aushändigen können.

Form und Übermittlungsweg

Eine strikte Form ist nicht vorgeschrieben. Artikel 12 DSGVO spricht von »schriftlich oder in anderer Form, gegebenenfalls auch elektronisch«. Dies gilt nur für die Informationspflichten, sondern (wie auch schon die transparente Darstellung) für alle Betroffenenrechte des dritten Kapitels und Artikel 34 DSGVO. In jedem Fall sollte der Verantwortliche im Auge behalten, dass er verpflichtet ist, über die Einhaltung der Vorschriften der DSGVO Nachweis zu führen und ihn entsprechende Rechenschaftspflichten treffen, vgl. Artikel 5 Absatz 2, Artikel 24 Absatz 1 Satz 1 DSGVO. Es sollte also in der Beantwortung einer Betroffenenanfrage grundsätzlich ein Format gewählt werden, das sich leicht dokumentieren lässt.

Es ist zu beachten, dass gemäß Artikel 12 Absatz 3 Satz 4 DSGVO ein elektronisch (also per E-Mail) gestellter Antrag auch auf diesem Wege beantwortet werden sollte (sofern es an der Identität der betroffenen Person keine Zweifel gibt). Die betroffene Person kann überdies gemäß Artikel 12 Absatz 1 Satz 3 DSGVO verlangen, dass ihr die Informationen oder Auskünfte mündlich erteilt werden; dies darf aber natürlich nur dann geschehen, wenn die Identität zweifelsfrei feststeht. Werden der falschen Person die Daten übermittelt, kann dies eine (meldepflichtige) Datenpanne zur Folge haben.

Ganz entscheidend ist in diesem Zusammenhang die Dokumentation der gesamten Kommunikation, um die Vorgänge im Nachhinein ggf. belegen zu können (Stichwort »Rechenschaftspflicht«).

Medienbruch

Als Medienbruch bezeichnet man das Zurverfügungstellen von Informationen auf verschiedenen Wegen, beispielsweise durch die Versendung eines Briefs in Papierform, der dann den Verweis auf eine Internetseite erhält. Dieser Medienbruch wird häufig als verbraucherunfreundlich und daher unzulässig angesehen. Wenn sich Betroffene nicht auf einen Blick Klarheit verschaffen können, sondern eine hinreichende Information nur aus verschiedenen Quellen möglich ist, kann dies als unzumutbar bewertet werden.

Frist

Vor allen Dingen gibt Artikel 12 DSGVO eine unbedingt zu beachtende Frist auf! Es ist vorgeschrieben, dass die Beantwortung unverzüglich, spätestens jedoch binnen eines Monats ab Eingang der Betroffenenanfrage erfolgen muss, vgl. Artikel 12 Absatz 3 DSGVO. An dieser Stelle setzen in der Praxis viele Bußgelder an: Unternehmen lassen Betroffenenanfragen schlicht zu lange unbeantwortet.

Der Antrag ist als eingegangen anzusehen, wenn er im Verfügungsbereich des Verantwortlichen angelangt ist, z. B. im Briefkasten oder im E-Mail-Postfach. Die tatsächliche Kenntnisnahme ist nicht ausschlaggebend, denn es fällt in die Organisationsverantwortung des Verantwortlichen, den Posteingang so zu organisieren, dass eine zeitnahe Kenntnisnahme der Eingangspost gewährleistet ist. Verzögerungen können nicht den betroffenen Personen angelastet werden.

Länger als einen Monat darf die Auskunftserteilung nur dauern, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Die Frist kann dann um zwei Monate auf maximal drei Monate verlängert werden. In diesem Fall muss der Antragsteller aber innerhalb der Monatsfrist über die Verlängerung und die Gründe für diese informiert werden. Die Frist läuft ab dem Zugang des Auskunftsantrags (s.o.). Die Gründe für die Fristverlängerung müssen dem Betroffenen dargelegt werden. Der Betroffene soll dadurch in der Lage sein, die Gründe für die Fristverlängerung überprüfen und nachvollziehen zu können.

Anhaltspunkte für eine konkretere Interpretation von Anzahl und Komplexität werden nicht gegeben. Andere Gründe können aufgrund des abschließenden Charakters dieser Regelung nicht geltend gemacht werden. Klargestellt ist damit, dass z. B. eine fortdauernde und ständige Personalknappheit oder personelle Unterbesetzung (auch bei Urlaub) keine Rechtfertigung für eine Fristverlängerung sein kann, weil es zu den Aufgaben des Verantwortlichen auch gehört, die Stelle so zu organisieren und zu besetzen, dass neben den unternehmerischen Aufgaben auch die zu erwartenden bzw. laufenden gesetzlichen Aufgaben wahrgenommen werden können. Andererseits kann aber den Unternehmen auch nicht zugemutet werden, zusätzliches Personal nicht bestimmbaren Umfangs nur deshalb vorzuhalten, um auch in Ausnahmefällen mit einem hohen Personalausfall, z. B. bei einer Grippeepidemie, die Einhaltung derartiger Fristen gewährleisten zu können.

Entgeltlichkeit

Die Informationen gemäß den Artikeln 13 und 14 sowie alle Mitteilungen und Maßnahmen gemäß den Artikeln 15 bis 22 und Artikel 34 DSGVO sind unentgeltlich zur Verfügung zu stellen (Artikel 12 Absatz 5 Satz 1 DSGVO). Davon kann nur bei offenkundig unbegründeten Anträgen mit exzessivem Charakter abgewichen werden. Wir werden im Rahmen der Betroffenenrechte im »engeren Sinn« (also Artikel 15 ff. DSGVO) noch darauf zurückkommen, was es mit unbegründeten und exzessiven Anträgen auf sich hat.

Wird ein Entgelt verlangt, stellt sich die Frage nach der Bemessung der Verwaltungskosten, und zwar einerseits hinsichtlich der Frage, in welchem Umfang und Ausmaß Verwaltungskosten berücksichtigungsfähig sind, andererseits aber auch nach der Höhe des abrechnungsfähigen Stundensatzes. Artikel 12 Absatz 5 Buchstabe a) DSGVO nennt als berücksichtigungsfähigen Aufwand die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme. Damit sind auch die vorbereitenden Maßnahmen, interne Maßnahmen der Durchführung und die Kosten der Information des Betroffenen erfasst.

Je nach Art der bei der Ausführung der gesamten Maßnahme beteiligten Mitarbeiter können die Stundensätze unterschiedlich hoch sein. Diese Stundensätze müssen einerseits ihrer Höhe nach angemessen und belegbar sein, andererseits muss der Aufwand auch festgehalten werden, um abrechnungsfähig sein zu können. Angesichts dieses Aufwands mag es sinnvoller sein, eine angemessene Pauschale festzusetzen, insbesondere dann, wenn derart unbegründete Anträge von Betroffenen häufiger vorkommen. Schon aus Aufwandsgründen wird es vorzuziehen sein, bei derartigen Anträgen unter Hinweis auf die bereits erteilten Auskünfte bzw. durchgeführten Maßnahmen ein nochmaliges Tätigwerden zu verweigern. Eventuell empfiehlt es sich, entsprechende Kopien aus den vorangegangenen Maßnahmen beizufügen.

Prüfung der Identität

Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 DSGVO zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Artikel 12 Absatz 6 DSGVO

Welche Informationen das sein können, konkretisiert die Verordnung nicht näher. Erwägungsgrund 64 DSGVO sagt dazu:

Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.

Erwägungsgrund 64 DSGVO

Wann kann sich ein solcher Zweifel regelmäßig stellen?

Nun, in der Regel kommt es zu einem solchen Zweifel an der Identität der anfragenden Person, bei einem telefonischen Kontakt oder sofern die Person die Anfrage per E-Mail von einer bislang nicht genutzten oder hinterlegten E-Mail-Adresse aus tätigt.

Unternehmen neigen dann gerne dazu, eine Kopie des Personalausweises einzufordern und verstoßen damit gleich mal gegen den Grundsatz der Datenminimierung:

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

Artikel 5 Absatz 1 Buchstabe c) DSGVO

Sie müssen sich an dieser Stelle gleich erstmal merken, dass die Anforderung einer Ausweiskopie nur in eng umgrenzten Situationen datenschutzmäßig gerechtfertigt sein kann. In den genannten Beispielfällen ist sie es meistens nicht.

Verlangt eine betroffene Person per Telefon Auskunft über ihre personenbezogenen Daten, dann können sich Zweifel an der Identität bilden, wenn die angezeigte Nummer nicht zur in Ihren Daten hinterlegten Nummer passt oder überhaupt unterdrückt wird. Vielleicht sollte die betroffene Person Ihren Unterlagen gemäß eine Frau sein, es fragt aber eine männliche Stimme an usw. Nun, in diesen Fällen müssen Sie nicht gleich eine Ausweiskopie anfordern. Denken Sie daran, Sie müssen das mildere Mittel wählen, das gleich geeignet ist, Zweifel an der Identität zu beseitigen. Bieten Sie einfach an, dass Sie die Person auf der hinterlegten Nummer zurückrufen oder verlangen Sie, dass von dieser Nummer aus noch mal angerufen wird. Bei Zweifeln an dem E-Mail-Absender können Sie entsprechend verlangen, dass die Anfrage noch mal von dem hinterlegten E-Mail-Account aus wiederholt wird. Aber, wie gesagt, die Anforderung einer Ausweiskopie ist in jedem Fall das absolut letzte Mittel, das Sie ergreifen dürfen. Und vor allen Dingen, dürfen Sie die Ausweiskopie in diesen Fällen auf gar keinen Fall speichern! Denken Sie an die Zweckbindung (Artikel 5 Absatz 1 Buchstabe b DSGVO). Zweck ist in diesen Fällen, Zweifel an der Identität zu beseitigen. Nun, nachdem Sie die Ausweiskopie erhalten und sich vergewissert haben, sind diese Zweifel entweder beseitigt (dann Zweckerfüllung) oder sie bestehen weiter (dann Zweckverfehlung); beide Fälle führen zu einer Löschpflicht gemäß Artikel 17 Absatz 1 Buchstabe a) DSGVO.

Ausnahmen können sich nur in bestimmten Bereichen (beispielsweise Kreditgewerbe) aufgrund gesetzlicher Vorschriften ergeben.

Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

Artikel 17 Absatz 1 Buchstabe a) DSGVO

Eine Ausnahme wäre nur dann denkbar, wenn Sie tatsächliche Anhaltspunkte z.B. für einen Identitätsbetrug haben, dann dürfen Sie die Daten zur Vorbereitung oder Unterstützung der Strafverfolgung vorübergehend speichern.

Den Antragsteller trifft aber jedenfalls eine Mitwirkungspflicht, um seine Befugnis zur Wahrnehmung der geltend gemachten Rechte glaubhaft zu untermauern. Kommt er seiner Mitwirkungspflicht nicht in der erforderlichen Weise nach, kann dies letztlich dazu führen, dass dem Antrag nicht nachgekommen werden kann.

In den in Artikel 11 Absatz 2 DSGVO genannten Fällen, das sind die Fälle, in denen eine Identifizierung des Betroffenen für eine Verarbeitung nicht erforderlich ist, darf sich der Verantwortliche gemäß Artikel 12 Absatz 2 Satz 2 DSGVO nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. Dies ist folgerichtig, weil bei einer Verarbeitung ohne Identifizierung des Betroffenen im Datenbestand die Verarbeitungsvorgänge und Daten dem Antragsteller nicht zugeordnet werden können. Folglich kann auch keine Auskunft erteilt oder sonstige beantragte Maßnahmen durchgeführt werden. Nicht in der Lage sein bedeutet, dass er alle vertretbaren Möglichkeiten der Identifizierung der betroffenen Person ausgeschöpft hat, zumindest durch eine Rückfrage versucht hat, die Identität der betroffenen Person festzustellen. Die Tatsache der fehlenden Identifizierbarkeit und deren nähere Umstände, die zu einer Verweigerung des Tätigwerdens führen, müssen zur Rechtfertigung der Verweigerung und für den Fall weiterer Maßnahmen des Antragstellers dokumentiert werden.

Verweigerung von Information und Tätigwerden

Der Verantwortliche kann gem. Artikel 12 Absatz 5 Satz 2 Buchstabe b) DSGVO bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen nicht bloß ein angemessenes Entgelt verlangen, er kann sich auch weigern, aufgrund des Antrags tätig zu werden.

Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er gemäß Artikel 12 Absatz 4 DSGVO die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.

Mit diesem Instrument ist aber vorsichtig umzugehen. Insbesondere darf das Recht der betroffenen Person, regelmäßig über sein Auskunftsrecht das Geschehen hinsichtlich der Verarbeitung seiner Daten zu kontrollieren.

Wie so häufig handelt es sich dabei um eine Ermessensfrage und eine solche des Einzelfalles.

Fazit und Fortgang der Darstellung

Wir haben uns in diesem Einführungsbeitrag zu den Rechten der betroffenen Person einen Überblick über die Modalitäten der Ausübung verschafft, also über Form und Fristen sowie Handlungsoptionen der verantwortlichen Stelle. Auf einzelne Aspekte dieser Modalitäten werden wir zu einem späteren Zeitpunkt noch zurückkommen. Im nächsten Beitrag steigen wir in die einzelnen Rechte der betroffenen Person ein und werden uns mit den Informationspflichten beschäftigen, die in der Praxis regelmäßig als »Datenschutzerklärung« bezeichnet sind. Zu den Rechten der betroffenen Person gehören sie, weil jeder Pflicht auch immer spiegelbildlich ein Recht entspricht.

Only members who have access to this post can read and write comments.