Betroffenenrechte

Definition

Betroffenenrechte sind die in Kapitel III (Art. 12-23) der Datenschutz-Grundverordnung (DSGVO) verankerten Rechte natürlicher Personen, deren personenbezogene Daten verarbeitet werden. Zu den zentralen Rechten gehören: das Recht auf Auskunft (Art. 15), das Recht auf Berichtigung (Art. 16), das Recht auf Löschung bzw. das Recht auf Vergessenwerden (Art. 17), das Recht auf Einschränkung der Verarbeitung (Art. 18), das Recht auf Datenübertragbarkeit (Art. 20) und das Widerspruchsrecht (Art. 21).

Der Verantwortliche ist verpflichtet, Betroffenenanfragen ohne unangemessene Verzögerung, spätestens jedoch innerhalb eines Monats nach Eingang der Anfrage zu beantworten (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann die Frist um weitere zwei Monate verlängert werden, wobei der Betroffene über die Verlängerung und die Gründe informiert werden muss. Die Bearbeitung muss grundsätzlich unentgeltlich erfolgen.

Einfach erklärt

Stellen Sie sich vor, Sie leihen einem Freund ein Buch. Sie haben das Recht zu erfahren, wo Ihr Buch gerade ist (Auskunftsrecht), es zurückzufordern (Löschung), eine beschädigte Seite reparieren zu lassen (Berichtigung) oder das Buch an einen anderen Freund weiterzugeben (Datenübertragbarkeit). Diese Rechte haben Sie, weil es Ihr Buch ist.

Genauso verhält es sich mit Ihren Daten. Wenn ein Unternehmen Ihre personenbezogenen Daten verarbeitet, haben Sie umfangreiche Rechte: Sie können erfahren, welche Daten gespeichert sind, deren Korrektur verlangen, die Löschung fordern oder die Daten zu einem anderen Anbieter mitnehmen. Diese Rechte sind nicht verhandelbar, sie stehen Ihnen kraft Gesetz zu, und Unternehmen müssen sie innerhalb eines Monats erfüllen.

Warum ist das wichtig?

Die Betroffenenrechte sind das Herzstück der DSGVO und geben Privatpersonen die Kontrolle über ihre Daten zurück:

• Gesetzliche Pflicht: Unternehmen müssen Betroffenenanfragen fristgerecht und vollständig beantworten. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes geahndet werden.
• Zunehmende Anfragen: Die Zahl der Betroffenenanfragen steigt Jahr für Jahr. Unternehmen, die keine effizienten Prozesse implementiert haben, geraten unter Druck, wenn mehrere Anfragen gleichzeitig eingehen.
• Beschwerde bei der Aufsichtsbehörde: Wenn ein Unternehmen eine Betroffenenanfrage ignoriert oder unzureichend beantwortet, kann die betroffene Person sich an die Aufsichtsbehörde wenden. Dies kann Prüfungen und Bußgeldverfahren auslösen.
• Vertrauensgrundlage: Die korrekte Umsetzung der Betroffenenrechte zeigt Kunden und Geschäftspartnern, dass das Unternehmen den Datenschutz ernst nimmt.
• Prozesseffizienz: Unternehmen, die ihre Datenbestände kennen und strukturiert verwalten, können Betroffenenanfragen effizient bearbeiten, anstatt zeit- und kostenintensiv nach Daten suchen zu müssen.

Praxisbeispiel

Eine Immobilienverwaltung hat über die Jahre tausende von Dokumenten von Mietern und Eigentümern gesammelt: Mietverträge, Ausweiskopien, Gehaltsabrechnungen und SCHUFA-Auskünfte. Ein ehemaliger Mieter, dessen Mietvertrag vor zwei Jahren endete, stellt eine Auskunftsanfrage nach Art. 15 DSGVO: Er möchte wissen, welche Daten noch gespeichert sind.

Die Verwaltung steht vor einem Problem: Die Dokumente sind über verschiedene Systeme verteilt, E-Mail-Postfächer, Cloud-Speicher, lokale Festplatten und Papierakten. Es dauert drei Wochen, alle Daten zusammenzutragen. Der Mieter verlangt anschließend die Löschung aller Daten nach Art. 17 DSGVO.

Die Verwaltung muss nun prüfen, welche Daten tatsächlich gelöscht werden können und welche aufgrund gesetzlicher Aufbewahrungsfristen noch aufbewahrt werden müssen. Ohne ein strukturiertes System und ein Löschkonzept wird dieser Prozess zum Alptraum.

Hätte die Verwaltung von Anfang an eine zentrale, strukturierte Plattform für den Dokumentenaustausch genutzt, wäre die Auskunfts- und Löschanfrage in Minuten statt Wochen bearbeitet worden.

So setzt SendMeSafe das um

SendMeSafe unterstützt Unternehmen bei der effizienten Umsetzung der Betroffenenrechte:

• Zentrale Datenhaltung: Alle über Upload-Links empfangenen und über Share-Links geteilten Dateien werden zentral in einer Plattform verwaltet. Das erleichtert die Beantwortung von Auskunftsanfragen erheblich.
• Kunden-Übersicht: Jeder Kunde hat in SendMeSafe ein eigenes Profil mit allen zugehörigen Dateien, Links und Aktivitäten. Bei einer Auskunftsanfrage können alle relevanten Daten auf einen Blick erfasst werden.
• Vollständige Löschung: Unternehmen können alle Daten eines Kunden vollständig löschen, einschließlich aller hochgeladenen Dateien, der zugehörigen Metadaten in der Datenbank und der Dateien im S3-Speicher.
• Audit-Trail: Die lückenlose Protokollierung aller Vorgänge ermöglicht es, bei Auskunftsanfragen genau darzulegen, wer wann auf welche Daten zugegriffen hat.
• Automatische Ablaufdaten: Durch die Möglichkeit, Dateien und Links mit Ablaufdaten zu versehen, wird die Datensparsamkeit gefördert und die Menge der gespeicherten Daten automatisch reduziert.
• Exportmöglichkeiten: Daten können für die Beantwortung von Auskunftsanfragen oder zur Umsetzung der Datenübertragbarkeit exportiert werden.

Häufig gestellte Fragen

Muss ich jede Auskunftsanfrage beantworten?

Ja, grundsätzlich muss jede Auskunftsanfrage innerhalb eines Monats beantwortet werden. Es gibt nur wenige Ausnahmen: Wenn die Anfrage offensichtlich unbegründet oder exzessiv ist (z. B. bei wiederholten, identischen Anfragen innerhalb kurzer Zeit), kann der Verantwortliche ein angemessenes Entgelt verlangen oder die Bearbeitung ablehnen. Die Beweislast für den exzessiven Charakter liegt beim Unternehmen.

Muss ich die Identität des Anfragenden prüfen?

Ja, vor der Beantwortung einer Betroffenenanfrage müssen Sie sicherstellen, dass die anfragende Person tatsächlich die betroffene Person ist. Dies dient dem Schutz vor unbefugter Datenherausgabe. Die Identitätsprüfung sollte verhältnismäßig sein, zum Beispiel durch Abgleich mit bekannten Kontaktdaten oder durch Rückfrage über einen verifizierten Kommunikationskanal.

Kann ich Löschanfragen ablehnen?

In bestimmten Fällen ja. Art. 17 Abs. 3 DSGVO nennt Ausnahmen, darunter gesetzliche Aufbewahrungspflichten (z. B. steuerrechtliche Fristen), die Geltendmachung von Rechtsansprüchen und die Ausübung des Rechts auf freie Meinungsäußerung. Wenn eine Ausnahme greift, müssen Sie die betroffene Person über die Gründe der Ablehnung und deren Recht, Beschwerde bei der Aufsichtsbehörde einzureichen, informieren.

Was ist der Unterschied zwischen Auskunftsrecht und Datenübertragbarkeit?

Das Auskunftsrecht (Art. 15) gibt dem Betroffenen das Recht zu erfahren, welche Daten verarbeitet werden, und eine Kopie zu erhalten. Die Datenübertragbarkeit (Art. 20) geht weiter: Der Betroffene kann verlangen, dass seine Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt oder direkt an einen anderen Verantwortlichen übermittelt werden. Die Datenübertragbarkeit gilt nur für Daten, die auf Einwilligung oder Vertrag basieren und automatisiert verarbeitet werden.