Startseite Meine Rechte aus der DS-GVO

Meine Rechte

Meine Rechte aus der Datenschutz-Grundverordnung

 

Die Datenschutz-Grundverordnung (DS-GVO) stärkt die Rechte der betroffenen Person und schafft neue, bisher unbekannte Rechte für sie. Diese Rechte gelten ab dem 25. Mai 2018 unmittelbar gegenüber allen privaten (z. B. einem Unternehmen, einem Verein oder einer Arztpraxis) und den meisten öffentlichen Stellen (z. B. einer Stadtverwaltung; nicht jedoch ggü. z. B. der Polizei, für die die JI-RL (siehe dazu unten) anwendbar ist). Sie können gegenüber dem Verantwortlichen (das ist die Stelle, die die Daten verarbeitet hat) geltend gemacht werden. Die Rechte der betroffenen Person sind in den Artikeln 12 bis 22 DS-GVO niedergelegt. Allerdings haben sowohl der Bund mit §§ 32 bis 37 des neuen Bundesdatenschutzgesetzes (BDSG) als auch Sachsen mit den §§ 7 bis 10 des Sächsischen Datenschutzdurchführungsgesetzes (SächsDSDG) von der Möglichkeit Gebrauch gemacht, bestimmte Rechte etwas einzuschränken. So hat z. B. der Bund das Auskunftsrecht im Hinblick auf Protokollierungsdaten oder Daten, die nur deshalb noch gespeichert werden, weil eine gesetzliche Aufbewahrungsfrist noch nicht abgelaufen ist, eingeschränkt (§ 34 Abs. 1 BDSG neu). Sachsen hat z. B. das Auskunftsrecht ausdrücklich insoweit eingeschränkt, als die personenbezogenen Daten wegen der Rechte und Freiheiten anderer Personen geheim zu halten sind (§ 9 Abs. 1 Nr. 3 SächsDSDG).

Die Rechte der betroffenen Person können alle direkt gegenüber dem Verantwortlichen geltend gemacht werden. Aus Beweisgründen empfiehlt sich eine schriftliche Geltendmachung. 

Ihre Rechte nach der DS-GVO sind im Einzelnen:

 

  1. Transparente Information, Kommunikation und Modalitäten für die Ausübung Ihrer Rechte, Artikel 12 DS-GVO

 

Der Verantwortliche muss Sie über Ihre Rechte klar und einfach informieren und insgesamt die Ausübung Ihrer Rechte vereinfachen, z. B. durch Fristen, innerhalb derer Ihr Ersuchen beantwortet werden muss.

 

Die für Öffentlichkeit oder für Sie bestimmten Informationen sollen präzise, leicht zugänglich und verständlich sowie in einfacher und klarer Sprache abgefasst sein und gegebenenfalls zusätzlich visuelle Elemente enthalten. Solche Informationen können in elektronischer Form bereitgestellt werden, z. B. auf einer Website. Außerdem soll der Verantwortliche Modalitäten festlegen, die die Ausübung Ihrer Rechte erleichtern, z. B. Mechanismen, die dafür sorgen, dass die Löschung Ihrer personenbezogener Daten unentgeltlich beantragt und durchgeführt werden kann.

 

  1. Informationspflicht bei Erhebung von personenbezogenen Daten bei Ihnen, Artikel 13 DS-GVO

 

Der Verantwortliche muss Ihnen zum Zeitpunkt der Erhebung Ihrer Daten den Namen, die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters, ggf. die Kontaktdaten des internen (betrieblichen oder behördlichen) Datenschutzbeauftragten, die Zwecke, für die die Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, ggf. die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden, ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und ggf. Informationen zu einer Übermittlung nach außerhalb der EU, Islands, Norwegens oder Liechtensteins. Zusätzlich muss der Verantwortliche Ihnen die Dauer, für die Ihre Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, mitteilen. Des Weiteren muss der Verantwortliche Sie über Ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Ihr Widerspruchsrecht, Ihr Recht auf Datenübertragbarkeit sowie Ihr Recht, sich jederzeit an uns oder eine andere zuständige Aufsichtsbehörde zu wenden, hinweisen. Der Verantwortliche muss Sie auch darüber informieren, ob die Bereitstellung Ihrer Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob Sie verpflichtet sind, Ihre Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und schließlich ob eine automatisierte Entscheidungsfindung einschließlich Profiling (einschließlich aussagekräftiger Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung) besteht. Beabsichtigt der Verantwortliche, Ihre Daten für einen anderen Zweck weiterzuverarbeiten als den, für den sie erhoben worden sind, so muss er Ihnen vor dieser Weiterverarbeitung dazu Informationen zur Verfügung stellen.

 

Bitte beachten Sie: All dies findet jedoch keine Anwendung, wenn und soweit Sie bereits über die aufgeführten Informationen verfügen, z. B. indem der Verantwortliche Sie durch ein Merkblatt aufgeklärt hat.

 

  1. Informationspflicht, wenn die personenbezogenen Daten nicht bei Ihnen erhoben wurden, Artikel 14 DS-GVO

 

Wurden Ihre Daten nicht bei Ihnen, sondern bei einem Dritten (z. B. einem Nachbarn oder Ihrem Arbeitgeber) erhoben, dann muss Ihnen der Verantwortliche seinen Namen und seine Kontaktdaten sowie gegebenenfalls die seines Vertreters, ggf. die Kontaktdaten seines Datenschutzbeauftragten, die Zwecke, für die Ihre Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, die Kategorien personenbezogener Daten, die verarbeitet werden, ggf. die Empfänger oder Kategorien von Empfängern Ihrer Daten, ggf. seine Absicht (einschließlich der entsprechenden Rechtsgrundlagen und eine Möglichkeit, eine Kopie dieses Grundlagen zu erlangen), Ihre Daten an einen Empfänger außerhalb der EU, Islands, Norwegens oder Liechtensteins zu übermitteln. Zusätzlich muss Ihnen der Verantwortliche die Dauer, für die Ihre Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, ggf. seine oder die berechtigten Interessen eines Dritten, das Bestehen Ihres Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Ihres Widerspruchsrechts Ihres Rechts auf Datenübertragbarkeit, ggf. Ihres Rechts, Ihre Einwilligung jederzeit zu widerrufen, Ihr Beschwerderecht bei einer Aufsichtsbehörde und die Quelle Ihrer Daten sowie ggf. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Sie mitteilen.

 

Der Verantwortliche muss Ihnen die o. g. Informationen innerhalb einer angemessenen Frist, längstens jedoch innerhalb eines Monats, oder, falls die personenbezogenen Daten zur Kommunikation mit Ihnen verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an Sie, oder, falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung, mitteilen.

Beabsichtigt der Verantwortliche, Ihre Daten für einen anderen Zweck weiterzuverarbeiten als den, für den sie erhoben worden sind, so muss er Ihnen vor dieser Weiterverarbeitung dazu Informationen zur Verfügung stellen.

 

Bitte beachten Sie: All dies findet jedoch keine Anwendung, wenn und soweit Sie bereits über die aufgeführten Informationen verfügen, z. B. indem der Verantwortliche Sie durch ein Merkblatt aufgeklärt hat, oder wenn Ihnen die Informationen nicht erteilt werden können oder wenndie Erlangung oder Offenlegung durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt und die geeignete Maßnahmen zum Schutz der berechtigten Interessen der betroffenen Person vorsehen, ausdrücklich geregelt ist oder d) die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis, einschließlich einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

 

  1. Auskunftsrecht der betroffenen Person, Artikel 15 DS-GVO

 

Ihr Auskunftsrecht ist nach wie vor Ihr „Königsrecht“. Mit dem Auskunftsrecht soll ein informationeller Machtausgleich zwischen Ihnen und dem Verantwortlichen erreicht werden. Nach der Vorschrift haben Sie das Recht, von dem Verantwortlichen Auskunft über die die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden, die Empfänger oder Kategorien von Empfängern, gegenüber denen Ihre personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen, falls möglich die geplante Dauer, für die Ihre Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, das Bestehen Ihres Rechts auf Berichtigung oder Löschung der sie betreffenden Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder Ihres Widerspruchsrechts gegen diese Verarbeitung, das Bestehen Ihres Beschwerderechts bei einer Aufsichtsbehörde, wenn Ihre Daten nicht bei Ihnen erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten, das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Sie.

 

Werden Ihre Daten an ein Drittland oder an eine internationale Organisation übermittelt, so haben Sie auch das Recht, über die geeigneten Garantien gemäß Artikel 46 DS-GVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

 

Der Verantwortliche muss Ihnen eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Für alle weiteren Kopien, die Sie beantragen, kann der Verantwortliche von Ihnen ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellen Sie den Antrag elektronisch, so sind die Informationen Ihnen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern Sie nichts anderes angeben.

 

Ihr Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

 

  1. Recht auf Berichtigung, Artikel 16 DS-GVO

 

Ihr Recht auf Berichtigung baut auf dem alten Recht auf Berichtigung, wie es das BDSG und das Sächsische Datenschutzgesetz kannten, auf.

 

  1. Recht auf Löschung („Recht auf Vergessenwerden“), Artikel 17 DS-GVO

 

Ihr Recht auf Löschung oder auf Vergessenwerden baut auf dem alten Recht auf Löschung, wie es das BDSG und das Sächsische Datenschutzgesetz kannten, auf.

 

  1. Recht auf Einschränkung der Verarbeitung, Artikel 18 DS-GVO

 

Ihr Recht auf Einschränkung der Verarbeitung baut auf dem alten Recht auf Sperrung, wie es das BDSG und das Sächsische Datenschutzgesetz kannten, auf.

 

  1. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung, Artikel 19 DS-GVO

 

Die Pflicht des Verantwortlichen auf Mitteilung erfolgter Berichtigungen, Löschungen oder Einschränkungen der Verarbeitung baut auf den alten, aus dem Sächsischen Datenschutzgesetz bekannten Nachberichtspflichten auf. Der Verantwortliche muss, wenn er z. B. Ihre Daten zu berichtigen oder zu löschen hatte, dies all den anderen Stellen nachmelden, denen er zuvor diese Ihre Daten übermittelt hatte. So soll garantiert werden, dass nur richtige und zulässigerweise verarbeitete Daten zu Ihrer Person in Umlauf sind.

 

  1. Recht auf Datenübertragbarkeit, Artikel 20 DS-GVO

 

Ihr Recht auf Datenübertragbarkeit ist neu. Es ist im Hinblick auf die „sozialen Netzwerke“ geschaffen worden und soll garantieren, dass Sie als Nutzer all Ihre Daten, die bei einem bestimmten social network entstanden sind, zu einem anderen social network mitnehmen können. Über diese ursprüngliche Absicht hinaus ist dieses Recht aber auch auf andere Verantwortliche anwendbar, etwa auf Versicherungen, Banken oder Energieversorgern.

 

  1. Widerspruchsrecht, Artikel 21 DS-GVO

 

Ihr Widerspruchsrecht baut auf dem alten Recht auf Widerspruch, wie es das BDSG und das Sächsische Datenschutzgesetz kannten, auf.

 

  1. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling, Artikel 22 DS-GVO

 

Dieses Ihr Recht baut auf bereits im BDSG oder dem Sächsischen Datenschutzgesetz vorhandenen Rechten auf. Es bedeutet, dass Sie das Recht haben, keiner ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt allerdings nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verantwortlichen erforderlich ist oder aufgrund von EU-oder deutschen Rechtsvorschriften, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder Ihre ausdrückliche Einwilligung vorliegt.

 

  1. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Artikel 34 DS-GVO

 

Ihr Benachrichtigungsrecht soll Sie in die Lage versetzen, die erforderlichen Maßnahmen zu Ihrem Selbstschutz zu ergreifen, wenn bei einem Verantwortlichen ein Datenschutzverstoß, z. B. ein Datenleck, passiert ist.

 

  1. Recht auf Beschwerde bei einer Aufsichtsbehörde, Artikel 77 DS-GVO

 

Das Recht auf Beschwerde bei einer Aufsichtsbehörde baut auf dem alten Anrufungsrecht, wie es das BDSG und das Sächsische Datenschutzgesetz kannten, auf.

 

  1. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde, Artikel 78 DS-GVO

 

Ihr Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde war bereits nach bisher geltendem deutschem Recht selbstverständlich.

 

  1. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter, Artikel 79 DS-GVO

 

Ihr Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter war bereits nach bisher geltendem deutschem Recht selbstverständlich.

 

  1. Haftung und Recht auf Schadenersatz, Artikel 82 DS-GVO

 

Ihr Recht auf Schadenersatz sowie die Haftung des Verantwortlichen oder des Auftragsverarbeiters bauen auf dem alten Schadenersatzrecht, wie es das BDSG und das Sächsische Datenschutzgesetz kannte, auf.

 

Meine Rechte im Bereich der Datenschutz-Richtlinie (EU) 680/2016

 

Die Datenschutz-Richtlinie (EU) 680/2016 verpflichtet den Gesetz- und Satzungsgeber, Rechtsvorschriften, die die „Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung“ (Staatsanwaltschaften, Straf- und Bußgeldstellen der Finanzverwaltung, Polizei und Justizvollzug) regeln, bis zum 6. Mai 2018 anzupassen. Diese Richtlinie findet keine unmittelbare Anwendung, d. h. sie muss in nationales Recht – z. B. die Strafprozessordnung, ein Polizeigesetz oder ein Justizvollzugsgesetz – umgesetzt werden. Für Sie bedeutet das: Ihre Rechte ergeben sich vor und nach dem 6. Mai 2018 aus den bereichsspezifischen deutschen und sächsischen Rechtsvorschriften, z. B. dem Polizeigesetz für den Freistaat Sachsen.

 

Meine Rechte außerhalb des Anwendungsbereichs der DS-GVO und der Datenschutz-Richtlinie (EU) 680/2016

 

Außerhalb des Anwendungsbereichs der neuen EU-Datenschutzgesetze verbleibt ein relativ geringe Anzahl von Verantwortlichen, deren Rechtsgrundlagen außerhalb des Anwendungsbereichs des EU-Rechts liegt, z. B. Verantwortliche im Bereich der nationalen Sicherheit (Armee, Nachrichtendienste).

 

In diesem Bereich ergeben sich Ihre Rechte nach wie vor aus z. B. dem Sächsischen Verfassungsschutzgesetz, dem Sächsischen Sicherheitsüberprüfungsgesetz oder dem AG G 10-Gesetz .