Betroffenenrechte

Angesichts der extrem vernetzten und datengesteuerten Welt, in der wir heute leben, hinterlassen die Interaktionen der Bürgerinnen und Bürger mit Unternehmen oder Behörden zahllose digitale Spuren. Bei jedem Besuch einer Internetseite, der Nutzung sozialer Medien oder dem Versand einer E-Mail werden zahlreiche personenbezogene Daten geteilt.

Durch den Austausch von Daten wird das Leben einfacher, bequemer und vernetzter. Aber dennoch sollten die eigenen Daten das Eigentum der betroffenen Personen bleiben, und diese sollten über die Verwendung ihrer Daten informiert sein und diese auch nur so verwendet werden, wie die Betroffenen es erlauben oder erwarten können. Die Datenschutz-Grundverordnung (DSGVO) hat sich zum Ziel gesetzt, dass dies nicht eine Ausnahme bleibt, sondern künftig zur Selbstverständlichkeit wird.  

  • Rechte der betroffenen Personen unter der DSGVO

    Eine betroffene Person kann gemäss drittem Kapitel der DSGVO gegenüber dem Verantwortlichen die folgenden Rechte geltend machen:

    • Recht auf Information (Art. 13 und 14 DSGVO)
    • Recht auf Auskunft (Art. 15 DSGVO)
    • Recht auf Berichtigung (Art. 16 DSGVO)
    • Recht auf Löschung bzw. Recht auf „Vergessenwerden" (Art. 17 DSGVO)
    • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
    • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
    • Recht auf Widerspruch (Art. 21 DSGVO)
    • Recht, nicht einer ausschliesslich auf einer automatisierten Verarbeitung – einschliesslich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22 DSGVO)
  • Recht auf Auskunft (Art. 15 DSGVO)

    Gemäss Artikel 15 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen zu erfahren, ob personenbezogene Daten über sie verarbeitet werden. Soweit dies der Fall ist, hat sie das Recht, Zugang zu diesen Daten sowie eine Kopie der bearbeiteten Daten zu erhalten.

    Zusätzlich müssen die folgenden Informationen zur Verfügung gestellt werden:

    • die Zwecke Ihrer Verarbeitung;
    • die Kategorien der betroffenen personenbezogenen Daten;
    • die Empfänger oder Kategorien von Empfängern, denen die Daten übermittelt wurden;
    • die Aufbewahrungsfrist für die Speicherung der persönlichen Daten oder, wenn dies nicht möglich ist, die Kriterien für die Bestimmung der Dauer;
    • das Bestehen des Rechts auf Berichtigung, Löschung oder Beschränkung oder auf Einspruch gegen die Verarbeitung;
    • das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen;
    • Informationen über die Quelle der Daten, wenn sie nicht direkt bei der betroffenen Person erhoben wurden;
    • die Existenz einer automatisierten Entscheidungsfindung (einschliesslich Profiling); und
    • die Sicherheitsmassnahmen im Falle einer Übermittlung  der personenbezogenen Daten in ein Drittland oder eine internationale Organisation.

    Wenn eine Person ihre Anfrage auf Auskunft elektronisch stellt, sollten Sie die Informationen in einem allgemein verwendeten elektronischen Format bereitstellen, es sei denn, die betroffene Person verlangt etwas anderes.

    Die DSGVO enthält eine Best-Practice-Empfehlung (vgl. ErwGr. 63), nach der der Verantwortliche einen Fernzugang zu einem sicheren System bereitstellen sollte, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglicht. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen.

    Weitere Informationen finden Sie hier.

  • Recht auf Berichtigung (Art. 16 DSGVO)

    Betroffene Personen haben das Recht, sie betreffende unrichtige personenbezogene Daten berichtigen zu lassen. Davon umfasst ist auch der Anspruch, unvollständige personenbezogene Daten zu vervollständigen.

  • Recht auf Löschung bzw. „Recht auf Vergessenwerden“ (Art. 17 DSGVO)

    Recht auf Löschung

    Betroffene Personen haben das Recht auf Löschung personenbezogener Daten. Das „Recht auf Vergessenwerden“ gem. Art. 17 Abs. 2 DSGVO bezieht sich, obwohl der Begriff im ErwGr. 65 als Synonym für „Löschung“ verwendet wird, auf die Beseitigung (von Spuren) personenbezogener Daten, die durch Veröffentlichungen, insbesondere im Internet, einer breiten Öffentlichkeit zugänglich geworden sind.

    Das Recht auf Löschung ist nicht absolut und gilt nur unter bestimmten Umständen:

    • Die personenbezogenen Daten werden nicht mehr für den Zweck benötigt, für den Sie ursprünglich erhoben oder verarbeitet wurden;
    • Die Datenverarbeitung beruht auf der Einwilligung (Art. 6 Abs. 1 Bst. a), und die betroffene Person widerruft ihre Zustimmung;
    • Die Datenverarbeitung beruht auf den berechtigten Interessen (Art. 6 Abs. 1 Bst. f), und es besteht kein überwiegendes berechtigtes Interesse mehr, um diese Verarbeitung fortzusetzen; 
    • Die Datenverarbeitung erfolgt unrechtmässig;
    • Die Löschung ist auf Grund einer gesetzlichen Bestimmung verpflichtend vorzunehmen oder
    • Die Datenverarbeitung erfolgt, um einem Kind Dienste der Informationsgesellschaft anzubieten.

    Wann gilt das Löschungsrecht nicht?

    Das Recht auf Löschung gilt nicht, wenn die Verarbeitung aus einem der folgenden Gründe erforderlich ist:

    • zur Ausübung des Rechts auf freie Meinungsäusserung und Information;
    • zur Erfüllung einer gesetzlichen Verpflichtung durch den Verantwortlichen;
    • für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt;
    • zu Archivierungszwecken im öffentlichen Interesse, Forschungszwecken oder statistischen Zwecken, wenn die Löschung die Durchführung dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt oder
    • für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen.

    In Bezug auf besondere Kategorien personenbezogener Daten gilt das Löschungsrecht in den folgenden Fällen nicht:

    • die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Art. 9 Abs. 3 genannten Bedingungen und Garantien erforderlich ist,

    oder

    • die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Massnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich ist.

    Dies gilt nur, wenn die Daten von oder unter der Verantwortung von Fachpersonal verarbeitet werden, das einem Berufsgeheimnis unterliegt.

    „Recht auf Vergessenwerden“

    In Art. 17 Abs. 2 DSGVO ist das viel zitierte „Recht auf Vergessenwerden“ normiert. Hat ein für die Verarbeitung Verantwortlicher, der nach Art. 17 Abs. 1 DSGVO zur Löschung von personenbezogenen Daten verpflichtet ist, diese Daten zuvor öffentlich gemacht, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Massnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat.

    Konkret bedeutet dies für den Verantwortlichen, dass er andere Verantwortliche ermitteln und informieren muss. Die DSGVO lässt allerdings die Frage offen, ob die Information allein schon genügt, oder ob der Verantwortliche den Löschungsanspruch gegen die anderen Stellen im Namen der betroffenen Personen durchsetzen muss.

    Weitere Informationen zum Recht auf Löschung bzw. „Recht auf Vergessenwerden“ finden Sie hier.

  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

    Betroffene Personen haben das Recht, unter bestimmten Umständen von der datenverarbeitenden Stelle die Einschränkung der Verarbeitung ihrer personenbezogenen Daten zu verlangen.

    Das heisst, wenn

    • die Person die Richtigkeit ihrer personenbezogenen Daten bestreitet während der Dauer der Überprüfung der Richtigkeit durch den Verantwortlichen;
    • die Datenverarbeitung rechtswidrig erfolgt und die Person eine Löschung ablehnt und stattdessen eine Einschränkung fordert;
    • der Verantwortliche die personenbezogenen Daten nicht mehr benötigt, aber die betroffene Person sie benötigt, um einen Rechtsanspruch zu begründen, auszuüben oder zu verteidigen; oder
    • die betroffene Person Widerspruch gemäss Art. 21 Abs. 1 erhebt für die Dauer der Feststellung, ob die berechtigten Interessen des Verantwortlichen gegenüber jenen der betroffenen Person überwiegen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

    Das Recht auf Datenübertragbarkeit gibt betroffenen Personen das Recht, personenbezogene Daten zu erhalten, die sie einem Verantwortlichen in einem strukturierten, häufig verwendeten und maschinenlesbaren Format zur Verfügung gestellt haben.

    Zum Beispiel möchte eine Person ihre Kontaktliste von einer Webmail-Anwendung erhalten, um die Adressliste für den Versand einer Einladung zu einer Veranstaltung zu verwenden.

    Die betroffenen Personen haben auch das Recht, dass ein Verantwortlicher diese Daten direkt an einen anderen Verantwortlichen überträgt.

    Das Recht auf Datenübertragbarkeit gilt nur, wenn

    • wenn die betroffene Person dem Verantwortlichen ihre personenbezogenen Daten auf Grundlage einer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrages erforderlich ist

    und

    • die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
    Beispielsweise kann dieses Recht somit geltend gemacht werden bei Newsletter-Systemen, Angeboten von sozialen Netzwerken oder Business-Portalen, die auf der Einwilligung der betroffenen Person basieren. Bei kostenpflichtigen Angeboten liegt im Regelfall ein Vertrag (Nutzungsvertrag) vor, sodass der Online-Handel, die Verwendung von Fitnesstrackern oder Energie-Anbieter ebenfalls in den Anwendungsbereich fallen können.

    Die Artikel-29-Datenschutzgruppe hat Leitlinien zum Recht auf Datenübertragbarkeit sowie als Anhang  Antworten zu häufig gestellten Fragen (FAQs) veröffentlicht.

  • Recht auf Widerspruch (Art. 21 DSGVO)

    Betroffene Personen haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 Bst. e oder f erfolgt, Widerspruch einzulegen.

    Das Widerspruchsrecht kann in den folgenden Situationen geltend gemacht werden: 

    Betroffene Personen haben das absolute Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn sie für Direktmarketingzwecke bestimmt sind.

    Betroffene Personen können auch widersprechen, wenn die Verarbeitung:

    • eine Aufgabe im öffentlichen Interesse betrifft;
    • die Ausübung der dem Verantwortlichen übertragenen öffentlichen Gewalt betrifft; oder
    • die Verarbeitung auf Grundlage der berechtigten Interessen des Verantwortlichen (oder denjenigen eines Dritten) erfolgt und die Interessen, Rechte und Freiheiten der betroffenen Person stärker wiegen als die Interessen des Verantwortlichen an der Verarbeitung (der Verantwortliche hat nachzuweisen, dass zwingende schutzwürdige Gründe für die Verarbeitung vorliegen);
    • die Verarbeitung der Begründung, Ausübung oder Verteidigung von Rechtsansprüchen dient.

    Betroffene Personen können widersprechen, wenn Daten für wissenschaftliche oder historische Forschung oder zu statistischen Zwecken verarbeitet werden. 

    Die betroffene Person hat allerdings dann kein Widerspruchsrecht, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist.

  • Rechte in Bezug auf automatisierte Einzelfallentscheidungen einschliesslich Profiling (Art. 22 DSGVO)

    Gemäss Art. 22 Abs.1 DSGVO sind vollständig automatisierte Einzelfallentscheidungen (auf Basis von Profiling) unzulässig, soweit sie auf einer ausschliesslich automatisierten Verarbeitung personenbezogener Daten beruhen und rechtliche oder ähnliche Wirkung für den Betroffenen entfalten.

    Von diesem grundsätzlichen Verbot sieht Art. 22 Abs. 2 DSGVO bestimmte Ausnahmen vor: So sind vollständig automatisierte Einzelfallentscheidungen (auf Basis von Profiling) dennoch zulässig,

    • Bst. a: soweit sie für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind, oder
    • Bst. b: wenn sie nach dem Recht der Europäischen Union oder eines Mitgliedstaates zulässig sind, oder
    • Bst. c: wenn eine ausdrückliche Einwilligung der betroffenen Person vorliegt.

    Art. 22 Abs. 3 DSGVO sieht für die Fälle der Zulässigkeit der voll automatisierten Verarbeitung auf Grundlage des Vertragsabschlusses bzw. der Einwilligung Sicherungsmassnahmen seitens der datenverarbeitenden Stelle zur Wahrung der Rechte der betroffenen Person vor. Dazu gehören

    • ein Anfechtungsrecht,
    • ein Recht auf Darlegung des eigenen Standpunktes sowie
    • das Recht auf Beteiligung einer natürlichen Person an der Entscheidungsfindung.

    Die Regelung des Art. 22 Abs. 3 DSGVO setzt Erwägungsgrund 71 um, der entsprechende Garantien sowie eine Mitteilung der erfolgten automatisierten Datenverarbeitung an den Betroffenen verlangt. Dieser Mitteilungspflicht müssen Unternehmen dringend nachkommen, wenn sie sich auf einen der Ausnahmetatbestände des Art. 22 Abs. 2 a) und c) DSGVO berufen wollen.

    Art. 22 Abs. 4 DSGVO schränkt sodann die Verbreitung besonderer Kategorien personenbezogener Daten gemäss Art. 9 Abs.1 DSGVO (z.B. Gesundheitsdaten oder Herkunft) bei automatisierten Einzelfallentscheidungen stark ein.

    Weitere Hinweise zu automatisierten Einzelfallentscheidungen einschliesslich Profiling gemäss Art. 22 DSGVO finden sich hier.

    Die Artikel-29-Datenschutzgruppe hat entsprechende Leitlinien zu automatisierten Entscheidungen im Einzelfall einschliesslich Profiling veröffentlicht.

  • Fristen für die Gewährung der Rechte durch den Verantwortlichen

    Gemäss Art. 12 Abs. 3 DSGVO stellt der Verantwortliche der betroffenen Person die Informationen über die auf Antrag gemäss den Artikeln 15 bis 22 DSGVO ergriffenen Massnahmen unverzüglich zu, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. 

    Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.