Für Bürgerinnen und Bürger

Rechte von privaten Personen unter der DSGVO

Mit der DSGVO, die seit dem 20. Juli 2018 auch in Liechtenstein gilt, erhalten Bürgerinnen und Bürger eine grössere Kontrolle über ihre personenbezogenen Daten. Die DSGVO sieht entsprechend stärkere Verpflichtungen für datenverarbeitende Stellen vor und definiert klar die Rechte der betroffenen Personen.

Finden Sie heraus, wie Ihre personenbezogenen Daten geschützt sind, welche Rechte Ihnen dabei helfen, wieder die Kontrolle über Ihre Daten zu übernehmen und was Sie tun können, wenn etwas schiefgeht.

  • Allgemeine Grundsätze

    Der Datenschutz ist ein Grundrecht, das in Artikel 8 der Charta der Grundrechte der Europäischen Union definiert ist:

    Artikel 8

    Schutz personenbezogener Daten

    (1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

    (2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.

    Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

    (3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

    Die DSGVO präzisiert dieses Grundrecht und gibt den Bürgerinnen und Bürgern mehr Kontrolle über ihre personenbezogenen Daten.

    Zum Schutz der Bürgerinnen und Bürger haben datenverarbeitende Stellen bei der Verarbeitung personenbezogener Daten die folgenden Grundsätze zu beachten (Art. 5 DSGVO):

    • Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz;
    • Zweckbindung;
    • Datenminimierung;
    • Richtigkeit;
    • Speicherbegrenzung;
    • Integrität und Vertraulichkeit; und
    • Rechenschaftspflicht.
  • Rechtsgrundlage für die Verarbeitung personenbezogener Daten (Art. 6 DSGVO)

    Um personenbezogene Daten verarbeiten zu können, müssen datenverarbeitende Stellen über eine gesetzliche Grundlage verfügen. Ohne eine solche Grundlage ist die Datenverarbeitung rechtswidrig.

    Die rechtmässigen Gründe für die Verarbeitung personenbezogener Daten sind in Art. 6 DSGVO definiert:

    1. Einwilligung durch die betroffene Person,
    2. Erfüllung eines Vertrages (z.B. Arbeitsvertrag, Kaufvertrag, Patientenvertrag etc.)
    3. gesetzliche Verpflichtung (z.B. Meldung an die Steuerbehörde),
    4. zum Schutz von lebenswichtigen Interessen einer Person,
    5. zur Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt,
    6. bei Vorliegen von berechtigten Interessen der datenverarbeitenden Stelle (ausser wenn die Interessen oder Rechte und Freiheiten der betroffenen Person überwiegen).
  • Rechtsgrundlage für die Verarbeitung sensibler Daten (Art. 9 DSGVO)

    In Bezug auf besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) ist die Verarbeitung gem. Abs. 2 ausschliesslich zulässig, wenn:

    1. eine Einwilligung vorliegt;
    2. die Verarbeitung für die Ausübung von Rechten und Pflichten aus dem Arbeits- oder Sozialrecht erforderlich ist. Solche Verarbeitungen dürfen jedoch nur dann stattfinden, wenn sie nach einer Rechtsvorschrift erforderlich sind. Davon umfasst sind auch Kollektivvereinbarungen wie Betriebsvereinbarungen. Die Rechtsvorschriften müssen geeignete Garantien für die Grundrechte und die Interessen der betroffenen Personen vorsehen (siehe auch Erwägungsgrund 52);
    3. die Verarbeitung zum Schutz lebenswichtiger Interessen einer Person erforderlich ist und diese körperlich  oder rechtlich ausserstande ist einzuwilligen;
    4. die Verarbeitung auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung / Vereinigung / Organisation ohne Gewinnerzielungsabsicht erfolgt und sich ausschliesslich auf aktuelle oder ehemalige Mitglieder oder auf Personen bezieht, die mit der Stelle regelmässig Kontakte im Zusammenhang mit deren Tätigkeitszweck unterhalten, und die Daten nicht ohne Einwilligung nach aussen weitergegeben werden;
    5. die Verarbeitung Daten betrifft, die die betroffene Person offensichtlich öffentlich gemacht hat;
    6. die Verarbeitung zur Rechtsverfolgung oder für die Aufgabenerfüllung der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich ist;
    7. die Verarbeitung auf rechtlicher Grundlage aus Gründen eines erheblichen öffentlichen Interesses erforderlich ist;
    8. die Verarbeitung für Zwecke der Gesundheitsvorsorge, der Versorgung oder Behandlung im Gesundheits- oder Sozialbereich erforderlich ist, durch Berufsgeheimnisträger erfolgt und auf einer rechtlichen Grundlage oder aufgrund eines Vertrages mit einem Angehörigen eines Gesundheitsberufes beruht;
    9. die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, z. B. zur Verhinderung von Epidemien oder zur Gewährleistung der Arzneimittelsicherheit, auf rechtlicher Grundlage erforderlich ist;
    10. die Verarbeitung auf rechtlicher Grundlage für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO erforderlich ist.
  • Ihre konkreten Rechte unter der DSGVO

    Eines der wesentlichen Ziele bei der Neuregelung des europäischen Datenschutzrechts durch die DSGVO ist der Ausbau der Betroffenenrechte. Diese sollen laut der Erwägungsgründe der DSGVO durch die Verordnung gestärkt und präzisiert werden. Unter Betroffenenrechten, oder „Rechten der betroffenen Person“ im Terminus der DSGVO, versteht das Datenschutzrecht die Rechte jedes Einzelnen gegenüber dem für die Verarbeitung Verantwortlichen.

    Eine betroffene Person kann gemäss dem dritten Kapitel der DSGVO gegenüber dem Verantwortlichen die folgenden Rechte geltend machen:

    • Recht auf Information (Art. 13 und 14 DSGVO);
    • Recht auf Auskunft (Art. 15 DSGVO);
    • Recht auf Berichtigung (Art. 16 DSGVO);
    • Recht auf Löschung bzw. Recht auf „Vergessenwerden“ (Art. 17 DSGVO);
    • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO);
    • Recht auf Datenübertragbarkeit (Art. 20 DSGVO);
    • Recht auf Widerspruch (Art. 21 DSGVO);
    • Recht, nicht einer ausschliesslich auf einer automatisierten Verarbeitung – einschliesslich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO).

    Hier erfahren Sie, was diese Rechte für Sie konkret beinhalten.

  • Ihre Kosten

    Gemäss Art.12 Abs. 5 DSGVO sind die Informationen gemäss den Artikeln 13 und 14 sowie alle Mitteilungen und Massnahmen gemäss den Artikeln 15 bis 22 und Artikel 34 DSGVO (somit alle Rechte der Betroffenen)  unentgeltlich zur Verfügung zu stellen.

    Nur bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen einer betroffenen Person kann der Verantwortliche entweder

    1. ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Massnahme berücksichtigt werden, oder
    2. sich weigern, aufgrund des Antrags tätig zu werden.

    Der Verantwortliche hat den Nachweis für den offenkundig unbegründeten oder exzessiven Charakter des Antrags zu erbringen.

    Dies bedeutet jedoch nicht, dass der Verantwortliche der betroffenen Person nach einmaliger Auskunftserteilung keine weiteren kostenlosen Auskünfte mehr zu erteilen braucht. In Erwägungsgrund 63 heisst es, dass betroffene Personen ihr Recht auf Auskunftserteilung in angemessenen Abständen wahrnehmen können sollten.

  • Ihr Beschwerderecht bei der Datenschutzstelle

    Grundsätzlich ist eine Verarbeitung von Ihren personenbezogenen Daten nur zulässig, soweit die Datenverarbeitung auf Basis einer Rechtsgrundlage erfolgt oder Sie in die Datenverarbeitung eingewilligt haben. Jede datenverarbeitende Stelle ist zudem gesetzlich verpflichtet, Ihnen die Rechte, die Ihnen als Betroffener unter der DSGVO zustehen, zu gewähren.

    Wir empfehlen Ihnen, sich soweit als möglich zunächst direkt an die datenverarbeitende Stelle zu wenden. Sollte diese Ihrem Anliegen nicht mit der gebotenen Sorgfalt und innerhalb der in der DSGVO definierten Frist nachkommen, steht Ihnen gemäss Art. 77 DSGVO das Recht zu, eine Beschwerde bei der Datenschutzstelle als Datenschutzaufsichtsbehörde einzureichen, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder das nationale Datenschutzgesetz verstösst.

    Sie können sich bei der Datenschutzstelle auch über Datenverarbeitungen ausländischer Unternehmen innerhalb und ausserhalb der EU beschweren, soweit Sie davon betroffen sind. Die Datenschutzstelle wird dann am aufsichtsbehördlichen Verfahren beteiligt und kann gemeinsam mit anderen europäischen Aufsichtsbehörden einen Beitrag leisten, dass Ihre Rechte gewahrt werden.

    Eine Beschwerde ist kostenlos und kann über das Online-Formular eingereicht werden.

    Sie können uns Ihre Beschwerde aber natürlich auch jederzeit formlos

    • per Post zusenden. Bitte achten Sie hierbei auf die Vollständigkeit Ihrer Angaben und legen Sie alle relevanten Unterlagen bei, damit wir Ihre Beschwerde möglichst effizient bearbeiten können. Bitte senden Sie Ihre Beschwerde und zugehörige Dokumente in diesem Fall an folgende Adresse:

    Datenschutzstelle
    Kirchstrasse 8 
    Postfach 684
    FL-9490 Vaduz

    Gemäss Art. 78 DSGVO haben Sie des Weiteren das Recht auf einen wirksamen Rechtsbehelf, wenn die Datenschutzstelle Ihre Beschwerde nicht bearbeitet oder diese Sie nicht innerhalb von drei Monaten über den Fortgang oder das Ergebnis Ihrer Beschwerde informiert.

    Gemäss Art. 80 DSGVO können Sie bestimmte Dritte ermächtigen, in Ihrem Namen eine Beschwerde einzureichen.

    Weitere Informationen zum Beschwerderecht finden Sie hier.

  • Besonderer Schutz von Kindern und Jugendlichen

    Der Schutz von Kindern und Jugendlichen nimmt unter der DSGVO eine wichtige Stelle ein. Zahlreiche Normen und Erwägungsgründe der DSGVO beziehen sich auf Kinder. Begründet ist der erhöhte Schutz für Kinder und Jugendliche darin, dass sie sich der Risiken und Folgen bei der Verarbeitung ihrer personenbezogenen Daten im Regelfall weniger bewusst sind und sie auch weniger informiert sind in Bezug auf ihre Rechte. Gerade bei der Verwendung ihrer Daten für Werbezwecke oder der Erstellung von Persönlichkeits- und Nutzungsprofilen sollen Kinder und Jugendliche speziell geschützt werden.

    Die DSGVO sieht die folgenden Schutzmechanismen vor:

    Wirksame Einwilligung ab 16 Jahren

    Bietet ein Unternehmen einen „Dienst der Informationsgesellschaft“ an und wird dieses Angebot einem Kind direkt unterbreitet, ist die notwendige Einwilligung des Kindes in Liechtenstein nur dann wirksam, wenn das Kind das 16. Lebensjahr vollendet hat. Bei Kindern unter 16 Jahren muss die Zustimmung der Eltern eingeholt werden. Die Einwilligung des Kindes allein ist nicht ausreichend.

    Berechtigte Interesse versus schutzwürdige Interessen eines Kindes

    Art. 6 Abs. 1 Bst. f DSGVO erlaubt die Datenverarbeitung auf Basis von berechtigten Interessen von Unternehmen. Bei der Abwägung der berechtigten Interessen des Unternehmens mit den Interessen oder Grundrechten und Grundfreiheiten der betroffenen Person berücksichtigt er im Besonderen Kinder:

    [...] die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

    In diesem Zusammenhang ist auch Erwägungsgrund 38 zu beachten, der weitere Anhaltspunkte für die Beurteilung liefert:

    Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.

    Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.

    Informationspflicht: Transparente Information von Kindern

    Im Rahmen der Informationspflichten gemäss Art. 13 DSGVO gelten besondere Anforderungen, wenn Kinder von der Datenverarbeitung betroffen sind.

    Art. 12 Abs.1 DSGVO verlangt, dass die Information zur Datenverarbeitung, von der insbesondere Kinder betroffen sind, in einer besonders einfachen und kindgerechten Sprache zu erfolgen hat. Davon betroffen sind vor allem Betreiber von Internetseiten, die sich speziell an Kinder richten. Deren Datenschutzerklärungen sollten mit besonderer Sorgfalt redigiert werden.

    Erweiterter Löschungsanspruch

    Haben Minderjährige in die Verarbeitung ihrer Daten eingewilligt, soll ihnen im Erwachsenenalter die Möglichkeit zustehen, eine Löschung ihrer Daten zu verlangen, die sie seinerzeit freiwillig z.B. in soziale Netzwerke, eingestellt haben.