DSGVO: Welche Rechte haben Betroffene?

Die DSGVO gilt ab dem 25.5.18 und gehört damit zurzeit zu den wichtigsten Themen für alle Online-Händler. Doch, obwohl diese sehr stark im Fokus der Verordnung liegen, dienen die Neuerungen in erster Linie dem Datenschutz des Verbrauchers im digitalen Verkehr. Dafür räumt die DSGVO, wie auch in Teilen schon das BDSG, „betroffenen Personen“ (die Bezeichnung der Verordnung) gewisse Rechte ein. Im Folgenden erläutern wir diese Rechte näher für Sie und was das im Umgang mit Ihren Kunden bedeutet.

Wer sind die betroffenen Personen?

Das ist jede Person, von der im Online-Handel personenbezogene Daten erhoben und verarbeitet werden – sei es im Rahmen des Aufrufen Ihres Shops, eines Kaufs oder einer Anfrage über das Kontaktformular.

Wer ist Verantwortlicher?

Als Verantwortlicher gilt nach der Verordnung (Art. 4 Nr. 7 DSGVO) die Person (natürlich oder juristisch) oder Stelle, „die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Damit treffen die entsprechenden Pflichten jeden, der es in der Hand hat, personenbezogenen Daten über seinen Online-Shop zu erheben und zu verarbeiten. Er ist auch Ansprechpartner, wenn der Betroffene seine Rechte geltend machen möchte.

Welche Rechte haben die betroffenen Personen nach der DSGVO?

Die Rechte der Betroffenen sowie die entsprechenden Pflichten der Verantwortlichen bestimmen sich nach Kapitel 3 der DSGVO. Diese sind: Recht auf Auskunft, Recht auf Berichtigung und Löschung, Recht auf Verarbeitungseinschränkung der Daten, Recht auf Widerspruch der Datenverarbeitung und Recht auf Datenübertragbarkeit. Der Betroffene darf also erfahren, ob und welche personenbezogenen Daten von ihm verarbeitet werden, und entscheiden, ob, inwieweit und von wem sie verarbeitet werden.

Auskunftsrecht

Laut Art. 15 DSGVO kann die betroffene Person auf Nachfrage eine Bestätigung verlangen, ob auf sie bezogene Personendaten verarbeitet werden. Wenn dem so ist, müssen ihm sowohl die erhobenen personenbezogenen Daten als auch diese Informationen insbesondere mitgeteilt werden:

  • Verarbeitungszweck;
  • Kategorien der verarbeiteten Daten;
  •  (beabsichtigte) Empfänger der Daten;
  • geplante Speicherdauer oder die Kriterien, wie diese festgelegt wird;
  • Bestehen eines Rechts auf Berichtigung/Löschung der Daten sowie auf Einschränkung/Widerspruch der Verarbeitung;
  • Herkunft der Daten, wenn sie nicht bei dem Betroffenen erhoben wurden;
  • Bestehen eines automatisierten Entscheidungsverfahrens (inkl. Profiling) sowie dessen Logik und Zweck.
  • Geeignete Garantien (z. B. Zertifizierungen), wenn Daten an Drittland oder internationale Organisation übermittelt werden.

Berichtigungs- und Löschungsrecht

Der Betroffene darf verlangen, dass unwahre Daten über ihn entsprechend berichtigt oder ergänzt werden (Art. 16 DSGVO). Weiter darf er jederzeit die Löschung seiner Daten (Art. 17 Abs. 1 DSGVO) verlangen. Löschen heißt dabei, dass die Daten tatsächlich vernichtet werden müssen. Dafür muss insbesondere einer dieser Gründe vorliegen:

  • Daten sind für den Verarbeitungszweck nicht mehr notwendig;
  • Widerruf einer erteilten Einwilligung des Betroffenen in die Datenverarbeitung (wenn eine anderweitige Rechtsgrundlage für die Verarbeitung fehlt);
  • Widerspruch des Betroffenen gegen die Verarbeitung (s.u.) und Fehlen eines vorrangigen berechtigten Grundes dafür;
  • unrechtmäßige Datenverarbeitung;
  • sonstige Löschungspflicht nach nationalem oder Unionsrecht.

! Ergänzend wurde das Recht auf Vergessenwerden gesetzlich verankert, das vor allem bei veröffentlichen Informationen relevant ist und soll den Betroffenen die Möglichkeit einräumen, die Vergangenheit hinter sich zu lassen.

! Falls Sie personenbezogene Daten öffentlich gemacht haben, müssen Sie das für Sie technologisch und kostentechnisch mögliche, angemessene und zumutbare unternehmen, um andere Verarbeitende von einem Einschränkungs-, Löschungs- oder Berichtigungsantrag des Betroffenen zu informieren.

Einschränkungsrecht

Der Betroffene hat das Recht, die Verarbeitung seiner Daten einzuschränken (Art. 18 DSGVO). Dieses Recht ist auch dann von Interesse, wenn die Löschung unmöglich oder unverhältnismäßig ist. Verlangt er die Einschränkung, dürfen diese Daten (ausgenommen der Speicherung an sich) nur mit seiner Einwilligung, zur Rechtsanspruchsdurchsetzung oder des Rechtsschutzes oder bei vorliegendem wichtigem öffentlichem Interesse der EU oder eines Mitgliedstaates aufbewahrt werden.

Die Einschränkung kann allerdings nur unter einer der im Art. 18 Abs. 1 DSGVO genannten Voraussetzungen verlangt werden, also:

  • wenn der Betroffene die Richtigkeit seiner Daten für eine Dauer bestreitet, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  • bei einer unrechtmäßigen Datenverarbeitung, wenn der Betroffene die Einschränkung statt der Löschung verlangt;
  • der Verantwortliche die Daten für seine Zwecke nicht mehr benötigt, aber der Betroffene sie für die Durchsetzung eines Anspruches benötigt, oder
  • bei Widerspruch des Betroffenen gegen die Verarbeitung durch den Verantwortlichen nach Art. 21 Abs. 1 DSGVO, solange noch nicht feststeht, wessen Interessen im konkreten Fall schutzwürdiger sind.

Widerspruchsrecht

Widersprechen kann der Betroffene ohne weiteres gem. Abs. 2 auch der Datenverarbeitung für Direktwerbung oder eines damit verbundenen Profilings – hier ist die direkte Umsetzung unumgänglich.

Schließlich hat der Betroffene nach Art. 21 Abs. 1 DSGVO das Recht, jederzeit einer Datenverarbeitung zur Erfüllung einer öffentlich-rechtlichen Aufgabe oder zur Wahrung der eigenen Interessen des Verantwortlichen zu widersprechen. Das gilt gem. Abs. 6 auch für den Fall, dass die Verarbeitung zu historischen, wissenschaftlichen oder statistischen Zwecken (Art. 89 Abs. 1) erfolgt, es sei denn sie ist für die Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich. In diesen Fällen ist eine weitere Verarbeitung nur dann zulässig, wenn Sie geltend machen können, dass ohne diese Verarbeitung erhebliche und unumkehrbare Nachteile entstehen (z. B. Inkassoverfahren).

Neu: Recht auf Datenübertragbarkeit

Art. 20 DSGVO räumt dem Betroffenen darüber hinaus das Recht ein, alle personenbezogenen Daten strukturiert und maschinenlesbar formatiert zu erhalten, oder diese direkt einem anderen Verantwortlichen zu übertragen, sofern die Verarbeitung aufgrund einer Einwilligung, eines Vertrages oder mithilfe automatisierter Verfahren erfolgt.

Der Betroffene kann auch die direkte Übermittlung der Daten an den anderen Verantwortlichen erwirken, es sei denn die Verarbeitung durch den ersten Verantwortlichen hängt mit der Erfüllung einer ihm übertragenen Aufgabe im öffentlichen Interesse zusammen oder der Aufwand übersteigt die Interessen und Möglichkeiten des Unternehmers.

Ihre Pflichten

Daraus ergeben sich Pflichten für Sie als datenverarbeitenden Online-Händler. So bestehen auch allgemeine Pflichten, die Sie unabhängig von der Ausübung eines Betroffenenrechtes treffen und vor allem einen transparenten Umgang und eine möglichst starke Erleichterung der Ausübung der Betroffenenrechte beabsichtigen. Hiervon umfasst ist vor allem die Information „in präziser, transparenter, verständlicher und leicht zugänglicher Form“ über die Erhebung und Verarbeitung personenbezogener Daten konkret zu informieren und so die Ausübung von Betroffenenrechten zu erleichtern.

Wendet sich der Betroffene mit einem seiner Rechte an Sie, ist dieser unverzüglich, doch spätestens binnen eines Monats nach Antragseingang darüber zu informieren. Diese Frist kann, unter Umständen (hohe Komplexität; hohe Anzahl der Anträge), durch eine unverzügliche begründete Mitteilung um weitere zwei Monate verlängert werden. Wird das angefragte Betroffenenrecht doch nicht ergriffen, müssen Sie den Betroffenen genauso unverzüglich, spätestens binnen eines Monats, über die geeigneten Rechtsbehelfe dagegen informieren (oben aufgeführte Betroffenenrechte, Beschwerderecht bei den Aufsichtsbehörden).

Die Auskünfte sind grundsätzlich unentgeltlich zur Verfügung zu stellen. Sie können dem Kunden dafür auch einen elektronischen Zugang zu einem gesicherten System ermöglichen. Die Auskunft hat in diesem Falle in einem gängigen elektronischen Format zu erfolgen (z.B. PDF-Dokument).

Unser Tipp

Verschaffen Sie sich einen Überblick darüber, welche personenbezogenen Daten sie bei Ihren Kunden erheben und verarbeiten (wollen), und warum. Das macht es schon im Vorfeld für Sie einfacher, wenn sie einen Kunden darüber informieren müssen. Mit dem Trusted Shops Rechtstexter können Sie eine DSGVO-konforme Datenschutzerklärung erstellen und so transparent über die einzelnen Prozesse in Ihrem Shop informieren. Ermöglichen Sie das Auskunftsersuchen eines Kunden so problemlos wie möglich. Ein Verstoß gegen die Auskunftspflicht kann mit empfindlichen Geldbußen der Aufsichtsbehörden geahndet werden (Art. 83 Abs. 5 b DSGVO).

Über die Autorin

autor_anne_hattenauerAnne Lehmann, LL.M., ist Legal Consultant bei der Trusted Shops GmbH im Bereich Legal Services. Bachelor an der Hanse Law School in Vergleichendem und Europäischem Recht sowie Master in Unternehmensrecht in Internationalem Kontext an der HWR Berlin. Im Rahmen ihrer Tätigkeit war sie zunächst für die Prüfung von Online-Shops der Märkte DACH, NL sowie UK zuständig und verantwortete das Key Account Operational Management. Sie betreut die Trusted Shops Abmahnschutzpakete und beschäftigt sich intensiv mit den für Online-Händler relevanten Rechtsgebieten.

12.04.18

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies