DSGVO: Welche Rechte haben Betroffene?

20180411_RdW_KW15_de-DE_920x340_1v0002-MKT-1437

Die DSGVO gilt ab dem 25.5.18 und gehört damit zurzeit zu den wichtigsten Themen für alle Online-Händler. Doch, obwohl diese sehr stark im Fokus der Verordnung liegen, dienen die Neuerungen in erster Linie dem Datenschutz des Verbrauchers im digitalen Verkehr. Dafür räumt die DSGVO, wie auch in Teilen schon das BDSG, „betroffenen Personen“ (die Bezeichnung der Verordnung) gewisse Rechte ein. Im Folgenden erläutern wir diese Rechte näher für Sie und was das im Umgang mit Ihren Kunden bedeutet.

Wer sind die betroffenen Personen?

Das ist jede Person, von der im Online-Handel personenbezogene Daten erhoben und verarbeitet werden – sei es im Rahmen des Aufrufen Ihres Shops, eines Kaufs oder einer Anfrage über das Kontaktformular.

Wer ist Verantwortlicher?

Als Verantwortlicher gilt nach der Verordnung (Art. 4 Nr. 7 DSGVO) die Person (natürlich oder juristisch) oder Stelle, „die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Damit treffen die entsprechenden Pflichten jeden, der es in der Hand hat, personenbezogenen Daten über seinen Online-Shop zu erheben und zu verarbeiten. Er ist auch Ansprechpartner, wenn der Betroffene seine Rechte geltend machen möchte.

Welche Rechte haben die betroffenen Personen nach der DSGVO?

Die Rechte der Betroffenen sowie die entsprechenden Pflichten der Verantwortlichen bestimmen sich nach Kapitel 3 der DSGVO. Diese sind: Recht auf Auskunft, Recht auf Berichtigung und Löschung, Recht auf Verarbeitungseinschränkung der Daten, Recht auf Widerspruch der Datenverarbeitung und Recht auf Datenübertragbarkeit. Der Betroffene darf also erfahren, ob und welche personenbezogenen Daten von ihm verarbeitet werden, und entscheiden, ob, inwieweit und von wem sie verarbeitet werden.

Auskunftsrecht

Laut Art. 15 DSGVO kann die betroffene Person auf Nachfrage eine Bestätigung verlangen, ob auf sie bezogene Personendaten verarbeitet werden. Wenn dem so ist, müssen ihm sowohl die erhobenen personenbezogenen Daten als auch diese Informationen insbesondere mitgeteilt werden:

  • Verarbeitungszweck;
  • Kategorien der verarbeiteten Daten;
  •  (beabsichtigte) Empfänger der Daten;
  • geplante Speicherdauer oder die Kriterien, wie diese festgelegt wird;
  • Bestehen eines Rechts auf Berichtigung/Löschung der Daten sowie auf Einschränkung/Widerspruch der Verarbeitung;
  • Herkunft der Daten, wenn sie nicht bei dem Betroffenen erhoben wurden;
  • Bestehen eines automatisierten Entscheidungsverfahrens (inkl. Profiling) sowie dessen Logik und Zweck.
  • Geeignete Garantien (z. B. Zertifizierungen), wenn Daten an Drittland oder internationale Organisation übermittelt werden.

Berichtigungs- und Löschungsrecht

Der Betroffene darf verlangen, dass unwahre Daten über ihn entsprechend berichtigt oder ergänzt werden (Art. 16 DSGVO). Weiter darf er jederzeit die Löschung seiner Daten (Art. 17 Abs. 1 DSGVO) verlangen. Löschen heißt dabei, dass die Daten tatsächlich vernichtet werden müssen. Dafür muss insbesondere einer dieser Gründe vorliegen:

  • Daten sind für den Verarbeitungszweck nicht mehr notwendig;
  • Widerruf einer erteilten Einwilligung des Betroffenen in die Datenverarbeitung (wenn eine anderweitige Rechtsgrundlage für die Verarbeitung fehlt);
  • Widerspruch des Betroffenen gegen die Verarbeitung (s.u.) und Fehlen eines vorrangigen berechtigten Grundes dafür;
  • unrechtmäßige Datenverarbeitung;
  • sonstige Löschungspflicht nach nationalem oder Unionsrecht.

! Ergänzend wurde das Recht auf Vergessenwerden gesetzlich verankert, das vor allem bei veröffentlichen Informationen relevant ist und soll den Betroffenen die Möglichkeit einräumen, die Vergangenheit hinter sich zu lassen.

! Falls Sie personenbezogene Daten öffentlich gemacht haben, müssen Sie das für Sie technologisch und kostentechnisch mögliche, angemessene und zumutbare unternehmen, um andere Verarbeitende von einem Einschränkungs-, Löschungs- oder Berichtigungsantrag des Betroffenen zu informieren.

Einschränkungsrecht

Der Betroffene hat das Recht, die Verarbeitung seiner Daten einzuschränken (Art. 18 DSGVO). Dieses Recht ist auch dann von Interesse, wenn die Löschung unmöglich oder unverhältnismäßig ist. Verlangt er die Einschränkung, dürfen diese Daten (ausgenommen der Speicherung an sich) nur mit seiner Einwilligung, zur Rechtsanspruchsdurchsetzung oder des Rechtsschutzes oder bei vorliegendem wichtigem öffentlichem Interesse der EU oder eines Mitgliedstaates aufbewahrt werden.

Die Einschränkung kann allerdings nur unter einer der im Art. 18 Abs. 1 DSGVO genannten Voraussetzungen verlangt werden, also:

  • wenn der Betroffene die Richtigkeit seiner Daten für eine Dauer bestreitet, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
  • bei einer unrechtmäßigen Datenverarbeitung, wenn der Betroffene die Einschränkung statt der Löschung verlangt;
  • der Verantwortliche die Daten für seine Zwecke nicht mehr benötigt, aber der Betroffene sie für die Durchsetzung eines Anspruches benötigt, oder
  • bei Widerspruch des Betroffenen gegen die Verarbeitung durch den Verantwortlichen nach Art. 21 Abs. 1 DSGVO, solange noch nicht feststeht, wessen Interessen im konkreten Fall schutzwürdiger sind.

Widerspruchsrecht

Widersprechen kann der Betroffene ohne weiteres gem. Abs. 2 auch der Datenverarbeitung für Direktwerbung oder eines damit verbundenen Profilings – hier ist die direkte Umsetzung unumgänglich.

rechtstipp_blog_banner_dsgvo_schutz5ad45eb232b6e

Schließlich hat der Betroffene nach Art. 21 Abs. 1 DSGVO das Recht, jederzeit einer Datenverarbeitung zur Erfüllung einer öffentlich-rechtlichen Aufgabe oder zur Wahrung der eigenen Interessen des Verantwortlichen zu widersprechen. Das gilt gem. Abs. 6 auch für den Fall, dass die Verarbeitung zu historischen, wissenschaftlichen oder statistischen Zwecken (Art. 89 Abs. 1) erfolgt, es sei denn sie ist für die Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich. In diesen Fällen ist eine weitere Verarbeitung nur dann zulässig, wenn Sie geltend machen können, dass ohne diese Verarbeitung erhebliche und unumkehrbare Nachteile entstehen (z. B. Inkassoverfahren).

Neu: Recht auf Datenübertragbarkeit

Art. 20 DSGVO räumt dem Betroffenen darüber hinaus das Recht ein, alle personenbezogenen Daten strukturiert und maschinenlesbar formatiert zu erhalten, oder diese direkt einem anderen Verantwortlichen zu übertragen, sofern die Verarbeitung aufgrund einer Einwilligung, eines Vertrages oder mithilfe automatisierter Verfahren erfolgt.

Der Betroffene kann auch die direkte Übermittlung der Daten an den anderen Verantwortlichen erwirken, es sei denn die Verarbeitung durch den ersten Verantwortlichen hängt mit der Erfüllung einer ihm übertragenen Aufgabe im öffentlichen Interesse zusammen oder der Aufwand übersteigt die Interessen und Möglichkeiten des Unternehmers.

Ihre Pflichten

Daraus ergeben sich Pflichten für Sie als datenverarbeitenden Online-Händler. So bestehen auch allgemeine Pflichten, die Sie unabhängig von der Ausübung eines Betroffenenrechtes treffen und vor allem einen transparenten Umgang und eine möglichst starke Erleichterung der Ausübung der Betroffenenrechte beabsichtigen. Hiervon umfasst ist vor allem die Information „in präziser, transparenter, verständlicher und leicht zugänglicher Form“ über die Erhebung und Verarbeitung personenbezogener Daten konkret zu informieren und so die Ausübung von Betroffenenrechten zu erleichtern.

Wendet sich der Betroffene mit einem seiner Rechte an Sie, ist dieser unverzüglich, doch spätestens binnen eines Monats nach Antragseingang darüber zu informieren. Diese Frist kann, unter Umständen (hohe Komplexität; hohe Anzahl der Anträge), durch eine unverzügliche begründete Mitteilung um weitere zwei Monate verlängert werden. Wird das angefragte Betroffenenrecht doch nicht ergriffen, müssen Sie den Betroffenen genauso unverzüglich, spätestens binnen eines Monats, über die geeigneten Rechtsbehelfe dagegen informieren (oben aufgeführte Betroffenenrechte, Beschwerderecht bei den Aufsichtsbehörden).

Die Auskünfte sind grundsätzlich unentgeltlich zur Verfügung zu stellen. Sie können dem Kunden dafür auch einen elektronischen Zugang zu einem gesicherten System ermöglichen. Die Auskunft hat in diesem Falle in einem gängigen elektronischen Format zu erfolgen (z.B. PDF-Dokument).

Unser Tipp

Verschaffen Sie sich einen Überblick darüber, welche personenbezogenen Daten sie bei Ihren Kunden erheben und verarbeiten (wollen), und warum. Das macht es schon im Vorfeld für Sie einfacher, wenn sie einen Kunden darüber informieren müssen. Mit dem Trusted Shops Rechtstexter können Sie eine DSGVO-konforme Datenschutzerklärung erstellen und so transparent über die einzelnen Prozesse in Ihrem Shop informieren. Ermöglichen Sie das Auskunftsersuchen eines Kunden so problemlos wie möglich. Ein Verstoß gegen die Auskunftspflicht kann mit empfindlichen Geldbußen der Aufsichtsbehörden geahndet werden (Art. 83 Abs. 5 b DSGVO).

Über die Autorin

autor_anne_hattenauerLegal Consultant bei der Trusted Shops GmbH im Bereich Legal Expert Services. Bachelor an der Hanse Law School in Vergleichendem und Europäischem Recht sowie Master in Unternehmensrecht in Internationalem Kontext an der HWR Berlin. Seit 2013 im Team von Trusted Shops war sie zunächst für die Prüfung von Online-Shops der Märkte D, AT, CH, NL sowie UK zuständig und verantwortete das Operational Management zahlreicher Großkunden. Sie betreut die Trusted Shops Abmahnschutzpakete und beschäftigt sich intensiv mit den für Online-Händler relevanten Rechtsgebieten.

Kommentar schreiben

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.
Kommentare

Wie kann man rechtssicher die Identität des Anfragen feststellen? Die Möglichkeit eines Identitätsdiebstahls ist ja nicht von der Hand zu weisen. Auf die Art und Weise kann sich der Identitätsdieb ja noch weitere Informationen über das Opfer besorgen.
Zudem mag es weitere Intentionen geben, den angeblich Anfragenden oder das Unternehmen in Schwierigkeiten zu bringen oder zu versuchen unberechtigterweise Daten von Anderen abzuzocken.
Mir fallen dazu nur Postidentverfahren und andere aufwendige (und teure) Verfahren ein. Die Kosten dafür dem Unternehmer aufzuerlegen halte ich für unverhältnismäßig.

Von Andreas Kremser | 23.04.2018 12:09

Hallo Herr Kremser, es besteht die Vorgabe, dass der verarbeitende Verantwortliche alle vertretbaren Mittel nutzen soll, um die Identität eines auskunftssuchenden Betroffenen zu überprüfen (Erwägungsgrund 64 DSGVO). Nach Art. 12 Abs. 6 DSGVO dürfen bei begründeten Zweifeln weitere Informationen angefordert werden, um den Betroffenen zu identifizieren. Bei der digitalen Identifizierung sollen dieselben Berechtigungsnachweise (z.B. Benutzername und Passwort; Kundenummer) eingeschlossen werden, wie sie auch der Betroffene verwendet hat, um sich für bereitgestellten Online-Dienst (Kundenkonto, Bestellung, etc.) anzumelden. Hierzu sind auch das Einloggen und Bestätigen der Anfrage in einem Kundenportal (Erwägungsgrund 57 DSGVO) oder die Vereinbarung einer Sicherheitsfrage möglich. Auch die Anfrage einer Ausweiskopie ist denkbar - hier gelten allerdings weitere Voraussetzungen des Bundesministeriums des Innern, für Bau und Heimat. - So darf die Kopie ausschließlich zu Identifizierungszwecken verwendet werden, - die Kopie muss als solche erkennbar sein, - Übermittlung an den Verantwortlichen ist auf die tatsächlich erforderlichen Personendaten zu beschränken (Name und Anschrift) und die übrigen, nicht erforderlichen Daten sind durch den Betroffenen vorab zu schwärzen (hierbei sollten die Betroffenen auf die Möglichkeit und Notwendigkeit der Schwärzung hingewiesen werden), - Kopie ist vom Empfänger unverzüglich zu vernichten, sobald der verfolgte Zweck erreicht ist. Für Scans ist § 20 Abs. 2 Personalausweisgesetz einschlägig. Allerdings empfiehlt beispielsweise das Bayerische Landesamt für Datenschutzaufsicht, auf die Anforderung von Ausweiskopien zu verzichten, wenn ein Auskunftsverlangen in unmittelbarem zeitlichen Zusammenhang (bis zu vier Wochen) mit einer Benachrichtigung steht. Viele Grüße, Anne Lehmann

Von Anne Lehmann | 23.04.2018 16:14

Schön wäre ein Praxisbeispiel.

Kunde fragt bei Unternehmen an.

Wie geht es dann weiter?

Klar wird es beschrieben, aber wie geht das ganze prozedere vonstatten?

Reines Chaos, ein DSGVO Manager kann da ja auch nicht helfen.

Von Marcel | 24.04.2018 07:17

Hallo Marcel, für die Beantwortung Ihrer Frage kommt es auf die konkrete (technische) Ausgestaltung des Shops sowie dessen Abläufe an. Gern möchte ich zu den möglichen Vorgehensweisen auf meine obenstehende Antwort auf den vorherigen Kommentar verweisen. Viele Grüße, Anne Lehmann

Von Anne Lehmann | 24.04.2018 11:19

Wir haben nun die Anfrage, dass ein Kunde all seine Daten löschen lassen möchte.

Es gibt bei Mitbewerbern diverse Muster (Löschung, Teil-Löschung, Löschung nicht möglich)

Wir nutzen euer Datenschutzpaket. Doch diese Vorlagen fehlen noch. Bitte ergänzt diese zeitnah.

Von Kleffmann | 14.06.2018 09:33

Hallo Herr Kleffmann, vielen Dank für Ihr Feedback. Wir werden das Muster für Löschungsanfragen diese Woche im Rahmen des DSGVO-Managers an gewohnter Stelle zur Verfügung stellen. Viele Grüße, Anne Lehmann

Von Anne Lehmann | 18.06.2018 15:44

Beitrag teilen

Abmahncheck DMEXCO

Passende Artikel

  • Abmahnschutz PREMIUM
    Der  Trusted Shops Abmahnschutz PREMIUM bietet Ihnen immer aktuelle und abmahnsichere Rechtstexte für bis zu fünf Internetpräsenzen – egal ob eigener Shop, eBay oder Amazon. Zusätzliche...

    49,90 €

    pro Monat

Passende Artikel

  • DSGVO-Schutz
    Die Datenschutzgrundverordnung bringt jede Menge Veränderungen für Ihr Unternehmen mit sich. Der DSGVO-Schutz bietet bewährte Werkzeuge zur einfachen und schnellen Umsetzung der DSGVO zum...

    958,80 €