Beteiligung von Betroffenen im Datenschutz

Fachbeitrag

Der Schutz der Betroffenen und die Betroffenenrechte in Kapitel 3 DSGVO sind ein zentraler Teil der Datenschutz-Grundverordnung. Daher sollten Verantwortliche wissen, in welchen Situationen sie verpflichtet sind Betroffene im Rahmen des Datenschutzes einzubinden. Der Artikel soll hierfür einen Überblick liefern.

Wer sind Betroffene und wann werden sie einbezogen?

Betroffene sind alle natürlichen Personen, deren personenbezogene Daten verarbeitet werden. Der Art. 4 Abs. 1 DSGVO spricht von „betroffenen Personen“. Es handelt sich daher um Menschen, deren Daten durch eine Stelle verarbeitet werden und denen dadurch eigene Rechte erwachsen.

Die DSGVO bezieht sich in zahlreichen Normen auf den Betroffenen insbesondere:

  • innerhalb der Rechtsgrundlagen der Datenverarbeitung in Art. 6 DSGVO,
  • in der Betroffenenrechten nach Art. 12 ff. DSGVO,
  • innerhalb der Dokumentationspflichten aus Art. 30 DSGVO,
  • innerhalb der Risikobeurteilung und Meldung an die Aufsicht bei Datenschutzvorfällen,
  • bei der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Der Betroffene innerhalb des Rechtsgrundlagenkatalogs

Innerhalb des Rechtsgrundlagenkatalogs muss der Betroffene natürlich bei der Einholung seiner Einwilligung aus Art. 6 Abs. 1, lit. a) DSGVO einbezogen werden, sowie bei der Erfüllung eines Vertrages zwischen ihm und dem Verantwortlichen nach Art. 6 Abs. 1, lit. b) DSGVO. Des Weiteren ist die Verarbeitung erlaubt, wenn hierdurch lebenswichtige Interessen des Betroffenen geschützt werden; Art. 6 Abs. 1, lit. d) DSGVO. Bei der wohl am häufigsten genutzten Rechtsgrundlage des Art. 6 Abs. 1 lit. f) DSGVO müssen die berechtigten Interessen des Verantwortlichen mit den Interessen, Grundrechten und Grundfreiheiten des Betroffenen abgewogen werden.

Die Betroffenenrechte

Schon aus der Überschrift des Kapitels 3 der DSGVO ergibt sich, dass der Betroffene aus Natur der Sache eingebunden werden muss. Bei der Verarbeitung fallen dem Betroffenen folgende Rechte zu:

  • Informationsrechte nach Art. 13 und 14 DSGVO,
  • Auskunftsansprüche aus Art. 15 DSGVO,
  • Recht auf Berichtigung aus Art. 16 DSGVO,
  • der Löschungsanspruch aus Art. 17 DSGVO,
  • das Recht auf Einschränkung der Verarbeitung aus Art. 18 DSGVO,
  • das Recht auf Datenübertragbarkeit aus Art. 20 DSGVO,
  • das Widerspruchsrecht aus Art. 21 DSGVO,
  • und die Regelung zur automatisierten Entscheidung aus Art. 22 DSGVO

Der Verantwortliche ist verpflichtet innerhalb seiner Organisation dafür zu sorgen, dass der Betroffene diese Rechte nach Maßgabe des Art. 12 DSGVO geltend machen kann.

Beteiligung von Betroffenen bei der Dokumentation und bei Datenschutzvorfällen

Nach Art. 33 Abs. 1 DSGVO ist der Verantwortliche verpflichtet Datenschutzvorfälle an die zuständige Datenschutzaufsicht zu melden, wenn die Verletzung zu einem Risiko für die Recht und Freiheiten natürlicher Personen führt. Darüber hinaus ist der Betroffene nach Art. 34 DSGVO vom Datenschutzvorfall unverzüglich zu benachrichtigen, wenn eine Risikoabwägung ein hohes Risiko für die Rechte und Freiheiten des Betroffenen feststellt. Die Meldung muss dem Betroffenen in einfacher und klarer Sprache die Art der Verletzung erläutern und zumindest die in Art. 33 b) – d) DSGVO erforderlichen Informationen beinhalten. Die Meldung an den Betroffenen entfällt nur unter den Voraussetzungen des Art. 33 Abs. 3 DSGVO.  Bei Vorliegen eines hohen Risikos kann die Aufsicht auch vom Verantwortlichen verlangen, dass er den Betroffenen informiert. Auch bei der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 DSGVO findet der Betroffene Beachtung. Nach Art. 30 Abs. 1 lit. c) DSGVO muss das Verzeichnis eine Beschreibung der Kategorien von betroffenen Personengruppen beinhalten.

Beteiligung von Betroffenen bei der Datenschutz-Folgenabschätzung

Auch bei der Vornahme einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist der Betroffene in bestimmten Fällen mit einzubeziehen. Nach Art. 35 Abs. 9 DSGVO holt der Verantwortliche gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter ein. Eine Anhörung der Betroffenen ist jedoch nicht verpflichtend. Die Verpflichtung, den Standpunkt der Betroffenen einzubeziehen besteht dann, wenn es sich um eine riskante Datenverarbeitung handelt und ein konkreter Betroffenenkreis benannt werden kann. Als Vertreter einer Gruppe von Betroffenen kann z.B. der Betriebsrat oder die gesetzlichen Vertreter einer betroffenen Person gelten.

Bußgelder bei Nichtbeachtung

Da der Betroffene ein zentraler Begriff der DSGVO ist und sich alles um des Schutz seiner personenbezogenen Daten dreht, sollten sich Verantwortliche bei jeder Datenverarbeitung fragen, ob sie die Belange des Betroffenen, sei es bei den Informationspflichten, der Wahl der Rechtsgrundlage oder bei ihrer Dokumentation genug gewürdigt haben, da einer Verarbeitung von personenbezogenen Daten, die gegen die Rechte und Freiheiten des Betroffenen verstoßen, sowie das Ignorieren von Betroffenenanfragen zu hohen Bußgeldern führen kann.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.