Lesezeit: 4 Min
Leitfaden für Unternehmen und Organisationen
Wenn personenbezogene Daten verarbeitet werden in Unternehmen und Organisationen, gilt es wie immer den Datenschutz zu beachten. Zum Datenschutz gehören dabei auch die Betroffenenrechte, welche eingehalten werden müssen.
Dieser Artikel beleuchtet detailliert, was diese Rechte bedeuten, warum sie existieren und welche konkreten Rechte Unternehmen einhalten müssen.
Grundlagen des Datenschutzes: Personenbezogene Daten und Betroffene
Bevor wir uns den Betroffenenrechten widmen, ist es essenziell zu verstehen, was personenbezogene Daten sind und wer als Betroffener gilt.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Personenbezogene Daten machen es möglich, Rückschlüsse auf diese Person zu ziehen. Beispiele hierfür sind Namen, Adressen, Geburtsdaten, E-Mail-Adressen, IP-Adressen, aber auch biometrische Daten oder Gesundheitsdaten. Je nach Kontext können personenbezogene Daten auch durch Situationen entstehen (z.B. nur eine Person im Raum hat dieses Merkmal).
Betroffener im Sinne des Datenschutzes ist jede natürliche Person, deren personenbezogene Daten verarbeitet werden. Dies können Kunden, Mitarbeiter, Website-Besucher, Lieferanten oder Geschäftspartner sein. Kurz gesagt: Jeder Mensch, dessen personenbezogene Daten von einem Unternehmen oder einer Organisation erfasst, gespeichert, genutzt oder in irgendeiner Weise verarbeitet werden, ist ein Betroffener.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Die Bedeutung der Betroffenenrechte: Schutz der informationellen Selbstbestimmung
Der Hauptgrund für die Existenz der Betroffenenrechte ist der Schutz des „Grundrechts auf informationelle Selbstbestimmung“. Dieses Recht besagt, dass jeder Mensch grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten bestimmen darf. Die Betroffenenrechte stellen sicher, dass dieses umgesetzt wird, welches durch die Datenschutzgrundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG).
Darüber hinaus fördern die Betroffenenrechte die sogenannte Transparenz und Rechenschaftspflicht bei der Datenverarbeitung. Unternehmen müssen dabei offenlegen, welche Daten sie sammeln, zu welchem Zweck und wie lange sie diese speichern.
Die Betroffenenrechte im Detail: Ein umfassender Überblick
Die DS-GVO und das BDSG gewähren den Betroffenen eine Reihe von Rechten, die Unternehmen kennen und umsetzen müssen. Eine Nichtbeachtung kann zu empfindlichen Bußgeldern und unter Umständen Schadensersatzansprüchen führen.
Das Recht auf Auskunft
Betroffene haben das Recht, von einem Unternehmen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten von ihnen verarbeitet werden. Ist dies der Fall, haben sie das Recht auf Auskunft über diese Daten und eine Reihe weiterer Informationen, wie die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die Empfänger, die Speicherdauer und das Bestehen weiterer Betroffenenrechte.
Das Recht auf Berichtigung
Betroffene können die unverzügliche Berichtigung unrichtiger personenbezogener Daten verlangen. Zudem haben sie das Recht, die Vervollständigung unvollständiger Daten zu verlangen. Die Datenqualität ist hier entscheidend. Unternehmen müssen Mechanismen implementieren, um die Richtigkeit der Daten zu gewährleisten und Berichtigungsersuchen effizient zu bearbeiten.
Das Recht auf Löschung („Recht auf Vergessenwerden“)
Betroffene können die unverzügliche Löschung ihrer personenbezogenen Daten verlangen, wenn bestimmte Gründe vorliegen, z. B. wenn die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind oder die betroffene Person ihre Einwilligung widerruft.
Unternehmen müssen klare Löschkonzepte und -fristen definieren. Die Umsetzung des Rechts auf Löschung kann komplex sein, insbesondere bei Daten, die in verschiedenen Systemen gespeichert sind.
Das Recht auf Einschränkung der Verarbeitung
Unter bestimmten Voraussetzungen können Betroffene die Einschränkung der Verarbeitung ihrer Daten verlangen. Dies bedeutet, dass die Daten zwar gespeichert, aber nicht weiter verarbeitet werden dürfen (z. B. wenn die Richtigkeit der Daten bestritten wird). Unternehmen müssen in der Lage sein, die Verarbeitung von Daten temporär einzuschränken und dies technisch umzusetzen.
Das Recht auf Datenübertragbarkeit
Betroffene haben das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln. Dies erfordert die Bereitstellung von Daten in interoperablen Formaten und kann technische Herausforderungen mit sich bringen.
Das Widerspruchsrecht
Betroffene haben das Recht, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Insbesondere bei Direktmarketing oder der Verarbeitung von Daten auf Basis berechtigter Interessen müssen Unternehmen das Widerspruchsrecht beachten und entsprechende Opt-out-Möglichkeiten anbieten.
Das Recht auf Widerruf der Einwilligung
Hat die Verarbeitung auf einer Einwilligung beruht, so hat der Betroffene das Recht, seine Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Einwilligungen müssen transparent eingeholt und der Widerruf muss so einfach wie die Erteilung der Einwilligung sein.
Das Recht, nicht einer automatisierten Entscheidung unterworfen zu werden
Betroffene haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Bei der Nutzung von Algorithmen und KI-Systemen zur Entscheidungsfindung müssen Unternehmen sicherstellen, dass menschliche Überprüfungsmöglichkeiten bestehen und Betroffene nicht ausschließlich automatisierten Entscheidungen unterliegen.
Betroffenenrechte in der Unternehmenspraxis: Herausforderungen und Chancen
Die Komplexität der Datenlandschaft, in der Daten oft über verschiedene Systeme und Abteilungen verteilt sind, erschwert die Beantwortung von Betroffenenanfragen. Zudem erfordert die technische Umsetzung von Prozessen zur Ausübung der Betroffenenrechte oft erhebliche Anpassungen und Investitionen. Die Bearbeitung von Anfragen kann zudem zeitaufwendig sein und personelle Ressourcen binden. Nicht zuletzt kann die Auslegung einzelner Bestimmungen im Einzelfall komplex sein und erfordert oft juristische Expertise.
Die Implementierung klarer Prozesse für den Umgang mit Betroffenenrechten kann aber auch zu einer effizienteren Datenverwaltung führen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.