Die EU-Datenschutz-Grundverordnung (DS-GVO) will vor allem Eines: Den Menschen in Europa hinsichtlich ihrer Daten zu Transparenz, Fairness und Selbstbestimmung zu verhelfen. Der Artikel 1 schützt die Grundrechte und Grundfreiheiten. Der Artikel 5 fordert, dass Datenverarbeitung auf rechtmäßige Weise, fair und transparent erfolgt. Die Artikel 12 bis 18 verschaffen den Menschen Transparenz und sorgen dafür, dass sie ihre Rechte ausüben können.
Im Folgenden stellen wir Ihnen die wichtigsten (Persönlichkeits-) Rechte vor:
- Auskunft zum Zeitpunkt der Daten-Erhebung
Frühestmöglich, also zum Zeitpunkt der Daten-Erhebung, muss über ca. 20 verschiedene Aspekte informiert werden. Somit wissen die Menschen, worum es konkret geht. Dies geschieht oftmals über die sogenannten „Transparenztexte“.
è Siehe Artikel 13
- Löschung / Berichtigung / Sperrung / Korrektur bei Dritten
Eine sofortige Löschung kann verlangt werden (sofern nicht z.B. gesetzliche Aufbewahrungsfristen dem Entgegenstehen). Falsche Daten müssen korrigiert werden. Zweifelhafte Daten müssen gesperrt werden. Änderungen an den Daten müssen ggf. auch an Dritte weitergegeben werden.
è Siehe Artikel 16, Artikel 17, Artikel 18, Artikel 19 - Datenkopie / Datenübertragbarkeit
Zur Überprüfung der Rechtmäßigkeit einer Datenverarbeitung kann ein Auszug aus den Daten angefordert werden. Für einen Wechsel zu einem anderen Anbieter werden die zur Verfügung gestellten Daten in elektronischer Form ausgehändigt.
è Siehe Artikel 20 - Verhindern von Zweckänderung (ggf. Mitteilung)
Eine Zweckbindung von Datenverarbeitungen sorgt für Rechtssicherheit; nur in Ausnahmefällen darf man den Zweck erweitern. Besonders schwierig bei Einwilligungen.
è Siehe Artikel 6 (4), Artikel 13 (3) - Widerruf von Einwilligungen / Widerspruch gegen „berechtigte Interessen“
Einwilligungen müssen immer freiwillig (und präzise formuliert sein) und dürfen jederzeit ohne Angabe von Gründen widerrufen werden. Falls eine Datenverarbeitung auf „berechtigten Interessen“ des Unternehmens beruht, so können die Menschen dem widersprechen; dann ist zu prüfen, ob deren Gegen-Interessen möglicherweise überwiegen.
è Siehe Artikel 7, Artikel 21
- Kontaktaufnahme mit dem Datenschutzbeauftragten / Beschwerde bei Aufsichtsbehörde
Sofern ein Datenschutzbeauftragter benannt ist, so muss er als Anlaufstelle der Menschen dienen; daher sind seine Kontaktdaten im Internet zu nennen. Außerdem kann jederzeit die Aufsichtsbehörde kontaktiert werden (was oft in viel Bürokratie endet).
è Siehe Artikel 38, Artikel 57
- Schadensersatz fordern (auch bei immateriellen Schäden)
Wenn eine betroffene Person meint, dass ihr ein Schaden zugefügt wurde, so kann sie einen Schadenersatz fordern. Dies gilt sowohl bei materiellen Schäden (z.B. finanzielle Probleme wegen unberechtigter Datenweitergabe an einen Dritten), als auch für immaterielle Schäden (z.B. unnötig intensive Videoüberwachung am Arbeitsplatz). Die Beweislast liegt übrigens beim Unternehmen und nicht bei der betroffenen Person.
è Siehe Artikel 82
- Über Datenschutzverletzungen mit sehr hohem Risiko informiert werden
Bei Verletzungen der IT-Sicherheit (hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit etc.) kann den Menschen ein Nachteil entstehen. Bei einem hohen Risiko hinsichtlich der Rechte und Freiheiten muss nicht nur die Aufsichtsbehörde informiert werden, sondern auch jede betroffene Person. (Deshalb ist die Verschlüsselung von Daten so wichtig, weil deren Verlust KEINE Datenschutzverletzung darstellt.)
è Siehe Artikel 34
- Unternehmen muss ggf. im Einzelfall eine Datenschutz-Folgenabschätzung durchführen
Ein schwieriges Thema…, wenn eine geplante Datenverarbeitung kaum absehbare Risiken in sich birgt, dann muss das Unternehmen erst einmal das Risiko systematisch einschätzen. Hierbei sind auch die Standpunkte der betroffenen Personen zu berücksichtigen. Artikel 35
Spätestens jetzt, wo Sie die Persönlichkeitsrechte kennen gelernt haben, sollte klar geworden sein: Datenschutz ist sehr viel mehr als einfach nur „Computer-Sicherheit“.
Bei allen oben genannten Persönlichkeitsrechten Ihrer Kunden, Lieferanten und KollegInnen müssen Sie angemessen reagieren. Keinesfalls dürfen Sie dort abwiegeln und vertrösten, denn viele Persönlichkeitsrechte müssen gemäß Artikel 12 (3) innerhalb eines Monats gewährleistet sein. Andernfalls kann ganz schnell eine Beschwerde bei der Aufsichtsbehörde folgen.
Außerdem gilt zu beachten: Nicht selten ist die Wahrnehmung mancher Persönlichkeitsrechte auch die Vorstufe für einen späteren (Rechts-) Streit. Handeln Sie daher stets besonnen und in Kooperation mit dem Datenschutz-Koordinator und ggf. dem Datenschutzbeauftragten.
Wir wünschen gutes Gelingen!
