Stand: 27.02.2024

Die DS-GVO hat nicht nur umfangreiche Spielregeln für die Verarbeitung von personenbezogenen Daten aufgestellt, sondern zugleich auch diejenigen Personen, deren Daten verarbeitet werden, mit unterschiedlichen Rechten ausgestattet. Ob Auskunft, Löschung, Widerruf, Widerspruch oder Datenübertragung – Unternehmen müssen ihre Datenverarbeitungsprozesse kennen und sowohl technisch als auch organisatorisch in der Lage sein, die datenschutzrechtlichen Ansprüche ihrer Kunden, Lieferanten, Geschäftspartner und Arbeitnehmer zu erfüllen.

Und wenn nicht? Abwarten, Tee trinken, sehen, was passiert und aussitzen ist in Zeiten der DS-GVO jedenfalls keine lukrative Strategie mehr. Das hat das Bußgeld von knapp 200.000 Euro gegen eine große Lieferdienstkette eindrucksvoll bewiesen. Unser Artikel beantwortet deshalb verschiedene Fragen aus dem Betriebsalltag zu Betroffenenrechten und erklärt,

  • welche Verstöße gegen die DS-GVO die Berliner Aufsichtsbehörde mit dem sechsstelligen Bußgeld geahndet hat.
  • welche Betroffenenrechte Sie kennen und erfüllen müssen.
  • welche Grundsätze Sie bei der Bearbeitung von Betroffenenrechten beachten müssen.
  • was Sie bei einem Auskunfts- oder Löschersuchen tun müssen.
  • welche Folgen ein Widerruf bzw. ein Widerspruch hat.
  • welches Druckmittel Betroffene gegen Sie haben.

Mehr Informationen

Mehr Informationen zu Bußgeldern wegen  Fehlern bei der Erfüllung von Betroffenenrechten können Sie unserer Bußgeldübersicht entnehmen.

195.407 Euro Bußgeld für mangelhafte Beachtung der Betroffenenrechte

Die Berliner Beauftragte für Datenschutz und Informationssicherheit hat Details zu Deutschlands damalig höchstem Bußgeld wegen Verstößen gegen die DS-GVO veröffentlicht. Danach muss ein bekannter Lieferdienst 195.407 Euro Bußgeld für eine ganze Reihe von einzelnen Verstößen gegen die Vorgaben der DS-GVO bezahlen. Bei den meisten geahndeten Einzelverstößen handelt es sich um die Verletzung von Betroffenenrechten.

Einzelverstöße gegen die Vorgaben der DS-GVO in puncto Betroffenenrechte

Auf der Vergehensliste des Unternehmens steht unter anderem

  • 10 x Missachtung der Löschfristen: Nutzerkonten von jahrelang inaktiven Kunden wurden nicht gelöscht.
  • 8 x unerwünschte Werbung.
  • 1 x Missachtung eines Werbewiderspruchs: 15 Werbemails wurden an einen Kunden versandt, obwohl dieser der Nutzung seiner Daten zu Werbezwecken widersprochen hatte.
  • 5 x Missachtung von Auskunftsersuchen: Auskünfte wurden gar nicht oder erst nach Einschalten der Aufsichtsbehörde erteilt.
    Bemessung der Bußgeldhöhe

Der Lieferdienst hat vergeblich versucht, die Verstöße mit technischen Fehlern oder Mitarbeiterversehen zu erklären. Aufgrund der hohen Anzahl wiederholter Verstöße bei der Beachtung von Betroffenenrechten ging die Aufsichtsbehörde von grundsätzlichen strukturellen Organisationsproblemen aus. Trotz mehrfacher Hinweise der Aufsichtsbehörde hat der Lieferdienst über einen längeren Zeitraum hinweg keine ausreichenden Maßnahmen ergriffen, um die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherzustellen. Das Bußgeld setzt sich aus zwei Teilen zusammen, da die Verstöße abhängig vom Vergehenszeitpunkt nach dem alten nationalen Datenschutzrecht oder dem neuen europäischen Datenschutzrecht zu beurteilen waren. Maßgebliche Faktoren für den insgesamt sechsstelligen Betrag waren

  • die große Anzahl der Einzelverstöße.
  • der lange Zeitraum, über den die Verstöße sich erstreckten.
  • die Ursache der Verstöße in den mangelhaften betrieblichen Prozessen.
  • die mangelhafte Bereitschaft des Unternehmens – trotz mehrfacher Hinweise der Aufsichtsbehörde –, seine Strukturen datenschutzkonform zu gestalten.

Die wichtigsten Betroffenenrechte

Das von der Berliner Beauftragten für Datenschutz und Informationssicherheit verhängte Bußgeld von knapp 200.000 Euro zeigt, dass die Nichtbeachtung von Betroffenenrechten keine Bagatelle ist. Unternehmen müssen deshalb wissen, welche Rechte Personen geltend machen können, deren Daten sie verarbeiten. Der Katalog dieser Rechte kann jeder Datenschutzerklärung entnommen werden, denn Unternehmen müssen die Betroffenenrechte nicht nur erfüllen, sondern die betroffenen Personen im Rahmen ihrer Transparenzpflicht zeitgleich über ebendiese Rechte aufklären. Hierzu gehören

  • das Recht auf Auskunft (Art. 15 DS-GVO): Betroffene Personen dürfen erfragen, ob und wie von ihnen personenbezogene Daten verarbeitet werden.
  • das Recht auf Berichtigung (Art. 16 DS-GVO): Betroffene Personen dürfen verlangen, dass falsche Daten korrigiert und unvollständige Daten vervollständigt werden.
  • das Recht auf Löschung (Art. 17 DS-GVO): Betroffene Personen dürfen Unternehmen jederzeit auffordern, ihre personenbezogenen Daten zu löschen.
  • das Recht auf Datenübertragbarkeit (Art. 20 DS-GVO): Betroffene Personen haben das Recht, die Herausgabe ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen. Sie dürfen sowohl verlangen, dass ihnen die Daten selbst übergeben werden, als auch die direkte Weitergabe der Daten an eine andere Person (z. B. den neuen Arbeitgeber).
  • das Recht auf Widerruf der Einwilligung (Art. 7 DS-GVO): Beruht die Verarbeitung personenbezogener Daten auf der Einwilligung des Betroffenen, darf er die Einwilligung jederzeit ohne Grund zurücknehmen.
  • das Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO): Werden personenbezogene Daten zur Wahrnehmung öffentlicher Aufgaben oder zur Wahrung eines berechtigten Interesses der verantwortlichen Stelle verarbeitet, darf der Betroffene der Verarbeitung seiner personenbezogenen Daten widersprechen.

Bearbeitung von Betroffenenrechten – die wichtigsten Grundregeln

Unabhängig davon, welches Recht eine betroffene Person in Anspruch nimmt, gibt es für die Bearbeitung der entsprechenden Anfrage einige Grundregeln, die es immer zu beachten gilt.

Bearbeitungszeit: maximal ein Monat

Jede Betroffenenanfrage muss unverzüglich bearbeitet und beantwortet werden. Unverzüglich bedeutet bei den Juristen üblicherweise sofort oder so schnell wie möglich. Die DS-GVO sieht eine maximale Regelbearbeitungszeit von einem Monat vor, die nur in ganz wenigen und strengen Ausnahmefällen mit guter Begründung auf drei Monate verlängert wird.

Eindeutige Identifikation des Anspruchstellers

Der erste Schritt bei der Bearbeitung von Betroffenenanfragen ist immer gleich, denn Unternehmen müssen die Identität des Anspruchstellers eindeutig feststellen. Das bedeutet, Sie müssen prüfen, ob Max Müller tatsächlich auch Max Müller ist. Wie diese Identifikation zu erfolgen hat, hängt von der Form des Antrags ab. So kann beispielsweise am Telefon nach verschiedenen Kennzeichen (Kundennummer, Adresse, Geburtsdatum etc.) gefragt werden, bei E-Mails oder schriftlichen Schreiben muss abhängig von den enthaltenen Informationen nach weiteren Angaben gefragt werden. Es kann auch eine explizite Bestätigung an die im System hinterlegte Kontaktadresse versendet werden oder ggf. eine Kopie des Personalausweises gefordert werden.
Wichtig ist, dass Unternehmen einen einheitlichen Identifikationsprozess haben und hierbei der Grundsatz der Datenminimierung und die strenge Zweckbindung der zusätzlich erhobenen Daten beachtet wird.

Form: präzise, transparent, verständlich und leicht zugänglich

Die Antwort an die betroffene Person muss einerseits zwar vollständig sein, andererseits aber prägnant auf den wesentlichen Kern beschränkt werden. Lange Textgräber an Informationen entsprechen also nicht den Vorgaben der DS-GVO. Die Ausführungen müssen so nachvollziehbar sein, dass sie der Empfänger ohne weitere Recherchen oder Erklärungen verstehen kann. Entscheidend ist dabei nicht der Durchschnittsnutzer, sondern die Messlatte liegt deutlich darunter. Nur so kann der Schutz jeder Person gewährleistet werden.

Sprache: klar und einfach

Der Grundsatz der Verständlichkeit spiegelt sich natürlich auch bei der verwendeten Sprache wider, die einfach gehalten sein muss. Es ist also eine für jedermann verständliche Duktus zu verwenden ohne fachchinesische Erklärungen und missverständliche Formulierungen.

Aufwand: keine Kostenerstattung

Die Bearbeitung von Betroffenenanfragen kostet Zeit. Es muss ein spezieller Prozess geschaffen werden, es müssen organisatorische und technische Vorkehrungen für die Beantwortung der Fragen getroffen werden und ein Mitarbeiter muss sich um die Identifikation, die Antwort und die Dokumentation kümmern. Eine Gebühr für die Auskünfte, die Berichtigung oder die Löschung ist nach der DS-GVO trotzdem grundsätzlich verboten.

Dokumentation des gesamten Bearbeitungsprozesses

Um der Rechenschaftspflicht der DS-GVO zu genügen, muss der gesamte Bearbeitungsprozess dokumentiert werden. Nur so können Sie der Aufsichtsbehörde im Zweifel beweisen, dass Sie strukturell gut aufgestellt sind und Betroffenenanfragen in der Regel ordentlich beantworten. Schulen und Unternehmen sensibilisieren Sie Ihre Mitarbeiter entsprechend. Grund für das sechsstellige Bußgeld des Lieferdienstes waren nicht nur die einzelnen Verstöße, sondern auch, dass gerade diese Prozesse nicht vorlagen bzw. nachweisbar waren.

Auskunftsersuchen richtig bearbeiten

Bei einem Auskunftsersuchen müssen Sie neben der Identität der betroffenen Person prüfen, ob und an welchen Stellen Sie von ihr personenbezogene Daten verarbeiten. Wenn Sie personenbezogene Daten der betroffenen Person verarbeiten, müssen Sie darlegen,

  • welche Kategorien von Daten Sie verarbeiten.
  • zu welchem Zweck Sie die Daten verarbeiten.
  • woher die Daten stammen.
  • welche Personen die Daten erhalten.
  • wie lange Sie die Daten speichern.
  • welche Rechte die betroffene Person hat.

Nur in ganz wenigen Ausnahmefällen dürfen Sie die Herausgabe der Informationen verweigern. Dies ist z. B. der Fall, wenn die Auskunft die Rechte anderer Personen beeinträchtigt. Erste Gerichtsurteile zeigen aber, dass der Auskunftsanspruch der betroffenen Person sehr weitreichend ist und an die Ausnahme hohe Anforderungen zu stellen sind.

Mehr Informationen

Mehr Informationen zum Auskunftsanspruch können Sie unserem Blogartikel „Wichtige Urteile zum Auskunftsanspruch nach Art. 15 DS-GVO“ entnehmen. Urteilen im Zusammenhang mit dem Auskunftsrecht finden Sie in unserer Rechtsprechungsübersicht.

Löschersuchen richtig bearbeiten

Betroffene Personen dürfen zwar jederzeit verlangen, dass Sie ihre Daten löschen. Eine Löschpflicht besteht aber nicht automatisch. Sie sind lediglich verpflichtet, das Löschersuchen der betroffenen Person zu prüfen. Hierzu gehört auch die Überprüfung, ob überhaupt ein Löschgrund im Sinne von Art. 17 Abs. 1 DS-GVO vorliegt. Das ist immer dann der Fall, wenn eine Verarbeitung für den verfolgten Zweck nicht mehr notwendig ist, die Einwilligung zur Datenverarbeitung widerrufen wurde oder die Daten unrechtmäßig verarbeitet wurden. Der Katalog an Löschgründen ist in der DS-GVO klar vorgeben. Nur wenn ein solcher Grund vorliegt, müssen die Daten gelöscht werden, sofern keine Ausnahme gegen die Löschung spricht (wie z. B. die Ausübung der freien Meinungsäußerung, die Erfüllung einer gesetzlichen Pflicht oder die Abwehr von rechtlichen Ansprüchen). Eine Antwort müssen Sie der betroffenen Person aber in jedem Fall geben. Entweder erklären Sie ihr, warum keine Löschpflicht besteht, oder Sie bestätigen ihr – am besten mit Nachweis – die Löschung ihrer Daten.

Mehr Informationen

Mehr Informationen zu Urteilen zu Löschpflichten können Sie unserer Rechtsprechungsübersicht und zu Bußgeldern wegen Verletzung der Löschpflichten unserer Bußgeldübersicht  entnehmen.

Folgen des Widerrufs

Beruht die Verarbeitung der personenbezogenen Daten auf einer Einwilligung, hat die betroffene Person jederzeit das Recht, ihre ursprünglich gegebene Einwilligung zurückzunehmen. Sie müssen die Verarbeitung ihrer Daten dann unverzüglich einstellen. Im Falle der Werbung bedeutet das, dass sie der Person eben keine Werbung mehr zusenden dürfen, im Falle von Mitarbeiterbildern auf der Homepage müssen Sie diese von der Seite nehmen etc.

Folgen des Widerspruchs

Beruht die Verarbeitung personenbezogener Daten auf der Wahrnehmung öffentlicher Aufgaben oder dem überwiegenden berechtigten Interesse, haben betroffene Personen das Recht, der Datenverarbeitung zu widersprechen. Im Falle eines Widerspruchs müssen Sie eine ganz konkret auf den Einzelfall bezogene Interessenabwägung durchführen. Hierbei werden die Rechte und Freiheiten der betroffenen Person und zwingende schutzwürdige Interessen des Unternehmens in die Waagschale geworfen. Überwiegen Ihre Interessen, müssen Sie die Verarbeitung nicht einstellen. Fällt die Interessenabwägung zugunsten der betroffenen Person aus, müssen Sie die Verarbeitung hingegen einstellen, außer die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Antworten müssen Sie der betroffenen Person aber auch hier wieder in jedem Fall nach den oben erläuterten Grundregeln.

Beschwerderecht bei der Aufsichtsbehörde – das schwebende Damoklesschwert

Damit Unternehmen die umfassenden Rechte der betroffenen Personen nicht ignorieren, hat die DS-GVO betroffene Personen zusätzlich mit einem wirksamen Druckmittel ausgestattet. Betroffene Personen dürfen sich nämlich jederzeit bei der zuständigen Aufsichtsbehörde beschweren. Die Aufsichtsbehörde ist dann verpflichtet, der Beschwerde nachzugehen. Reagiert die Behörde nicht innerhalb von drei Monaten, riskiert sie eine sog. Untätigkeitsklage.

Dieses spezielle Beschwerderecht hat den Stein auch bei dem besagten Lieferdienst ins Rollen gebracht. Die Berliner Beauftragte für Datenschutz und Informationssicherheit ist nämlich mehreren Beschwerden von betroffenen Kunden nachgegangen – mit dem bekannten verheerenden Ergebnis für den Lieferdienst: Er hat ein Bußgeld in sechsstelliger Höhe zu zahlen, muss entsprechende Prozesse schaffen, um entsprechende Anfragen künftig richtig zu bearbeiten, und hat durch die Veröffentlichung des Bußgelds in den Medien mit einem immensen Imageschaden zu kämpfen.

Drei Fragen aus dem Betriebsalltag zu Betroffenenrechten

Eine anerkannte maximale Speicherfrist gibt es für Kundenkonten derzeit nicht. Es gilt daher der allgemeine Grundsatz der DS-GVO, wonach die Daten zu löschen sind, wenn sie für die Erreichung des Zwecks, für den sie erhoben wurden, nicht mehr notwendig sind. Ein Kundenkonto wird in der Regel angelegt, damit der Kunde bei seinen nächsten Bestellungen seine individuellen Stammdaten nicht erneut eingeben muss und Rückfragen zu einer Bestellung über die Bestellhistorie leicht zu beantworten sind. Die Löschfrist bezieht sich daher auf zwei unterschiedliche Parameter: auf einzelne Bestellungen und das gesamte Kundenkonto. Wie lange die Löschfrist konkret ist, hängt von den unternehmensinternen Prozessen ab. Hat der Kunde innerhalb der gesetzlichen Gewährleistungsfrist kein weiteres Produkt mehr bestellt, bestehen starke Anhaltspunkte dafür, dass zurzeit kein weiteres Interesse an den Produkten der Firma besteht.

Wichtig ist, dass Sie als Unternehmen definieren, wann das Kundenkonto gelöscht wird, und Ihre Entscheidungsgründe für die Festlegung Ihrer Löschfrist dokumentieren. Aktuell liegt der Fokus in der Rechtspraxis auf Beschwerden wegen nicht vorhandener Löschfristen. Für zu lange Löschfristen gibt es derzeit noch kein belastbares Material.

Datenschutzrechtlich ist für Werbemaßnahmen keinesfalls immer eine Einwilligung notwendig. Im Gegenteil: Werbung ist in den Erwägungsgründen der DS-GVO sogar explizit als ein berechtigtes Interesse genannt, das die Schutzinteressen der betroffenen Personen überwiegen kann. Mit einer sauberen Interessenabwägung können die meisten Werbemaßnahmen deshalb ohne Einwilligung der Werbeadressaten durchgeführt werden. Der Adressat darf aber künftigen Werbemaßnahmen widersprechen. Aber Achtung: Außerhalb der klassischen Briefkastenwerbung fordert das deutsche Wettbewerbsrecht für fast jeden Werbekanal eine Einwilligung des Werbeadressaten – sowohl bei Privatpersonen als auch Unternehmern. Ohne diese wettbewerbsrechtliche Einwilligung handelt es sich um eine abmahnfähige unzumutbare Belästigung.

Eine gesetzlich vorgeschriebene Aufbewahrungspflicht gibt es für Betroffenenanfragen – auch im Rahmen der Rechenschaftspflicht der DS-GVO – nicht. Nach der bayerischen Aufsichtsbehörde ist nicht einmal eine Speicherung der Daten erforderlich, wenn der Prozess als solcher etabliert und dokumentiert ist. Jedoch haben betroffene Personen auch ein Recht auf Schadensersatz, wenn sie durch die Verletzung ihrer Rechte einen materiellen oder immateriellen Schaden erleiden. Deshalb ist eine Speicherung der Anfrage und Ihrer Antwort grundsätzlich für eine gewisse Zeitspanne empfehlenswert. In Deutschland beträgt die Verjährungsfrist für solche Ansprüche drei Jahre, woran sich die Löschfrist orientieren kann. Es ist aber das Klagerisiko im Einzelfall entsprechend zu berücksichtigen.

Mehr Informationen

Mehr Informationen zu Urteilen zum Schadensersatz auch im Hinblick auf das Auskunfstrecht können Sie unserer Rechtsprechungsübersicht entnehmen.