JahreBei der Zurverfügungstellung der Information an die betroffene Person gilt es außerdem, eine Frist einzuhalten. Artikel 12 Abs. 3 DSGVO spricht von „unverzüglich, in jedem Fall aber innerhalb eines Monats“. Diese Unterrichtung hat den Grundsatz der Unentgeltlichkeit.
Die betroffene Person hat das Recht, vom Verantwortlichen darüber Auskunft {Betroffenenrechte, Auskunft} zu erhalten, ob personenbezogene Daten verarbeitet werden (Art. 15 Abs. 1 DSGVO;
| • | Verarbeitungszweck |
| • | Kategorien personenbezogener Daten, die verarbeitet werden |
| • | Empfänger oder Kategorien von Empfängern (vgl. Art. 4 Nr. 9 DSGVO; hierzu gehören u. a. Auftragsverarbeiter und Dritte) |
| • | falls möglich die geplante Dauer |
| • | Recht auf Berichtigung, Recht auf Löschung sowie Recht auf Einschränkung der Verarbeitung |
| • | Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde |
| • | Herkunft der Daten, wenn nicht bei der betroffenen Person erhoben |
| • | automatisierte Entscheidungsfindung einschließlich Profiling |
Art. 4 Nr. 4 DSGVO
„Profiling“ {Profiling} [bezeichnet] jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
Die DSGVO enthält allerdings keine detaillierten Regelungen zur Profilbildung und ist somit im materiellen Datenschutzrecht nicht klar und abschließend geregelt.
|
|
|
| Der Bayerische Landesbeauftragte für den Datenschutz erläutert in der Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnung“[2] Art. 15 DSGVO. Dabei geht er auch auf ausgewählte nationale Bestimmungen ein, die Anspruchshindernisse vorsehen oder sonst für die Verwirklichung dieser Vorschrift von Bedeutung sind. Im Anhang finden sich veröffentlichte Papiere, die Verständnishilfen im Zusammenhang mit Art. 15 DSGVO beinhalten. Die Orientierungshilfe richtet sich zwar in erster Linie an bayerische öffentliche Stellen und an behördliche Datenschutzbeauftragte. Der Schwerpunkt liegt aber generell auf der praktischen Umsetzung der Betroffenenrechte. | |
Begriffsbestimmung
Das materielle Recht, auch als sachliches Recht bezeichnet, ist dabei die Gesamtheit aller Rechtsnormen, die Inhalt, Entstehung, Veränderung und Löschung von Rechten regeln. Das Gegenstück wird als formelles Recht bezeichnet (z. B. Prozessrecht).
Das sog. Auskunftsrecht {Betroffenenrechte, Auskunft} schließt auch das Recht der betroffenen Person auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, z. B. Patientenakten, Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte oder Eingriffe (ErwG 63 DSGVO).
Nach Möglichkeit sollte der Verantwortliche einen sicheren Fernzugang zu seinem System bereitstellen, um der betroffenen Person einen direkten Zugang zu ihren personenbezogenen Daten zu ermöglichen. In Unternehmen bieten sich hier z. B. Wikis oder das Intranet an.
{Datenportabilität}
In Art. 20 DSGVO ist das Recht der betroffenen Person auf Datenübertragbarkeit (
Die betroffene Person soll im Fall der Verarbeitung von personenbezogenen Daten eine bessere Kontrolle über die eigenen Daten haben. Außerdem hat sie einen Anspruch darauf, dass sie die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen maschinenlesbaren und interoperablen Format erhält. Das Recht gilt nur, sofern die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Das Recht gilt nicht, wenn die Verarbeitung auf einer anderen Rechtsgrundlage – z. B. sonstigen Rechtsvorschriften – erfolgt.
Diese Anforderung stellt die Verantwortlichen und Auftragsverarbeiter vor eine Herausforderung. Was dies für datenverarbeitende Unternehmen bedeuten kann, hat die Artikel-29-Datenschutzgruppe in einer ersten Empfehlung am 13.12.2016 veröffentlicht, welche am 05.04.2017[3] zuletzt überarbeitet wurde.
So können Nutzer sozialer Netzwerke vom Anbieter des Netzwerks die Herausgabe ihrer personenbezogenen Daten verlangen. Das „Recht auf Datenübertragbarkeit“ besteht auch im Beschäftigungsverhältnis. Ein Mitarbeiter kann ebenso von diesem Recht Gebrauch machen.[4]
|
|
|
| Die Stiftung Datenschutz widmete sich in einer Studie der „Praktischen Umsetzung des Rechts auf Datenübertragbarkeit“[5]: Darin untersuchte sie die rechtlichen, technischen und verbraucherbezogenen Implikationen des Rechts auf Datenportabilität und gibt Empfehlungen, wie das neue Instrument nutzbar gemacht werden kann. | |
{Betroffenenrechte, Löschung}
Die betroffene Person hat gem. Art. 17 DSGVO das Recht, von dem Verantwortlichen
