Unsere Leistungen & Services
Externer Datenschutzbeauftragter
Die Bestellung eines Datenschutzbeauftragten ist für Unternehmen detailliert vorgeschrieben. Auf europäischer Ebene greift die EU-DSGVO, national gilt in Deutschland darüber hinzus das novellierte BDSG.
Vieles spricht dafür, diese wichtige Position mit einem externen Datenschutzbeauftragten zu besetzen. pDatix bietet Ihnen diese Dienstleistung auf ganz flexible Art an – passend zu Ihnen, Ihrem Unternehmen, Ihrem Bedarf und Ihrer Branche.
Sichern Sie sich bei pDatix einen externen Datenschutzbeauftragten im Komplettpaket.
ab 190.- € pro Monat /Festpreis
Stellung Externer
Datenschutzbeauftragter
Rabattierte
Stundensätze
Basis Datenschutz
Einrichtung
Was macht ein externer Datenschutzbeauftragter?
Das Thema Datenschutz ist mit zahlreichen Aufgaben und Pflichten verbunden. So gesehen kann der externer Datenschutzbeauftragte heute Kontrolleur, Berater und Umsetzer in einer Person sein. Vor allem aber ist und bleibt er eins – ein kompetenter Ansprechpartner rund um den Datenschutz, an den sich jederzeit vertrauensvoll wenden können.
Was ist ein externer Datenschutzbeauftragter (DSB) ?
Als externer Dienstleister zeichnete der externe Datenschutzbeauftragte für die Einhaltung aller geltenden Richtlinien für den betrieblichen Datenschutz verantwortlich. Wertvolle Hilfe, die Ihnen die eigene Personalkapazitäten für dieses umfassende Themengebiet ersparen.
- Kostenkontrolle: so geht Datenschutz nicht über Gebühr ins Geld. Ja, Datenschutz kostet Geld. Nur kosten es weit mehr, wenn er nicht beachtet wird. Der externer Datenschutzbeauftragte sorgt dafür, dass Sie mit angemessenen Ausgaben kalkulieren können.
- Beratung: zählen Sie jederzeit auf die kompetente Unterstützung.Das weite Feld des Datenschutzes im Unternehmen wirft einige Fragen auf. Lassen Sie sich vom unserem externen Datenschutzbeauftragter hieb- und stichfest, vor allem aber auch verständlich beantworten
- Verträge & Formulare: damit auch hier alle Anforderungen erfüllt sind. Der externe Datenschutzbeauftragte nimmt Verträge und Formulare genau unter die Lupe. Er gibt erst grünes Licht, wenn bis hin zum Kleingedruckten alle Anforderungen an den Datenschutz erfüllt sind.
- Auskunft für Behörden: übersetzt Unternehmersprache in Amtsdeutsch. Der Wissensdurst von staatlichen Behörden ist mitunter unermesslich. Umso schwieriger, wenn man es dann noch verklausuliert formuliert ist. Einmal mehr erweist sich der externe Datenschutzbeauftragte als segensreich.
- Datenschutzaudit: dokumentierte Rechtssicherheit für Ihr Unternehmen. Sie werden den externen Datenschutzbeauftragten auch als Garant für die Einhaltung EU-DSGVO-Vorgaben zu schätzen wissen. Zählen Sie auf seine Dokumentation der einzelnen Maßnahmen mit einem Datenschutzaudit.
- Tätigkeitsbericht: lückenloser Nachweis der Aktivitäten im Datenschutz. Der externe Datenschutzbeauftragte dokumentiert nicht nur die Maßnahmen zum Datenschutz im Unternehmen, sondern auch seine eigenen. Mit dem Belangen rund um den Datenschutz nimmt er es eben ganz genau.
- Verarbeitung: alles entsprechend der geltenden Datenschutzrichtlinien. Wo, wann und welche Daten verarbeitet werden, ist allein viel Information. Umso anspruchsvoller die Aufgabe des externen Datenschutzbeauftragten, an jeder einzelnen Stelle darauf zu achten, dass alles rechtskonform geschieht.
- Organisation & Maßnahmen: mit Blick darauf, wo Handlungsbedarf besteht. So wie sich Organisationen ändern, ändern sich dabei auch die Anforderungen zum Datenschutz. Der externen Datenschutzbeauftragten behält stets ein Auge darauf, wo aktueller Handlungsbedarf beim Thema Datenschutz besteht.
- Datenschutzerklärung: jetzt werden Ihre Formulierungen wasserdicht. Eine schriftliche Erklärung zum Datenschutz muss absolut wasserdicht sein. Der externe Datenschutzbeauftragte hilft Ihnen mit seiner Expertise, hier für Laien verständlich und zugleich rechtlich unangreifbar zu formulieren.
- Dokumentation: damit allen Dokumentationspflichten nachgekommen wird. Der externe Datenschutzbeauftragte achtet penibel darauf, dass den Dokumentationspflichten nachgekommen kommen. Denn dies wird im hektischen Geschäftsalltag nicht immer die erforderliche Beachtung geschenkt
- EU-DSGVO konform: auf alle rechtlichen Anforderungen eingestellt. Die strenge EU-Datenschutzgrundverordnung (EU-DSGVO) definiert seit 2018 die Regeln neu. Auch Ihr Unternehmen ist gefordert, die ergriffenen Maßnahmen und praktizierten Methoden zur Datensicherung jederzeit belegen zu können. Diesen Part übernimmt pDatix gern für Sie.
- Haftung: ein nicht unerhebliches Risiko einfach ausschließen. Fragen des Datenschutzes sind auch eine Frage der Haftung. Der externe Datenschutzbeauftragte bringt dieses Bewusstsein mit – und ins Unternehmen. Ein nicht unerhebliches Haftungsrisiko weniger im Geschäftsalltag.
Noch Fragen?
Unsere FAQs zum externen Datenschutzbeauftragten helfen Ihnen weiter
Auf europäischer Ebene hat die Artikel 29-Gruppe, der Zusammenschluss der Aufsichtsbehörden aller Mitgliedstaaten in der Europäischen Union, zu zentralen Fragen der Datenschutz-Grundverordnung gemeinsame Leitlinien veröffentlicht. Die Artikel 29-Gruppe wird unter Geltung der Datenschutz-Grundverordnung durch den Europäischen Datenschutzausschuss abgelöst.
Auf nationaler Ebene hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder zu vielen wichtigen Themenbereichen der Datenschutz-Grundverordnung gemeinsame Kurzpapiere veröffentlicht, die Auslegungshilfen bei der praktischen Anwendung der Datenschutz-Grundverordnung geben.
Einige Aufsichtsbehörden haben darüber hinaus weitergehende Auslegungshilfen und Formulare veröffentlicht, wie etwa das Musterformular für ein Verzeichnis zu den Verarbeitungstätigkeiten nach Artikel 30 Datenschutz-Grundverordnung.
Weitere Informationen und Praxishilfen werden von zahlreichen Datenschutz- und Wirtschaftsverbänden veröffentlicht.
Einen Überblick über aktuelle Themen, Informationen und wichtige Entwicklungen im Datenschutz gibt schließlich die Stiftung Datenschutz.
Die Einhaltung der Datenschutz-Grundverordnung und der nationalen Rechtsvorschriften zum Datenschutz wird in allen Mitgliedstaaten durch unabhängige Aufsichtsbehörden überwacht und durchgesetzt.
In Deutschland sind dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Aufsichtsbehörden der Bundesländer. Die BfDI ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes, die Gemeinsamen Einrichtungen nach dem Sozialgesetzbuch II (Jobcenter) und die Unternehmen, die Telekommunikations- oder Postdienstleistungen erbringen; im Übrigen sind die Aufsichtsbehörden der Länder zuständig.
Eine Übersicht über die Aufsichtsbehörden und deren Kontaktdaten findet sich auf der Website der BfDI.
Die Aufsichtsbehörden verfügen über die umfangreichen Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse des Artikels 58 Datenschutz-Grundverordnung. Sie können gegenüber dem Verantwortlichen insbesondere Verbote oder Anordnungen aussprechen und Bußgelder verhängen. Sie beraten zudem die nationalen Parlamente und Regierungen und gehen Beschwerden betroffener Personen nach. Bei der Erfüllung ihrer Aufgaben sind die Aufsichtsbehörden völlig unabhängig; sie unterstehen insbesondere keiner Rechts- oder Fachaufsicht.
Die Aufsichtsbehörden der Mitgliedstaaten arbeiten bei der Überwachung und Durchsetzung der Datenschutz-Grundverordnung eng zusammen. Sie leisten sich gegenseitige Amtshilfe und können gemeinsame Maßnahmen durchführen. Wichtige Auslegungs- und Anwendungsfragen, insbesondere solche mit grenzüberschreitendem Bezug, werden im Europäischen Datenschutzausschuss, dem Zusammenschluss aller Aufsichtsbehörden der Mitgliedstaaten auf EU-Ebene, beraten und verbindlich entschieden. Der Europäische Datenschutzausschuss trägt mit diesem Kohärenzverfahren zu einer EU-weit einheitlichen Anwendung der Datenschutz-Grundverordnung bei.
Die Aufsichtsbehörde am Ort der Hauptniederlassung oder der einzigen Niederlassung eines Unternehmens in der Europäischen Union handelt bei den Abstimmungsprozessen mit den Aufsichtsbehörden der übrigen Mitgliedstaaten als federführende Aufsichtsbehörde. Sie ist für Fragen grenzüberschreitender Datenverarbeitung einziger Ansprechpartner des Verantwortlichen (Artikel 56 Datenschutz-Grundverordnung). Dieses “One Stop Shop-Prinzip” bewirkt für Daten verarbeitende Unternehmen eine erhebliche Vereinfachung.
Die Datenschutz-Grundverordnung führt die Grundsätze für die Datenverarbeitung aus der geltenden EU-Datenschutzrichtlinie 95/46/EG, etwa die Zweckbindung, Erforderlichkeit und Datensparsamkeit, in Artikel 5 weitgehend unverändert fort.
Der Zweckbindungsgrundsatz wird ergänzt durch Artikel 6 Absatz 4, welcher Kriterien zur Prüfung kompatibler Zwecke benennt. Sind der ursprüngliche Zweck der Erhebung und der Zweck der Weiterverarbeitung durch die gleiche verantwortliche Stelle kompatibel, dürfen die Daten auf Basis der ursprünglichen Rechtsgrundlage weiterverarbeitet werden.
Mit der neuen “Rechenschaftspflicht” betont die Datenschutz-Grundverordnung die Verantwortlichkeit der Daten verarbeitenden Stellen für die Einhaltung der Prinzipien und dessen Nachweis (Artikel 5 Absatz 2 Datenschutz-Grundverordnung).
Artikel 6 Datenschutz-Grundverordnung zählt die Zulässigkeitstatbestände für die Verarbeitung personenbezogener Daten auf. Auch er entspricht weitgehend geltendem europäischen Datenschutzrecht. Wie bisher bedarf jegliche Verarbeitung personenbezogener Daten einer legitimierenden Rechtsgrundlage – unabhängig davon, ob von der Verarbeitung ein hohes oder geringes Risiko für die Rechte und Freiheiten der betroffenen Personen ausgeht. Dieses “Verbot mit Erlaubnisvorbehalt” stützt sich auf Artikel 8 der EU-Grundrechtecharta.
Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig:
- mit der Einwilligung der betroffenen Person
oder wenn die Verarbeitung erforderlich ist,
- für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen,
- zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen natürlichen Person,
- zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritten, sofern nicht die Interessen oder Grundrechteund Grundfreiheiten der betroffenen Person überwiegen,
- zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder
- für die Wahrnehmung einer im öffentlichen Interesse liegenden oder in Ausübung hoheitlicher Gewalt erfolgenden Aufgabe des Verantwortlichen.
Diese Zulässigkeitstatbestände bilden ein abschließendes System; die Mitgliedstaaten dürfen jedoch in einigen Bereichen die Anforderungen an die Rechtmäßigkeit der Verarbeitung durch nationales Datenschutzrecht konkretisieren und präzisieren (Artikel 6 Absatz 2 und 3 Datenschutz-Grundverordnung). Viele Rechtsgrundlagen, insbesondere für die Verarbeitung personenbezogener Daten durch öffentliche Stellen, finden sich daher nach wie vor im allgemeinen oder besonderen Datenschutzrecht auf nationaler Ebene.
Artikel 7 und 8 enthalten konkretisierende Bedingungen für die Einwilligung. Der deutsche Gesetzgeber hat vorerst nicht von der Möglichkeit Gebrauch gemacht, die Altersgrenze für die Einwilligung eines Kindes bei Nutzung der Dienste der Informationsgesellschaft abweichend von der Datenschutzgrund-Verordnung (16 Jahre) zu regeln.
Nach Artikel 9 Datenschutz-Grundverordnung ist – wie bisher – die Verarbeitung besonders sensibler Daten nur ausnahmsweise zulässig. Zu diesen „besonderen Kategorien personenbezogener Daten“ zählen beispielsweise Daten über die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder die sexuelle Orientierung, genetische und biometrische Daten und Gesundheitsdaten. Um diese Daten verarbeiten zu können, bedarf es stets einer Rechtsgrundlage nach Artikel 6 Absatz 1 und zusätzlich eines Ausnahmetatbestandes vom Verbot der Verarbeitung sensibler Daten. Die Ausnahmetatbestände finden sich in Artikel 9 Absatz 2 Datenschutz-Grundverordnung und ergänzend im nationalen Datenschutzrecht (z.B. in § 22 BDSG 2018 oder aber auch im bereichsspezifischen Fachrecht des Bundes).
Artikel 10 Datenschutz-Grundverordnung stellt personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten unter einen besonderen Schutz. Sie dürfen nur unter behördlicher Aufsicht verarbeitet werden oder wenn dies gesetzlich vorgesehen ist.
Artikel 11 Datenschutz-Grundverordnung bestimmt, dass Daten nicht allein deshalb gespeichert werden müssen, um eine Person identifizieren zu können (z.B. um eine Auskunft geben zu können). Dies kann z.B. dazu führen, dass bei dem Foto eines Bauwerks, auf dem unbekannte Personen zu sehen sind, nicht Daten wie Namen, Adresse etc. erhoben werden müssen, um die abgebildete Person zu informieren.
Die Datenschutz-Grundverordnung gilt grundsätzlich für jegliche Verarbeitung personenbezogener Daten. Einzelheiten regeln die Artikel 2 und 3 Datenschutz-Grundverordnung.
Sowohl öffentliche (Behörden, Gerichte und andere öffentliche Stellen ungeachtet ihrer Rechtsform) als auch nicht-öffentliche (natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des Privatrechts) Stellen haben die Anforderungen der Datenschutz-Grundverordnung zu beachten, wenn sie Informationen über eine identifizierte oder identifizierbare natürliche Person verarbeiten.
Ausnahmen gelten insbesondere bei der nicht automatisierten Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen – beispielsweise Akten und Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind; für natürliche Personen, die personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiten – beispielsweise privater Schriftverkehr, Adressbücher oder die Nutzung sozialer Netzwerke und Online-Tätigkeiten im Rahmen persönlicher oder familiärer Zwecke; für Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen – insbesondere die nationale Sicherheit betreffende Tätigkeiten; für die Datenverarbeitung zum Zwecke der Strafverfolgung und Gefahrenabwehr durch die zuständigen Behörden – hier gilt die zeitgleich mit der Datenschutz-Grundverordnung verabschiedete Richtlinie (EU) 2016/680.
Die Datenschutz-Grundverordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeit einer Niederlassung in der Europäischen Union erfolgt oder im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Europäischen Union steht (sog. Marktortprinzip). Dies gilt unabhängig davon, ob die Verarbeitung in der Europäischen Union stattfindet.
Die Datenschutz-Grundverordnung gilt zudem auch dann, wenn das Verhalten betroffener Personen in der Europäischen Union beobachtet werden soll oder die Verarbeitung an einem Ort erfolgt, der aufgrund völkerrechtlicher Bestimmungen dem Recht eines Mitliedstaats der Europäischen Union unterliegt. Es spielt hierbei keine Rolle, ob die verarbeiteten Daten einen Bürger der Europäischen Union betreffen oder nicht.
Bei den Verhandlungen zur Datenschutz-Grundverordnung hat die Bundesregierung Wert auf eine angemessene, die besonderen Belange kleinerer Institutionen berücksichtigende Ausgestaltung gelegt.
Ob und in welchem Umfang die Pflichten der Datenschutz-Grundverordnung zu erfüllen sind, bemisst sich daher vor allem nach dem Umfang, den Zwecken und der Schwere des von der Datenverarbeitung ausgehenden Risikos (sog. risikobasierter Ansatz). Lediglich Institutionen, deren Geschäftszweck (Kerntätigkeit) in der Verarbeitung personenbezogener Daten liegt oder die außergewöhnliche, hochriskante Datenverarbeitungsvorgänge vornehmen, unterliegen dem vollen Pflichtenkatalog der Datenschutz-Grundverordnung.
Geht die Datenverarbeitung hingegen nicht über eine übliche, unterstützende Tätigkeit (z.B. Lohnabrechnung, Mitglieder- und Beitragsverwaltung, Betrieb einer Vereinswebsite) hinaus, führt die Datenschutz-Grundverordnung im Vergleich zur geltenden Rechtslage zu keinen wesentlichen Neuerungen.
Die Verarbeiterpflichten des Kapitels IV der Datenschutz-Grundverordnung sind nach geltendem Datenschutzrecht bereits bekannt, etwa die Pflicht zu geeigneten technischen und organisatorischen Maßnahmen, die Bestellung betrieblicher Datenschutzbeauftragter oder die Erstellung eines Verarbeitungsverzeichnisses.
Für die technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit gilt: Nicht jede Datenverarbeitung erfordert gleich hohe Sicherheitsstandards. Es ist ein dem Risiko angemessenes Schutzniveau unter Berücksichtigung der Implementierungskosten erforderlich. Im Rahmen der üblichen Vereins- oder ehrenamtlichen Tätigkeit genügen daher im Regelfall bereits Standardmaßnahmen, wie die Lagerung personenbezogener Daten in abschließbaren Vorrichtungen, aktuelle Betriebssysteme mit Passwortschutz, Zugriffsrechten und aktuellem Virenschutz den Anforderungen.
Ein betrieblicher Datenschutzbeauftragter ist – wie bislang auch schon – bei Vereinen und ehrenamtlichen Institutionen in der Regel nur dann zu bestellen, wenn „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind (§ 38 Absatz 1 Satz 1 BDSG 2018).
Eine Datenschutz-Folgeabschätzung bei hochriskanten Datenverarbeitungen, die unabhängig von diesem Schwellenwert zur Bestellung betrieblicher Datenschutzbeauftragter führt, ist nur in deutlich von den üblichen Verarbeitungstätigkeiten in Vereinen und ehrenamtlichen Institutionen abweichenden Einzelfällen angezeigt. Die Pflicht gilt daher nicht schon ab zehn Beschäftigten oder Mitgliedern, sondern regelmäßig erst bei mehr als neun in der Verwaltung (d. h. insbesondere in der Mitglieder- und Beitragsverwaltung sowie der Lohnabrechnung) tätigen Mitarbeitern. Nur diese sind „ständig“ – und nicht nur regelmäßig oder bei Gelegenheit – mit der automatisierten Verarbeitung personenbezogener Daten betraut.
Betriebliche Datenschutzbeauftragte können Beschäftigte oder externe Dienstleister sein. Die Datenschutzbeauftragten müssen über die zur Erfüllung ihrer Beratungs- und Überwachungsfunktionen erforderlichen zeitlichen Ressourcen verfügen, was jedoch keinesfalls eine vollständige Freistellung erfordert.
Die Bestellung betrieblicher Datenschutzbeauftragter auf freiwilliger Grundlage bleibt zulässig. Denn auch hier gilt: Die Befreiung von der Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragen befreit im Übrigen nicht von der Einhaltung des Datenschutzrechts!
Das schon bislang zu führende Verfahrensverzeichnis wird durch das Verzeichnis der Verarbeitungstätigkeiten ersetzt. Das Verfahrensverzeichnis umschreibt stichpunktartig die wesentlichen Angaben jeder Verarbeitungstätigkeit, wie z. B. die Zwecke der Verarbeitung und eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger.
Die Rechte der betroffenen Personen auf Information und Auskunft werden durch die Datenschutz-Grundverordnung zwar ausgeweitet, sind mit Ausnahme des Rechts auf Datenübertragbarkeit (Artikel 20 Datenschutz-Grundverordnung) aber ebenfalls nicht neu. Das zum 25. Mai 2018 in Kraft getretene, novellierte Bundesdatenschutzgesetz 2018 enthält ergänzende Ausnahmen von den Betroffenenrechten, die an die bisherige Rechtslage in Deutschland nach dem alten Bundesdatenschutzgesetz anknüpfen.
Die Aufsichtsbehörden haben mittlerweile eine Vielzahl abgestimmter Kurzpapiere zur Umsetzung der Datenschutz-Grundverordnung veröffentlicht, die auch den Bedürfnissen kleinerer und mittlerer Institutionen Rechnung tragen. Zu verweisen ist insbesondere auf die Handreichung des Bayerischen Landesamtes für Datenschutzaufsicht für kleine Unternehmen und Vereine, welche die Anforderungen der Datenschutz-Grundverordnung für typische Vereinstätigkeiten in der praktischen Umsetzung (für den Freistaat Bayern) erläutert.
Um größere Transparenz im Umgang mit personenbezogenen Daten zu schaffen, erweitert die Datenschutz-Grundverordnung im Kapitel III die bestehenden Betroffenenrechte und führt zugleich neue Rechte ein. Einzelheiten regeln die Artikel 12 bis 23.
Artikel 12 enthält allgemeine Verfahrensvorschriften für die Kommunikation mit den Betroffenen, Bearbeitungsfristen und Fragen der Entgeltlichkeit. Anträge der betroffenen Personen sind grundsätzlich unentgeltlich innerhalb eines Monats in klarer und einfacher Sprache zu beantworten.
Artikel 13 und 14 Datenschutz-Grundverordnung regeln die Informationspflichten des Verantwortlichen gegenüber den betroffenen Personen. Im Vergleich zur bisherigen Rechtslage weitet sich nicht nur der Umfang, sondern auch der Anlass der Information aus. Die betroffenen Personen sind nicht nur bei der erstmaligen Erhebung, sondern grundsätzlich bei jeder beabsichtigten Weiterverarbeitung für andere Zwecke über die aufgeführten Aspekte zu unterrichten. Die Informationen hat der Verantwortliche eigeninitiativ, d.h. ohne einen Antrag der betroffenen Person, zur Verfügung zu stellen. Die Abgrenzung, wann Daten bei der betroffenen Person erhoben werden oder nicht, ist im Einzelfall nicht leicht. Die Sichtweise, wonach Artikel 13 Datenschutz-Grundverordnung voraussetzt, dass sich die betroffene Person der Datenerhebung bewusst sein muss, erscheint vorzugswürdig. Dies führt im Fall von Videoaufzeichnungen oder Fotoaufnahmen zu praxisgerechten Ergebnissen.
Neben den Informationspflichten steht der betroffenen Person nach Artikel 15 Datenschutz-Grundverordnung ein umfangreiches Auskunftsrecht über die sie betreffenden personenbezogenen Daten zu. Das Auskunftsrecht umfasst auch den Anspruch, eine unentgeltliche Kopie der verarbeiteten Daten zu erhalten.
Unter den Voraussetzungen der Artikel 16 bis 18 Datenschutz-Grundverordnung können die betroffenen Personen die Berichtigung, Löschung und Einschränkung der Verarbeitung verlangen. Das Recht auf Löschung umfasst zugleich das sog. “Recht auf Vergessen werden”: Hat der Verantwortliche die personenbezogenen Daten öffentlich und damit anderen Verantwortlichen zugänglich gemacht, hat er im Falle einer Löschverpflichtung angemessene Maßnahmen zu treffen, um die anderen Verantwortlichen darüber zu informieren, dass eine betroffene Person die Löschung aller Links zu bzw. Vervielfältigungen dieser personenbezogenen Daten verlangt.
Artikel 20 räumt den betroffenen Personen erstmals das Recht auf Datenübertragbarkeit ein. Betroffene haben demnach in bestimmten Fällen das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format ausgehändigt zu erhalten, um sie von einem Verantwortlichen ohne Behinderung auf einen anderen (privaten) Anbieter übertragen zu lassen. Ausweislich der Norm geht es um die Daten, die der Betroffene “aktiv” bereitgestellt hat und nicht auch um solche, die der Verantwortliche erst erzeugt hat, wie z.B. Standortdaten. Bei dem Anspruch ist zu beachten, dass bei der Übertagung der Daten von einem auf einen anderen Verantwortlichen die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden dürfen. Dies kann z.B. der Fall sein, wenn auf einem Foto nicht nur die betroffene Person, sondern auch Dritte abgebildet sind.
Artikel 21 verleiht den betroffenen Personen das Recht, gegen eine (rechtmäßige) Datenverarbeitung aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch einzulegen. Zudem besteht ein jederzeitiges Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung. Auf das Widerspruchsrecht sind die betroffenen Personen spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich hinzuweisen.
Die Betroffenenrechte gelten nicht, wenn die Datenschutz-Grundverordnung unmittelbare Ausnahmen vorsieht oder die Mitgliedstaaten über Artikel 23 Datenschutz-Grundverordnung Beschränkungen der Betroffenenrechte vorgesehen haben. Das ab dem 25. Mai 2018 geltende Bundesdatenschutzgesetz (BDSG 2018) enthält in den §§ 32-37 für den öffentlichen wie auch den nicht-öffentlichen Bereich weitere punktuelle Beschränkungen der Betroffenenrechte.
Gemäß Erwägungsgrund 171 Satz 3 Datenschutz-Grundverordnung gelten Einwilligungen dann fort und es bedarf keiner erneuten Einwilligung, wenn “die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht”. Die Bedingungen für die Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung haben die Aufsichtsbehörden des Bundes und der Länder konkretisiert.
Weitere Infos und Links:
