Die direkten Verpflichtungen zur Gewährleistung der Rechte der betroffenen Personen obliegen dem Verantwortlichen; die Verarbeiter müssen sie jedoch bei der Erfüllung dieser Aufgaben unterstützen. Schon fahrlässige Verstöße gegen diese Verpflichtungen können zu hohen Bußgeldern führen (siehe Art. 83 DSGVO).
- Recht auf Zugang
Das Zugangsrecht ermöglicht es den betroffenen Personen, von den Verantwortlichen Zugang zu ihren personenbezogenen Daten zu verlangen. Der Grund für dieses Recht ist, den Personen die Überprüfung der Rechtmäßigkeit der Verarbeitung ihrer personenbezogenen Daten zu ermöglichen.
Die betroffenen Personen sind berechtigt, folgendes zu erhalten:
- Informationen, welche die Verarbeitung ihrer personenbezogenen Daten bestätigen,
- Zugang zu diesen Daten und
- Zugang zu anderen in 15(1) DSGVO genannten ergänzenden Daten
- Recht auf Berichtigung
Das Recht auf Berichtigung gibt den betroffenen Personen das Recht auf Berichtigung ihrer Daten, wenn sie falsch oder unvollständig sind.
- Recht auf Löschung (“Recht vergessen zu werden”)
Das Recht auf Löschung, auch “Recht vergessen zu werden” genannt, ermöglicht es den Betroffenen, die Entfernung oder Löschung ihrer Daten zu verlangen. Dieses Recht kann jedoch nicht immer in Anspruch genommen werden.
In solchen Situationen ist es möglich, seine Daten zu löschen:
- die Daten sind für den Zweck der Erstverarbeitung nicht mehr erforderlich
- Widerruf der betroffenen Persons Zustimmung, auf der die Verarbeitung basierte,
- Widerspruch der betroffenen Person gegen die Verarbeitung (und es besteht kein berechtigtes Interesse des Verantwortlichen)
- die Daten wurden nicht rechtmäßig verarbeitet
- die Löschung ist notwendig, damit der Verantwortliche einer rechtlichen Verpflichtung nach dem EU/MS-Recht nachkommt
- die Daten wurden im Zusammenhang mit dem Angebot von Diensten der Informationsgesellschaft für Kinder erhoben
Die DSGVO sieht auch zahlreiche Ausnahmen vor, bei denen das Recht vergessen zu werden nicht anwendbar ist; nämlich, wenn die Verarbeitung dieser Daten notwendig ist für entweder:
- Ausübung des Rechts auf freie Meinungsäußerung und Informationsfreiheit
- Erfüllung einer rechtlichen Verpflichtung oder Erfüllung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt
- Gründe der öffentlichen Gesundheit im öffentlichen Interesse
- Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschung oder statistische Zwecke oder
- Begründung, Ausübung oder Abwehr von Rechtsansprüchen
- Recht auf Einschränkung der Verarbeitung
Das Recht auf Einschränkung der Verarbeitung ermöglicht es den betroffenen Personen, die Verarbeitung ihrer Daten einzustellen. Nach einer solchen Anfrage ist es einem Unternehmen nicht gestattet, die weitere Verarbeitung fortzusetzen. Es ist jedoch erlaubt, die bereits verarbeiteten Daten zu speichern. Darüber hinaus ist es zulässig, ein Minimum an personenbezogenen Daten zu speichern, die das Unternehmen daran hindern würde, die Daten dieser betroffenen Person erneut zu verarbeiten.
- Widerspruchsrecht
In der DSGVO sind drei Fälle aufgeführt, in denen die betroffenen Personen berechtigt sind, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen. Das sind:
- besondere Situation der betroffenen Person
- Verarbeitung für Direktmarketingzwecke
- Verarbeitung zu Forschungs- oder statistischen Zwecken
Einzelpersonen können der Verarbeitung ihrer personenbezogenen Daten jederzeit widersprechen, unabhängig davon, ob die Verarbeitung bereits erfolgt ist oder nicht. Infolgedessen muss der Verantwortliche die Verarbeitung der betreffenden Daten einstellen.
- Recht auf Datenübertragbarkeit (neu)
Gemäß dem Recht auf Datenübertragbarkeit sind die betroffenen Personen berechtigt, von einem Verantwortlichen zu verlangen, dass sie ihre Daten in einem “strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format erhalten und das Recht haben, diese Daten an einen anderen Verantwortlichen zu übermitteln“ (Art. 20 DSGVO). Dieses Recht gilt, wenn:
- die betroffenen Personen selbst ihre Daten an den Verantwortlichen weitergeben
- die Verarbeitung auf der Grundlage der Einwilligung der betroffenen Personen oder der Notwendigkeit der Vertragserfüllung erfolgt
- die Verarbeitung mit automatisierten Mitteln erfolgt
Die WP29 hat die Leitlinien für das Recht auf Datenübertragbarkeit erstellt, die unter http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_de_40852.pdf verfügbar sind.
Rechte im Zusammenhang mit automatisierter Entscheidung (siehe Automatisierte Entscheidungsfindung, Art. 22)