Читать книгу Praxishandbuch DSGVO - Tobias Rothkegel - Страница 150

1

Ein Bereich, dessen Bedeutung in der Praxis infolge der DSGVO stark zugenommen hat, ist der Bereich der Betroffenenrechte, also den Rechten, die Personen, deren personenbezogene Daten Gegenstand einer Datenverarbeitung sind, gegenüber dem für diese Datenverarbeitung Verantwortlichen zustehen.

2

Dies scheint insbesondere eine Folge der gesteigerten Aufmerksamkeit und Sensibilität der Bevölkerung für den Datenschutz zu sein, welche nicht zuletzt auch durch die DSGVO und die damit verbundene Berichterstattung in den Medien gefördert wurden. Denn auch nach der alten Rechtslage, also bevor die DSGVO wirksam wurde, bestanden weitgehende Betroffenenrechte. Diese wurden durch die DSGVO allerdings ausgeweitet, formalisiert und präzisiert.

3

So wurden durch die DSGVO zwei neue Betroffenenrechte eingeführt, die nach der alten Rechtslage auf Basis der Datenschutzrichtlinie 95/46/EG nicht vorgesehen waren: das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO und das Recht auf Vergessenwerden nach Art. 17 Abs. 2 DSGVO.1

4

Außerdem wurden einige bestehende Betroffenenrechte, wie z.B. das Recht auf Auskunft und die Informationspflichten des Verantwortlichen, durch die DSGVO erheblich erweitert und präzisiert.

5

Für Unternehmen, die personenbezogene Daten verarbeiten, haben die Betroffenenrechte in der Praxis eine sehr wichtige Bedeutung. Diese erschöpft sich nicht allein darin, dass die Unternehmen die jeweiligen Rechte der betroffenen Person im Einzelfall – ggf. auf deren Antrag hin – erfüllen müssen. Vielmehr ist es erforderlich, dass Unternehmen bereits im Vorfeld entsprechende Prozesse konzipiert und implementiert haben, um die einzelnen Betroffenenrechte – ggf. auf Antrag der betroffenen Person – überhaupt erfüllen zu können. Ebenso sind diese Prozesse grundsätzlich zu dokumentieren, um der Rechenschaftspflicht zu genügen. Somit hat auch im Bereich der Betroffenenrechte das Thema der Datenschutzorganisation und des Datenschutzmanagements erheblich an Bedeutung gewonnen.

6

Dies ist umso wichtiger, als dass betroffene Personen ihre Rechte seit der DSGVO viel häufiger wahrnehmen und ggf. auch gerichtlich durchzusetzen versuchen als zuvor, was sich alleine schon an der erheblich gestiegenen Anzahl an Gerichtsentscheidungen in diesem Bereich zeigt.

7

Auch für die Datenschutzaufsichtsbehörden scheinen die im Unternehmen vorgesehenen Prozesse zur Erfüllung der Betroffenenrechte eine immer wichtigere Rolle zu spielen, z.B. im Fall von Verstößen im Rahmen der Bußgeldbemessung. Gerade im Fall von Verstößen gegen die Betroffenenrechte ist zudem auch der Reputationsschaden durch eine negative Medienberichterstattung nicht zu unterschätzen. Vor diesem Hintergrund sollte die Bedeutung der Betroffenenrechte auf keinen Fall unterschätzt werden. Vielmehr empfiehlt es sich, (i) regelmäßige Auditierungen im Unternehmen und Übungen durchzuführen, um zu überprüfen, inwiefern das Unternehmen den Anforderungen in diesem Bereich genügt, und (ii) bei der Gestaltung neuer Datenverarbeitungsprozesse die entsprechenden (organisatorischen und technischen) Prozesse zur Einhaltung der Betroffenenrechte frühzeitig zu berücksichtigen.

1 Ein Recht dieses Namens bestand zuvor „nur“ in der vom EuGH im Rahmen der Entscheidung „Google/Mario Costeja Gonzales“ beschriebenen Form, die sich von Art. 17 Abs. 2 DSGVO unterscheidet, siehe EuGH, Urt. v. 13.5.2014 – Rs. C-131/12, CR 2014, 460. Siehe hierzu Arning/Moos/Schefzig, CR 2014, 447.