Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

Die Betroffenenrechte im Datenschutz

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 30-tägigen Testversion von Scribd

Alle anzeigen

Die Betroffenenrechte im Datenschutz

  1. 1. Rev. Stand 3.0 10. Februar 2022, 10.00 – 11.30 Uhr Webinar Die Betroffenenrechte im Datenschutz Inhaltlicher Stand: 20.01.2022 © RA Michael Rohrlich
  2. 2. Rev. Stand 3.0 Rechtsanwalt Michael Rohrlich Dozent 2 zugelassen als Rechtsanwalt seit 03/2003 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012
  3. 3. Rev. Stand 3.0 1. Einführung 2. Auskunftsanspruch 3. Löschungsanspruch / Recht auf Vergessenwerden 4. Widerspruchsrecht 5. Widerrufsrecht 6. Beschwerderecht Agenda 3
  4. 4. Rev. Stand 3.0 1. Einführung 2. Auskunftsanspruch 3. Löschungsanspruch / Recht auf Vergessenwerden 4. Widerspruchsrecht 5. Widerrufsrecht 6. Beschwerderecht Agenda 4
  5. 5. Rev. Stand 3.0 Einführung 5 Recht auf Auskunft (Art. 15) Recht auf Berichtigung (Art. 16) Recht auf Löschung (Art. 17) Recht auf Einschränkung der Verarbeitung (Art. 18) Recht auf Datenübertragbarkeit (Art. 20) Widerspruchsrecht (Art. 21) autom. Entscheidung / Profiling (Art. 22) Widerrufsrecht (Art. 7 Abs. 3) Beschwerderecht (Art. 77)
  6. 6. Rev. Stand 3.0 Einführung 6 auch noch zu beachten: Informationspflichten (Art. 13, 14), pro-aktiv formelle Anforderungen (Art. 12), gelten für alle Betroffenenrechte
  7. 7. Rev. Stand 3.0  Transparenz / Verständlichkeit / Form  „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen […] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“ Einführung 7 § Art. 12 Abs. 1
  8. 8. Rev. Stand 3.0  Identitätsprüfung  „Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. In [bestimmten] Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte […] tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.“  „Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag […] stellt, so kann er […] zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.“ Einführung 8 § Art. 12 Abs. 2, 6
  9. 9. Rev. Stand 3.0  Frist / Form  „Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag […] ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.“ Einführung 9 § Art. 12 Abs. 3
  10. 10. Rev. Stand 3.0  „Untätigkeit“  „Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, so unterrichtet er die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.“ Einführung 10 § Art. 12 Abs. 4
  11. 11. Rev. Stand 3.0  (Un-) Entgeltlichkeit  „Informationen […] und Maßnahmen […] werden unentgeltlich zur Verfügung gestellt. Bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder… - ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder - sich weigern, aufgrund des Antrags tätig zu werden. Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.“ Einführung 11 § Art. 12 Abs. 5
  12. 12. Rev. Stand 3.0 1. Einführung 2. Auskunftsanspruch 3. Löschungsanspruch / Recht auf Vergessenwerden 4. Widerspruchsrecht 5. Widerrufsrecht 6. Beschwerderecht Agenda 12
  13. 13. Rev. Stand 3.0 Auskunftsanspruch Art. 15 DSGVO das in der Praxis wohl am häufigsten ausgeübte Betroffenenrecht Reichweite umstritten, noch keine einheitliche Rechtsprechung Auskunft 13
  14. 14. Rev. Stand 3.0  Auskunftsanspruch Auskunft 14 § Art. 15 Auskunftsanfrage Betroffener bekannt Antwortschreiben (Art. 12, 15) Betroffener nicht bekannt Negativauskunft Identitätsfeststellung
  15. 15. Rev. Stand 3.0  Pflichtangaben  Zweck(e) der Verarbeitung  Kategorien pb Daten  Empfänger oder Kategorien von Empfängern, insbesondere bei Empfängern in Drittländern oder bei intern. Organisationen  geplante Speicherdauer oder, falls dies nicht möglich ist, Kriterien für die Festlegung dieser Dauer  Hinweis auf andere Betroffenenrechte (Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf, Beschwerde)  ggf. alle verfügbaren Infos über die Herkunft der Daten (wenn diese nicht beim Betroffenen erhoben wurden)  Info über Bestehen einer autom. Entscheidungsfindung (einschl. Profiling) + aussagekräftige Infos über involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Betroffenen Auskunft 15 § Art. 15 Abs. 1 lit. a-h)
  16. 16. Rev. Stand 3.0  Beispiel Negativauskunft  „Sehr geehrte/r…, vielen Dank für Ihre Anfrage vom … Sie machen darin Ihr Recht auf Auskunft geltend. Wir können Ihnen mitteilen, dass wir keine personenbezogenen Daten von Ihnen verarbeiten, mit Ausnahme Ihrer v.g. Auskunftsanfrage. Diese und unser heutiges Antwortschreiben an Sie werden wir 3 Jahre zu Nachweiszecken aufbewahren und danach löschen, soweit Sie nicht in die weitergehende Speicherung Ihrer Daten eingewilligt haben oder wir aus anderen Gründen zur weiteren Verarbeitung berechtigt sind. Mit freundlichen Grüßen…“ Auskunft 16
  17. 17. Rev. Stand 3.0  Recht auf Erhalt einer Kopie  „Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.“  „Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“ Auskunft 17 § Art. 15 Abs. 3, 4
  18. 18. Rev. Stand 3.0  Ausnahmen [1/2]  Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (§ 27 BDSG)  Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken (§ 28 BDSG)  Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten (§ 29 BDSG) Auskunft 18
  19. 19. Rev. Stand 3.0  Ausnahmen [2/2]  gem. § 34 Abs. 1 BDSG keine Auskunft, wenn…  die betroffene Person [ausnahmsweise] nicht zu informieren ist, oder  die Daten  nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder  ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen  und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Auskunft 19
  20. 20. Rev. Stand 3.0  Beispiele Rechtsprechung [1/5]  LArbG BW, Urt. v. 20.12.2018, Az. 17 Sa 11/18:  „Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.“ (Art. 15 Abs. 3 S. 1 DSGVO)  Auskunftsanspruch grdsl. sehr weitgehend  im Zweifel ist alles herauszugeben, auch alle nicht in der Personalakte gespeicherten aller Leistungs- & Verhaltensdaten etc. Auskunft 20
  21. 21. Rev. Stand 3.0  Beispiele Rechtsprechung [2/5]  LG Köln, Urt. v. 18.03.2019, Az. 26 O 25/18:  „personenbezogene Daten“ & „verarbeiten“ zwar sehr weitgehend zu verstehen  aber Anspruch aus Art. 15 „dient nicht der vereinfachten Buchführung“ des Betroffenen  daher nicht alles herauszugeben, z.B. keine Korrespondenz mit Betroffenen, keine rechtl. Bewertungen über ihn o.ä. interne Vorgänge Auskunft 21
  22. 22. Rev. Stand 3.0  Beispiele Rechtsprechung [3/5]  AG München, Urt. v. 04.09.2019, Az. 155 C 1510/18:  Auskunftsanspruch gem. Art. 15 DSGVO ein umfassendes Auskunftsrecht  „Von der Auskunftsverpflichtung erfasst sind daher alle Daten wie Namen oder Geburtsdatum genauso wie jegliche Merkmale, die eine Identifizierbarkeit eine Person ermöglichen können, z.B. Gesundheitsdaten, Kontonummer usw., nicht jedoch interne Vorgänge wie etwa Vermerke, sämtlicher gewechselter Schriftverkehr, der dem Betroffenen bereits bekannt ist, rechtliche Bewertungen oder Analysen.“ Auskunft 22
  23. 23. Rev. Stand 3.0  Beispiele Rechtsprechung [4/5]  OLG Köln, Urt. v. 26.7.2019, Az. 20 U 75/18:  „erfasst [im Verhältnis zwischen Versicherung und Versicherungsnehmer sind] folglich nicht nur die sog. Stammdaten, sondern z.B. auch Telefonvermerke und Gesprächsnotizen […]“  faktisch: „Beweislastumkehr“ oder zumindest Beweiserleichterung im Zivilprozess Auskunft 23
  24. 24. Rev. Stand 3.0  Beispiele Rechtsprechung [5/5]  OLG Köln, Beschl. v. 03.09.2019, Az. 20 W 10/18:  „Seiner Natur nach dient der Auskunftsanspruch […] nicht speziell dazu, als ‚Hauptsache‘ Schadensersatz- ansprüche ‚durchsetzbar‘ zu machen, die mit dem Recht auf informationelle Selbstbestimmung unmittelbar nichts zu tun haben, vielmehr sollen die Auskünfte […] nach Art. 15 DSGVO […] primär dazu dienen, ihr die Wahrnehmung der weiteren Rechte aus der DSGVO zu ermöglichen […]“ Auskunft 24
  25. 25. Rev. Stand 3.0 1. Einführung 2. Auskunftsanspruch 3. Löschungsanspruch / Recht auf Vergessenwerden 4. Widerspruchsrecht 5. Widerrufsrecht 6. Beschwerderecht Agenda 25
  26. 26. Rev. Stand 3.0 Löschanspruch Art. 17 DSGVO Recht auf Löschung der eigenen pb Daten beim Verantwortlichen Recht auf Vergessenwerden, wenn pb Daten öffentlich gemacht wurden Löschung 26
  27. 27. Rev. Stand 3.0  Löschanspruch Löschung 27 § Art. 17 Abs. 1 lit. a-f) Löschgründe Verarbeitungszweck entfällt Einwilligung wird widerrufen (und es gibt keine andere RGL) Widerspruch wird eingelegt pb Daten wurden unrechtmäßig verarbeitet Löschung ist zur Erfüllung einer rechtl. Pflicht erforderlich pb Daten wurden für Onlinedienste erhoben (vgl. Art. 8 Abs. 1)
  28. 28. Rev. Stand 3.0  Recht auf Vergessenwerden  „Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.“ Löschung 28 § Art. 17 Abs. 2
  29. 29. Rev. Stand 3.0 Löschung 29 Verantwortlicher Steuerberater Finanzamt Versicherung Wirtschaftsprüfer IT-Dienstleister …
  30. 30. Rev. Stand 3.0  Ausnahmen [1/2]  kein Löschanspruch, soweit die Verarbeitung erforderlich ist…  zur Ausübung des Rechts auf freie Meinungsäußerung und Information;  zur Erfüllung einer rechtlichen Verpflichtung, […] oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt […];  aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h, i sowie Art. 9 Abs. 3;  für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 […] oder  zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Löschung 30 § Art. 17 Abs. 3
  31. 31. Rev. Stand 3.0  Ausnahmen [2/2]  Löschung im Falle einer nicht automatisierter Datenverarbeitung ist nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und Lösch-Interesse des Betroffenen ist als gering anzusehen (dann: Einschränkung der Verarbeitung)  Löschung würde schutzwürdige Interessen des Betroffenen beinträchtigen  Löschung stehen satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegen Löschung 31 § § 35
  32. 32. Rev. Stand 3.0 1. Einführung 2. Auskunftsanspruch 3. Löschungsanspruch / Recht auf Vergessenwerden 4. Widerspruchsrecht 5. Widerrufsrecht 6. Beschwerderecht Agenda 32
  33. 33. Rev. Stand 3.0 Widerspruchsrecht Art. 21 DSGVO Recht auf Widerspruch gegen bestimmte Datenverarbeitungen Betroffener muss frühzeitig auf Widerspruchsrecht hingewiesen werden Widerspruch 33
  34. 34. Rev. Stand 3.0  Widerspruchsrecht [1/2]  spezielle Widerspruchsgründe  Datenverarbeitung zu Zwecken der Direktwerbung  Datenverarbeitung zu Zwecken von Profiling (im Zusammenhang mit Direktwerbung) Widerspruch 34 § Art. 21 Abs. 2
  35. 35. Rev. Stand 3.0  Widerspruchsrecht [2/2]  allg. Widerspruchsgründe / Voraussetzungen  Gründe, die sich aus der besonderen Situation des Betroffenen ergeben, oder im Falle von Profiling  RGL: im öffentl. Interesse liegende Aufgabe / Ausübung öffentl. Gewalt (Art. 6 Abs. 1 lit. e) oder berechtigte Interessen (Art. 6 Abs. 1 lit. f)  keine zwingenden schutzwürdigen Gründe des Verantwortlichen zur Weiterverarbeitung, die die Interessen des Betroffenen überwiegen  keine Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen Widerspruch 35 § Art. 21 Abs. 1
  36. 36. Rev. Stand 3.0  Pflichthinweis  „Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das [Widerspruchsrecht] hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.“ Widerspruch 36 § Art. 21 Abs. 4
  37. 37. Rev. Stand 3.0  Ausnahmen  „Das Recht auf Widerspruch […] gegenüber einer öffentlichen Stelle besteht nicht, soweit an der Verarbeitung ein zwingendes öffentliches Interesse besteht, das die Interessen der betroffenen Person überwiegt, oder eine Rechtsvorschrift zur Verarbeitung verpflichtet.“ Widerspruch 37 § § 36
  38. 38. Rev. Stand 3.0 1. Einführung 2. Auskunftsanspruch 3. Löschungsanspruch / Recht auf Vergessenwerden 4. Widerspruchsrecht 5. Widerrufsrecht 6. Beschwerderecht Agenda 38
  39. 39. Rev. Stand 3.0 Widerrufsrecht Art. 7 Abs. 3 DSGVO Recht auf Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft Widerruf 39
  40. 40. Rev. Stand 3.0 Widerruf 40 vorab freiwillig zweckgebunden informiert unmissverständlich aktive Handlung = EINWILLIGUNG
  41. 41. Rev. Stand 3.0  Widerrufsrecht  „Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.“ Widerruf 41 § Art. 7 Abs. 3
  42. 42. Rev. Stand 3.0 1. Einführung 2. Auskunftsanspruch 3. Löschungsanspruch / Recht auf Vergessenwerden 4. Widerspruchsrecht 5. Widerrufsrecht 6. Beschwerderecht Agenda 42
  43. 43. Rev. Stand 3.0 Beschwerderecht Art. 77 DSGVO Recht zur Beschwerde über bestimmten Datenverarbeitungen möglich bei jeder Aufsichtsbehörde Beschwerde 43
  44. 44. Rev. Stand 3.0  Beschwerderecht  „Jede betroffene Person hat […] das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen [die DSGVO] verstößt.“ Widerspruch 44 § Art. 77 Abs. 1
  45. 45. Rev. Stand 3.0  Beispiel Hinweis Beschwerderecht  „Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten durch uns haben Sie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, z.B. bei dem für uns zuständigen Landesdatenschutz- beauftragten: … Eine Liste mit den Landesdatenschutzaufsichtsbehörden findet sich z.B. unter folgender Adresse: www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschrif ten_links-node.html“ Widerspruch 45

Hinweis der Redaktion

  • Die Informationen auf diesen Sprechernotizen werden eingegeben über

    [Einfügen] [Kopf- und Fußzeilen]

    Die Formatierung z. B. kursiv bei © dbb akademie wird im Notizenmaster durch Formatierung des Fußzeilen-Platzhalters erreicht

×