3. Informationspflichten im Fall der Öffentlichmachung der Daten (Art. 17 Abs. 2 DSGVO)
414
a) Voraussetzungen des Rechts auf Vergessenwerden
418
b) Vom Verantwortlichen zur Erfüllung des Rechts auf Vergessenwerden zu ergreifende Maßnahmen
420
4. Ausnahmen vom Recht auf Löschung gem. Art. 17 Abs. 1 DSGVO und von den Informationspflichten gem. Art. 17 Abs. 2 DSGVO (Art. 17 Abs. 3, Art. 12 DSGVO)
425
a) Ausnahmen nach Art. 17 Abs. 3 DSGVO
425
b) Weitere Ausnahmen in der DSGVO
428
c) Ausnahmen im nationalen Recht
430
5. Modalitäten des Löschungsanspruchs (Art. 12 DSGVO)
434
a) Frist bei Löschung aufgrund der in Art. 17 Abs. 1 DSGVO enthaltenen Löschungspflicht
448
b) Frist bei Löschung gem. Art. 17 Abs. 1 DSGVO infolge eines Antrags der betroffenen Person
449
c) Frist für die Information nach Art. 17 Abs. 2 DSGVO
453
6. Mitteilungspflicht nach Art. 19 DSGVO/Verhältnis zu Art. 17 Abs. 2 DSGVO
455
7. Recht auf Löschung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
459
VII. Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO)
460
1. Inhalte des Rechts auf Einschränkung der Datenverarbeitung
462
a) Voraussetzungen (Art. 18 Abs. 1 DSGVO)
462
b) Rechtsfolge: Einschränkung der Datenverarbeitung
576
c) Bedingungen für die Weiterverarbeitung der Daten (Art. 18 Abs. 2 DSGVO, Erwägungsgrund 67 DSGVO)
580
d) Informationspflichten für den Fall, dass die Daten wieder uneingeschränkt verarbeitet werden (Art. 18 Abs. 3 DSGVO)
581
2. Ausnahmen vom Recht auf Einschränkung der Datenverarbeitung
483
3. Modalitäten des Rechts auf Einschränkung der Datenverarbeitung (Art. 12 DSGVO)
486
4. Mitteilungspflicht nach Art. 19 DSGVO
490
5. Recht auf Einschränkung der Datenverarbeitung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
491
VIII. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)
492
1. Voraussetzungen der Mitteilungspflicht
494
2. Mitteilung der Berichtigung, Löschung oder Einschränkung der Verarbeitung
496
3. Unterrichtungspflicht gegenüber der betroffenen Person (Art. 19 S. 2 DSGVO)
500
4. Weitere Ausnahmen von der Mitteilungspflicht
508
5. Modalitäten der Mitteilungspflicht (Art. 12 DSGVO)
511
6. Mitteilungspflicht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
515
IX. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
516
1. Inhalte des Rechts auf Datenübertragbarkeit
519
a) Voraussetzungen des Rechts auf Datenübertragbarkeit (Art. 20 Abs. 1 DSGVO)
519
b) Rechtsfolgen: Bereitstellung (Abs. 1) bzw. Übermittlung (Abs. 2) von Daten durch den Verantwortlichen
528
c) Verhältnis zu Art. 17 DSGVO (Art. 20 Abs. 3 S. 1 DSGVO)
538
2. Ausnahmen vom Recht auf Datenübertragbarkeit (Art. 20 Abs. 4, Art. 12 DSGVO)
541
a) Beeinträchtigung von Rechten und Freiheiten anderer Personen (Art. 20 Abs. 4 DSGVO)
542
b) Weitere Ausnahmen
558
3. Modalitäten des Rechts auf Datenübertragbarkeit
562
4. Recht auf Datenübertragbarkeit im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
567
X. Widerspruchsrecht (Art. 21 DSGVO)
568
1. Inhalte des Widerspruchsrechts
569
a) Allgemeines Widerspruchsrecht gem. Art. 21 Abs. 1 DSGVO
570
b) Widerspruchsrecht bei der Datenverarbeitung zu Zwecken der Direktwerbung gem. Art. 21 Abs. 2 und 3 DSGVO
587
c) Informationspflichten nach Art. 21 Abs. 4 DSGVO
596
2. Weitere Ausnahmen vom Widerspruchsrecht
604
3. Modalitäten des Widerspruchsrechts
607
4. Widerspruchsrecht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
612
XI. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO)
613
1. Inhalte des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden
617
a) Voraussetzungen des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden
617
b) Rechtsfolgen aus Art. 22 Abs. 1 DSGVO
637
c) Ausnahmen vom Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden (Art. 22 Abs. 2 und 3 DSGVO)
2. Modalitäten des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden
663
3. Das Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden, im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden
664
XII. Sanktionierung
665
I. Einführung
1
Ein Bereich, dessen Bedeutung in der Praxis infolge der DSGVO stark zugenommen hat, ist der Bereich der Betroffenenrechte, also den Rechten, die Personen, deren personenbezogene Daten Gegenstand einer Datenverarbeitung sind, gegenüber dem für diese Datenverarbeitung Verantwortlichen zustehen.
2
Dies scheint insbesondere eine Folge der gesteigerten Aufmerksamkeit und Sensibilität der Bevölkerung für den Datenschutz zu sein, welche nicht zuletzt auch durch die DSGVO und die damit verbundene Berichterstattung in den Medien gefördert wurden. Denn auch nach der alten Rechtslage, also bevor die DSGVO wirksam wurde, bestanden weitgehende Betroffenenrechte. Diese wurden durch die DSGVO allerdings ausgeweitet, formalisiert und präzisiert.
3
So wurden durch die DSGVO zwei neue Betroffenenrechte eingeführt, die nach der alten Rechtslage auf Basis der Datenschutzrichtlinie 95/46/EG nicht vorgesehen waren: das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO und das Recht auf Vergessenwerden nach Art. 17 Abs. 2 DSGVO.1
4
Außerdem wurden einige bestehende Betroffenenrechte, wie z.B. das Recht auf Auskunft und die Informationspflichten des Verantwortlichen, durch die DSGVO erheblich erweitert und präzisiert.
5
Für Unternehmen, die personenbezogene Daten verarbeiten, haben die Betroffenenrechte in der Praxis eine sehr wichtige Bedeutung. Diese erschöpft sich nicht allein darin, dass die Unternehmen die jeweiligen Rechte der betroffenen Person im Einzelfall – ggf. auf deren Antrag hin – erfüllen müssen. Vielmehr ist es erforderlich, dass Unternehmen bereits im Vorfeld entsprechende Prozesse konzipiert und implementiert haben, um die einzelnen Betroffenenrechte – ggf. auf Antrag der betroffenen Person – überhaupt erfüllen zu können. Ebenso sind diese Prozesse grundsätzlich zu dokumentieren, um der Rechenschaftspflicht zu genügen. Somit hat auch im Bereich der Betroffenenrechte das Thema der Datenschutzorganisation und des Datenschutzmanagements erheblich an Bedeutung gewonnen.
6
Dies ist umso wichtiger, als dass betroffene Personen ihre Rechte seit der DSGVO viel häufiger wahrnehmen und ggf. auch gerichtlich durchzusetzen versuchen als zuvor, was sich alleine schon an der erheblich gestiegenen Anzahl an Gerichtsentscheidungen in diesem Bereich zeigt.
7
Auch für die Datenschutzaufsichtsbehörden scheinen die im Unternehmen vorgesehenen Prozesse zur Erfüllung der Betroffenenrechte eine immer wichtigere Rolle zu spielen, z.B. im Fall von Verstößen im Rahmen der Bußgeldbemessung. Gerade im Fall von Verstößen gegen die Betroffenenrechte ist zudem auch der Reputationsschaden durch eine negative Medienberichterstattung nicht zu unterschätzen. Vor diesem Hintergrund sollte die Bedeutung der
