arztpraxis aufruf anonym name betroffenenrecht auskunft 15 ds-gvo einschränkung der verarbeitung sperrung 18 dsgvo schadensersatz

Rechte betroffener Personen – Allgemeine Regeln

/von

Die DSGVO räumt den betroffenen Personen zahlreiche Rechte ein. Eng damit verknüpft sind umfangreiche Pflichten auf Seiten der Verantwortlichen. Diese Pflichten sind, wenn man so will, das Spiegelbild der Rechte betroffener Personen.

Im Rahmen unseres regelmäßigen Newsletters beabsichtigen wir, in Form einer Beitragsreihe unter dem Namen „Rechte betroffener Personen“- ähnlich der Themenreihe zu den Rechtsgrundlagen – jeweils einem Betroffenenrecht einen gesonderten Artikel zu widmen.

Dabei sind die „Highlights“ wie das Auskunftsrecht nach Art. 15 DSGVO inzwischen bekannt und die verpflichtende „Datenschutzerklärung“ – Informationen gem. Artt. 13 bzw. 14 DSGVO – ist nach wie vor in aller Munde. Es ist jedoch für die Verantwortlichen sehr wichtig, nicht nur grob zu wissen, dass es die Rechte gibt und welche es sind, sondern auch, was sie genau beinhalten und was bei ihrer Gewährleistung gemacht (oder auch nicht gemacht) werden muss.

Allgemeine Vorgaben zur Erfüllung der Betroffenenrechte

Bevor wir jedoch mit den einzelnen Rechten (und den entsprechenden Pflichten) in unserer Artikelreihe beginnen und insbesondere auf die häufigen Missverständnisse und Irrtümer eingehen, die es in diesem Zusammenhang gibt, wollen wir uns einleitend  und „ausgeklammert“ zunächst allgemein mit dem „Wie“ der Pflichterfüllung beschäftigen.

Dieses „Wie“ regelt eine Norm, die eher unauffällig ihr Dasein fristet. Die Rede ist von Art. 12 DSGVO. Es ist ein Artikel, den der Gesetzgeber so zu sagen „vor die Klammer gesetzt“ hat und der für Rechte und Pflichten aus Artt. 13 und 14 sowie Artt. 15 bis 22 und auch 34 DSGVO einen gewissen (Ordnungs-)Rahmen bildet. Seine Bestimmungen sind bei allen Rechten und entsprechenden Mitteilungen zu beachten. Hier erfährt ein Verantwortlicher allgemein und übergreifend jede Menge über die Art und Weise, wie die Pflichten zu erfüllen und Rechte zu gewährleisten sind.

Was sind die wesentlichen Bestimmungen des Art. 12 DSGVO?

Transparenz, Verständlichkeit und leichte Zugänglichkeit der Information

Art. 12 Abs. 1 DSGVO begründet für die Verantwortlichen die Pflicht, die Informationen, die eine betroffene Person erhält – und dazu gehören nicht nur Informationen nach Artt. 13 und 14 DSGVO, sondern auch Mitteilungen, die an betroffene Personen gemäß Artt. 15 bis 22 sowie 34 DSGVO zu machen sind – in einer Form zu übermitteln, die präzise (auf den Aussagekern reduziert), transparent (keine verschleiernden Informationen), verständlich (aus sich nachvollziehbar) und leicht zugänglich (leicht auffindbar insbesondere durch optische Gestaltung) ist. Der Verantwortliche erteilt die Informationen bzw. macht die Mitteilungen grundsätzlich schriftlich. Dies kann jedoch auch elektronisch erfolgen, beispielsweise über ein Webportal oder per E-Mail. Insbesondere bei der Übersendung von Informationen nach Art. 15 DSGVO ist hierbei natürlich auch die Vertraulichkeit zu beachten und gegebenenfalls auf einen verschlüsselten Weg zurückzugreifen.

Die Gestaltung der Sprache hat nicht nur einfach zu sein, sondern muss sich an der Landessprache des jeweiligen Marktortes orientieren. Es sind daher gegebenenfalls Informationen in mehreren Sprachen bereitzuhalten. Gemäß Art. 12 Abs. 7 DSGVO können die Informationen, die gemäß Artt. 13 und 14 DSGVO zur Verfügung zu stellen sind, in Kombination mit standardisierten Bildsymbolen bereitgestellt werden. Diese müssen jedoch maschinenlesbar sein. Aktuell wird von dieser Möglichkeit wenig Gebrauch gemacht, da entsprechende einheitliche Symbolstandards weitgehend fehlen. Sobald diese eingeführt werden ist es durchaus sinnvoll darauf zurückzugreifen, um die Transparenz und die Verständlichkeit der Informationen sicherzustellen. Nach unserem derzeitigen Kenntnisstand soll die Einführung im Rahmen der ePrivacy-Verordnung voraussichtlich nicht vor 2021, erfolgen.

Besonderheiten sind bei Kindern zu beachten. Dies bedeutet nicht, dass kindergerechte Texte generell vorzuhalten sind, wenn ein Angebot (auch) von Kindern genutzt wird, sondern nur dann, wenn ein Verantwortlicher mit seinen Angeboten Kinder explizit anspricht. Hier besteht die Pflicht und auch die Herausforderung, die komplexen Informationen so zu übermitteln, dass auch ein Kind sie verstehen kann. Wie das auch bei komplizierten Sachverhalten und Zusammenhängen geht, zeigt eindrucksvoll die Information der UNICEF, die die Konvention über die Rechte des Kindes in einer kindergerechten Sprache erklärt.

Erleichterung der Rechteausübung

Nach Art. 12 Abs. 2 DSGVO hat der Verantwortliche dafür zu sorgen, dass keine inhaltlichen oder administrativen Barrieren der Rechteausübung entgegenstehen. Allerdings ist hier zu beachten, dass der Verantwortliche aufgrund des Antrags nicht tätig werden muss und sich weigern kann, dem Antrag zu entsprechen, wenn er die betroffene Person (Antragsteller) nicht identifizieren kann. Bei Identifizierungsschwierigkeiten muss er gegebenenfalls sogar sein Tätigwerden im Sinne des Antrags verweigern, denn anderenfalls könnte eine Verletzung des Schutzes personenbezogener Daten vorliegen (sogenannte „Datenpanne“), die bußgeldbewehrt wäre.

Die Zweifel an der Identität lassen sich beispielsweise durch Nutzung von digitalen Authentifizierungsverfahren beseitigen, etwa durch Nutzung derselben Berechtigungsnachweise, die die betroffene Person einsetzt, um sich bei den ihr durch den Verantwortlichen bereitgestellten Diensten anzumelden (vgl. Erwägungsgrund 57 zur DSGVO). Zudem kann (bereits bei Begründung einer Geschäftsbeziehung) eine Sicherheitsabfrage vereinbart werden. Das Einholen zusätzlicher Informationen zur Identitätsfeststellung gestattet dem Verantwortlichen Art. 12 Abs. 6 DSGVO, verpflichtet ihn aber nicht hierzu. Das Anfordern von Ausweiskopien ist in Deutschland dabei nur ausnahmsweise erlaubt und die Erforderlichkeit muss in jedem Einzelfall geprüft werden. Hier bietet eine aktuelle Informationsbroschüre der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) wertvolle Hinweise zur Nutzung von Personalausweisen im Geschäftsverkehr.

Fristen für den Verantwortlichen

Der Verantwortliche muss über die Maßnahmen, die er auf einen Antrag gemäß Artt. 15 bis 22 DSGVO hin ergriffen hat, unverzüglich (das bedeutet ohne schuldhaftes Zögern), längstens jedoch innerhalb eines Monats nach Antragseingang, die betroffene Person informieren. Ist die Informationserteilung aufgrund der Komplexität des zugrundeliegenden Sachverhalts nicht innerhalb eines Monats möglich, kann die Frist um bis zu zwei weitere Monate verlängert werden. Auch über die Fristverlängerung ist die betroffene Person unter Angabe von Gründen bereits innerhalb des ersten Monats zu unterrichten.

Unterrichtungspflichten des Verantwortlichen bei Untätigkeit

Bleibt der Verantwortliche nach einem Antrag gemäß Artt. 15 bis 22 DSGVO untätig, so hat er gemäß Art. 12 Abs. 4 DSGVO die Pflicht, die betroffene Person unverzüglich (Definition siehe oben) oder spätestens innerhalb eines Monats über die Gründe seines Untätigbleibens zu informieren. Ein Grund kann beispielsweise das Nichtvorliegen von personenbezogenen Daten des Antragsstellers beim Verantwortlichen sein oder gesetzliche Aufbewahrungsfristen, die einem Löschbegehren aus Art. 17 DSGVO entgegenstehen. Die Unterrichtung muss eine Rechtsbehelfsbelehrung enthalten, die darüber informiert, dass die betroffene Person sich bei einer Behörde beschweren (Art. 77 DSGVO) oder gerichtliche Rechtsbehelfe einlegen kann (Art. 79 DSGVO).

Unentgeltlichkeitsgrundsatz

Die Informationen, die ein Verantwortlicher zur Verfügung stellt, sind gemäß Art. 12 Abs. 5 S.1 DSGVO grundsätzlich unentgeltlich zu erteilen. Allerdings gilt dieser Grundsatz nur, soweit der Antragsteller nicht rechtsmissbräuchlich handelt. Tut er das und stellt offenkundig unbegründete oder exzessive bzw. sich oft wiederholende Anträge, kann der Verantwortliche ein angemessenes Entgelt für die Informationserteilung verlangen. Hier können insbesondere neben den reinen Porto- und Übermittlungskosten auch anteilige Lohn- und Gehaltskosten (beispielsweise für Recherchearbeit) berücksichtigt werden. Zum Teil wird vertreten, dass auch eine pauschale Abgeltung möglich sein soll.

Was lernen wir daraus?

Wie man sieht, stehen die einzelnen Betroffenenrechte nicht losgelöst da, sondern sind in ein ausgeklügeltes Norm-System eingebettet, welches stets zu berücksichtigen ist, wenn es um die Rechte der betroffenen Personen geht.

Nachdem wir mit dem heutigen Beitrag unser Koordinatensystem, in dem wir uns über die nächsten Monate hinweg bewegen werden, beleuchtet haben, freuen wir uns auf eine gemeinsame Reise durch die Welt der Rechte und Pflichten nach der DSGVO.

Benötigen Sie Unterstützung bei der Beantwortung von Anfragen betroffener Personen? Sprechen Sie uns an, wir helfen Ihnen gerne!

 

Dieser Artikel ist Teil unserer Reihe zu den Betroffenen-Rechten. Die anderen finden Sie hier:

Das könnte Sie auch interessieren
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungAbmahnungen wegen Verstößen gegen die DSGVO
einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoAuftragsdatenverarbeitung – Anforderungen an den Vertrag
hacker pentest penetrationstest abmahnung abmahnfähigSind Verstöße gegen die DSGVO abmahnfähig? – Bislang keine Abmahnwelle
ds-gvo one stop shop oss bdsg-neu datenschutzbeauftragter benennung bestellpflicht werbung drittstaaten transfer google analytics verbotenOne Stop Shop (OSS) – nur noch eine Behörde zuständig für die Unternehmen?
auftragsverarbeitung kosten meldung datenschutzbeauftragter prüfung bayldaMeldung von Datenschutzbeauftragten – Zwischenbilanz aus Bayern
arztpraxis aufruf anonym name betroffenenrecht auskunft 15 ds-gvo einschränkung der verarbeitung sperrung 18 dsgvo schadensersatzNamentlicher Patientenaufruf bei Arztbesuch – ein Datenschutzproblem?
Regelungsgrundsätze der DSGVO – welche gibt es?grundsätze der verarbeitung betroffenenrechte dienstleister dritte entwurf ki verordnung ki-vo-e chatgpt chat-gptds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoSerie Betroffenenrechte: Das Recht auf Auskunft nach Art. 15 DSGVO