Im Folgenden werden die Rechte der Betroffenen dargestellt. "Betroffene" im Sinne der DSGVO können Kunden, weitere externe Dritte, aber auch Beschäftigte sein. Die Betroffenenrechte sind in den Art. 12–23 DSGVO abschließend geregelt.
4.1 Informationspflichten
Sofern die betroffenen Personen nicht bereits Kenntnis über die folgenden Informationen haben, müssen Unternehmen sie künftig zum Zeitpunkt der Datenerhebung über folgende Punkte informieren:
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Zwecke der Datenverarbeitung
- Berechtigte Interessen, falls die Verarbeitung aufgrund eines berechtigten Interesses durchgeführt wird
- Empfänger der Daten
- Ggf. die Absicht zur Übermittlung in ein Drittland
- Dauer der Speicherung
- Hinweis auf Betroffenenrechte (insbesondere das Beschwerderecht bei einer Aufsichtsbehörde)
- Widerrufsrecht, falls die Verarbeitung auf einer Einwilligung basiert
Der Detailgrad der Informationspflichten stellt Unternehmen vor erhebliche Herausforderungen in der Praxis. Jedenfalls müssen Unternehmen bereits beim Onboarding ihre Beschäftigten darüber informieren, wie die personenbezogenen Daten verarbeitet werden ("Beschäftigten-Datenschutzerklärung").
In diesem Zusammenhang stellt Erwägungsgrund 62 der DSGVO klar, dass die Informationspflichten jedenfalls dann nicht bestehen, wenn die Speicherung der Daten ausdrücklich aufgrund einer Rechtsvorschrift erfolgt, wenn die betroffene Person die Information bereits hat oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist.
Neben den Informationspflichten hat jede betroffene Person auch weiterhin ein Recht auf Auskunft. Dieses Recht ist in Art. 15 DSGVO geregelt und entspricht im Wesentlichen dem bisherigen Recht auf Auskunft.
Aufklärung im Arbeitsvertrag
Die Informationspflichten können bei Beschäftigten z. B. als gesonderter Anhang zum Arbeitsvertrag erfüllt werden. Sofern neue Verarbeitungsprozesse eingeführt werden, bietet sich zudem ein gestufter Prozess an, sodass auf der ersten Stufe "nur" über die Zwecke der Verarbeitung und die Empfänger der Daten informiert wird und i. Ü. (z. B. im Hinblick auf die Belehrung über die Betroffenenrechte) auf die Beschäftigten-Datenschutzerklärung verwiesen wird. Dieser 2-stufige Prozess wird auch von den Aufsichtsbehörden anerkannt, z. B. bei Videoüberwachungen: Zunächst kann mit einem vorgelagerten Hinweisschild den Betroffenen ein schneller, wahrnehmbarer Überblick über die wichtigsten Informationen verschafft werden. In einem zweiten Schritt kann sodann eine vollständige Information erfolgen. Diese kann an geeigneter Stelle ausgelegt oder ausgehängt und zusätzlich auf einer Webseite vorgehalten werden.
4.2 Recht auf Vergessenwerden
In Art. 17 DSGVO ist das sog. "Recht auf Vergessenwerden", also das Recht, Löschung seiner personenbezogenen Daten zu verlangen, geregelt. Im Zuge der Umsetzung der DSGVO wurde das "Recht auf Vergessenwerden" breit diskutiert und befürchtet. In der Praxis zeigt sich, dass es zumindest im Beschäftigtenverhältnis keine neuen Herausforderungen an die Unternehmen stellt. Unternehmen müssen personenbezogene Daten löschen, wenn eine der folgenden Voraussetzungen erfüllt ist:
- Die Speicherung ist nicht länger erforderlich, weil der Zweck der Speicherung entfallen ist.
- Die betroffene Person hat eine erteilte Einwilligung widerrufen.
- Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt und es liegen keine berechtigten Gründe für die Weiterverarbeitung vor.
- Personenbezogene Daten wurden unrechtmäßig verarbeitet.
Die Pflicht zur Datenlöschung folgt damit den gleichen Maßstäben wie bisher auch. Allerdings besteht auch für die Einhaltung der Löschverpflichtungen eine Rechenschaftspflicht. Eine Besonderheit hält § 35 BDSG bereit, wonach personenbezogene Daten u. a. dann nicht zu löschen sind, wenn einer Löschung satzungsgemäße oder vertragliche Aufbewahrungsfristen entgegenstehen. Dies wird beim Ausscheiden eines Beschäftigten für einen Großteil der Daten in der Regel der Fall sein.
Wie lange personenbezogene Daten (meist in Dokumenten oder Akten) aufzubewahren sind, bevor eine Löschung vorgenommen werden kann, ist abhängig von deren Inhalt und Zweck. Die wichtigsten Aufbewahrungspflichten betreffen:
- Steuerrechtliche Dokumente, die für die Gewinnermittlung von Bedeutung sind: Sie müssen gemäß § 147 Abs. 1 Nrn. 1, 4, 4a, Abs. 3 AO und § 257 Abs. 1 Nrn. 1, 4 Abs. 4 HGB 10 Jahre aufbewahrt werden. Hierzu zählen z. B. Lohn- und Gehaltskonten, Lohnsteueranmeldungen, Quittungen über Zahlungen von Arbeitslohn, Buchungsbelege für die Bilanzbuchhaltung, Abrechnungen, Bewirtungsbelege.