Zum Hauptinhalt springen

Meine Daten, meine Betroffenenrechte

Von Helmut Liebel

Recht
Helmut Liebel ist Rechtsanwalt und Partner bei Eisenberger & Herzog in Wien.

Mit der EU-Datenschutz-Grundverordnung werden die Rechte der Betroffenen auf Auskunft, Information, Richtigstellung und Löschung erweitert.

Hinweis: Der Inhalt dieser Seite wurde vor 7 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

Die Datenschutz-Grundverordnung (DSGVO) der EU bringt mit 25. Mai 2018 eine Stärkung der Rechte der Personen, die von einer Datenverarbeitung betroffen sind ("Betroffene") - also etwa Nutzer sozialer Netzwerke, aber auch Kunden einer Bank oder eines Supermarkts. Angesichts der Geldbußen von bis zu 20 Millionen Euro respektive 4 Prozent des weltweiten Vorjahresumsatzes ist es für verantwortliche Datenverarbeiter ("Verantwortliche") essenziell, sich rechtzeitig mit den neuen Verpflichtungen vertraut zu machen.

Die DSGVO führt zu einer bedeutenden Erweiterung der bestehenden Rechte der Betroffenen auf Auskunft, Information, Richtigstellung, Einschränkung, Widerspruch und Löschung (Letzteres nennt man auch "Recht auf Vergessenwerden").

Dabei wird insbesondere das Recht auf Information erheblich ausgedehnt: Künftig muss der Verantwortliche den Betroffenen vor der Datenverarbeitung aktiv über einen ganzen Katalog von Angaben informieren, wie etwa über den Namen und die Kontaktdaten des Verantwortlichen, die Zwecke und die Rechtsgrundlagen der Verarbeitung. Ferner muss der Betroffene über seine umfassenden Rechte belehrt werden, darunter seine Möglichkeit, eine erteilte Einwilligung jederzeit zu widerrufen. Schließlich ist auch noch auf das Beschwerderecht bei der Datenschutzbehörde hinzuweisen.

Völlig Neues bringt die DSGVO mit dem Recht auf Datenübertragbarkeit: Demnach hat jede Person das Recht, ihre bereitgestellten, personenbezogenen Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" zu erhalten. Soweit technisch möglich, müssen diese auf Wunsch des Betroffenen auch einem anderen Verantwortlichen übermittelt werden. Das kann für den Kunden vorteilhaft sein, wenn dieser den Anbieter wechseln und "seine" Daten "mitnehmen" möchte. Neu ist auch, dass Kunden fordern können, durch Verantwortliche keiner rein automatisierten Entscheidung unterworfen zu werden, die rechtliche Wirkungen entfaltet. Demzufolge kann der um einen Online-Kredit Ansuchende fordern, dass die Entscheidung über die Vergabe durch einen Bankmitarbeiter getroffen wird. Damit ist Profiling nur noch unter bestimmten Voraussetzungen zulässig.

Eine weitere Belastungsprobe für Unternehmen stellt die verschärfte Meldepflicht dar. Kommt es zu "Datenpannen" wie durch Hackerangriffe, sind darüber neben der Datenschutzbehörde gegebenenfalls auch die Betroffenen umgehend zu informieren. Allerdings drohen gerade infolge von Hackerangriffen freilich auch Schadenersatzansprüche, die ein beträchtliches Ausmaß annehmen können, weil Betroffene künftig stets auch den Ersatz immaterieller Schäden fordern können.

Die Zeit drängt. Unternehmen sollten daher zeitnah beginnen, interne Zuständigkeiten und standardisierte Abläufe für Vorgänge der Datenverarbeitung vorzusehen und den Umgang mit Anfragen von Betroffenen an die neuen datenschutzrechtlichen Vorgaben anzupassen. Ab dem 25. Mai 2018 können Betroffene ihre erweiterten Rechte mittels Beschwerde an die Datenschutzbehörde beziehungsweise Klage vor den Gerichten durchsetzen. Die nächsten Monate sollten daher unbedingt zur Vorbereitung auf die neue Rechtslage genutzt werden.