Perspektiven

Top Ten der DSGVO, #5: Neue Rechte betroffener Personen

Eine neue Sichtweise der Datenschutzrechte, die Auswirkungen auf Ihre Organisation haben können

Die DSGVO erlegt Ihrer Organisation neue Anforderungen bezüglich der Rechte betroffener Personen auf. Worin bestehen diese Anforderungen und wie kann Ihre Organisation reagieren?

Autor: Sebastian le Cat

Neue Sichtweisen auf bestehende Rechte

Die Datenschutz-Grundverordnung (DSGVO) wird die bestehende Datenschutzrichtlinie (95/46/EC) 2018 ersetzen und neue Rechte und Schutzmechanismen für betroffene Personen beinhalten. Rechte wie das Recht auf Vergessenwerden und das Recht auf Datenportabilität bewirken eine neue Sichtweise bestehender Rechte und können neue Pflichten für Ihre Organisation beinhalten. In diesem Blog wird erklärt, wie die neuen Anforderungen Ihre Organisation beeinflussen können.

Auskunftsrecht, Recht auf Berichtigung, Einlegen von Widerspruch, Einschränkung und Information

Bevor Sie mit der Verarbeitung personenbezogener Daten beginnen können, sollten Sie die natürlichen Personen, deren Daten Sie verarbeiten werden, informieren. Gemäss DSGVO haben diese Personen ein Auskunftsrecht bezüglich ihrer personenbezogenen Daten. Ausserdem sollten der Zweck der Auftragsbearbeitung, die Kategorien der personenbezogenen Daten, die Empfänger der Daten sowie eine Kopie der gesammelten personenbezogenen Daten verfügbar sein. Wenn Daten über eine natürliche Person unrichtig oder unvollständig sind, sind die betroffenen Personen berechtigt, eine Berichtigung zu verlangen. Wenn die falschen Daten an Dritte übertragen werden, ist Ihre Organisation auch verpflichtet, diese Parteien über die Unrichtigkeit der Daten zu informieren, sofern dies keine unangemessene Anstrengung erfordert. Ihre Organisation ist verpflichtet, alle Fragen innerhalb eines Monats zu beantworten. Diese Frist kann je nach Komplexität der Anfrage um zwei weitere Monate verlängert werden. Betroffene Personen sind auch berechtigt Widerspruch einzulegen. Wenn eine Person Widerspruch gegen Datenverarbeitungsaktivitäten einlegt, ist Ihre Organisation verpflichtet, solche Aktivitäten zu beenden. Wenn die Auftragsverarbeitung unbedingt fortgesetzt werden muss, so müssen Sie überzeugende legitime Gründe nachweisen können, die Vorrang vor den Interessen, Rechten und Freiheiten der betroffenen Person haben.

Das Recht auf Vergessenwerden

Über das Recht auf Vergessenwerden (in der DSGVO auch als «Recht auf Löschung» bezeichnet) wurde schon viel diskutiert, und seine Anwendung war Gegenstand vieler Missverständnisse. Ihre Organisation ist verpflichtet, die personenbezogenen Daten einer Person innerhalb eines Monats zu löschen, wenn

  • diese Daten nicht länger für den ursprünglichen Zweck benötigt werden
  • die betroffene Person ihre Einwilligung zurückzieht
  • die betroffene Person Widerspruch gegen die Auftragsverarbeitung einlegt 
  • die Daten widerrechtlich verarbeitet werden

Wenn einer oder mehrere dieser Gründe zutreffen, sind Sie verpflichtet, angemessene Schritte zu ergreifen, um die personenbezogenen Daten zu löschen. Dies beinhaltet auch die Aufforderung Dritter, solche Daten zu entfernen. Wenn Ihre Organisation die personenbezogenen Daten veröffentlicht hat, sollten Sie auch Drittparteien, die diese Daten verarbeiten, informieren. Das Recht auf Vergessenwerden ist jedoch nicht absolut. Ein Antrag auf Löschung kann abgelehnt werden, zum Beispiel wenn das Recht auf freie Meinungsäusserung und Information Vorrang hat oder die Auftragsverarbeitung im öffentlichen Interesse liegt.

Das Recht auf Datenportabilität

Neu in der DSGVO ist das Recht auf Datenportabilität. Das Recht auf Datenportabilität verschafft betroffenen Personen die Möglichkeit, ihre personenbezogenen Daten über verschiedene Dienste hinweg zu beschaffen und weiter zu verwenden. Die betroffene Person ist berechtigt, eine Kopie ihrer Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu verlangen. Die betroffene Person kann ihre Daten dann an einen anderen Verantwortlichen ihrer Wahl übertragen.

Die Implementierung der Datenportabilität in Ihrer Organisation kann in verschiedene Stufen eingeteilt werden. Zuallererst müssen Sie Ihre Systeme so anpassen, dass Anträge auf Datenportabilität durchgeführt werden können. Das System muss die Option bieten, auf die Daten zuzugreifen, sie zu löschen, ihre Verarbeitung einzuschränken und sie anzupassen.

Zweitens müssen Sie einen strukturierten Prozess implementieren, um eine reibungslose Abwicklung des Antrags zu gewährleisten. Um innerhalb des vorgegebenen Zeitrahmens reagieren zu können, ist es wichtig, mit verschiedenen Abteilungen wie der Rechts-, IT- und Kommunikationsabteilung zu kommunizieren.

Die Datenportabilität ist kein absolutes Recht. Daher muss über die Legitimität des Antrags entschieden werden, indem er unter anderem gegen die Rechte Dritter abgewogen wird. Die Auftragsverarbeitung setzt auch die Einwilligung des Nutzers oder einen Vertrag voraus. Andernfalls gilt das Recht auf Datenportabilität nicht, und Ihre Organisation ist nicht verpflichtet, dem Antrag nachzukommen.

Das neue Recht auf Datenportabilität bringt relativ weitreichende Verpflichtungen für Ihre Organisation mit sich. Wenn Sie in der Lage sind, das Recht auf Datenportabilität zu implementieren, decken Sie vermutlich generell die Rechte vieler betroffener Personen ab. Das funktioniert auch umgekehrt: Wenn Sie bereits über Prozesse verfügen, um Anträgen auf Löschung, Zugriff und Einschränkung nachzukommen, sind Sie vielleicht nur wenige Schritte von der vollständigen Einhaltung des Rechts auf Datenportabilität entfernt.