Die Datenschutzgrundverordnung (DSGVO) gibt Personen, deren personenbezogene Daten verarbeitet werden (Betroffene), einen ganzen Katalog an Rechten, über die im Folgenden ein kurzer Überblick gegeben wird.
1. Informationsrechte
Art. 12 bis 14 DSGVO regeln ausdrücklich die Informationspflichten des Verantwortlichen, also desjenigen, der über die Datenverarbeitung entscheidet. Diesen Informationspflichten stehen Informationsrechte des Betroffenen gegenüber.
Dabei stellt Art. 12 DSGVO sämtlichen Informationspflichten des Verantwortlichen das sog. Transparenzgebot voran. Alle Informationen, wie auch Auskünfte und sonstige Mitteilungen müssen den Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form erteilt werden. Die Sprache muss klar und einfach sein.
Der Betroffene kann sich über einen Verantwortlichen, der das Transparenzgebot missachtet, bei der Aufsichtsbehörde beschweren. Ein Verstoß kann dabei mit einem Bußgeld von bis zu 20 Mio. EUR oder bei einem Unternehmen bis zu 4 % des gesamten Weltumsatzes im Vorjahr geahndet werden.
Diese Vorgaben erschweren die Umsetzung der Informationspflichten, da hohe Anforderungen an den Verantwortlichen gestellt werden, die vom Gesetz aber nur wenig konkret vorgegeben werden. Zudem sind die Anforderungen teilweise nicht widerspruchsfrei, wie z.B. die gleichzeitig präzise, aber auch verständliche Informationserteilung.
Art. 13 DSGVO regelt im Einzelnen, welche Informationen der Verantwortliche dem Betroffenen über die Datenverarbeitung erteilen muss. Der Informationspflicht muss zum Zeitpunkt der Erhebung der Daten nachgekommen werden. Dabei müssen insbesondere die Zwecke und die einzelnen Rechtsgrundlagen für jeden Datenverarbeitungsvorgang benannt werden.
Wurden die personenbezogenen Daten nicht bei der betroffenen Person, sondern aus anderen Quellen erhoben, unterliegt der Verantwortliche denselben Pflichten wie in Art. 13 DSG-VO, muss aber die Quelle zusätzlich angeben (Art. 14 DSGVO).
2. Auskunftsrecht
Art. 15 DSGVO gibt dem Betroffenen das Recht, vom Verantwortlichen die Auskunft zu erhalten, ob er Daten des Betroffenen verarbeitet. Ist dies der Fall, muss der Verantwortliche sodann über diese Daten und deren Verarbeitung weitere Auskunft erteilen.
Der Betroffenen hat dabei ein Recht, binnen eines Monats nach Eingang seines Antrags auf Auskunft beim Verantwortlichen die Auskünfte zu erhalten. Der Verantwortliche kann im Verlauf dieses Monats die Frist um weitere zwei Monate verlängern. Die Auskunft hat grundsätzlich unentgeltlich zu erfolgen. Zur Eindämmung von exzessiven oder missbräuchlichen Auskunftsanfragen kann aber unter bestimmten Voraussetzungen ein Entgelt verlangt oder die Auskunft verweigert werden.
3. Recht auf Berichtigung
Der Betroffene kann vom Verantwortlichen die unverzügliche Berichtigung von unrichtigen personenbezogenen Daten verlangen, Art. 16 DSGVO.
4. Recht auf Löschung
Der Betroffene kann in den in Art. 17 DSGVO aufgeführten Fällen die unverzügliche Löschung seiner personenbezogenen Daten verlangen („Recht auf Vergessenwerden“). Zu diesen Fallkonstellationen gehört z.B. die Löschung nach Widerruf einer Einwilligung gem. Art. 7 DSGVO oder auch die unrechtmäßige Datenverarbeitung etc. Der Verantwortliche hat aber die Möglichkeit, die Löschung unter bestimmten Voraussetzungen zu verweigern, z.B. für den Fall, dass er die Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt.
5. Recht auf Einschränkung
Gem. Art. 18 DSGVO hat der Betroffene außerdem ein Recht auf Einschränkung der Daten-verarbeitung. Dabei regelt Art. 18 Abs. 1 DSGVO die Fälle, in denen dem Betroffenen dieses Recht zusteht. Bei einer nicht rechtmäßigen Datenverarbeitung hat der Betroffene beispielsweise ein Wahlrecht zwischen Löschung und Einschränkung.
Ist die Datenverarbeitung eingeschränkt, dürfen die Daten nur noch zu den in Art. 18 Abs. 2 DSGVO normierten Zwecken verarbeitet werden (Einwilligung des Betroffenen, Geltendmachung oder Verteidigung von Rechtsansprüchen, zum Schutz anderer Personen, aus Gründen eines wichtigen öffentlichen Interesses).
6. Mitteilungspflicht
Hat der Verantwortliche die Daten eines Betroffenen an bestimmte Empfänger offengelegt und folgt hieraus eine Berichtigung, Löschung oder Einschränkung, muss der Verantwortliche den Betroffenen nach Art. 19 DSGVO hierüber informieren.
7. Recht auf Datenübertragbarkeit
Der Betroffene kann von einem Verantwortlichen, dem er Daten zur Verfügung gestellt hat, verlangen, dass ihm seine Daten zur Aushändigung an einen anderen Verantwortlichen übermittelt werden. Sofern technisch umsetzbar, kann er auch die direkte Übermittlung von einem Verantwortlichen zu einem anderen Verantwortlichen verlangen. Dieses Recht gilt aber nur in Fällen, in denen die Datenverarbeitung auf seiner Einwilligung beruht oder der Erfüllung eines Vertrages dient, sofern die Verarbeitung automatisiert erfolgt (Art. 20 DSG-VO).
8. Widerspruchsrecht
Gem. Art. 21 DSGVO steht dem Betroffenen für eine Datenverarbeitung, die der Verantwortliche zur Wahrnehmung einer Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 Satz 1 lit. e DSGVO) oder zur Wahrung seiner berechtigten Interessen (Art. 6 Abs. 1 Satz 1 lit. f DSG-VO) durchführt, ein Widerspruchsrecht zu. Eine Datenverarbeitung darf dann nicht mehr stattfinden, außer wenn der Verantwortliche zwingende schutzwürdige Gründe nachweisen kann.
9. Automatisierte Entscheidungen
Grundsätzlich kann der Betroffene ferner verlangen, dass seine Daten nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen werden. Dieses Recht wird jedoch beschränkt, z.B. bei Einwilligung durch den Betroffenen.
Insgesamt hat der Betroffene also nach der DSGVO einen bunten Strauß an Rechten, die er auch gerichtlich durchsetzen kann. Dem stehen auf Seiten des Verantwortlichen die entsprechenden Verpflichtungen gegenüber. Da das Gesetz nicht immer eindeutig ist, ist eine entsprechende Rechtsberatung im Einzelfall für beide Seiten zielführend.