[Aktualisiert und ergänzt am 19.06. und 25.06.]
In den ersten beiden Teilen der Artikelreihe haben wir uns zuerst einen Überblick über die DSGVO verschafft und gingen dann im Einzelnen darauf ein, welche konkreten Maßnahmen im Feld der Jugendarbeit zu beachten sind. In Teil 3 möchten wir nun auf einen sehr wichtigen und spannenden Bereich der DSGVO eingehen: Die Rechte der/des Einzelnen zu Auskunft, Berichtigung und Löschung von personenbezogenen Daten. Wir geben konkrete Tipps, wie man diese Rechte selbst wahrnehmen und entsprechende Informationen einfordern kann.
Hinweis: Der DBJR beschäftigt keine_n Jurist_in. Alle Informationen sind nach besten Wissen zusammengetragen, können aber keine Fachberatung ersetzen.
Bewusste und unbewusste Einwilligung zur Datenverarbeitung
Rechtzeitig vor der vollen Geltung der DSGVO haben zahlreiche Anbieter von IT-Diensten nicht nur ihre Datenschutzerklärungen an die neuen Regelungen angepasst, sondern sich auch neue Einwilligungen von Nutzer_innen zur Verarbeitung ihrer personenbezogenen Daten eingeholt. Facebook hat dabei beispielsweise die Gelegenheit genutzt, von Nutzer_innen auch noch die Zustimmung zur automatischen Gesichtserkennung einzuholen. Ob alle Betroffenen auch bemerkt haben, welche Einwilligungen sie da abgegeben haben, ist nicht so sicher. Der neu konstituierte EU-Datenschutzausschuss möchte sich diesen Problemen widmen: Als erstes befasst man sich mit den veränderten Nutzungsbedingungen beim Messenger Whatsapp, das künftig mit seinem Mutterkonzern Facebook Nutzerdaten und Adressbucheinträge austauschen möchte.
Trotz des Transparenzgedankens der DSGVO wird es auch weiterhin genügend Situationen geben, zu denen man Einwilligungen zu Datenverarbeitungen gibt, deren ganze Dimension in diesem Moment noch nicht ganz klar ist: Kaufvorgänge mit Kartenzahlung, Ratenzahlungen, Mobilfunkverträge oder damit verbundene Hintergrundabfragen (und Eintragungen) bei Auskunfteien wie der Schufa sind hierfür gute Beispiele. Um den Überblick zu behalten oder erst nachträglich Einblick zu bekommen, wer welche Daten von mir verarbeitet, beinhaltet die DSGVO nützliche Regelungen:
DSGVO for you: Auskunfts-, Berichtigungs- und Löschrechte
Das Kapitel 3 der DSGVOist überschrieben mit »Rechte der betroffenen Person«. Es finden sich immerhin 12 Artikel in diesem Kapitel. Aber auch andere Abschnitte der DSGVO beinhalten Rechte für Betroffene – nämlich immer dann, wenn die Datenverarbeitenden mit den Betroffenen in Kontakt treten müssen.
So beginnt auch das Kapitel 3 damit, erst einmal die Verantwortlichen zu ermahnen ihre Kommunikation in einer leicht zugänglichen Form, in leicht verständlicher Sprache – und präzise – zu formulieren (Art. 12). Für die Datenverarbeitenden besteht die Pflicht die Informationen niederzuschreiben, außer die Person, von der die Daten verarbeitet werden, bevorzugt eine mündliche Auskunft.
Auskunfts- und Informationsrechte
Diese Informationen wären isoliert aber nicht ausreichend, um einzuschätzen, wie vertrauenswürdig die jeweilige Datenverarbeitung ist. Daher sind die Auskunftspflichten deutlich weiter gefasst: Was sind Verarbeitungszwecke meiner Daten? Wer bekommt meine Daten? Woher stammen die Daten, wenn sie nicht direkt bei mir erhoben wurden (also durch Weiterleitungen von anderer Stelle). Diese Auskunftsrechte bestanden auch schon nach dem alten Bundesdatenschutzgesetz. Neu hingegen ist, dass man auch über die geplante Speicherdauer informiert werden muss, oder falls dies nicht möglich ist, dann zumindest über die Kriterien für die weitere Speicherung Auskunft bekommt. Sehr aufschlussreich könnte die neue Regelung sein, dass man über das Bestehen von automatisierter Entscheidungsfindung oder Profiling aufgeklärt werden muss. Dazu hilft, die konkret genutzten Kategorien personenbezogener Daten mitgeteilt zu bekommen (ebenfalls eine neue Möglichkeit durch die DSGVO).
Im Zuge einer Datenverarbeitungsauskunft müssen Betroffene auch darauf hingewiesen werden, dass sie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde haben (Art. 15 (1) f).
Nicht erst auf Nachfrage, sondern proaktiv sind Datenverarbeitende verpflichtet, die Betroffenen zu informieren, wenn durch eine Datenpanne die Verletzung des Schutzes personenbezogener Daten mit hohem Risiko (Art. 34) eingetreten ist. Dies soll zumindest die Möglichkeit eröffnen, sich als betroffene Person auf die Konsequenzen einzustellen bzw. Vorkehrungen zu treffen.
Vom Löschen und vom Vergessenwerden
Daten, die nicht mehr benötigt werden, sollten generell gelöscht werden. Diese auf den ersten Blick sinnvolle Herangehensweise erweist sich beim genaueren Hinsehen als schwierige Frage; nicht immer ist eindeutig klar, ob Daten nicht mehr entsprechend ihres Verwendungszwecks benötigt werden. Es kann gegenläufige Interessen geben, z.B. wenn eine Veranstaltung durchgeführt und abgerechnet ist, aber der Fördergeber oder das Finanzamt das Aufheben/Speichern von Unterlagen noch über Jahre hinweg erfordert. Hier tritt die Grenze des Löschrechts ein, denn rechtliche Verpflichtungen überwiegen den Wunsch nach Datenreduzierung.
Was aber immer gehen sollte: Die Berichtigung falsch verarbeiteter Daten – die nach Art. 16 auch unverzüglich umgesetzt werden muss.Unter das Recht zur Berichtigung fällt übrigens auch die Vervollständigung von fehlenden Daten, sofern man das erreichen möchte.
Die DSGVO unterscheidet recht aufgegliedert in Anlässe, weswegen eine Datenverarbeitung/-speicherung endet: Angefangen von Berichtigungen über Widerruf, Widerspruch, Einschränkungen, Löschungen bis hin zum Recht auf Vergessenwerden. Wenn Daten offensichtlich ungerechtfertigt oder falsch verarbeitet wurden und die verarbeitende Stelle Zeit hätte dies durch Überprüfung festzustellen, greift der Widerspruch. Aber auch eine Einschränkung zu bestimmten Aspekten der Datenverarbeitung kann je nach Fall gefordert werden.
Auf das Recht auf Widerspruch müssen die Betroffenen bereits zum Zeitpunkt der »ersten Kommunikation« hingewiesen werden (Art 21 (4)).
Anfragen stellen: So geht‘s
Egal man eine Auskunft oder eine Löschung erwirken möchte – oder beides –, die Anfrage sollte jeden Fall schriftlich erfolgen. Mündliche Anfragen geraten sehr leicht in absichtliche oder unabsichtliche Vergessenheit. Eine Anfrage auf Papier bleibt sichtbar und daher in Erinnerung.
Am Anfang der Anfrage sollte als Betreff oder Überschrift klar der Namen, die Nutzerkennung oder die Kundennummer benannt sein, mit der man bei der angefragten Stelle bekannt ist. »Michael Müller« gibt es vermutlich mehrere, daher ist eine Adresse oder damit verbundene Telefonnummer im Anschreiben sicherlich nützlich. Das gilt natürlich nur für Daten, die die angefragte Stelle schon zuvor kennt – Neues sollte man dabei nicht preisgeben!
Die ersten Zeilen des Anschreibens könnten ungefähr so aussehen:
Datenschutzrechtliche Selbstauskunft nach DSGVO: Name/Nutzerkennung
Sehr geehrte Damen und Herren,
nach Art. 15 DSGVO habe ich das Recht, von Ihnen eine Bestätigung darüber zu verlangen, ob Sie personenbezogene Daten über meine Person gespeichert haben. Sofern dies der Fall ist, so habe ich ein Recht auf Auskunft über diese Daten.
Auskunft bekommen: Welche Daten von mir sind gespeichert und was geschieht damit?
Sicherlich ist der spannendste Teil einer Anfrage, herauszufinden was die Stelle an Daten über mich eigentlich vorhält. Das können selbst von mir eingetragene Daten sein oder auch solche, die über andere Wege gesammelt wurden. Letzteres geschieht öfters als man vielleicht vermuten könnte. Freunde könnten z.B. beim Installieren ihres Messengers das Smartphone-Adressbuch mit einem Anbieter abgeglichen haben, so dass ihre Bekannten schneller gefunden werden. Im Ergebnis kennt ein solcher Anbieter dann mitunter auch Namen und Kontaktdaten von Personen, die den Dienst selbst nicht nutzt. (Nicht alle Messenger gleichen das Adressbuch im Klartext ab, manche lösen das geschützter über datenschutzfreundliche Hashes, einer Art anonymerer Quersumme.)
Einige Stellen versuchen über »Profiling« mehr über die betroffenen Personen herauszufinden. Dazu tragen sie z.B. auch Daten über die durchschnittlichen Einkommensverhältnisse in der Nachbarschaft zusammen, versuchen anhand des Namens herauszufinden woher man stammt oder sammeln Orte, an denen man oft »eingecheckt« hat: Sei es in einer Bar, einem Kino, Fitnessstudio oder Museum. Damit versuchen Anbieter die Personen künftig besser mit »treffender« Werbung zu erreichen oder überlegen auf dieser Basis, welche Services (z.B. auch Kaufangebote oder Kredite) sie anbieten möchten. Nicht erlaubt ist Profiling übrigens für Unter-16-jährige.
Eine Auskunft über die zu mir gespeicherten Daten kann z.B. so erfragt werden:
Auskunft über meine bei Ihnen gespeicherten Daten
Ich darf Sie bitten, mir gemäß Art. 15 Abs. 1 DSGVO folgende Informationen mitzuteilen:
a) Welche Daten sind über meine Person konkret bei Ihnen gespeichert oder wurden von Ihnen verarbeitet (z.B. Name, Vorname, Anschrift, Geburtsdatum, Beruf, medizinische Befunde)?
b) Was sind die Verarbeitungszwecke meiner Daten?
c) Welche Kategorien personenbezogener Daten, die bezüglich meiner Person verarbeitet werden, bestehen bei Ihnen?
d) Welche Empfänger*innen oder Kategorien von Empfänger*innen haben meine Daten durch Sie erhalten oder werden sie künftig noch erhalten?
e) Was ist die geplante Dauer für die Speicherung meiner Daten? Falls diese Auskunft aufgrund der Unbestimmtheit nicht möglich erscheint: Was sind die Kriterien für die Festlegung dieser Dauer?
f) Welche Wege bestehen, meine Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung meiner Daten, ebenso wie über mein Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DSGVO und mein Beschwerderecht bei der zuständigen Aufsichtsbehörde, wahrzunehmen?
g) Sofern die Daten nicht bei mir erhoben werden, fordere ich Sie auf, mir alle verfügbaren Informationen über die Herkunft der Daten mitzuteilen.
h) Besteht eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO? In diesem Fall teilen Sie mir bitte aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person mit.
i) Wurden meine personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt? Bitte teilen Sie mir mit, welche geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung vorgesehen sind.
Bitte stellen Sie mir kostenfrei eine Kopie meiner bei Ihnen gespeicherten personenbezogenen Daten zur Verfügung. Sofern ich diesen Antrag elektronisch stelle und nichts anderes vermerke, so sind mir die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen.
Meine Daten löschen lassen
Es gibt sehr unterschiedliche Daten, die zu einer Person gespeichert sein können. Sehr häufig handelt es sich um Daten, die man auch auf jeden Fall dort hinterlegt haben will – ein Nutzerkonto kann ohne ein paar grundsätzliche Informationen nicht funktionieren; ein Paketversender braucht auf jeden Fall die Anschrift der Empfänger_innen. Allerdings gibt es auch Fälle, in denen man nicht (mehr) möchte, dass diese Daten weiter von der entsprechenden Internet-Plattform oder anderen Stelle vorgehalten oder weiter benutzt werden. Zuerst sollte man natürlich die zur Verfügung stehenden Werkzeuge verwenden, um z.B. ein Nutzerkonto ganz regulär zu löschen. Wenn man aber nicht sicher ist, ob das schon geholfen hat, oder wenn die angefragte Stelle die Daten eigentlich gar nicht haben sollte, dann kann eine Löschung verlangt werden. Hier ein Formulierungsvorschlag:
Löschung meiner Daten
Nach Art. 17 DSGVO verlange ich die unverzügliche Löschung meiner bei Ihnen verarbeiteten personenbezogenen Daten.
Die Voraussetzungen des Art. 17 DSGVO liegen nach meiner Ansicht vor. Sofern ich eine Einwilligung zur Verarbeitung meiner Daten erteilt habe, widerrufe ich diese hiermit, bzw. lege gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung ein. Dies gilt ebenso für das Profiling gemäß Art. 22 DSGVO. Lehnen Sie die Löschung ab, so haben Sie dies mir gegenüber zu begründen.
Sofern Sie meine personenbezogenen Daten öffentlich zugänglich gemacht haben und gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet sind, haben Sie angemessene Maßnahmen zu ergreifen, um sämtliche Empfänger*innen meiner Daten darüber gemäß Art. 19 DSGVO zu informieren, dass ich die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien dieser personenbezogenen Daten verlangt habe.
Wie lange dürfen sich die angefragten Stellen Zeit nehmen und was kann passieren?
Ein Auskunftsrecht bedeutet nicht, dass die angefragte Stelle alles Andere stehen und liegen lassen muss, um die Anfrage zu bearbeiten. Allerdings gibt es klare rechtliche Regelungen: Innerhalb eines Monats muss eine Antwort formuliert werden. Falls die Antwort nicht erfolgt, kann das eine Geldbuße für die betreffende Stelle nach sich ziehen. Das würde allerdings nicht von alleine passieren: Hierzu müsste man sich an die Landesdatenschutzbehörden wenden oder mit einer Rechtsberatung sprechen, die bei den weiteren Schritten hilft.
Im Anschreiben kann man auf die rechtlichen Regelungen aber auch schon hinweisen. Möglicherweise erzeugt das bei der angefragten Stelle ein gewisses Bewusstsein für die Bedeutung deiner Anfrage. Hier ein Formulierungsvorschlag:
Fristen und Rechtsfolgen
Auskunftserteilungen müssen gemäß Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Sollte ich innerhalb dieser Frist keine Auskunft von Ihnen erhalten, so werde ich mich an die zuständige Aufsichtsbehörde wenden. Ich mache darauf aufmerksam, dass unterlassene oder nicht vollständige Auskunftserteilungen nach Art. 83 Abs. 5 DSGVO mit einer hohen Geldbuße bedroht sind.
Am Ende sollte man nicht vergessen, die Anfrage höflich zu beenden, also z.B. mit einem »Mit freundlichen Grüßen«.
Und sonst?
Wir drücken die Daumen für die Auskunftsersuchen. Natürlich freuen wir uns über Rückmeldungen zu dieser Zusammenstellung und den Erfahrungen, die ihr gemacht habt.
Wir haben diese Tipps und die Formulierungsvorschläge für die Anfragen zu einer Datenschutzauskunft nach unserem besten Kenntnisstand zusammengestellt. Viel Vorarbeit wurde dabei von anderen Personen geleistet, unter anderem von heise.de und ursprünglich von Thoms Fassung von Framstags freundlichem Folterfragebogen.
Eine multimedial aufbereitete Website mit dem Namen »Deine Daten. Deine Rechte« können wir zum Schluss auch noch empfehlen: https://deinedatendeinerechte.de