Die DSGVO gewährt betroffenen Personen umfassende Rechte, die Unternehmen ernst nehmen müßen.
Die Betroffenenrechte im Überblick:
- Auskunftsrecht (Art. 15): Recht auf Bestätigung, ob Daten verarbeitet werden, und auf umfassende Auskunft einschließlich Kopie der Daten. Kostenlos, Frist: 1 Monat.
- Berichtigung (Art. 16): Unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.
- Löschung (Art. 17): Löschung, wenn Daten nicht mehr benötigt werden, Einwilligung widerrufen wird oder Verarbeitung unrechtmäßig ist. Ausnahmen bei gesetzlichen Aufbewahrungspflichten.
- Einschränkung (Art. 18): Daten bleiben gespeichert, dürfen aber nicht weiterverarbeitet werden (Alternative zur Löschung).
- Datenportabilität (Art. 20): Recht auf Erhalt der eigenen Daten in maschinenlesbarem Format.
- Widerspruch (Art. 21): Generelles Widerspruchsrecht gegen Verarbeitung auf Basis berechtigter Interessen. Absolutes Widerspruchsrecht bei Direktwerbung.
- Automatisierte Entscheidungen (Art. 22): Recht, keiner außchließlich automatisierten Entscheidung mit erheblicher Wirkung unterworfen zu werden.
Reaktionspflichten des Unternehmens:
- Antwort innerhalb eines Monats (Art. 12 Abs. 3 DSGVO), verlängerbar um 2 Monate bei Komplexität
- Grundsätzlich kostenfrei (Art. 12 Abs. 5 DSGVO)
- Bei Identitätszweifeln: zusätzliche Informationen anforderbar (Art. 12 Abs. 6 DSGVO)
- Bei Ablehnung: Begründung und Hinweis auf Beschwerderecht (Art. 12 Abs. 4 DSGVO)
- Nachberichtspflicht an alle Empfänger (Art. 19 DSGVO)
Beschwerderecht (Art. 77 DSGVO): Jede betroffene Person kann Beschwerde bei einer Aufsichtsbehörde einlegen. Die Beschwerde ist kostenlos.
Bußgelder: Verstöße gegen Betroffenenrechte fallen unter die höchste Bußgeldstufe: bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes (Art. 83 Abs. 5 lit. b DSGVO).