Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

Rech­te der Betroffenen

Rech­te der Betrof­fe­nen: Kön­nen Sie die­se 4 Fra­gen beant­wor­ten? Hier fin­den Sie mehr Informationen.

Rech­te der Betrof­fe­nen: der Überblick

Als Unter­neh­men müs­sen Sie zahl­rei­che Geset­ze befol­gen und Auf­la­gen umset­zen — das ist auch im Daten­schutz nicht anders. Die Betrof­fe­nen­rech­te bil­den die Basis für die Gel­tend­ma­chung der Infor­ma­tio­nel­len Selbst­be­stim­mung gegen­über pri­va­ten und öffent­li­chen Unternehmen.

Was sind die Betrof­fe­nen­rech­te eigent­lich genau und wie detail­liert müs­sen die­se im Unter­neh­men umge­setzt wer­den? Auf die­ser Sei­te fin­den Sie Ant­wor­ten zu dem The­men­ge­biet und der Umsetzung.

Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine pass­ge­naue Umset­zung neh­men Sie ger­ne Kon­takt auf.

Inhalte 

Betrof­fe­nen­rech­te: Das Fundament

Wenn die Betrof­fe­nen­rech­te nicht oder nicht voll­stän­dig umge­setzt wer­den: Haben Sie die dahin­ter­lie­gen­den Pflich­ten, wie zum Bei­spiel das Ver­zeich­nis der Verarbeitungs­tätigkeiten oder die Informations­pflichten Ihres Unter­neh­mens bereits dokumentiert?

Beach­ten Sie mög­li­che Sanktionen!

Was ist, wenn die Daten­ver­ar­bei­tung durch eine Auf­sichts­be­hör­de Ihre Geschäfts­pro­zes­se unter­sagt oder Geld­bu­ßen auf­er­legt werden?

Die Höhe vari­iert sicher­lich von Unter­neh­men und dem Risi­ko der Ver­ar­bei­tung, aber Ver­feh­lun­gen kön­nen schnell recht teu­er wer­den (2 % vom Vorjahres­umsatz oder 10.000.000 Euro, je nach­dem was höher ist). Aber so weit wird es hof­fent­lich nicht kom­men. So lie­gen übli­che Geld­bus­sen für nicht erfolg­te, ver­spä­te­te oder nicht voll­stän­dig erfolg­te Aus­kunfts­er­su­chen bei ca. 5.000 EUR. Meist sind feh­len­de Pro­zes­se im Unter­neh­men die Ursache.

Betrof­fe­nen­rech­te: Wofür soll das gut sein?

Der Gesetz­ge­ber hat vor­ge­se­hen, dass das jewei­li­ge Unter­neh­men in der Lage sein, muss, die Rech­te der Betrof­fe­nen inner­halb eines kur­zen Zeit­rau­mes erfül­len zu kön­nen. Eine inten­si­ve Auseinander­setzung aus einer Datenschutz­sicht ist erfor­der­lich, um die gesetz­li­chen Anfor­de­run­gen erfül­len zu können.

Meist fal­len dann schon bei der Ist-Auf­nah­me Abläu­fe auf, die in der Ver­gan­gen­heit nicht kor­rekt gemacht wor­den sind. Man­che Unter­neh­men haben ihre Daten­flüs­se oder alle Emp­fän­ger selbst nicht dokumentiert.

Den­ken Sie an die Nachweispflicht!

Betrof­fe­nen­an­fra­gen sind kom­plett zu doku­men­tie­ren und für drei Jah­re auf­zu­he­ben. Nur dann kön­nen Sie nach­wei­sen, dass Sie den gesam­ten Pro­zess fach­ge­recht umge­setzt wer­den. Eine zen­tra­le Doku­men­ta­ti­on inklu­si­ve den Kon­zep­ten, wie zum Bei­spiel Zugriffs­ma­nage­ment und Löschung sind erforderlich.

Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­lei­tung: Machen wir im Daten­schutz alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Daten­schutz­be­auf­trag­ten die fol­gen­den Fra­gen und las­sen sich ent­spre­chen­de Nach­wei­se vorlegen.

compliance-im-datenschutz

Sie wol­len in 4 Schrit­ten die Rech­te der Betrof­fe­nen umset­zen? Fin­den Sie hier wei­te­re Informationen.

Sie wün­schen eine direk­te Kon­takt­auf­nah­me und haben ein paar Fra­gen, die ggf. schnell beant­wor­tet wer­den können?

In 4 Schrit­ten zu der Gel­tend­ma­chung der Rech­te der Betroffenen

Nach­fol­gend zei­ge ich Ihnen die 4 Schrit­te, wie Sie in Ihrem Unter­neh­men die Betrof­fe­nen­rech­te erstel­len, aktu­ell hal­ten und der Auf­sichts­be­hör­de zukom­men lassen.

Schritt 1: Holen Sie einen Spe­zia­lis­ten an Bord — schnel­ler geht es nicht.

Zunächst holen Sie sich einen Spe­zia­lis­ten, der seit vie­len Jah­ren nichts ande­res macht. Mit einem gerin­gen Zeit­auf­wand bei Ihren inter­nen Fach­be­rei­chen wer­den die erfor­der­li­chen Infor­ma­tio­nen abge­fragt, um Betrof­fe­nen­be­geh­ren fach­ge­recht begeg­nen zu können.

Beach­ten Sie das Risi­ko für die betrof­fe­nen Personen!

Der Umfang der Betrof­fen­be­geh­ren ist abhän­gig von der Kom­ple­xi­tät der Ver­ar­bei­tung und dem Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen. Grund­sätz­lich gilt: Je höher der Schutz­be­darf der Daten der betrof­fe­nen Per­so­nen, des­to prä­zi­ser und umfang­rei­cher sind die Pro­zes­se und die Doku­men­te zu erstellen.

Das Wis­sen für die Erstel­lung einer fach­ge­recht erstell­ten Doku­men­ta­ti­on soll­ten Sie nicht durch inter­ne Beschäf­tig­te ohne Unter­stüt­zung auf­bau­en. Die­se Erfah­rung ist neben­be­ruf­lich nur schwer zu erlangen.

Schritt 2. Fest­le­gung des Meldeprozesses

Dann legen Sie fest, in wel­cher Form die Infor­ma­ti­ons­pflich­ten und Anfra­gen von Betrof­fe­nen in Ihrem Unter­neh­men ent­ge­gen­ge­nom­men wer­den sol­len. Grund­sätz­lich gilt: Sor­gen Sie für eine zen­tra­le Koor­di­nie­rung, um die Anfra­gen über alle Fach­be­rei­che steu­ern und kon­so­li­die­ren zu können.

erstel­lung von Dokumentenvorlagen

Um zum Bei­spiel eine Aus­kunft von betrof­fe­nen Per­so­nen zeit­nah erstel­len und fach­ge­recht beant­wor­ten zu kön­nen, soll­ten Vor­la­gen für die unter­schied­li­chen Ziel­grup­pen erstellt wer­den. Dies könn­te erfol­gen für Beschäf­tig­te, Bewer­ber, Kun­den und Geschäfts­part­ner oder Interessenten.

Schritt 3: umsetzung

Nach der Erstel­lung des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten sind Sie ver­pflich­tet, den betrof­fe­nen Per­so­nen die Infor­ma­ti­ons­pflich­ten zur Ver­fü­gung zu stel­len. Soll­ten Sie dann Anfra­gen oder Gesu­che von betrof­fe­nen Per­so­nen erhal­ten, müs­sen Sie fol­gen­de Schrit­te umsetzen:

Schritt 4: kon­ti­nu­ier­li­che Verbesserung

Sie müs­sen jetzt noch einen Pro­zess ein­rich­ten, um nach­zu­wei­sen, dass der gesam­te Pro­zess zur Hand­ha­bung der Rech­te von Betrof­fe­nen auch aktu­ell bleibt.

Jede Ver­än­de­rung der Ver­zeich­nis­se der Ver­ar­bei­tungs­tä­tig­kei­ten kann auch Ver­än­de­run­gen in der Umset­zung der Rech­te der Betrof­fe­nen erge­ben. Ergän­zen Sie in der Über­sicht der Ver­ar­bei­tungs­tä­tig­kei­ten ein Datum für die Wie­der­vor­la­ge - auch für die Umset­zung der Rech­te der betrof­fe­nen Personen.

Blei­ben Sie aktuell 

Eine regel­mä­ßi­ge Sich­tung der Pro­zes­se zur Hand­ha­bung der Rech­te der Betrof­fe­nen ist erforderlich. 

Doku­men­tie­ren Sie sämt­li­che Anwei­sun­gen in einem Daten­­­schutz-Han­d­­buch oder in einer Daten­schutz­richt­li­nie und füh­ren Sie ein jähr­li­ches Review durch.

Beant­wor­tung der Rech­te der Betrof­fe­nen — Wie kom­me ich über­haupt dahin?

Bevor Sie in der Lage sind, die Rech­te der Betrof­fe­nen zu erfül­len, benö­ti­gen Sie ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten. Wenn Sie nicht wis­sen, in wel­chen Fach­be­rei­chen ver­ar­bei­tet wird, dann kön­nen Sie auch die gesetz­li­chen Anfor­de­run­gen nicht erfül­len. Dar­aus erge­ben sich dann die Infor­ma­ti­ons­pflich­ten, die Sie den betrof­fe­nen Per­so­nen zur Ver­fü­gung stel­len müssen.

Je umfang­rei­cher die Geschäfts­prozesse und je höher der Schutz­be­darf der Daten der Betrof­fe­nen sind, des­to wich­ti­ger wird es, die Risiko­bewertung der Verarbeit­ungen aus Sicht der Betrof­fe­nen zu erstel­len. Das ist zwar sowie­so eine erfor­der­li­che Notwendig­keit, aber nur, wenn man dar­le­gen kann, wie man das Risi­ko für Betrof­fe­ne bewer­tet hat, kann man sich auf die wirk­lich erforder­lichen Punk­te fokussieren.

Cle­ver sein — Die Rech­te der betrof­fe­nen Per­so­nen effi­zi­ent und pra­xis­nah gestalten

Ich unter­stüt­ze Sie bei der Erstel­lung Ihrer Doku­men­ta­ti­on. Nut­zen Sie mei­ne mehr­jäh­ri­ge Exper­ti­se, um zügig die Rech­te der Betrof­fe­nen zu erfül­len.

Buchen Sie ein ent­spre­chen­des Modul oder mei­ne punk­tu­el­le Unter­stüt­zung. Ich bie­te Ihnen die Doku­men­ta­ti­on in Ihrem Ziel­sys­tem. Nach mei­ner Erfah­rung ist die Inter­view­tech­nik die effi­zi­en­tes­te Metho­de, um zügig zu der ers­ten Ver­si­on zu kom­men. Die Bera­tung kann bei Ihnen vor Ort oder per Video­kon­fe­renz erfol­gen. 

Als Daten­schutz­be­auf­trag­ter ist die Unter­stüt­zung bei der Erfül­lung der Betrof­fe­nen­rech­te fes­ter Bestandteil.

Häu­fig gestell­te Fra­gen zu den Rech­ten Betroffener

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten regel­mä­ßig ver­ar­bei­tet, hat die gesetz­li­che Pflicht, die Rech­te der betrof­fe­nen Per­so­nen zu erfül­len. Da immer noch viel Unsi­cher­heit in die­sem The­ma besteht, fin­den Sie hier ein Ant­wor­ten auf häu­fi­ge Fra­gen. Das The­ma ist aber so umfang­reich, dass nicht auf alle Fra­gen ein­ge­gan­gen wer­den kann.

Wer ist Betrof­fe­ner im Sin­ne des Datenschutzes?

Als „Betrof­fe­ne“ oder „Betrof­fe­ner“ wer­den natür­li­che, leben­de Per­so­nen genannt, die direkt oder über eine Ken­nung iden­ti­fi­zier­bar wer­den. Wenn ein Ver­ant­wort­li­cher Daten der Betrof­fe­nen ver­ar­bei­tet, muss er im Rah­men der Erhe­bung bzw. Nut­zung der per­so­nen­be­zo­ge­nen Daten eine Infor­ma­ti­on über die Art und den Umfang der Daten­ver­ar­bei­tung kos­ten­los und trans­pa­rent in der jewei­li­gen Lan­des­spra­che zur Ver­fü­gung stellen.

Wel­che Rech­te hat ein Betrof­fe­ner gegen­über dem Verantwortlichen?

Jede betrof­fe­ne Per­son hat ein Recht auf die infor­ma­tio­nel­le Selbst­be­stim­mung. Dafür hat die DSGVO fol­gen­de Rech­te und Pflich­ten etabliert.

a) Recht auf Auskunft

b) Recht auf Berich­ti­gung feh­ler­haf­ter oder unvoll­stän­di­ger Daten

c) Recht auf Löschung / Vergessenwerden

d) Recht auf Ein­schrän­kung der Verarbeitung 

e) Recht auf Datenübertragbarkeit

f) Recht auf Widerspruch

g) Recht auf Wider­ruf einer Einwilligung

h) Recht auf eine nicht aus­schließ­li­che auto­ma­ti­sier­te Ent­schei­dung im Ein­zel­fall ein­schließ­lich Profiling

i) Recht auf Infor­ma­ti­on bei einer Daten­schutz­ver­let­zung, wenn hohe Risi­ken für die betrof­fe­nen Per­so­nen drohen

j) Recht auf Infor­ma­ti­on über eine Datenverarbeitung

Jedes Recht bringt eine Fül­le von Anfor­de­run­gen mit sich, die ggf. im Ein­zel­fall auf die betrof­fe­ne Per­son und den jewei­li­gen Geschäfts­pro­zess anzu­wen­den sind.

Wann besteht kein Anspruch auf Löschung per­so­nen­be­zo­ge­ner Daten?

Ein Antrag auf Löschung ist ggf. nicht erforderlich,

  • - wenn die Daten erfor­der­lich sind, zum Bei­spiel um einen Ver­trag durchzuführen
  • - zur Aus­übung des Rechts auf freie Meinungsäußerung
  • - zur Erfül­lung einer recht­li­chen Ver­pflich­tung oder
  • - der Gel­tend­ma­chung, Aus­übung oder Ver­tei­di­gung von Rechtsansprüchen
Was beinhal­tet das Recht auf Information?

Unter Trans­pa­renz ver­steht die DSGVO nicht, dass jeder die ihm zuste­hen­de Infor­ma­ti­on erst bekommt, wenn er danach fragt. Sie sieht schon im Vor­feld umfang­rei­che Infor­ma­tio­nen vor, die der Ver­ant­wort­li­che bereit­stel­len muss. Hier­bei unter­schei­det die Grund­ver­ord­nung zwischen

  1. der Erhe­bung unmit­tel­bar bei der betrof­fe­nen Per­son, wie sie zum Bei­spiel am Mes­se­stand oder bei einem Gewinn­spiel üblich ist, und
  2. der Erhe­bung bei jemand ande­rem, etwa wenn es sich um gekauf­te Adress­be­stän­de han­delt.
    Sie kön­nen dar­auf ver­zich­ten, die betrof­fe­ne Per­son zu infor­mie­ren, wenn die­se bereits über alle Infor­ma­tio­nen ver­fügt, die die DSGVO nennt.

Erhe­ben Sie die Daten nicht direkt bei der betrof­fe­nen Per­son, kann die Infor­ma­ti­on eben­falls entfallen,

  1. wenn es unmög­lich ist, sie zu infor­mie­ren, etwa weil Sie kei­ner­lei Kon­takt­da­ten haben, oder
  2. wenn die Infor­ma­ti­on einen unver­hält­nis­mä­ßi­gen Auf­wand dar­stel­len würde.

Ver­zich­tet der Ver­ant­wort­li­che auf die Infor­ma­ti­on, ist es rat­sam, die Grün­de nach­voll­zieh­bar zu doku­men­tie­ren. Schließ­lich dro­hen bei einem Ver­stoß Buß­gel­der von bis zu 20.000.000 € oder 4 % des Jahresumsatzes.

Geht es um Daten, die der Kom­mu­ni­ka­ti­on mit der betrof­fe­nen Per­son die­nen, muss die Infor­ma­ti­on spä­tes­tens zum Zeit­punkt der ers­ten Mit­tei­lung erfolgen.

Was müs­sen Auf­trags­ver­ar­bei­ter beachten?

Wenn Auf­trags­ver­ar­bei­ter ein Gesuch von Betrof­fe­nen erhal­ten, muss zunächst geprüft wer­den, wer der Ver­ant­wort­li­che der Daten­ver­ar­bei­tung ist. Wenn der Auf­trag­ge­ber des Auf­trags­ver­ar­bei­ters ist, muss das Gesuch unver­züg­lich an den Ver­ant­wort­li­chen über­mit­telt wer­den, damit die­ser sei­nen gesetz­li­chen Pflich­ten nach­kom­men kann.

Wie prüft man die Iden­ti­tät bei Anfra­gen von Betroffenen?

Der Ver­ant­wort­li­che muss sicher­zu­stel­len, dass per­so­nen­be­zo­ge­ne Aus­künf­te nur von berech­tig­ten Per­so­nen gestellt wer­den dürfen.

Der Ver­ant­wort­li­che ver­ge­wis­sert sich also der Iden­ti­tät des/der Anfra­gen­den. Grund­sätz­lich gilt: Je sen­si­bler die Daten, des­to grö­ßer muss die Gewiss­heit der Iden­ti­tät sein.

Es gibt aber kei­ne Stan­dard­ant­wort. Je nach Geschäfts­pro­zess und Ziel­grup­pe legt der Ver­ant­wort­li­che fest, wel­che Infor­ma­tio­nen die betrof­fe­ne Per­son schrift­lich zur Ver­fü­gung stel­len muss, damit z. B. das Aus­kunfts­er­su­chen beant­wor­ten zu können.

Münd­li­che Anfra­gen soll­ten nicht beant­wor­tet wer­den. Las­sen Sie sich den Antrag schrift­lich oder in Text­form von einer Ihnen bekann­ten Adres­se (z. B. die bereits bekann­te E‑Mail-Adres­se) schicken.

Wie kön­nen Aus­künf­te zur Per­son erteilt werden?

Ertei­len Sie die Aus­kunft schrift­lich, in Text­form oder, auf Ver­lan­gen der betrof­fe­nen Per­son, auch münd­lich, sofern die Iden­ti­tät zwei­fels­frei geprüft wurde. 

Die Aus­kunft nach Art. 15 ist sehr umfang­reich. Bei einem münd­li­chen Aus­kunfts­ver­fah­ren ist jedoch die Nach­weis­pflicht zu beachten.

Übli­cher­wei­se ist bei einer Aus­kunft in Schrift- oder Text­form die Ant­wort und ggf. der Kopie der Daten in glei­cher Art und Wei­se an die betrof­fe­ne Per­son zu über­mit­teln. Ange­mes­se­ne Sicher­heits­an­for­de­run­gen müs­sen dabei gemes­sen am Schutz­be­darf ein­ge­hal­ten werden.

Was beinhal­tet die Informationspflicht?

Durch die Infor­ma­tio­nen zum Daten­schutz erhal­ten die Betrof­fe­nen die Infor­ma­tio­nen, ob und wenn ja, wel­che per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den. Dazu gehö­ren fol­gen­de Infor­ma­tio­nen, die pro Ziel­grup­pe und Ver­ar­bei­tungs­tä­tig­keit erstellt wer­den müssen:

- Name und Kon­takt­da­ten des Ver­ant­wort­li­chen und gege­be­nen­falls sei­nes Ver­tre­ters
- Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten
- Zwe­cke, für die die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den
- Rechts­grund­la­ge der Ver­ar­bei­tung
- Berech­tig­te Inter­es­sen, die von dem Ver­ant­wort­li­chen oder einem Drit­ten ver­folgt wer­den (bei der Rechts­grund­la­ge “Berech­tig­tes Inter­es­se”)
- Emp­fän­ger oder Kate­go­rien von Emp­fän­gern der per­so­nen­be­zo­ge­nen Daten
- Gege­be­nen­falls die Absicht des Ver­ant­wort­li­chen, die per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder eine inter­na­tio­na­le Orga­ni­sa­ti­on zu über­mit­teln sowie die dazu­ge­hö­ri­gen Garan­tien
- Dau­er, für die die per­so­nen­be­zo­ge­nen Daten gespei­chert wer­den oder, falls dies nicht mög­lich ist, die Kri­te­ri­en für die Fest­le­gung die­ser Dau­er
- Bestehen eines Rechts auf Aus­kunft sei­tens des Ver­ant­wort­li­chen über die betref­fen­den per­so­nen­be­zo­ge­nen Daten sowie auf Berich­ti­gung oder Löschung oder auf Ein­schrän­kung der Ver­ar­bei­tung oder eines Wider­spruchs­rechts gegen die Ver­ar­bei­tung sowie des Rechts auf Daten­über­trag­bar­keit
- Bestehen eines Beschwer­de­rechts bei einer Auf­sichts­be­hör­de
- Quel­le, aus der die per­so­nen­be­zo­ge­nen Daten stam­men und gege­be­nen­falls, ob sie aus öffent­lich zugäng­li­chen Quel­len stam­men (bei einer indi­rek­ten Erhe­bung)
- Bestehen einer auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Pro­fil­ing und aus­sa­ge­kräf­ti­ge Infor­ma­tio­nen über die invol­vier­te Logik sowie die Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen einer der­ar­ti­gen Ver­ar­bei­tung für die betrof­fe­ne Person

Was beinhal­tet das Auskunftsrecht?

Mit dem Aus­kunfts­recht erhält die betrof­fe­ne Per­son die Grund­la­ge, um wei­te­re Betrof­fe­nen­rech­te (wie das Recht auf Berich­ti­gung, Löschung, Ein­schrän­kung der Ver­ar­bei­tung, aber auch das Wider­spruchs­recht) gel­tend machen zu können.

Die betrof­fe­ne Per­son erhält eine Aus­kunft dar­über, ob der Ver­ant­wort­li­che über­haupt bezo­ge­ne Daten der Per­son ver­ar­bei­tet und wenn ja, wel­che. Hier­von umfasst sind alle Daten und Infor­ma­tio­nen mit Bezug zu Ihrer Per­son (Art. 4 Abs. 1 Nr. 1 DSGVO), die beim Ver­ant­wort­li­chen vor­han­den sind. Das sind im Einzelnen:

  • - die Verarbeitungszwecke
  • - die Kate­go­rien per­so­nen­be­zo­ge­ner Daten, die ver­ar­bei­tet werden
  • - die Emp­fän­ger oder Kate­go­rien von Emp­fän­gern, gegen­über denen die per­so­nen­be­zo­ge­nen Daten offen­ge­legt wor­den sind oder noch offen­ge­legt wer­den, ins­be­son­de­re bei Emp­fän­gern in Dritt­län­dern oder bei inter­na­tio­na­len Organisationen
  • - falls mög­lich die geplan­te Dau­er, für die die per­so­nen­be­zo­ge­nen Daten gespei­chert wer­den, oder, falls dies nicht mög­lich ist, die Kri­te­ri­en für die Fest­le­gung die­ser Dauer
  • - das Bestehen eines Rechts auf Berich­ti­gung oder Löschung der sie betref­fen­den per­so­nen­be­zo­ge­nen Daten oder auf Ein­schrän­kung der Ver­ar­bei­tung durch den Ver­ant­wort­li­chen oder eines Wider­spruchs­rechts gegen die­se Verarbeitung
  • - das Bestehen eines Beschwer­de­rechts bei einer Auf­sichts­be­hör­de;
    wenn die per­so­nen­be­zo­ge­nen Daten nicht bei der betrof­fe­nen Per­son erho­ben wer­den, alle ver­füg­ba­ren Infor­ma­tio­nen über die Her­kunft der Daten
  • - das Bestehen einer auto­ma­ti­sier­ten Ent­schei­dungs­fin­dung ein­schließ­lich Pro­fil­ing und – zumin­dest in die­sen Fäl­len – aus­sa­ge­kräf­ti­ge Infor­ma­tio­nen über die invol­vier­te Logik sowie die Trag­wei­te und die ange­streb­ten Aus­wir­kun­gen einer der­ar­ti­gen Ver­ar­bei­tung für die betrof­fe­ne Person.
  • - Wer­den per­so­nen­be­zo­ge­ne Daten an ein Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on über­mit­telt, eine Infor­ma­ti­on über die geeig­ne­ten Garan­tien im Zusam­men­hang mit der Über­mitt­lung unter­rich­tet zu werden.

Das Aus­kunfts­recht bezieht sich also nicht nur auf soge­nann­te Stamm­da­ten wie etwa Name, Adres­se und Geburts­da­tum, son­dern z. B. auch auf die mit Ihnen geführ­te Kom­mu­ni­ka­ti­on und inter­ne Ver­mer­ke des Ver­ant­wort­li­chen , soweit die­se per­so­nen­be­zo­ge­ne Daten von Ihnen enthalten.

Häu­fig ergibt sich Inhalt und Sinn von Infor­ma­tio­nen, die sich auf eine betrof­fe­ne Per­son bezie­hen, auch erst aus dem Ver­ar­bei­tungs­kon­text (Bei­spiel: Kor­re­spon­denz zwi­schen Ver­ant­wort­li­chem und betrof­fe­ner Per­son). In die­sem Fall sind üblich­wei­se die ent­spre­chen­den Doku­men­te voll­stän­dig (in Kopie) herauszugeben.

Die Inan­spruch­nah­me des Aus­kunfts­rechts ist grund­sätz­lich kostenlos.

Wird dem Betrof­fe­nen eine Kopie der ver­ar­bei­te­ten Daten über­mit­telt, gilt dies aller­dings nur für die ers­te Kopie. Bei offen­kun­dig unbe­grün­de­ten oder exzes­si­ven Anfra­gen kann ent­we­der ein Ent­gelt ver­langt oder die Ertei­lung einer Aus­kunft ver­wei­gert wer­den. Dabei ist ein stren­ger Maß­stab anzulegen.

Das Recht aus Aus­kunft nach Art. 15 DSGVO wird nicht gren­zen­los gewährt. Bei der Gewäh­rung der Aus­kunft müs­sen u. a. die Rech­te und Frei­hei­ten ande­rer Per­so­nen beach­tet werden. 

Der Ver­ant­wort­li­che darf die Aus­kunft regel­mä­ßig aber nicht voll­stän­dig ver­wei­gern, son­dern muss bei­spiels­wei­se die Namen drit­ter Per­so­nen in Doku­men­ten schwär­zen, um ihre Iden­ti­tät nicht zu offenbaren.

Wei­te­re Ein­schrän­kun­gen des Aus­kunfts­rechts kön­nen sich aus ande­ren Geset­zen ergeben.

Auch bei per­so­nen­be­zo­ge­nen Daten, die nur noch auf­grund von Auf­be­wah­rungs­pflich­ten gespei­chert wer­den (z. B. nach dem Steu­er- oder Han­dels­recht) oder die der Daten­schutz­kon­trol­le oder Daten­si­che­rung (z. B. Pro­to­koll- oder Archiv­da­ten) die­nen, besteht dann kein Aus­kunfts­an­spruch, wenn die Ertei­lung der Aus­kunft einen unver­hält­nis­mä­ßi­gen Auf­wand erfor­dert und die Zweck­bin­dung durch geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men sicher­ge­stellt wird.

 

Was kann ich tun, wenn die Aus­kunft ver­wei­gert wird?

Wird die Aus­kunft ver­wei­gert oder bestehen Zwei­fel haben, ob die Aus­kunft nicht fach­ge­recht erteilt wor­den ist, wen­den Sie sich an die zustän­di­ge Daten­schutz­auf­sichts­be­hör­de wen­den. Fügen Sie Ihren Schrift­wech­sel mit dem Ver­ant­wort­li­chen in Kopie bei. Eine Lis­te der Auf­sichts­be­hör­den fin­den Sie unter dem Link .

Wie kann ich die Löschung mei­ner Daten verlangen?

Sie kön­nen die Löschung Ihrer Daten gegen­über dem Ver­ant­wort­li­chen in Schrift- oder Text­form (z. B. per Brief oder E‑Mail) ver­lan­gen. Der Ver­ant­wort­li­che muss unver­züg­lich, spä­tes­tens inner­halb eines Monats, reagieren.

Wenn Sie eine pro­fes­sio­nel­le Unter­stüt­zung im Bereich der Betrof­fe­nen­rech­te suchen, soll­ten wir uns kennenlernen!

Fin­den Sie hier eine Aus­wahl von Dienst­leis­tun­gen und Pro­duk­ten.
Mit einen Klick auf die Schalt­flä­che erhal­ten Sie mehr Informationen

Daten­schutz­berater DSGVO

Mit einer moder­nen Bera­tung im Bereich Daten­­schutz und Informations­sicherheit spa­ren Sie inter­ne Res­sour­cen und set­zen Ihr Pro­jekt zeit­nah um. Ich bie­te stunden­weise eine Daten­schutz­beratung von A‑Z.

Daten­schutz­beauftragter DSGVO

Als exter­ner Datenschutz­­­beauftragter bie­te ich Ihnen einen Rund-um-Sup­port nach den gesetz­lichen Vor­ga­ben und mit diver­sen Zusatz­dienst­leist­ungen. Nut­zen Sie vom ers­ten Tag an mei­ne lang­­jährige Erfahrung. 

Infor­mations­sicher­heits­beauf­tragter

Ich bera­te Sie in allen Berei­chen der Infor­mations­­sicherheit. Schüt­zen Sie Ihre Daten vor den Gefähr­dungen die­ser Zeit nach dem Stand der Tech­nik nach bewähr­ten Metho­den. Erfül­len Sie die Anfor­de­run­gen des IT-Grundschutzes?

Daten­schutz­kon­for­me Website

Benö­ti­gen Sie regel­mä­ßi­ge Reports über alle Web­sites inkl. Unter­sei­ten, auch in eng­li­scher Spra­che? Hät­ten Sie ger­ne eine akti­ve Infor­ma­ti­on, wenn sich die Rechts­la­ge ändert und Sie aktiv wer­den müs­sen. Ich bie­te pra­xis­na­he Maß­nah­men zur Optimierung!

Video­über­wa­chung DSGVO

Sie pla­nen oder besit­zen eine Video­über­wachungs­anlage im Betrieb? Sie benö­ti­gen mehr Details zu die­sem The­ma? Beach­ten Sie die recht­li­chen Vor­ga­ben. Fin­den Sie hier mehr Infor­ma­tio­nen zur praxis­­nahen Umsetz­ung von Videoüberwachungsanlagen. 

Daten­schutz-Schu­lun­gen DSGVO

Praxis­nahe Schu­lun­gen im Daten­schutz und in der Informations­sicher­heit sind für Unter­neh­men uner­läss­lich. Ich bie­te Prä­sen­z­-Ver­an­s­t­al­t­un­gen, Web­i­na­re und E‑Lear­ning-Kur­se an. Schu­len Sie Ihre Beschäf­tig­ten zielgruppen­genau und pas­send auf Ihr Unternehmen.

“Ich bie­te maß­ge­schnei­der­te Lösun­gen für Unter­neh­men, denen Daten­schutz und Informations­sicherheit wich­tig sind. Ger­ne neh­me ich mir Zeit für eine persön­liche Bera­tung und erstel­le Ihnen unver­bind­lich und kos­ten­los ein auf Sie zuge­schnit­te­nes Angebot. 

 

Ich bevor­zu­ge Unter­neh­men, die Daten­schutz und Infor­mations­sicherheit umset­zen wol­len. Wenn Sie eine kos­ten­güns­ti­ge Bera­tung von der Stan­ge bevor­zugen, pas­sen wir nicht zusammen”.

Kun­den­stim­men

Zufrie­de­ne Kun­den emp­feh­len mei­ne Dienst­leis­tung wei­ter. Über­zeu­gen Sie sich.

IT GROSS­HAN­DEL (Inter­ner DSB) Hamburg

Mit einer hohen datenschutz­rechtlichen, orga­ni­sa­to­ri­schen und sicherheits­relevanten Kom­pe­tenz hat Herr Nie­hoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umset­zung der DSGVO unter­stützt. Das Coa­ching hat sich bezahlt gemacht.

Öffent­li­che Ver­wal­tung (CDO) Lüneburg

Sie schaf­fen es, die­ses The­ma so inter­es­sant zu ver­pa­cken, dass ich trotz­dem am Ende mit einem Lächeln aus den Mee­tings gehe.

IT-Dienst­leis­ter (GF) Hamburg

Nach dem ers­ten Start haben wir schnell gemerkt, dass es ohne pro­fes­sio­nel­le Hil­fe nicht wei­ter­geht. Herr Nie­hoff hat uns hier auf die rich­ti­ge Spur gebracht und wir uns auch in Zukunft wei­ter unter­stüt­zen. Vie­len Dank für die super schnel­le Reak­ti­on und Hil­fe in der Kri­se! Wir freu­en uns auch in Zukunft einen star­ken Part­ner an der Sei­te zu haben! Kars­ten Loren­zen, Geschäfts­füh­rer Test­ex­per­ten KLE GmbH

Let­ter­shop, Hamburg
Lie­ber Herr Nie­hoff, höchs­te Zeit mal Dan­ke zu sagen für die stets promp­te, freund­liche und umfäng­liche Unter­­stützung in allen Daten­schutz­­belangen. Sei es vor Ort im Rah­men von Daten­­schutz­audits oder auch im Rah­men der vertrag­lichen Prü­fun­gen. Für mich ist es sehr wert­voll, dass Sie Ihre Aus­sagen immer auf den Punkt brin­gen, so dass ich intern wie auch extern kom­pe­tent agie­ren kann. Auf eine wei­te­re gemein­same Zusammenarbeit. 
Oli­ver G.(Geschäftsführer, Medi­en, Hamburg)

Ich set­ze regel­mä­ßig digi­ta­le Pro­jek­te mit anspruchs­vol­len Kun­den um. Daten­schutz ist ein not­wen­di­ges Muss. Ich benö­ti­ge daher einen akti­ven DSB, der da ist, wenn ich ihn benö­ti­ge und mit Praxis­wissen zeit­nah zuar­bei­tet. Ich will ein fes­tes Kon­tin­gent und nicht für jeden Hand­schlag zusätz­lich bezah­len. Am Ende wird so etwas meist teu­rer und auf­wän­di­ger in der Abrech­nung. Herr Nie­hoff bringt auf­grund sei­ner Fle­xi­bi­li­tät mein Busi­ness voran.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch uns las­sen Sie über Ihre Daten­schutz­pro­zes­se sprechen.

kontakt-niehoff-systemberatung