Alle Betroffenenrechte der DSGVO in einer Übersicht

Artikel von Madeleine Kümmerle·3. Februar 2022

Egal ob am Arbeitsplatz, Zuhause am Laptop oder bei Vorlegen der Payback-Karte im Supermarkt, überall werden personenbezogene Daten von Betroffenen millionenfach in Umlauf gebracht und verarbeitet. Dennoch sollte und muss man dieses Ausmaß der Datenverarbeitung als Betroffener nicht tatenlos hinnehmen, denn die DSGVO hält eine Reihe effektiver Betroffenenrechte für Sie bereit. Um welche Betroffenenrechte es sich hierbei handelt und wie deren Geltendmachung erfolgen kann, zeigt die folgende Übersicht.

Der Inhalt im Überblick

Was sind Betroffenenrechte?
Welche Betroffenenrechte gibt es nach der DSGVO?
Was ist zu beachten, wenn der Betroffene seine Rechte geltend macht?
- Betroffenenanfragen form- und fristgerecht beantworten
- Identitätsprüfung: Auf Nummer Sicher mit Kopie des Personalausweises?
Wer ist für die Bearbeitung der Betroffenenrechte zuständig?
Ausnahmen und Beschränkungen der Betroffenenrechte
Wer hilft mir dabei, meine Betroffenenrechte durchzusetzen?
Ein Kapitel nur für die Betroffenen

Was sind Betroffenenrechte?

Die Betroffenenrechte sind zentral für das Recht auf den Schutz personenbezogener Daten, bzw. das Recht auf informationelle Selbstbestimmung als besondere Ausprägung des Allgemeinen Persönlichkeitsrechts, Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG. Jede einzelne Person hat grundsätzlich das Recht, selbst darüber zu entscheiden, wem er seine personenbezogenen Daten preisgibt und wie diese Daten verarbeitet werden.

Die in der DSGVO in den Art. 12 ff. DSGVO aufgezählten Betroffenenrechte stellen somit ein Steuerungs- und Kontrollelement hinsichtlich der Verarbeitung personenbezogener Daten dar. Ziel ist es, hierdurch eine Balance zwischen dem Schutz personenbezogener Daten und anderen Rechten wie der unternehmerischen Freiheit (EG 4) zu erreichen. U.a. wird dies dadurch umgesetzt, dass dem Betroffenen ein Recht auf transparente Information und ein Kommunikationsaustausch mit der datenverarbeitenden Stelle durch die DSGVO eingeräumt wird.

Die Betroffenenrechte können kompakt definiert werden als

„Rechte, die dem Betroffenen Mitwirkungsmöglichkeiten und Einwirkungsmöglichkeiten auf die Verarbeitung ihn betreffender personenbezogener Daten gewähren.“

Welche Betroffenenrechte gibt es nach der DSGVO?

Doch welche konkreten Betroffenenrechte normiert die DSGVO in den Art. 12 ff. DSGVO denn tatsächlich und welche Bedeutung haben die einzelnen Rechte? Die folgenden Rechte stehen dem Betroffenen im Rahmen seiner Datenverarbeitung zu:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf Widerspruch (Art. 21 DSGVO)
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Recht keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO)
Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO i.V.m. § 19 BDSG)

Was ist zu beachten, wenn der Betroffene seine Rechte geltend macht?

Macht der Betroffene seine Rechte nach Art. 12 ff. DSGVO geltend, muss der Verantwortliche bestimmte formale Voraussetzungen beim Umgang mit diesen Rechten unbedingt einhalten. Werden diese nicht ernst genommen und wird hier mangelhaft gearbeitet, kann es zu empfindlichen Geldbußen der Aufsichtsbehörde kommen.

Betroffenenanfragen form- und fristgerecht beantworten

Hinsichtlich der Formerfordernisse muss der Verantwortliche Art. 12 Abs. 1 DSGVO beachten. Er hat die vom Betroffenen eingeforderten Informationen und Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu übermitteln. Hierbei kann die Information entweder schriftlich oder bspw. auch elektronisch erfolgen. Des Weiteren sollte der Verantwortliche die Frist bei der Beantwortung von Betroffenenanfragen stets im Auge behalten. Die Informationen müssen dem Betroffenen unverzüglich, aber spätestens innerhalb eines Monats zur Verfügung gestellt werden. Eine Fristverlängerung von zwei Monaten kann unter bestimmten Umständen gerechtfertigt sein. Dieser Verlängerung muss der Betroffene zwar nicht zustimmen, jedoch muss er hierüber rechtzeitig unterrichtet werden. Die genauen Modalitäten beschreibt Art. 12 Abs. 3 DSGVO:

„Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.“

Identitätsprüfung: Auf Nummer Sicher mit Kopie des Personalausweises?

Besonders praxisrelevant ist die Identitätsprüfung bei Betroffenenanfragen zur Ausübung seiner Rechte. Hat der Verantwortliche Zweifel an der Identität des Antragstellers und ist er auf Grundlage der ihm zur Verfügung stehenden Informationen nicht in der Lage, den Betroffenen eindeutig zu identifizieren, kann er einen Identitätsnachweis verlangen. Hier bewegen sich Verantwortliche in einem Spannungsfeld.

Einerseits sollten wegen des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit c DSGVO) dabei nur Daten gefordert werden, die zur Identifizierung auch zwingend erforderlich sind. Zudem ist der Verantwortliche angehalten, dem Betroffenen verschiedene Optionen zur Identifikation anzubieten und anzunehmen, da er dem Betroffenen die Ausübung seiner Rechte erleichtern soll. Anderseits ist der Verantwortliche nach Art. 32 DSGVO verpflichtet, geeignete technische organisatorische Maßnahmen zu treffen, die verhindern, dass Unberechtigte auf die Daten zu greifen oder über sie verfügen können. Nur eins ist dabei klar, legt der Betroffene überhaupt keinen Identitätsnachweis vor, kann der Verantwortlichen sich nach Art. 12 Abs. 2 S. 2 DSGVO weigern, auf die Betroffenenanfrage tätig zu werden.

Aufgrund dieses Spannungsfelds ist auch die Anforderung einer Kopie des Personalausweises nicht immer die sicherste Variante und sollte nicht als erste Wahl zur Identifizierung herangezogen werden. So sieht der BayLfDI die Vorlage eines Personaldokumentes, wie dem Personalausweis nur in bestimmten Einzelfällen als zulässig an. Bspw. um missbräuchliche Auskunftsbegehren zu vermeiden. Wird eine Kopie des Personalausweises an den Verantwortlichen gesendet, ist Vorsicht geboten. Es müssen bis auf Namen, Anschrift, Geburtsdatum und Gültigkeitsdauer alle sonstigen Ausweisdaten geschwärzt werden. Dies gebietet der Grundsatz der Datenminimierung. Der Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs.1 lit. c und e DSGVO verlangt zudem, dass sofern die Ausweiskopie nicht mehr benötigt wird, diese unverzüglich nach Feststellung der erforderlichen Angaben gelöscht oder vernichtet wird. Ausnahmen hiervon können sich allenfalls aus spezialgesetzlichen Aufbewahrungsfristen ergeben. Wird die Ausweiskopie per Mail verschickt, muss der Verantwortliche zusätzlich darauf achten, dass ein sicherer Zugangsweg bereitgestellt wird.

Somit sollten vor Anfrage eines Ausweisdokumentes alternative Identifikationsmöglichkeiten ausgeschöpft werden. Es können bspw. zunächst zusätzliche Informationen erfragt werden, wie das Geburtsdatum und die Anschrift der betroffenen Person. Eine Alternative ist die Identifizierung über ein bereits bestehendes Nutzerkonto des Betroffenen oder die Durchführung einer Post-/Video-Ident-Identifizierung. Des Weiteren gibt es die Identifizierung über einen eIDAS-Dienst. Nähere Informationen hierzu können z.B. dem Bericht zur Identitätsprüfung bei Auskunftsersuchen des LfDI BW entnommen werden.

Wer ist für die Bearbeitung der Betroffenenrechte zuständig?

Art. 12 Abs. 1 DSGVO fordert zwar, dass der Verantwortliche geeignete Maßnahmen trifft, um dem Betroffenen die entsprechenden Informationen zu übermitteln. Die Inanspruchnahme eines Dienstleisters für diese Auskunftserteilung ist hierdurch nicht ausgeschlossen. So kann ein Datenschutzberater bei der Auskunftserteilung dem Verantwortlichen beratend zur Seite stehen den ordnungsgemäßen DSGVO konformen Vorgang bei einem Auskunftsersuchen des Betroffenen begleiten. Der Verantwortliche bleibt jedoch derjenige, der die Informationen zusammenträgt und letztlich dem Betroffenen antwortet. Nähere Informationen zu diesem Thema finden Sie außerdem in unserem Blogartikel zur Zuständigkeit bei der Bearbeitung von Betroffenenanfragen.

Ausnahmen und Beschränkungen der Betroffenenrechte

Betroffenenrechte gelten jedoch nicht uneingeschränkt. Aufgrund unionsrechtlicher Vorschriften und Rechtsvorschriften der Mitgliedsstaaten können Betroffenenrechte eingeschränkt werden. Art. 23 DSGVO nennt zehn Gründe, welche im Rahmen einer Abwägung der gegenseitigen Interessen im Einzelfall eine Beschränkung der Betroffenenrechte rechtfertigen können.

Hierzu zählen z.B.

die nationale oder öffentliche Sicherheit,
Schutz der betroffenen Person oder
Rechte und Freiheiten anderer Personen oder
Ausnahmen zur Durchsetzung zivilrechtlicher Ansprüche

Eine solche Beschränkung darf dem Wesensgehalt der Grundrechte und Grundfreiheiten jedoch nicht entgegenstehen und muss als notwendige und verhältnismäßige Maßnahme innerhalb einer demokratischen Gesellschaft angesehen werden können. Entsprechende Erläuterungen zu Beschränkungen von Rechten und Grundsätzen finden sich außerdem in Erwägungsgrund 73 zur DSGVO.

Wer hilft mir dabei, meine Betroffenenrechte durchzusetzen?

Wenn es um die Durchsetzung der Betroffenenrechte geht, stehen dem Betroffene mehrere Möglichkeiten und Anlaufstellen zur Verfügung, denn auch die schönsten Rechte nutzen wenig, wenn man nicht weiß, was damit anzufangen ist.

Gemeinnützige Vereine und Organisationen

Gemeinnützigen Vereine und das Informationsportal für Verbraucher unterstützen Betroffene mit hilfreichen Mustern ihre Rechte gegenüber Verantwortlichen geltend zu machen.

Auch die Verbraucherzentrale bietet auf ihrer Website direkt eine Maske zur Einreichung einer Beschwerde sowie einen Musterbrief zur Anforderung auf Auskunft und Kopie personenbezogener Daten.

Noch nicht abschließend vom EuGH geklärt ist, ob Verbraucherverbände ebenfalls klagebefugt sind und dementsprechend ohne den Auftrag eines Betroffenen agieren dürfen. Die Chancen dafür stehen jedoch sehr gut. Dies zeichnet sich zumindest anhand der Schlussanträge des Generalanwaltes im entsprechenden Verfahren vor dem EuGH ab. Dieser kam zu dem Ergebnis, dass auch Verbraucherverbände bei DSGVO Verstößen klagebefugt seien.

Das Betroffenenrecht auf Beschwerde bei der Aufsichtsbehörde

Jedem Betroffenen steht es frei, sich kostenlos bei der Aufsichtsbehörde nach Art. 77 Abs. 1 DSGVO zu beschweren, wenn er in der Verarbeitung seiner personenbezogenen Daten eine Verletzung seiner nach der DSGVO garantierten Rechte sieht. Wie und wo eine solche Beschwerde erfolgen kann und welche Aufsichtsbehörde zuständig ist, erfahren Sie in unserem Blogartikel zum Betroffenenrecht auf Beschwerde bei der Aufsichtsbehörde.

Das Betroffenenrecht auf einen wirksamen gerichtlichen Rechtsbehelf

Art. 79 DSGVO regelt, dass jede betroffene Person unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf hat. Das bedeutet, dass man auch mithilfe eines Anwaltes vor Gericht seine Rechte einklagen oder Schadensersatz aufgrund einer Datenschutzverletzung geltend machen kann.

Gerade hinsichtlich der Geltendmachung von Schadensersatzansprüchen haben sich hier mittlerweile neue Geschäftsmodelle entwickelt: Plattformen, die Ansprüche aufnehmen, bündeln und erst bei Erfolg Provision verlangen. Anbieter wie die Europäische Gesellschaft für Datenschutz oder Kleinfee bieten z.B. eine solche kostenlose Prüfung von Ansprüchen bei Datenpannen an.

Ein Kapitel nur für die Betroffenen

Die Übersicht über die Betroffenenrechte zeigt, dass diese ein wertvolles Kontrollinstrument für die Umsetzung einer datenschutzkonformen Verarbeitung personenbezogener Daten sind. Sie stärken die Rechte der Betroffenen und verschärfen gleichzeitig die Vorgaben für die Verantwortlichen und deren datenschutzrechtliche Verpflichtungen im Umgang mit Betroffenenrechten. Nicht ohne Grund füllen sie ein ganzes Kapitel in der Datenschutz-Grundverordnung.

- Auskunft
  Schadensersatz wegen nicht erteilter AuskunftUrteil·16. November 2023
- BGH: Grenzen der DSGVO-AuskunftUrteil·10. Oktober 2023
- DSGVO-Auskunft: Geld her oder Aufsichtsbehörde!Urteil·14. August 2023
Mehr zum Thema
- Beschwerde
  Datenschutzbeschwerde per Deal vermeidenFachbeitrag·6. November 2023
- Best of Datenpannen aus dem Alltag des LfDI Rheinland-PfalzNews·14. September 2023
- NOYB: Beschwerden gegen Fitness-Tracking-Unternehmen FitbitNews·7. September 2023
Mehr zum Thema
- Betroffenenrechte
  EuGH Schufa-Scoring-Urteil & seine Folgen für VerbraucherUrteil·10. Januar 2024
- Schadensersatz wegen „verspäteter“ Auskunft nach 19 TagenUrteil·4. Januar 2024
- Datenschutzbeschwerde per Deal vermeidenFachbeitrag·6. November 2023
Mehr zum Thema
- Datenspeicherung
  Google: Anleitung zum Löschen und Verwalten Ihrer DatenFachbeitrag·16. Januar 2024
- Speicherung von Videoaufzeichnungen und die 72-Stunden-GrenzeUrteil·28. Juni 2023
- DSGVO-Grundsatz der SpeicherbegrenzungFachbeitrag·2. Mai 2023
Mehr zum Thema
- Identität
  Was umfasst ein Identitätsmanagement (IdM)?Fachbeitrag·16. Juni 2023
- IAM: Was bringen die Modelle RBAC und ABAC?Fachbeitrag·21. April 2023
- Identity and Access Management: Definition & VorteileFachbeitrag·13. Januar 2023
Mehr zum Thema
- informationelle Selbstbestimmung
  Google: Anleitung zum Löschen und Verwalten Ihrer DatenFachbeitrag·16. Januar 2024
- IT-Sicherheit: Bedeutung für Unternehmen und den DatenschutzFachbeitrag·18. April 2023
- Asylbehörde BAMF darf Handys nicht einfach durchsuchenUrteil·20. Februar 2023
Mehr zum Thema
- Löschung
  EuGH zu Löschungsanordnungen der DatenschutzaufsichtUrteil·28. März 2024
- Fehlversand: Wie umgehen mit aufgezwungenen Daten?Fachbeitrag·22. Januar 2024
- IT-Forensik und die Identifikation gelöschter DatenFachbeitrag·19. Januar 2024
Mehr zum Thema
- Löschungsanspruch
  Überblick über das Schadensersatzrecht der DSGVOFachbeitrag·2. März 2023
- Schufa & Co. – Längere Speicherung von Daten rechtmäßigUrteil·18. Mai 2022
- Das Recht auf Löschung (Vergessenwerden) einfach erklärtFachbeitrag·5. April 2022
Mehr zum Thema
- Recht auf informationelle Selbstbestimmung
  „Paradigmenwechsel in der Datennutzung“Fachbeitrag·29. März 2023
- VG Neustadt: Datenerhebung beim Zensus 2022 rechtmäßigUrteil·17. November 2022
- „Superschutz für Superdaten“ – das DatentransparenzverfahrenFachbeitrag·26. Oktober 2022
Mehr zum Thema
- Widerspruch
  Google Analytics datenschutzkonform einsetzenFachbeitrag·5. August 2023
- Das Recht auf Einschränkung der VerarbeitungFachbeitrag·12. Juli 2023
- Konflikt im Verein – Datenschutz der MitgliederlistenFachbeitrag·26. Juni 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Sehr guter Beitrag! Vielen Dank.

Manfred Pirner am 3. Februar 2022, 22:18 Uhr

Antworten
Die Post-/Video-Ident-Identifizierung ist m. E. nicht mit dem Gebot der Datenminimierung kompatibel, da zumindest bei PostIdent-Verfahren eine vollständige und ungeschwärzte Kopie erstellt und übermittelt wird.

Michael am 7. Februar 2022, 13:44 Uhr

Antworten
- Es ist richtig, dass bei der sog. Post-Ident-Identifizierung eine Kopie des Ausweise ohne Schwärzung angefertigt wird.
  Um dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit c DSGVO gerecht zu werden, sollten grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die dem Zweck angemessen und erheblich sind und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. D.h. Angaben, die für die Identifizierung nicht notwendig sind, wie bspw. Seriennummer, Größe, Augenfarbe etc. sollten geschwärzt werden.
  
  Allerdings wird das Post-Ident-Identifizierungsverfahren im Bericht des LfDI BaWü als eine der sichersten Identifizierungsmethoden aufgeführt, um Missbrauch zu vermeiden. Hinsichtlich der Datenschutzkonformität schließt diese Methode jedoch auch im Bericht der Aufsichtsbehörde aus genannten Gründen nur mangelhaft ab.
  
  Letztendlich ist das Post-Ident-Identifizierungsverfahren aufgrund seiner Durchführungsweise durchaus sehr effektiv, um „falsche“ Anfragen herauszufiltern. Aus datenschutzrechtlicher Sicht sollte es jedoch erst angewendet werden, wenn die anderen Identifizierungsmethoden die vorliegenden Zweifel an der Identität des Betroffenen nicht ausräumen können.
  
  Dr. Datenschutz am 14. Februar 2022, 11:11 Uhr
  
  Antworten
[Gelöscht. Off-Topic.]

Junior am 8. März 2022, 16:21 Uhr

Antworten