DSGVO Teil 4 | Informationspflichten & die Rechte der Betroffenen

Von |05.02.2018|
DSGVO 3 | Neue Pflichten für Unternehmen

Modernisiert und kräftig erweitert werden durch die DSGVO die Informationspflichten der Unternehmen und die individuellen Rechte der Betroffenen. Sprich jener identifizierten oder identifizierbaren natürlichen Person, um deren Daten es sich hierbei handelt. Alles in allem widmet man diesem Thema sogar das ganzes dritte Kapitel der Verordnung.

DSGVO-LEITFADEN
Alle KMU-Essentials im kompakten White Paper zum gratis Download.

Umfangreicher Auskunftskatalog

Konkret zu finden ist der umfangreiche Auskunftskatalog in den Artikeln 13 und 14 der DSGVO, wobei Artikel 13 regelt, welche Informationen Unternehmen liefern müssen, wenn man die Daten direkt von der betroffenen Person erhebt – beispielsweise im Zuge einer Newsletter-Anmeldung oder ähnlichen Vorgängen. In Artikel 14 werden dann jene Informationspflichten erläutert, wenn die Daten nicht bei der betroffenen Person erhoben werden. Eine genaue Übersicht über die zum Zeitpunkt der Datenerhebung zu liefernden Informationen erhalten Sie mit einem Klick auf den entsprechenden Artikel.

Präzise, transparente und leicht verständliche Übermittelung

Sämtliche Informationen sind übrigens in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln – oder mit anderen Wort: „Deppensicher zu gestalten“. Lustigerweise ist – gemäß DSGVO – ausdrücklich auch eine Datenschutzerklärung in Piktogrammen (keine Smileys 😊) denkbar. Man darf allerdings gespannt sein, wie das dann wohl in der Praxis aussieht…

Rechte der Betroffenen

Eine Frage der praktischen Anwendung wird es auch sein, wie mit den Rechten der Betroffenen umgegangen werden wird. Dem Willen des europäischen Gesetzgebers entsprechend, wurden in der DSGVO Modalitäten festgelegt, die einer betroffenen Person die Ausübung der Rechte erheblich erleichtern. Konkret handelt es sich dabei um das Recht auf Auskunft, Berichtigung, Einschränkung und Löschung von Daten – vieles davon ist allerdings auch dem jetzigen Datenschutzgesetz nicht fremd.

Recht auf Auskunft und Wiederspruch

Die betroffene Person hat beispielsweise auch weiterhin das Recht, unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Gleiches gilt für die Vervollständigung unvollständiger personenbezogener Daten. Bereits bekannt müssten auch das Recht auf Auskunft und das Widerspruchsrecht gegen eine an sich rechtmäßige Datenverarbeitung sein.

Recht auf Löschung der Daten

Etwas komplizierter wird es dann schon beim Recht auf Löschung der Daten, wobei diese verlangt werden kann, wenn die Daten zu dem Zweck, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich sind, sie unrechtmäßig verarbeitet wurden oder die Einwilligung in eine weitere Speicherung widerrufen wurde. Das Problem ist jedoch, dass die DSGVO offenlässt, was man unter Löschung versteht: Reicht es, wenn man die Daten unkenntlich macht oder müssen sie vernichtet werden?

Recht auf Vergessenwerden

Noch viel weiter reicht das Recht auf Vergessenwerden, quasi eine exzessive Ausformung des Löschungsanspruches. Dieses Recht greift immer dann, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Verlangt eine betroffene Person die Löschung aller Daten/Kopien und Links zu diesen Daten, dann müssen ab sofort auch Dritte darüber in Kenntnis gesetzt werden. Das betrifft beispielsweise Dienstleister, an die man die Daten weitergeleitet hat, aber auch Suchmaschinen.

Recht auf Datenübertragbarkeit

Ein absolutes Novum der DSGVO ist das Recht auf Datenübertragbarkeit. Dieses Recht gibt betroffenen Personen unter bestimmten Voraussetzungen einen Anspruch, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Der Nutzer hat damit das Recht, Daten von einem Anbieter zu einem anderen „mitzunehmen“. Schlagend wird das vor allem bei Energieversorgern, Banken oder Versicherungen, um den Wechsel zu einem anderen Anbieter zu erleichtern.

Unverzügliche und unentgeltliche Einleitung der Maßnahmen

Sämtliche Maßnahmen und Anfragen müssen unverzüglich, längstens aber innerhalb eines Monats erledigt bzw. beantwortet werden. Unter Berücksichtigung der Komplexität bzw. einer sehr hohen Anzahl von Anfragen, kann diese Frist um weitere zwei Monate verlängert werden – der Antragssteller ist darüber gesondert zu unterrichten. Ebenso, wie er freilich auch über alle durchgeführten Maßnahmen zu informieren ist.

Sämtliche Informationen, Mitteilungen und Maßnahmen sind zudem unentgeltlich zur Verfügung zu stellen. Eine Ausnahme gibt’s nur bei offenkundig unbegründeten oder exzessiven Anträgen (z.B. wenn eine Anfrage häufig wiederholt wird): Dann kann entweder ein angemessenes Entgelt verlangt werden oder das Unternehmen kann sich auch weigern, tätig zu werden. Doch Vorsicht: Ob die Anfrage des Betroffenen tatsächlich offenkundig unbegründet oder exzessiv war, hat der für die Verarbeitung Verantwortliche (also das Unternehmen) zu beweisen.

Falls du mittels IT-Audit prüfen möchtest, wie es um deine Daten- und IT-Sicherheit steht, steht techbold dir und deinem Unternehmen gerne zur Verfügung.


Lesetipps:

  • https://dsgvo-gesetz.de/: Hier finden Sie eine gut strukturierte Darstellung der DSGVO. Kapitel und Artikel sind Beschlagwortet und können direkt aufgerufen werden.
  • http://eur-lex.europa.eu/: Die DSGVO in der hochoffiziellen Reinform. Unübersichtlich, schwer zu lesen aber wenigstens in alle EU-Sprachen übersetzt.

DSGVO 1

Grundlagen


DSGVO 2

Wer ist betroffen?


DSGVO 3

Neue Pflichten


Wir beantworten gerne alle Fragen.

Kontaktiere uns über das untenstehende Formular oder auch unter +43 1 3434333
und office@techbold.at. Unsere vollständigen Adressdaten findest du hier

Wir benötigen deine Zustimmung, um das Formular laden zu können.

Mehr Informationen
Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus dem Team meldet sich umgehend.


Christian Lanner

Ist Fachjournalist mit Schwerpunkten IT, Gebäudeautomation, Consumer Electronic und Home Appliances. Er war unter anderen für die Computerzeitschrift „PC Austria“, die Tageszeitung „Die Presse“ sowie das Nachrichtenmagazin „Format“ tätig und danach langjähriger Chefredakteur des damals führenden Elektro-Branchenmagazins “Elektrojournal”. Nach seiner Tätigkeit als Chefredakteur des IT-Magazins „Monitor“, arbeitet der gebürtige Steirer jetzt als freier Journalist.

Datensicherung