Damit Datenschutz kein zahnloser Tiger bleibt, besitzen diejenigen, deren Daten verarbeitet werden, eine Reihe von Rechten. Die Wichtigsten sind:
Recht auf Auskunft
Jeder kann sich an den Verein wenden und fragen, ob – und wenn ja, welche – Daten dort über ihn gespeichert sind (Art. 15 DSGVO). Der Verein muss die Auskunft dann in der Regel innerhalb eines Monats erteilen. Dem Antragsteller muss dazu eine Kopie seines Datensatzes zur Verfügung gestellt werden.
Darüber hinaus hat der Anfragende Anspruch auf folgende Informationen:
- die Zwecke, weshalb der Verein Daten über ihn verarbeitet
- die Kategorien der über ihn gespeicherten Daten
- eventuelle Empfänger, falls die Daten weitergeleitet werden (mit Namen oder zumindest als Sammelbezeichnung der Empfänger)
- die Speicherdauer der Daten oder zumindest Kriterien für die Bestimmung der Speicherdauer
- einen Hinweis, dass es die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch gibt
- einen Hinweis auf das Beschwerderecht bei der Datenschutz-Aufsichtsbehörde
- falls die Daten nicht vom Betroffenen selbst kommen: woher die Daten stammen
- falls die Daten für eine automatisierte Entscheidungsfindung (einschließlich Profiling) herangezogen werden: eine aussagekräftige Angabe über deren Wirkungsweise.
Die Auskunft muss kostenfrei erteilt werden.
Recht auf Berichtigung
Wenn die gespeicherten personenbezogenen Daten sachlich falsch sind (z. B. Tippfehler im Namen oder Namensänderung nach Heirat), darf der Betroffene eine Berichtigung verlangen (Art. 16 DSGVO). Der Verein muss diesem Begehren dann nachkommen.
Recht auf Löschung ("Recht auf Vergessenwerden")
In einigen Fällen hat der Betroffene das Recht, die Löschung seiner Daten zu verlangen (Art. 17 DSGVO). Eine Löschung muss insbesondere dann durchgeführt werden, wenn
- die personenbezogenen Daten nicht mehr benötigt werden, weil der Zweck mittlerweile entfallen ist,
- die personenbezogenen Daten unrechtmäßig verarbeitet wurden (weil es z. B. keine Rechtsgrundlage gibt),
- der Betroffene ursprünglich eingewilligt hatte und seine Einwilligung dann widerrufen hat oder
- der Betroffene Widerspruch gegen die Datenverarbeitung einlegt und eine Prüfung ergibt, dass dem Widerspruch stattgegeben wird.
Einem Wunsch nach Löschung muss daher nicht in allen Fällen nachgekommen werden. Im Einzelfall kann und sollte auch der Datenschutzbeauftragte befragt und auf seine Fachkompetenz zurückgegriffen werden.
Einen teilweise anderen Fokus besitzt das "Recht auf Vergessenwerden". Wenn der Verein personenbezogene Daten öffentlich gemacht hatte (z. B. im Internet) und der Betroffene dann die Löschung seiner Daten erfolgreich beantragt, greifen weiterreichende Pflichten. Dann muss der Verein auch diejenigen informieren, die sich diese Daten gezogen und sie weiterverarbeitet haben. Es besteht also eine Informationspflicht über die Löschung. Um diese umsetzen zu können, müssen angemessene Maßnahmen getroffen werden (unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten). Hintergrund ist, dass es bei Veröffentlichungen im Internet häufig zu einem Kontrollverlust über die Daten kommt. Das Recht auf Vergessenwerden soll dem entgegenwirken und die Rechtsdurchsetzung etwas effektiver machen.
Wie das alles in der Praxis möglichst gut umgesetzt werden kann (im Sinn von Best practices), wird die Zukunft zeigen müssen.
Recht auf Einschränkung der Verarbeitung
Wenn die Verarbeitung von personenbezogenen Daten eingeschränkt ist, heißt dies, dass sie nur noch in wenigen Fällen verarbeitet werden dürfen (Art. 18 DSGVO). Eine Einschränkung der Verarbeitung kann etwa zur Anwendung kommen, wenn der Betroffene behauptet, dass die Daten über ihn nicht richtig sind. Die Einschränkung besteht dann für die Dauer, während der Verein dies überprüft.
Die Daten dürfen erst dann weiterverarbeitet werden, wenn z. B. der Betroffene selbst zustimmt.
Recht auf Datenübertragbarkeit
Der Betroffene besitzt das Recht, seine Daten als Computerdatei herauszuverlangen (Art. 20 DSGVO). Dieses Recht war ursprünglich gegen Facebook, Google und ähnliche Anbieter gerichtet, damit Nutzer ihre Profildaten zu anderen Anbietern umziehen können, wurde dann aber deutlich weiter gefasst und kann nun gegen alle Datenverarbeiter gerichtet werden.
Voraussetzungen sind, dass
- der Betroffene die Daten selbst bereitgestellt hat,
- die Daten aufgrund einer Einwilligung oder Vertragserfüllung verarbeitet werden und
- die Verarbeitung IT-mäßig erfolgt.
Nur wenn alle drei Voraussetzungen zutreffen, hat der Betroffene das Recht, seine Daten in einem "strukturierten, gängigen und maschinenlesbaren Format" zu erhalten (beispielsweise als XML- oder CSV-Datei).
Alternativ kann der Betroffene verlangen, dass seine Daten nicht an ihn, sondern direkt an eine andere Stelle übermittelt werden. In einem Sportverein wäre es denkbar, dass ein Mitglied seine Mitgliedschaft kündigt und vom Verein verlangt, dass seine Stammdaten (Name, Anschrift, Kommunikationsdaten) direkt an einen anderen Sportverein digital...