Der Begriff bezeichnet die Rechte des einzelnen - von der Erhebung personenbezogener Daten - Betroffenen. Dieser hat gegenüber dem "Verantwortlichen", also dem Unternehmen, welches ebendiese Daten verarbeitet, umfassende Auskunfts-, Berichtigungs- und Löschungsrechte. Diese Rechte führen naturgemäß zu entsprechenden Verpflichtungen der Verantwortlichen, auf die sie sich angesichts drohender Abmahnwellen und einschneidender Sanktionen rechtzeitig vorbereiten sollten.
Das regeln DSGVO, BDSG-neu & ePrivacy-VO
Die EU-Datenschutzgrundverordnung (DSGVO, GDPR) tritt ab dem 25. Mai 2018 in der gesamten EU in Kraft. Auch das bisherige Bundesdatenschutzgesetz (BDSG-alt) wird ab diesem Zeitpunkt aktualisiert (BDSG-neu). Das BDSG-neu wird die GDPR ergänzen und den von ihr vorgesehenen Gestaltungsspielraum ausschöpfen. Ebenfalls den Datenschutz betrifft die ePrivacy-Verordnung der EU, die sich derzeit noch in Brüssel im Entwurfsstadium befindet, deren Inkrafttreten aber ebenfalls zum 25. Mai 2018 geplant ist.
Die ePrivacy-Verordnung betrifft den Datenschutz im speziellen Bereich der elektronischen Kommunikation. Soweit sich die Regelungsbereiche von ePrivacy-VO und DSGVO überschneiden, genießt erstere als speziellere Regelung Vorrang. Die neue ePrivacy-Verordnung soll zwei ältere EU-Richtlinien ersetzen, nämlich die ePrivacy-Richtlinie sowie die "Cookie"-Richtlinie, deren Regelungen in Deutschland aktuell noch im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) umgesetzt sind.
Betroffenenrechte ab 2018: Das ist neu
Das wichtigste Betroffenenrecht ist das in Artikel 15 DSGVO geregelte Auskunftsrecht, denn die damit eingeholten Informationen schaffen oft erst die Grundlage für die Ausübung weiterer Betroffenenrechte. Das Auskunftsrecht besteht dabei zwar schon nach der jetzigen Rechtslage im BDSG(-alt), wird aber ab nächstem Jahr durch die GDPR weiter gestärkt. Zunächst kann der Betroffene Auskunft darüber verlangen, ob und welche Daten vom Verantwortlichen erhoben wurden. Neben Informationen zu Verarbeitungszweck und Empfänger der Übermittlung hat der Betroffene auch Anspruch auf Auskunft über die geplante Speicherdauer.
Die Auskunft muss spätestens innerhalb eines Monats erfolgen und dem Betroffenen muss auf Verlangen eine Kopie der Daten ausgehändigt werden. Die Auskunft ist zudem - mit Ausnahme missbräuchlicher Auskunftsverlangen oder Verlangen mehrfacher Kopien - kostenlos zu erteilen. Demgegenüber steht das Recht des Verantwortlichen, nähere Informationen über die Identität des Antragsstellers zu verlangen, wenn zweifelhaft ist, ob dieser auch der Betroffene ist.
Wenn Verantwortliche große Mengen an Daten verarbeiten (zum Beispiel bei Banken und Versicherungen), kann der Verantwortliche vom Betroffenen außerdem verlangen, dass er sein Auskunftsverlangen präzisiert. Daneben hat der Betroffene gemäß Art. 16 DSGVO das Recht auf Berichtigung und Vervollständigung der ihn betreffenden Daten.
Das Recht auf Vergessenwerden
Ergibt die eingeholte Auskunft des Betroffenen, dass über ihn Daten erhoben werden, hat er unter bestimmten Umständen das Recht, ihre Löschung zu verlangen (Art. 17 DSGVO: "Recht auf Vergessenwerden"). Die Vorschrift listet zahlreiche Fälle auf, in denen der Betroffene so ein Recht genießt, beispielsweise wenn die weitere Verarbeitung zur Erreichung des ursprünglichen Zwecks der Datenerhebung nicht mehr nötig ist (zum Beispiel weil der Vertrag abschließend abgewickelt wurde).
Da die Unternehmen regelmäßig ein nachvollziehbares Interesse daran haben dürften, die einmal gesammelten Kundendaten so lange wie möglich und rechtlich zulässig zu nutzen, sollte stets geprüft werden, ob nicht einer der zahlreichen gesetzlichen Ausnahmetatbestände greift, der sie im Einzelfall doch von der Löschpflicht entbindet.
Das BDSG-neu enthält mehrere ergänzende Vorschriften zur Löschung der Betroffenendaten. Beachtenswert ist zum Beispiel die Pflicht, durch Videoüberwachung an öffentlichen Plätzen entstandene Daten unverzüglich zu löschen, wenn sie nicht mehr zur Zweckerreichung erforderlich sind oder Interessen des Betroffenen überwiegen (§ 4 Abs. 5 BDSG-neu).
Nach Art. 18 DSGVO hat der Betroffene unter den dort genannten Umständen das Recht, eine Einschränkung der Datenverarbeitung zu verlangen. Beispielsweise, wenn die Datenerhebung unrechtmäßig war, der Betroffene aber zur späteren gerichtlichen Durchsetzung von Schadensersatzansprüchen gegen den Verantwortlichen noch keine Löschung durchsetzen will.
Im Falle einer Verarbeitungseinschränkung dürfen die Daten dann nur noch weiter gespeichert, nicht aber verarbeitet werden. Erfolgt eine Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) von Daten des Betroffenen, hat der Verantwortliche allen Empfängern, denen er die Daten offengelegt hat, die Löschung, beziehungsweise Berichtigung, mitzuteilen, soweit dies möglich und nicht unverhältnismäßig aufwändig ist.
Datenportabilität, Widerspruchsrecht & Informationspflichten
Ein ganz neues Recht stellt das mit der DSGVO einzuführende Recht auf Datenübertragbarkeit (Art. 20 DSGVO) dar. Es soll vor allem den Wettbewerb fördern, indem der Wechsel zwischen verschiedenen Dienstanbietern für den Kunden erleichtert wird. Hiernach hat der Betroffene das Recht, alle von ihm bereitgestellten, personenbezogenen Daten in gebündelter Form und in einem gängigen Format zu erhalten und sie einem anderen Verantwortlichen zu übermitteln oder, soweit dies technisch machbar ist, direkt vom alten Verantwortlichen auf den neuen Verantwortlichen übermitteln zu lassen. Die oben beschriebene Löschung der Daten (und deren Kopien) beim alten Verantwortlichen kann der Betroffene dabei zusätzlich zur Datenmigration verlangen.
Zum Video: Sind Sie fit für das Datenschutzrecht ab 2018?
Ferner enthält Art. 21 DSGVO ein Widerspruchsrecht des Betroffenen gegen Datenverarbeitungen, die auf andere Rechtfertigungen gestützt werden als auf seine Einwilligung. Nämlich die Verarbeitung im öffentlichen Interesse beziehungsweise aufgrund der (behaupteten) überwiegenden Interessen des Verantwortlichen.
Auch ist hier ein ausdrückliches Widerspruchsrecht gegen eine Verarbeitung zum Zweck der Direktwerbung geregelt. Letztlich regelt Art. 22 DSGVO die Betroffenenrechte bei sogenannten "Automatisierten Entscheidungen im Einzelfall", erlaubt diese nur unter engen Voraussetzungen (etwa, wenn dies zur Erfüllung eines Vertrages nötig ist) und sieht ein Mindestmaß an Einwirkungsmöglichkeiten des Betroffenen vor, das die Verarbeiter bei solchen automatischen Entscheidungen anbieten müssen.
Auch die Informationspflichten der Verantwortlichen in den Artikeln 13 und 14 der GDPR werden umfangreicher. Dabei unterscheidet die Datenschutzgrundverordnung zwischen Daten, welche direkt beim Betroffenen erhoben werden, und solchen, die über ihn bei Dritten eingeholt werden. So ist der Betroffene beispielsweise über Name und Kontaktdaten des Verantwortlichen sowie Verarbeitungszweck und Speicherdauer zu informieren.
Werden die über den Betroffenen erhobenen Daten später einem ursprünglich nicht vorgesehenen Empfänger offengelegt, ist auch hierüber zu informieren. Eine Abwehrmöglichkeit der Verantwortlichen stellt hier neben gegebenenfalls einschlägigen Ausnahmetatbeständen auch der Einwand dar, die Information nur unter Inkaufnahme unverhältnismäßigen Aufwands bereitstellen zu können.
Das droht bei Verstößen gegen Betroffenenrechte
Verstößt ein Verantwortlicher gegen seine Informationspflicht oder gegen die Rechte der Betroffenen, drohen Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes, je nachdem was höher ist. Artikel 42 BDSG-neu enthält über die bloße Geldbuße hinaus sogar die Androhung von zwei beziehungsweise drei Jahren Freiheitsstrafe für bestimmte Fälle der unrechtmäßigen, strafbaren Datenverarbeitung.
Ergänzt werden die vorgenannten Sanktionen durch die in Art. 82 DSGVO geregelte Möglichkeit eines Schadens- und gegebenenfalls sogar Schmerzensgeldanspruchs. Nicht ausdrücklich gesetzlich geregelt, aber mindestens genauso abschreckend für Unternehmen dürfte letztlich der Reputationsschaden sein, der bei medienwirksamen Datenschutzverstößen stets droht.
Die ePrivacy-Verordnung
Sollte der Entwurf der ePrivacy-Verordnung, der sich derzeit auf der Stufe der sogenannten Trilog-Verhandlungen befindet, das Erlassverfahren in seiner derzeitigen Gestalt überstehen, so ist ab Inkrafttreten mit einer deutlichen Stärkung der (Datenschutz-)Rechte von Betroffenen zu rechnen, die teils noch über die Regelungen der GDPR hinausgehen. Vorgesehen ist etwa ein Verbot der Verarbeitung von Metadaten beim Gebrauch von Diensten wie Whatsapp, Facebook Messenger etc. - sofern nicht eine ausdrückliche Einwilligung des Nutzers vorliegt.
Auch sollen Anbieter zukünftig verpflichtet werden, eine Art einfachen, globalen "Do-Not-Track"-Button bereitzustellen, mit dem jede Form des datengetriebenen Trackings, unabhängig von der im Einzelfall besuchten Website, verhindert werden soll. Außerdem soll auch die mittlerweile etablierte Praxis des "offline Trackings" eingeschränkt werden - also der Erfassung und Analyse der physischen Bewegungen von Menschen mithilfe von WLAN- oder anderen Signalen in Ballungsräumen wie Flughäfen.
Betroffenenrechte im Arbeitsverhältnis
Unternehmen werden sich aber nicht nur mit den Datenschutzrechten ihrer Kunden intensiver als bisher beschäftigen müssen, sondern im besonderen Maße auch mit jenen ihrer Beschäftigten. Einerseits weil Mitarbeitern jedenfalls grundsätzlich dieselben Betroffenenrechte zustehen wie unternehmensfremden Personen. Andererseits weil dieser Bereich mit der nunmehr gesetzlich explizit genannten Möglichkeit von Kollektivvereinbarungen auch besonderes Gestaltungspotential für den Arbeitgeber birgt.
So müssen Unternehmen zwar besondere Vorsicht bei jeglichen Maßnahmen zur Arbeitnehmerüberwachung und bei der Verarbeitung von Gesundheitsdaten als sogenannte "besondere Kategorien personenbezogener Daten" (Art. 9 DSGVO) walten lassen. Andererseits können die Kollektivvereinbarungen die Grundlage für die notwendigen Datenverarbeitungen und -übermittlungen im Unternehmen und der Unternehmensgruppe schaffen.
Das sollten Unternehmen jetzt tun
Knapp ein halbes Jahr haben Unternehmen noch Zeit (Stand: Dezember 2017), um sich auf die neue Rechtslage im Datenschutz vorzubereiten. Diese Zeit sollten sie angesichts der geschilderten, drohenden Sanktionen sinnvoll nutzen. Denn es ist damit zu rechnen, dass gerade in Bezug auf die Betroffenenrechte neue Player zur Rechtedurchsetzung auf dem Markt auftauchen werden, die zwar den Aufwand für Betroffene auf wenige Klicks reduzieren werden, jedoch dadurch spiegelbildlich für erhebliche Bearbeitungslast bei den Unternehmen sorgen werden.
Das wird die Unternehmen dazu zwingen, bisher womöglich vernachlässigte Maßnahmen zu ergreifen und sich vor allem Rechtsklarheit darüber zu verschaffen, von welchen der oben angesprochenen Ausnahmetatbestände und Abwehrrechte sie gegebenenfalls profitieren könnten, um sich gegen missbräuchliche und unberechtigte Anfragen von Betroffenen sowie Abmahnungen von Wettbewerbern zu wehren.
Die im Unternehmen vorhandenen Datenflüsse und -erhebungen müssen hierzu gesichtet, Mitarbeiter datenschutzrechtlich sensibilisiert und standardisierte Prozesse zur Reaktion auf Betroffenenrechte etabliert werden. Bestenfalls können durch präzise Analysen und die bedarfsgerechte Etablierung standardisierter Prozesse sogar Kosten eingespart und ein Ruf als besonders datenschutzfreundliches Unternehmen erlangt werden.