zur Datenlöschung
373 | | c) Löschungsgründe: Tatbestandsalternativen des Art. 17 Abs. 1 DSGVO | 487 |
| 2. Rechtsfolge: Löschen i.S.d. Art. 17 Abs. 1 DSGVO | 410 |
| 3. Informationspflichten im Fall der Öffentlichmachung der Daten (Art. 17 Abs. 2 DSGVO) | 414 |
| a) Voraussetzungen des Rechts auf Vergessenwerden | 418 |
| b) Vom Verantwortlichen zur Erfüllung des Rechts auf Vergessenwerden zu ergreifende Maßnahmen | 420 |
| 4. Ausnahmen vom Recht auf Löschung gem. Art. 17 Abs. 1 DSGVO und von den Informationspflichten gem. Art. 17 Abs. 2 DSGVO (Art. 17 Abs. 3, Art. 12 DSGVO) | 425 |
| a) Ausnahmen nach Art. 17 Abs. 3 DSGVO | 425 |
| b) Weitere Ausnahmen in der DSGVO | 428 |
| c) Ausnahmen im nationalen Recht | 430 |
| 5. Modalitäten des Löschungsanspruchs (Art. 12 DSGVO) | 434 |
| a) Frist bei Löschung aufgrund der in Art. 17 Abs. 1 DSGVO enthaltenen Löschungspflicht | 448 |
| b) Frist bei Löschung gem. Art. 17 Abs. 1 DSGVO infolge eines Antrags der betroffenen Person | 449 |
| c) Frist für die Information nach Art. 17 Abs. 2 DSGVO | 453 |
| 6. Mitteilungspflicht nach Art. 19 DSGVO/Verhältnis zu Art. 17 Abs. 2 DSGVO | 455 |
| 7. Recht auf Löschung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 459 |
| VII. Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) | 460 |
| 1. Inhalte des Rechts auf Einschränkung der Datenverarbeitung | 462 |
| a) Voraussetzungen (Art. 18 Abs. 1 DSGVO) | 462 |
| b) Rechtsfolge: Einschränkung der Datenverarbeitung | 576 |
| c) Bedingungen für die Weiterverarbeitung der Daten (Art. 18 Abs. 2 DSGVO, Erwägungsgrund 67 DSGVO) | 580 |
| d) Informationspflichten für den Fall, dass die Daten wieder uneingeschränkt verarbeitet werden (Art. 18 Abs. 3 DSGVO) | 581 |
| 2. Ausnahmen vom Recht auf Einschränkung der Datenverarbeitung | 483 |
| 3. Modalitäten des Rechts auf Einschränkung der Datenverarbeitung (Art. 12 DSGVO) | 486 |
| 4. Mitteilungspflicht nach Art. 19 DSGVO | 490 |
| 5. Recht auf Einschränkung der Datenverarbeitung im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 491 |
| VIII. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO) | 492 |
| 1. Voraussetzungen der Mitteilungspflicht | 494 |
| 2. Mitteilung der Berichtigung, Löschung oder Einschränkung der Verarbeitung | 496 |
| 3. Unterrichtungspflicht gegenüber der betroffenen Person (Art. 19 S. 2 DSGVO) | 500 |
| 4. Weitere Ausnahmen von der Mitteilungspflicht | 508 |
| 5. Modalitäten der Mitteilungspflicht (Art. 12 DSGVO) | 511 |
| 6. Mitteilungspflicht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 515 |
| IX. Recht auf Datenübertragbarkeit (Art. 20 DSGVO) | 516 |
| 1. Inhalte des Rechts auf Datenübertragbarkeit | 519 |
| a) Voraussetzungen des Rechts auf Datenübertragbarkeit (Art. 20 Abs. 1 DSGVO) | 519 |
| b) Rechtsfolgen: Bereitstellung (Abs. 1) bzw. Übermittlung (Abs. 2) von Daten durch den Verantwortlichen | 528 |
| c) Verhältnis zu Art. 17 DSGVO (Art. 20 Abs. 3 S. 1 DSGVO) | 538 |
| 2. Ausnahmen vom Recht auf Datenübertragbarkeit (Art. 20 Abs. 4, Art. 12 DSGVO) | 541 |
| a) Beeinträchtigung von Rechten und Freiheiten anderer Personen (Art. 20 Abs. 4 DSGVO) | 542 |
| b) Weitere Ausnahmen | 558 |
| 3. Modalitäten des Rechts auf Datenübertragbarkeit | 562 |
| 4. Recht auf Datenübertragbarkeit im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 567 |
| X. Widerspruchsrecht (Art. 21 DSGVO) | 568 |
| 1. Inhalte des Widerspruchsrechts | 569 |
| a) Allgemeines Widerspruchsrecht gem. Art. 21 Abs. 1 DSGVO | 570 |
| b) Widerspruchsrecht bei der Datenverarbeitung zu Zwecken der Direktwerbung gem. Art. 21 Abs. 2 und 3 DSGVO | 587 |
| c) Informationspflichten nach Art. 21 Abs. 4 DSGVO | 596 |
| 2. Weitere Ausnahmen vom Widerspruchsrecht | 604 |
| 3. Modalitäten des Widerspruchsrechts | 607 |
| 4. Widerspruchsrecht im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 612 |
| XI. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Art. 22 DSGVO) | 613 |
| 1. Inhalte des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden | 617 |
| a) Voraussetzungen des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden | 617 |
| b) Rechtsfolgen aus Art. 22 Abs. 1 DSGVO | 637 |
| c) Ausnahmen vom Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden (Art. 22 Abs. 2 und 3 DSGVO) | 638 |
| d) Sonderfall: Verarbeitung besonderer Kategorien personenbezogener Daten | 639 |
| 2. Modalitäten des Rechts, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden | 663 |
| 3. Das Recht, keinen automatisierten Einzelfallentscheidungen unterworfen zu werden, im Hinblick auf Daten, die vor der Anwendbarkeit der DSGVO erhoben wurden | 664 |
| XII. Sanktionierung | 665 |
I. Einführung
1
Ein Bereich, dessen Bedeutung in der Praxis infolge der DSGVO stark zugenommen hat, ist der Bereich der Betroffenenrechte, also den Rechten, die Personen, deren personenbezogene Daten Gegenstand einer Datenverarbeitung sind, gegenüber dem für diese Datenverarbeitung Verantwortlichen zustehen.
2
Dies scheint insbesondere eine Folge der gesteigerten Aufmerksamkeit und Sensibilität der Bevölkerung für den Datenschutz zu sein, welche nicht zuletzt auch durch die DSGVO und die damit verbundene Berichterstattung in den Medien gefördert wurden. Denn auch nach der alten Rechtslage, also bevor die DSGVO wirksam wurde, bestanden weitgehende Betroffenenrechte. Diese wurden durch die DSGVO allerdings ausgeweitet, formalisiert und präzisiert.
3
So wurden durch die DSGVO zwei neue Betroffenenrechte eingeführt, die nach der alten Rechtslage auf Basis der Datenschutzrichtlinie 95/46/EG nicht vorgesehen waren: das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO und das Recht auf Vergessenwerden nach Art. 17 Abs. 2 DSGVO.1
4
Außerdem wurden einige bestehende Betroffenenrechte, wie z.B. das Recht auf Auskunft und die Informationspflichten des Verantwortlichen, durch die DSGVO erheblich erweitert und präzisiert.
5
Für Unternehmen, die personenbezogene Daten verarbeiten, haben die Betroffenenrechte in der Praxis eine sehr wichtige Bedeutung. Diese erschöpft sich nicht allein darin, dass die Unternehmen die jeweiligen Rechte der betroffenen Person im Einzelfall – ggf. auf deren Antrag hin – erfüllen müssen. Vielmehr ist es erforderlich, dass Unternehmen bereits im Vorfeld entsprechende Prozesse konzipiert und implementiert haben, um die einzelnen Betroffenenrechte – ggf. auf Antrag der betroffenen Person – überhaupt erfüllen zu können. Ebenso sind diese Prozesse grundsätzlich zu dokumentieren, um der Rechenschaftspflicht zu genügen. Somit hat auch im Bereich der Betroffenenrechte das Thema der Datenschutzorganisation und des Datenschutzmanagements erheblich an Bedeutung gewonnen.
6
Dies ist umso wichtiger, als dass betroffene Personen ihre Rechte seit der DSGVO viel häufiger wahrnehmen und ggf. auch gerichtlich durchzusetzen versuchen als zuvor, was sich alleine schon an der erheblich gestiegenen Anzahl an Gerichtsentscheidungen in diesem Bereich zeigt.
7
Auch für die Datenschutzaufsichtsbehörden scheinen die im Unternehmen vorgesehenen Prozesse zur Erfüllung der Betroffenenrechte eine immer wichtigere Rolle zu spielen, z.B. im Fall von Verstößen im Rahmen der Bußgeldbemessung. Gerade im Fall von Verstößen gegen die Betroffenenrechte ist zudem auch der Reputationsschaden durch eine negative Medienberichterstattung nicht zu unterschätzen. Vor diesem Hintergrund sollte die Bedeutung der
