Auskunftsrecht (Art. 15 DSGVO)
Die betroffene Person hat das Recht auf Auskunft darüber, welche auf sie bezogenen Daten in welcher Form beim Verantwortlichen verarbeitet werden. Das Recht bildet damit vielfach die Grundlage für die Wahrnehmung der weiteren Betroffenenrechte. Auskunftsersuchen nach Art. 15 DSGVO können voraussetzungs- und grundlos gestellt werden; eine Verweigerung durch den Verantwortlichen ist nur möglich, wenn der Antrag unbegründet, exzessiv oder mit unverhältnismäßigem Aufwand verbunden ist. Macht der Betroffene sein Recht geltend, so hat der Verantwortliche dem Betroffenen zudem eine Kopie der entsprechenden Daten zur Verfügung zu stellen (Art. 15 Abs. 3 DSGVO).
Es stellt sich die Frage, wie weit der Auskunftsanspruch reicht. Grundsätzlich umfasst das Recht die Auskunft über alle personenbezogenen Daten (Art. 4 Abs. 1 DSGVO), die Form der Verarbeitung und die möglichen Rechte des Betroffenen. Nach der Rechtsprechung des BGH erstreckt sich der Auskunftsanspruch auch auf interne und subjektive Informationen wie Stellungnahmen oder Vermerke sowie auf vergangene Kommunikationsvorgänge. Auch die Negativauskunft, dass keine personenbezogenen Daten des Antragstellenden verarbeitet werden, ist vom Verantwortlichen zu erbringen. Zudem steht Betroffenen nach Art. 15 Abs. 1 lit. c DSGVO die Erteilung einer Auskunft über die Identität des Empfängers zu. Nach Auffassung des EuGH reicht die Benennung der Kategorie des Empfängers nur aus, wenn die Identität nicht bestimmbar ist. Weitere Entscheidungen des EuGH zu den hiermit verbundenen Fragestellungen stehen zu erwarten.
Das Recht auf Auskunft des Betroffenen endet dort, wo die Rechte anderer Personen beeinträchtigt werden. Dieser Maßgabe wird in der Praxis regelmäßig durch die Schwärzung von sensiblen Inhalten Rechnung getragen. Da der Anspruch – unter bestimmten Voraussetzungen – auch von Dritten geltend gemacht werden kann, ist die kollektive Geltendmachung des Auskunftsanspruchs in Zukunft nicht auszuschließen.
Die Bearbeitung der Auskunftsersuchen richtet sich nach Art. 12 DSGVO.
Recht auf Berichtigung (Art. 16 DSGVO)
Neben der allgemeinen Pflicht des Verantwortlichen, dafür zu sorgen, dass die verarbeiteten personenbezogenen Daten sachlich richtig sind, hat der Betroffene auch das Recht, die Berichtigung unrichtiger personenbezogenen Daten zu verlangen. Zudem besteht ein Recht des Betroffenen auf Ergänzung unvollständiger personenbezogener Daten. Die Berichtigung muss unverzüglich erfolgen, d.h. ohne schuldhaftes Zögern.
Recht auf Löschung („Recht auf Vergessenwerden") (Art. 17 DSGVO)
Das „Recht auf Vergessenwerden“ ist eine der wohl am meisten diskutierten Neuerungen des (europäischen) Datenschutzrechts. Mehrere Urteile des EuGH haben dazu beigetragen, diese Regelung zu einem wichtigen und viel diskutierten Instrument des Betroffenenschutzes zu machen.
Nach Art. 17 Abs. 1 DSGVO hat der Betroffene das Recht, unter bestimmten Umständen die Löschung auf ihn bezogener Daten vom Verantwortlichen zu verlangen. Welche Umstände dies sind, ist in Art. 17 Abs. 1 lit. a) bis f) DSGVO geregelt: So kann das Recht auf Vergessenwerden etwa geltend gemacht werden, wenn die Zwecke, für die die Daten erhoben wurden, mittlerweile erreicht sind, wenn die Einwilligung, auf der die Verarbeitung beruhte, widerrufen wurde oder die Verarbeitung der Daten an sich bereits unrechtmäßig war.
Nach Art. 17 Abs. 2 DSGVO ist auch die Pflicht des Verantwortlichen umfasst, im Fall der bereits erfolgten Veröffentlichung der Daten angemessene Maßnahmen vorzunehmen, um die allgemeine Löschung der Daten herbeizuführen. Zudem muss die verantwortliche Stelle die erneute Verarbeitung der gelöschten Daten unterlassen. Von der Löschungspflicht befreit sind Verantwortliche unter den Voraussetzungen von Art. 17 Abs. 3 DSGVO, etwa bei Bestehen einer steuer- oder arbeitsrechtlichen Aufbewahrungspflicht.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Das Recht auf Datenübertragbarkeit soll dem Betroffenen einen erleichterten Anbieterwechsel ermöglichen und hierdurch seine Kontrolle über die eigenen Daten stärken. In diesem Sinne kann die betroffene Person verlangen, dass der Verantwortliche die betreffenden Daten an eine andere Stelle (sprich an einen neuen Anbieter) übermittelt. Alternativ kann der Betroffene verlangen, dass ihm seine Daten in einem gängigen Format zur Verfügung gestellt werden – also etwa auf einem USB-Stick oder in einer Cloud. Das Recht auf Datenübertragbarkeit besteht allerdings nur in den Grenzen des technisch Möglichen und nur dann, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag (Art. 6 Abs. 1 lit. a) oder b)) beruht.
Weitere Rechte des Betroffenen
Zu den weiteren Rechten des Betroffenen zählen etwa das Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) sowie das Widerspruchsrecht gegen die Verarbeitung (Art. 21 DSGVO). Ferner stellen die Informationspflichten des Verantwortlichen zugleich Informationsrechte des Betroffenen dar. Bei einem Verstoß gegen die Vorgaben der DSGVO steht Betroffenen das Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde zu (Art. 77 DSGVO). Spezialregelungen und teilweise Beschränkungen der Betroffenenrechte können sich zudem aus dem nationalen Recht, konkret aus §§ 32 ff. BDSG, ergeben.
Geltendmachung der Betroffenenrechte
Die Betroffenen können ihre in der DSGVO normierten Rechte formlos gegenüber dem Verantwortlichen beanspruchen. Der Verantwortliche ist nach Art. 12 DSGVO zur transparenten Information des Antragstellenden und zur zügigen Bearbeitung des Anliegens verpflichtet.
Wenn der Verantwortliche sich weigert, die Betroffenenrechte zu erfüllen, kann durch die Aufsichtsbehörde ein Bußgeld verhängt (Art. 83 DSGVO) und gegebenenfalls auf gerichtlichem Weg Schadensersatz erwirkt werden (Art. 82 DSGVO).