Welche Rechte hat eine Person an seine Daten?

Der Begriff der personenbezogenen Daten ist das Eingangstor zur Anwendung der Datenschutz-Grundverordnung und wird in Art. 4 Nr. 1 definiert. Danach sind dies alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Die Betroffenen sind identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden können, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Personen sind. In der Praxis fallen darunter also sämtliche Daten, die auf jedwede Weise einer Person zugeordnet werden oder zugeordnet werden können. Beispielsweise zählen die Telefonnummer, die Kreditkarten- oder Personalnummern einer Person, die Kontodaten, ein Kfz-Kennzeichen, das Aussehen, die Kundennummer oder die Anschrift zu den personenbezogenen Daten.

Da sich in der Definition der Ausdruck „alle Informationen“ findet, ist davon auszugehen, dass der Begriff „personenbezogene Daten“ möglichst weit auszulegen ist. Dies geht auch aus der ständigen Rechtsprechung des Europäischen Gerichtshofs hervor. So fallen auch weniger eindeutige Informationen wie Aufzeichnungen über Arbeitszeiten, welche die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, in die Kategorie personenbezogene Daten. Auch die schriftlichen Antworten eines Prüflings und etwaige Anmerkungen des Prüfers zu diesen Antworten sind „personenbezogene Daten“, wenn der Prüfling theoretisch identifiziert werden kann. Selbiges gilt auch für IP-Adressen. Hat der Verarbeitende die rechtliche Möglichkeit den Provider zur Herausgabe weiterer Zusatzinformationen zu verpflichten, welche den hinter der IP-Adresse stehenden Nutzer identifizieren können, so ist diese ein personenbezogenes Datum. Zudem ist darauf zu achten, dass nicht nur objektive Informationen personenbezogen sein können. Auch subjektive Informationen wie Meinungen, Beurteilungen oder Einschätzungen können personenbezogene Daten sein. So etwa die Beurteilung der Kreditwürdigkeit einer Person oder die Einschätzung der Arbeitsleistung eines Arbeitnehmers.

Zu guter Letzt besagt das Gesetz, dass die Informationen für einen Personenbezug sich auf eine natürliche Person beziehen müssen. Das heißt im Umkehrschluss, dass der Datenschutz für Angaben über juristische Personen wie Körperschaften, Stiftungen und Anstalten nicht greift. Für natürliche Person hingegen beginnt und erlischt der Schutz mit ihrer Rechtsfähigkeit. Grundsätzlich erlangt ein Mensch diese Fähigkeit mit seiner Geburt und verliert sie mit seinem Tod. Für einen Personenbezug müssen Daten daher bestimmten oder bestimmbaren lebenden Personen zuzuordnen sein.

Neben den allgemeinen personenbezogenen Daten sind vor allem die besonderen Kategorien personenbezogener Daten von hoher Relevanz, da sie ein höheres Schutzniveau genießen. Zu diesen gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen.

Durch die Nutzung von Social-Media-Diensten, Fitnessarmbändern, Smartphones oder das Sammeln von Punkten mit Kundenkarten generieren Unternehmen riesige Datenmengen. Die Datenschutz-Grundverordnung erweitert die Rechte von Verbraucherinnen und Verbrauchern. Doch was genau regelt die DSGVO eigentlich?  

Welche Rechte hat eine Person an seine Daten?

© designed by Chevanon - Freepik.com

Das Wichtigste in Kürze

  1. Seit 2018 gilt ein europaweit einheitliches Datenschutzrecht. Das bedeutet: Unternehmen können nicht mehr in das Land mit dem niedrigsten Datenschutzniveau ausweichen.
  2. Die Rechte von Verbraucherinnen und Verbrauchern auf Auskunft, Löschung und Berichtigung wurden erweitert und um weitere Verbraucherrechte ergänzt.
  3. Daten können mit dem Inkrafttreten der Verordnung komplett an einen anderen Anbieter übertragen werden.  

Stand: 31.03.2022

Durch die Datenschutz-Grundverordnung (DSGVO) gelten seit 2018 europaweit einheitliche Datenschutzregeln. An diese müssen sich nicht nur Unternehmen, die in der Europäischen Union (EU) ansässig sind, halten, sondern auch internationale Konzerne, wenn sie ihre Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgerinnen und -Bürgern beobachten. Wir haben zusammengestellt, was Sie über die Verordnung wissen sollten.

Was sind eigentlich personenbezogene Daten?

Personenbezogene Daten sind alle persönlichen und sachlichen Informationen, die es ermöglichen, Sie als Person zu identifizieren. Sie sind vergleichbar mit einem Fingerabdruck, den Sie hinterlassen. Zu den personenbezogenen Daten gehören beispielsweise Ihr Name, Ihre Anschrift, Ihr Geburtsdatum, Ihre Herkunft und Ausbildung, Ihr Familienstand und genetische Daten. Aber auch sachliche Angaben wie Vermögen, Gehalt, Freundschaften, Konsum- und Kommunikationsverhalten und ebenso Geodaten, anhand derer sich Ihr Standort bzw. Ihr Bewegungsprofil ermitteln lassen, sowie IP-Adressen gehören dazu.

Wann dürfen meine Daten verarbeitet werden?

Die Verarbeitung Ihrer personenbezogenen Daten ist grundsätzlich verboten, es sei denn Sie haben in diese eingewilligt oder sie ist gesetzlich erlaubt. Das ist unter folgenden Umständen der Fall:

  • Datenverarbeitung erlaubt, bei Erfüllung des Vertrages
    Kaufen Sie beispielsweise eine Kamera im Internet, so darf der Verkäufer Ihre Adress- und Kontodaten auch ohne Ihre ausdrückliche Einwilligung verarbeiten. Denn: Diese Daten benötigt der Verkäufer, um Ihre Bestellung abzuwickeln, die Ware zu liefern und die Bezahlung zu koordinieren. Die Verarbeitung Ihrer Daten ist daher für die Erfüllung des Vertrages notwendig. Nach Vertragserfüllung muss der Unternehmer Ihre Daten übrigens wieder löschen, wenn die steuerliche Pflicht zur Aufbewahrung endet.
     
  • Datenverarbeitung erlaubt, bei Einwilligung
    Erlaubt ist die Datenverarbeitung auch dann, wenn Sie in diese eingewilligt haben. Das kann zum Beispiel im Rahmen von Online-Einkäufen durch das Anklicken eines Kästchens (Opt-in) auf der Website erfolgen. Ein voreingestelltes Häkchen, dass Sie, wenn Sie nicht in die Datenverarbeitung einwilligen möchten, entfernen müssen (Opt-out), ist hingegen nicht zulässig. Heutzutage gibt es kaum eine Webseite, auf der nicht zunächst viele Entscheidungen zum Einsatz von sogenannten Cookies gefällt werden müssen. 
    Zudem muss die Einwilligung freiwillig erteilt werden und darf nicht unter Druck oder Zwang erfolgen. Es besteht daher ein sogenanntes Kopplungsverbot. Das bedeutet: Ein Unternehmen darf beispielsweise den Abschluss eines Kaufvertrags via Internet nicht davon abhängig machen, dass Sie in die Nutzung Ihrer Daten für telefonische Werbeangebote einwilligen. Damit Sie als Verbraucherin bzw. Verbraucher eine freiwillige Entscheidung treffen können, ist es notwendig, dass Sie die wesentlichen Umstände und den Zweck der Datenverarbeitung kennen. Um dies zu gewährleisten, muss die Datenschutzerklärung in einfacher, verständlicher Sprache verfasst und von den übrigen Vertragsbestimmungen getrennt sein.
  • Datenverarbeitung erlaubt, bei berechtigtem Interesse des Unternehmers
    Die Verarbeitung personenbezogener Daten ist auch dann rechtmäßig, wenn sie erforderlich ist, um ein berechtigtes Interesse des Unternehmers oder eines Dritten zu wahren und die Interessen der Verbraucherin bzw. des Verbrauchers nicht überwiegen. Was heißt das? Berechtigte Interessen des Unternehmers können Betrugsbekämpfung, aber – nach den Erwägungsgründen der DSGVO – auch das Direktmarketing sein.
    Haben Sie sich zum Beispiel bei einem Online-Händler eine Waschmaschine gekauft und erhalten in der Folgezeit personalisierte und gezielte Werbung des Anbieters zu weiteren Elektroprodukten, so wird diese Werbung möglicherweise durch das berechtigte Interesse des Online-Händlers gedeckt sein.
    Das gilt nicht für Telefonwerbung. Diese ist in diesem Fall nicht zulässig, es sei denn, Sie haben ausdrücklich eingewilligt. Zwar mag der Händler ein berechtigtes Interesse an der Werbung per Anruf haben, Ihr Interesse an der Ungestörtheit Ihrer Privatsphäre überwiegt jedoch. Auch die Zusendung von Werbemails an Nicht-Kunden bleibt nach unserem Verständnis unzulässig.

Gut zu wissen

Kinder sind durch die Datenschutz-Grundverordnung besser geschützt als in der Vergangenheit. Sie können erst mit Vollendung des 16. Lebensjahrs in die Datenverarbeitung, beispielsweise von sozialen Netzwerken, App-Stores oder Online-Spielen, einwilligen. Unternehmen, die ihr Angebot gezielt an Kinder richten, müssen die Informationen zum Datenschutz zudem in klarer und einfacher Sprache erteilen, damit sie von der Zielgruppe auch verstanden werden. Ist ein Kind noch nicht 16 Jahre alt, so muss die Einwilligung der Eltern eingeholt werden. Eine nachträgliche Genehmigung ist nicht ausreichend. Dabei müssen die Anbieter angemessene Anstrengungen unternehmen, um sich zu vergewissern, dass die Eltern tatsächlich einverstanden sind.   

Welche Rechte bringt die Verordnung?

Durch die Datenschutz-Grundverordnung hat sich für Sie als Verbraucherin oder Verbraucher jede Menge geändert. Sie erhalten sehr viel mehr Rechte hinsichtlich Ihrer personenbezogenen Daten. Schließlich gehören die Daten zunächst einmal Ihnen. Diese Rechte haben Sie.

  • Recht auf Information
    Unternehmen müssen Sie aktiv über die Verarbeitung von Daten informieren. Dies kann beispielsweise durch eine leicht erreichbare Datenschutzerklärung mit allen Einzelheiten zur Datenverarbeitung erfolgen.
     
  • Recht auf Auskunft
    Auf Verlangen müssen Unternehmen Sie in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache über die Datenverarbeitung informieren. Hierzu gehören beispielsweise die Nennung des Zwecks der Datenverarbeitung, die Speicherdauer, Informationen über die Herkunft der Daten und mögliche Empfänger. Diese Auskunft ermöglicht es Ihnen, weitere Rechte – wie das Recht auf Löschung oder Berichtigung – geltend zu machen. Die Auskunft muss grundsätzlich kostenfrei erteilt werden. Zudem haben Sie durch die DSGVO das Recht auf eine Kopie der Daten; die erste Kopie müssen Ihnen Unternehmen kostenfrei bereitstellen.
        
  • Widerspruchsrecht
    Sie können der Datenverarbeitung für Direktwerbung und Profilbildung jederzeit kostenfrei und ohne Begründung widersprechen. Zusätzlich können Sie die Sperrung Ihrer Daten verlangen.
    Dient die Verarbeitung anderen Zwecken als der Direktwerbung müssen Sie für Ihren Widerspruch einen plausiblen Grund anführen. Es hängt dann vom Einzelfall ab, ob das Unternehmen Ihre Daten dennoch weiter verwenden darf, zum Beispiel um Rechtsansprüche geltend zu machen.
     
  • Recht auf Berichtigung
    Sind Ihre Daten falsch, müssen diese unverzüglich berichtigt oder vervollständigt werden.
     
  • Recht auf Löschung / Recht auf Vergessen
    Werden Ihre Daten unrechtmäßig verarbeitet oder nicht mehr für den Zweck benötigt, für den sie erhoben wurden, so steht Ihnen ein Recht auf Löschung zu. Auch nach einem Widerspruch gegen die Datenverarbeitung (wenn keine berechtigten Interessen des Unternehmers dagegen stehen) oder einem Widerruf der zuvor erteilten Einwilligung müssen Unternehmen Ihre Daten löschen.
    Ist das Unternehmen zur Löschung verpflichtet, so muss es Ihre Daten oder Links zu diesen nicht nur auf der eigenen Internetseite löschen, sondern auch Dritte, die die Daten ebenfalls verarbeiten, über das Löschungsverlangen informieren.
     
  • Recht auf Einschränkung der Verarbeitung / Sperre
    Besteht Streit über die Richtigkeit der Daten oder haben Sie Widerspruch gegen die Verarbeitung Ihrer Daten eingelegt und ist noch nicht geklärt, ob diesem ein berechtigtes Interesse des Unternehmers entgegensteht, so können Sie zwar noch nicht die Löschung, zumindest aber die Sperre der Datenverarbeitung verlangen. Sind die Daten gesperrt, darf das Unternehmen diese nicht mehr wie gewohnt nutzen, Ihnen als Kunden beispielsweise keine Werbung per Mail mehr senden.
     
  • Recht auf Datenmitnahme
    Durch die Datenschutz-Grundverordnung sollen Sie zudem die Möglichkeit erhalten, einfacher zwischen den Anbietern sozialer Netzwerke, E-Mail und anderen Cloud-Diensten zu wechseln. Hierzu können sie von Ihrem bisherigen Anbieter verlangen, Ihre personenbezogenen Daten – Fotos, Videos, E-Mails, Playlists, Kontakte –, die sie selbst bereitgestellt haben, in einem strukturierten gängigen transportfähigen Format bereitzustellen, damit Sie diese auf den neuen Anbieter übertragen können bzw. die direkte Übertragung zum neuen Anbieter verlangen.

Wie komme ich zu meinen Rechten?

Wurden Ihre Daten nicht rechtmäßig verwendet, können Sie dagegen vorgehen, und zwar wie folgt: Machen Sie zunächst Ihren Anspruch auf Löschung gegenüber der verantwortlichen Stelle geltend. Erfolgt innerhalb der von Ihnen gesetzten Frist keine oder nur eine unzureichende Reaktion, können Sie Klage beim zuständigen Zivilgericht (Amts- oder Landgericht) erheben. Wollen Sie nicht selbst klagen, aber dennoch gegen das unrechtmäßige Verhalten vorgehen, können Sie die zuständige Aufsichtsbehörde informieren. Das ist in Hamburg „Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit“.

Bisher mussten sich deutsche Verbraucherinnen und Verbraucher beispielsweise mit Beschwerden gegen Facebook an die Aufsichtsbehörde in Irland wenden, weil das Unternehmen dort seine europäische Niederlassung hat. Nun können sie ihre Beschwerden bei der Aufsichtsbehörde im eigenen Land einreichen und diese setzt sich mit der Aufsichtsbehörde des Landes in Verbindung, in dem sich die Niederlassung der betroffenen Firma befindet.

Liegt ein datenrechtlicher Verstoß vor, können die Aufsichtsbehörden Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens verhängen. Seit Inkrafttreten der DSGVO wurden von den europäischen Aufsichtsbehörden bei Datenschutzverstößen bereits einige Male Bußgelder in Millionenhöhe verhängt. Zudem ist in der Datenschutz-Grundverordnung für Verbraucherinnen und Verbraucher ein Anspruch auf Schmerzensgeld gesetzlich verankert. Dieser kann zum Beispiel dann bestehen, wenn ehrverletzende Daten wie Nacktfotos ohne die Einwilligung der Betroffenen veröffentlicht wurden.

Gut zu wissen

DSGVO, Geolokalisierung, Privacy by default, Smishing, Zählpixel... und noch viele Begriffe mehr sollte man heute kennen und verstehen, um in Sachen Datenschutz auf dem neuesten Stand zu sein. Die Verbraucherzentralen erklären die am häufigsten genutzten Begriffe im Datenschutzrecht kurz und knapp in einem übersichtlichen Glossar.

Welche Rechte habe ich in Bezug auf meine eigenen Daten?

Welche Rechte gibt es?.
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person..
Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden..
Auskunftsrecht..
Recht auf Berichtigung..
Recht auf Löschung ("Recht auf Vergessenwerden").

Welches Grundrecht schützt die Daten von Personen?

Das Recht auf Privatsphäre und auf ein Privatleben ist in der Allgemeinen Erklärung der Menschenrechte (Artikel 12), der Europäischen Menschenrechtskonvention (Artikel 8) und der Europäischen Charta der Grundrechte (Artikel 7) verankert.

Wer darf meine Daten sehen?

Nach §§ 19 und 34 sind Betroffene befugt, die zu ihrer Person gespeicherten Daten bei Unternehmen und Behörden einzusehen. Die öffentlichen und nichtöffentlichen Stellen sind im Gegenzug zur Auskunft verpflichtet.

Welche Rechte hat eine Person?

Die Rechte der Betroffenen sowie die entsprechenden Pflichten der Verantwortlichen bestimmen sich nach Kapitel 3 der DSGVO. Diese sind: Recht auf Auskunft, Recht auf Berichtigung und Löschung, Recht auf Verarbeitungseinschränkung der Daten, Recht auf Widerspruch der Datenverarbeitung und Recht auf Datenübertragbarkeit.