2. Rev.
Stand
3.0
Rechtsanwalt Michael Rohrlich
Dozent
2
zugelassen als
Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
HR Data Protection
Manager (Beck) seit
07/2021
Data Protection Risk
Manager (FOM) seit
10/2021
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat
des Webmasters Europe
e.V. seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
7. Rev.
Stand
3.0
Transparenz / Verständlichkeit / Form
„Der Verantwortliche trifft geeignete Maßnahmen, um der
betroffenen Person alle Informationen gemäß den
Artikeln 13 und 14 und alle Mitteilungen […] in präziser,
transparenter, verständlicher und leicht zugänglicher
Form in einer klaren und einfachen Sprache zu
übermitteln; dies gilt insbesondere für Informationen, die
sich speziell an Kinder richten.
Die Übermittlung der Informationen erfolgt schriftlich
oder in anderer Form, gegebenenfalls auch
elektronisch.
Falls von der betroffenen Person verlangt, kann die
Information mündlich erteilt werden, sofern die Identität
der betroffenen Person in anderer Form nachgewiesen
wurde.“
Einführung
7
§
Art. 12 Abs. 1
8. Rev.
Stand
3.0
Identitätsprüfung
„Der Verantwortliche erleichtert der betroffenen Person
die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22.
In [bestimmten] Fällen darf sich der Verantwortliche nur
dann weigern, aufgrund des Antrags der betroffenen
Person auf Wahrnehmung ihrer Rechte […] tätig zu
werden, wenn er glaubhaft macht, dass er nicht in der
Lage ist, die betroffene Person zu identifizieren.“
„Hat der Verantwortliche begründete Zweifel an der
Identität der natürlichen Person, die den Antrag […] stellt,
so kann er […] zusätzliche Informationen anfordern,
die zur Bestätigung der Identität der betroffenen
Person erforderlich sind.“
Einführung
8
§
Art. 12 Abs. 2, 6
9. Rev.
Stand
3.0
Frist / Form
„Der Verantwortliche stellt der betroffenen Person
Informationen über die auf Antrag […] ergriffenen Maßnahmen
unverzüglich, in jedem Fall aber innerhalb eines Monats
nach Eingang des Antrags zur Verfügung.
Diese Frist kann um weitere zwei Monate verlängert
werden, wenn dies unter Berücksichtigung der Komplexität
und der Anzahl von Anträgen erforderlich ist.
Der Verantwortliche unterrichtet die betroffene Person
innerhalb eines Monats nach Eingang des Antrags über eine
Fristverlängerung, zusammen mit den Gründen für die
Verzögerung.
Stellt die betroffene Person den Antrag elektronisch, so ist
sie nach Möglichkeit auf elektronischem Weg zu
unterrichten, sofern sie nichts anderes angibt.“
Einführung
9
§
Art. 12 Abs. 3
10. Rev.
Stand
3.0
„Untätigkeit“
„Wird der Verantwortliche auf den Antrag der betroffenen
Person hin nicht tätig, so unterrichtet er die betroffene
Person ohne Verzögerung, spätestens aber innerhalb
eines Monats nach Eingang des Antrags über die
Gründe hierfür und über die Möglichkeit, bei einer
Aufsichtsbehörde Beschwerde einzulegen oder einen
gerichtlichen Rechtsbehelf einzulegen.“
Einführung
10
§
Art. 12 Abs. 4
11. Rev.
Stand
3.0
(Un-) Entgeltlichkeit
„Informationen […] und Maßnahmen […] werden unentgeltlich
zur Verfügung gestellt.
Bei offenkundig unbegründeten oder – insbesondere im Fall
von häufiger Wiederholung – exzessiven Anträgen einer
betroffenen Person kann der Verantwortliche entweder…
- ein angemessenes Entgelt verlangen, bei dem
die Verwaltungskosten für die Unterrichtung oder
die Mitteilung oder die Durchführung der
beantragten Maßnahme berücksichtigt werden, oder
- sich weigern, aufgrund des Antrags tätig zu werden.
Der Verantwortliche hat den Nachweis für den offenkundig
unbegründeten oder exzessiven Charakter des Antrags zu
erbringen.“
Einführung
11
§
Art. 12 Abs. 5
15. Rev.
Stand
3.0
Pflichtangaben
Zweck(e) der Verarbeitung
Kategorien pb Daten
Empfänger oder Kategorien von Empfängern, insbesondere
bei Empfängern in Drittländern oder bei intern. Organisationen
geplante Speicherdauer oder, falls dies nicht möglich ist,
Kriterien für die Festlegung dieser Dauer
Hinweis auf andere Betroffenenrechte (Berichtigung,
Löschung, Einschränkung, Widerspruch, Widerruf,
Beschwerde)
ggf. alle verfügbaren Infos über die Herkunft der Daten
(wenn diese nicht beim Betroffenen erhoben wurden)
Info über Bestehen einer autom. Entscheidungsfindung
(einschl. Profiling) + aussagekräftige Infos über involvierte
Logik sowie die Tragweite und die angestrebten Auswirkungen
einer derartigen Verarbeitung für Betroffenen
Auskunft
15
§
Art. 15 Abs. 1 lit. a-h)
16. Rev.
Stand
3.0
Beispiel Negativauskunft
„Sehr geehrte/r…,
vielen Dank für Ihre Anfrage vom … Sie machen darin Ihr
Recht auf Auskunft geltend.
Wir können Ihnen mitteilen, dass wir keine
personenbezogenen Daten von Ihnen verarbeiten, mit
Ausnahme Ihrer v.g. Auskunftsanfrage. Diese und unser
heutiges Antwortschreiben an Sie werden wir 3 Jahre zu
Nachweiszecken aufbewahren und danach löschen,
soweit Sie nicht in die weitergehende Speicherung Ihrer
Daten eingewilligt haben oder wir aus anderen Gründen
zur weiteren Verarbeitung berechtigt sind.
Mit freundlichen Grüßen…“
Auskunft
16
17. Rev.
Stand
3.0
Recht auf Erhalt einer Kopie
„Der Verantwortliche stellt eine Kopie der personenbezogenen
Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.
Für alle weiteren Kopien, die die betroffene Person beantragt,
kann der Verantwortliche ein angemessenes Entgelt auf der
Grundlage der Verwaltungskosten verlangen.
Stellt die betroffene Person den Antrag elektronisch, so sind
die Informationen in einem gängigen elektronischen Format
zur Verfügung zu stellen, sofern sie nichts anderes angibt.“
„Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die
Rechte und Freiheiten anderer Personen nicht
beeinträchtigen.“
Auskunft
17
§
Art. 15 Abs. 3, 4
18. Rev.
Stand
3.0
Ausnahmen [1/2]
Datenverarbeitung zu wissenschaftlichen oder
historischen Forschungszwecken und zu statistischen
Zwecken (§ 27 BDSG)
Datenverarbeitung zu im öffentlichen Interesse liegenden
Archivzwecken (§ 28 BDSG)
Rechte der betroffenen Person und aufsichtsbehördliche
Befugnisse im Fall von Geheimhaltungspflichten (§ 29
BDSG)
Auskunft
18
19. Rev.
Stand
3.0
Ausnahmen [2/2]
gem. § 34 Abs. 1 BDSG keine Auskunft, wenn…
die betroffene Person [ausnahmsweise] nicht zu
informieren ist, oder
die Daten
nur deshalb gespeichert sind, weil sie aufgrund
gesetzlicher oder satzungsmäßiger
Aufbewahrungsvorschriften nicht gelöscht werden
dürfen, oder
ausschließlich Zwecken der Datensicherung oder
der Datenschutzkontrolle dienen
und die Auskunftserteilung einen unverhältnismäßigen
Aufwand erfordern würde sowie eine Verarbeitung zu
anderen Zwecken durch geeignete technische und
organisatorische Maßnahmen ausgeschlossen ist.
Auskunft
19
20. Rev.
Stand
3.0
Beispiele Rechtsprechung [1/5]
LArbG BW, Urt. v. 20.12.2018, Az. 17 Sa 11/18:
„Der Verantwortliche stellt eine Kopie der
personenbezogenen Daten, die Gegenstand der
Verarbeitung sind, zur Verfügung.“ (Art. 15 Abs. 3 S. 1
DSGVO)
Auskunftsanspruch grdsl. sehr weitgehend
im Zweifel ist alles herauszugeben, auch alle nicht in der
Personalakte gespeicherten aller Leistungs- &
Verhaltensdaten etc.
Auskunft
20
21. Rev.
Stand
3.0
Beispiele Rechtsprechung [2/5]
LG Köln, Urt. v. 18.03.2019, Az. 26 O 25/18:
„personenbezogene Daten“ & „verarbeiten“ zwar sehr
weitgehend zu verstehen
aber Anspruch aus Art. 15 „dient nicht der
vereinfachten Buchführung“ des Betroffenen
daher nicht alles herauszugeben, z.B. keine
Korrespondenz mit Betroffenen, keine rechtl. Bewertungen
über ihn o.ä. interne Vorgänge
Auskunft
21
22. Rev.
Stand
3.0
Beispiele Rechtsprechung [3/5]
AG München, Urt. v. 04.09.2019, Az. 155 C 1510/18:
Auskunftsanspruch gem. Art. 15 DSGVO ein umfassendes
Auskunftsrecht
„Von der Auskunftsverpflichtung erfasst sind daher alle
Daten wie Namen oder Geburtsdatum genauso wie jegliche
Merkmale, die eine Identifizierbarkeit eine Person
ermöglichen können, z.B. Gesundheitsdaten, Kontonummer
usw., nicht jedoch interne Vorgänge wie etwa Vermerke,
sämtlicher gewechselter Schriftverkehr, der dem
Betroffenen bereits bekannt ist, rechtliche Bewertungen
oder Analysen.“
Auskunft
22
23. Rev.
Stand
3.0
Beispiele Rechtsprechung [4/5]
OLG Köln, Urt. v. 26.7.2019, Az. 20 U 75/18:
„erfasst [im Verhältnis zwischen Versicherung und
Versicherungsnehmer sind] folglich nicht nur die sog.
Stammdaten, sondern z.B. auch Telefonvermerke und
Gesprächsnotizen […]“
faktisch: „Beweislastumkehr“ oder zumindest
Beweiserleichterung im Zivilprozess
Auskunft
23
24. Rev.
Stand
3.0
Beispiele Rechtsprechung [5/5]
OLG Köln, Beschl. v. 03.09.2019, Az. 20 W 10/18:
„Seiner Natur nach dient der Auskunftsanspruch […] nicht
speziell dazu, als ‚Hauptsache‘ Schadensersatz-
ansprüche ‚durchsetzbar‘ zu machen, die mit dem Recht
auf informationelle Selbstbestimmung unmittelbar nichts zu
tun haben, vielmehr sollen die Auskünfte […] nach Art. 15
DSGVO […] primär dazu dienen, ihr die Wahrnehmung
der weiteren Rechte aus der DSGVO zu ermöglichen
[…]“
Auskunft
24
27. Rev.
Stand
3.0
Löschanspruch
Löschung
27
§
Art. 17 Abs. 1 lit. a-f)
Löschgründe
Verarbeitungszweck
entfällt
Einwilligung wird
widerrufen (und es gibt
keine andere RGL)
Widerspruch wird
eingelegt
pb Daten wurden
unrechtmäßig
verarbeitet
Löschung ist zur
Erfüllung einer rechtl.
Pflicht erforderlich
pb Daten wurden für
Onlinedienste erhoben
(vgl. Art. 8 Abs. 1)
28. Rev.
Stand
3.0
Recht auf Vergessenwerden
„Hat der Verantwortliche die personenbezogenen Daten
öffentlich gemacht und ist er gemäß Absatz 1 zu deren
Löschung verpflichtet, so trifft er unter Berücksichtigung der
verfügbaren Technologie und der Implementierungskosten
angemessene Maßnahmen, auch technischer Art, um für die
Datenverarbeitung Verantwortliche, die die
personenbezogenen Daten verarbeiten, darüber zu
informieren, dass eine betroffene Person von ihnen die
Löschung aller Links zu diesen personenbezogenen Daten
oder von Kopien oder Replikationen dieser
personenbezogenen Daten verlangt hat.“
Löschung
28
§
Art. 17 Abs. 2
30. Rev.
Stand
3.0
Ausnahmen [1/2]
kein Löschanspruch, soweit die Verarbeitung erforderlich
ist…
zur Ausübung des Rechts auf freie Meinungsäußerung
und Information;
zur Erfüllung einer rechtlichen Verpflichtung, […] oder
zur Wahrnehmung einer Aufgabe, die im öffentlichen
Interesse liegt oder in Ausübung öffentlicher Gewalt
erfolgt […];
aus Gründen des öffentlichen Interesses im Bereich der
öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h, i sowie
Art. 9 Abs. 3;
für im öffentlichen Interesse liegende Archivzwecke,
wissenschaftliche oder historische Forschungszwecke
oder für statistische Zwecke gem. Art. 89 Abs. 1 […] oder
zur Geltendmachung, Ausübung oder Verteidigung von
Rechtsansprüchen.
Löschung
30
§
Art. 17 Abs. 3
31. Rev.
Stand
3.0
Ausnahmen [2/2]
Löschung im Falle einer nicht automatisierter
Datenverarbeitung ist nicht oder nur mit
unverhältnismäßig hohem Aufwand möglich und
Lösch-Interesse des Betroffenen ist als gering
anzusehen (dann: Einschränkung der Verarbeitung)
Löschung würde schutzwürdige Interessen des
Betroffenen beinträchtigen
Löschung stehen satzungsgemäße oder vertragliche
Aufbewahrungsfristen entgegen
Löschung
31
§
§ 35
34. Rev.
Stand
3.0
Widerspruchsrecht [1/2]
spezielle Widerspruchsgründe
Datenverarbeitung zu Zwecken der Direktwerbung
Datenverarbeitung zu Zwecken von Profiling (im
Zusammenhang mit Direktwerbung)
Widerspruch
34
§
Art. 21 Abs. 2
35. Rev.
Stand
3.0
Widerspruchsrecht [2/2]
allg. Widerspruchsgründe / Voraussetzungen
Gründe, die sich aus der besonderen Situation des
Betroffenen ergeben, oder im Falle von Profiling
RGL: im öffentl. Interesse liegende Aufgabe /
Ausübung öffentl. Gewalt (Art. 6 Abs. 1 lit. e) oder
berechtigte Interessen (Art. 6 Abs. 1 lit. f)
keine zwingenden schutzwürdigen Gründe des
Verantwortlichen zur Weiterverarbeitung, die die
Interessen des Betroffenen überwiegen
keine Verarbeitung zur Geltendmachung,
Ausübung oder Verteidigung von
Rechtsansprüchen
Widerspruch
35
§
Art. 21 Abs. 1
36. Rev.
Stand
3.0
Pflichthinweis
„Die betroffene Person muss spätestens zum Zeitpunkt
der ersten Kommunikation mit ihr ausdrücklich auf
das [Widerspruchsrecht] hingewiesen werden; dieser
Hinweis hat in einer verständlichen und von anderen
Informationen getrennten Form zu erfolgen.“
Widerspruch
36
§
Art. 21 Abs. 4
37. Rev.
Stand
3.0
Ausnahmen
„Das Recht auf Widerspruch […] gegenüber einer
öffentlichen Stelle besteht nicht, soweit an der
Verarbeitung ein zwingendes öffentliches Interesse
besteht, das die Interessen der betroffenen Person
überwiegt, oder eine Rechtsvorschrift zur
Verarbeitung verpflichtet.“
Widerspruch
37
§
§ 36
41. Rev.
Stand
3.0
Widerrufsrecht
„Die betroffene Person hat das Recht, ihre Einwilligung
jederzeit zu widerrufen.
Durch den Widerruf der Einwilligung wird die
Rechtmäßigkeit der aufgrund der Einwilligung bis zum
Widerruf erfolgten Verarbeitung nicht berührt.
Die betroffene Person wird vor Abgabe der Einwilligung
hiervon in Kenntnis gesetzt.
Der Widerruf der Einwilligung muss so einfach wie die
Erteilung der Einwilligung sein.“
Widerruf
41
§
Art. 7 Abs. 3
44. Rev.
Stand
3.0
Beschwerderecht
„Jede betroffene Person hat […] das Recht auf
Beschwerde bei einer Aufsichtsbehörde,
insbesondere in dem Mitgliedstaat ihres gewöhnlichen
Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des
mutmaßlichen Verstoßes, wenn die betroffene Person
der Ansicht ist, dass die Verarbeitung der sie
betreffenden personenbezogenen Daten gegen [die
DSGVO] verstößt.“
Widerspruch
44
§
Art. 77 Abs. 1
45. Rev.
Stand
3.0
Beispiel Hinweis Beschwerderecht
„Hinsichtlich der Verarbeitung Ihrer personenbezogenen
Daten durch uns haben Sie das Recht, sich bei einer
Datenschutz-Aufsichtsbehörde zu beschweren, z.B. bei
dem für uns zuständigen Landesdatenschutz-
beauftragten: …
Eine Liste mit den Landesdatenschutzaufsichtsbehörden
findet sich z.B. unter folgender Adresse:
www.bfdi.bund.de/DE/Infothek/Anschriften_Links/anschrif
ten_links-node.html“
Widerspruch
45