DSGVO: Die Daten­sou­ve­rä­nität natür­li­cher Personen wahren

Bei Datensouveränität geht es um das informierte und gezielte Bereitstellen eigener Daten. Personenbezogene Daten bzw. jene Daten, die auf eine Person bezogen werden können, stehen dabei im Vordergrund. Datensouveränität und der Schutz eigener Persönlichkeitsrechte stehen damit in einem unmittelbaren und sehr engen Zusammenhang. Datensouveränität geht dabei aber noch weiter und umfasst alle eigenen Daten, also auch die nicht öffentlichen Daten, welche die eigene Person betreffen. Zudem selbst erzeugte Daten, wie beispielsweise Urlaubsfotos oder Sportvideos, oder nicht öffentliche sonstige Daten, die von der Person rechtmäßig erworben wurden.

Bestimmte Daten müssen zur Verfügung gestellt werden, um eine öffentliche Leistung in Anspruch nehmen zu können oder ein erworbenes Produkt geliefert zu bekommen. Der Empfänger dieser Daten hat jedoch niemals das Recht, diese empfangenen Daten beliebig zu nutzen.

Technisch gesehen ist es praktisch unmöglich, ein nicht kooperatives Unternehmen daran zu hindern, personenbezogene Daten oder Inhalte zweckentfremdet zu nutzen. Umso wichtiger ist es daher, Möglichkeiten vorzusehen, mit denen Datenmissbrauch angemessen geahndet werden kann.

Die Datenschutzgrundverordnung der EU, kurz DSGVO, stellt hier einen sehr wichtigen Meilenstein für den Schutz personenbezogener Daten in Form einer einheitlichen Regelung dar. Sie ist ein unabdingbarer Baustein, um die Datensouveränität natürlicher Personen zu wahren.

Neues EU-Gesetz zum Datenschutz

• Erweiterung der Löschpflicht
• Ausbau des Widerspruchsrechts
• Stärkere Nutzerrechte
• Einwilligung der Datenvereinbarung erst ab 16 Jahren
• Schnellere Meldung von Datenverlusten

DSGVO – Recht auf Auskunft

Jede Person hat das Recht, Auskunft einzuholen, ob ein für die Datenverarbeitung Verantwortlicher, also ein Unternehmen oder eine Behörde, Daten zu seiner Person verarbeitet. Der Betroffene muss dafür in Form einer Anfrage ein Begehren an den Verantwortlichen richten. Seitens der Datenschutzbehörde wird dafür unverbindlich ein Formular angeboten. Der Verantwortliche ist dazu verpflichtet, die Informationen in einem üblichen elektronischen Format, wie beispielsweise PDF, bereitzustellen.
Es gibt definierte Ausnahmefälle, in denen das Recht auf Auskunft nicht besteht:

• Wenn der Verantwortliche hoheitlich tätig ist und die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe dadurch gefährdet wird. Bei Anfragen an Behörden kann dies beispielsweise der Fall sein.
• Wenn durch die Auskunft ein Betriebs- oder Geschäftsgeheimnis des Verantwortlichen gefährdet wird.

DSGVO – Recht auf Löschung

Eine betroffene Person hat das Recht auf Löschung seiner Daten. Einer der folgenden Fälle muss zutreffen, um das Recht auf Löschung ausüben zu können:

• Die personenbezogenen Daten der betroffenen Person wurden unrechtmäßig verarbeitet.
  Dies trifft beispielsweise zu, wenn eine Person niemals die Zustimmung zur Verarbeitung bestimmter personenbezogener Datenmerkmale gegeben hat, diese aber dennoch verarbeitet werden.
• Die Daten sind für jene Zwecke, für die sie erhoben und verarbeitet wurden, nicht mehr erforderlich.
  Beispielsweise kann eine Person darauf bestehen, aus der Kundendatenbank gelöscht zu werden, wenn die Person kein aktiver Kunde des Unternehmens mehr ist und auch nicht beabsichtigt, dies in Zukunft zu sein.
• Die Verarbeitung der Daten basiert auf einer Einwilligung der betroffenen Person und wird von der Person widerrufen.
  Wenn es an einer anderweitigen rechtlichen Grundlage für die Verarbeitung fehlt, dann hat die Person das Recht auf Löschung. Erhält eine Person beispielsweise trotz Widerruf und gegen den Willen einen Newsletter des Unternehmens, dann hat die betroffene Person laut DSGVO den rechtlichen Anspruch auf Löschung. Das Unternehmen ist gesetzlich gezwungen, die Newsletter-Zustellung zu beenden.
• Die betroffene Person legt Widerspruch ein, was die Verarbeitung betrifft.
  Wenn keine vorrangig berechtigten Gründe für die Verarbeitung vorliegen, besteht das Recht auf Löschung. Damit kann eine betroffene Person beispielsweise die Verarbeitung der erhobenen Daten zum Zweck der Direktwerbung unterbinden.
• Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt.
  Es kann sich dabei um eine Verpflichtung nach dem Recht der Europäischen Union oder dem spezifischen Recht eines Mitgliedstaates handeln.
• Die personenbezogenen Daten wurden erhoben,
  um in Bezug stehende Dienste der Informationsgesellschaft für Kinder bereitzustellen.

Der Empfehlung der Datenschutzbehörde, niemals Auskunft und Löschung gleichzeitig zu verlangen, sollte Rechnung getragen werden. Der Verantwortliche könnte eine unzureichende Auskunft erteilen und unmittelbar die Daten löschen. Damit wäre eine Kontrolle durch die Datenschutzbehörde nur noch schwer möglich oder gar unmöglich.

DSGVO – Recht auf Geheimhaltung, Berichtigung sowie Einschränkung der Verarbeitung

Besteht ein schutzwürdiges Interesse, so hat jede Person Anspruch auf Geheimhaltung der sie betreffenden personenbezogenen Daten. Beispiele für Datenmerkmale, bei denen ein schutzwürdiges Interesse besteht, sind das religiöse Bekenntnis, die sexuelle Orientierung oder das Führungszeugnis. Der Verantwortliche muss eine objektive und allgemein anerkannte Begründung vorweisen, wieso schutzwürdige Datenmerkmale erhoben und verarbeitet werden müssen. Geheimhaltung heißt in dem Zusammenhang konkret, dass die Daten grundsätzlich vertraulich behandelt werden müssen und für andere nicht zugänglich sein dürfen.

Eine betroffene Person hat das Recht, unrichtige personenbezogene Daten vom Verantwortlichen richtigstellen zu lassen. Dabei kann es sich beispielsweise um die Berichtigung des Familienstandes, des Geburtsdatums oder des Namens handeln. Zudem hat die betroffene Person das Recht, die Vervollständigung eines unvollständigen Datensatzes zu verlangen.

Betroffene Personen dürfen zudem die Einschränkung der Verarbeitung verlangen, bis die Korrektheit der Daten festgestellt werden kann. Wiederum muss der Betroffene dafür ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde unterstützt dabei in Form der unverbindlichen Bereitstellung eines entsprechenden Formulars.

Die DSGVO stellt verschiedenste Rahmenbedingungen, um die Daten der Nutzer zu schützen.