Hauptinhalt

Meine Rechte

Eine Frau sieht sich auf einem Tablet personenbezogene Daten an. Sie werden durch verschiedene Symbole wie Laptop, Dateiordner, Personalausweis illustriert. © thodonal – stock.adobe.com

Nach der Datenschutz-Grundverordnung (DSGVO) haben Sie unmittelbar gegenüber allen privaten (zum Beispiel Unternehmen, Vereine, Arztpraxen) und den meisten öffentlichen (zum Beispiel einer Stadtverwaltung, einer Staatsbehörde oder einer Universität) Stellen bestimmte Rechte.

Ebenso hat der Verantwortliche Ihnen gegenüber bestimmte Pflichten. Diese Rechte und Pflichten sind in den Artikeln 12 bis 22, 34 und 77 DSGVO geregelt. Die Rechte können alle direkt gegenüber dem Verantwortlichen geltend gemacht werden. Aus Beweisgründen empfiehlt es sich, sie schriftlich geltend zu machen. Im Einzelnen handelt es sich um Ihre folgenden Rechte und um folgende Pflichten des Verantwortlichen:

Nach Artikel 12 Absatz 1 und 2 DSGVO hat der Verantwortliche Ihnen unter anderem die Ausübung Ihrer Rechte gemäß den Artikeln 15 bis 22 zu „erleichtern“ und »Informationen über die (…) ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung« zu stellen.

Die für die Öffentlichkeit oder für Sie bestimmten Informationen sollen präzise, leicht zugänglich und verständlich sowie in einfacher und klarer Sprache abgefasst sein und gegebenenfalls zusätzlich visuelle Elemente enthalten. Solche Informationen kann der Verantwortliche in elektronischer Form bereitstellen, zum Beispiel auf einer Webseite. Außerdem soll der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte erleichtern.

Der Verantwortliche muss Ihnen nach Artikel 13 DSGVO zum Zeitpunkt der Erhebung Ihrer Daten seinen Namen, seine Kontaktdaten sowie gegebenenfalls die seines Vertreters, gegebenenfalls auch die Kontaktdaten seines internen (betrieblichen oder behördlichen) Datenschutzbeauftragten, die Zwecke, für die die Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, gegebenenfalls die berechtigten Interessen, die von ihm oder einem Dritten verfolgt werden, gegebenenfalls die Empfänger oder Kategorien von Empfängern Ihrer Daten und gegebenenfalls Informationen zu einer Übermittlung nach außerhalb der EU, Islands, Norwegens oder Liechtensteins bereitstellen. Zusätzlich muss er Ihnen die Dauer, für die Ihre Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, mitteilen. Des Weiteren muss er Sie über Ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Ihr Widerspruchsrecht, Ihr Recht auf Datenübertragbarkeit sowie Ihr Recht, sich jederzeit an die Sächsische Datenschutzbeauftragte oder eine andere zuständige Aufsichtsbehörde wenden zu dürfen, hinweisen. Der Verantwortliche muss Sie auch darüber informieren, ob die Bereitstellung Ihrer Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob Sie verpflichtet sind, Ihre Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und schließlich ob eine automatisierte Entscheidungsfindung einschließlich Profiling (einschließlich aussagekräftiger Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung) besteht. Beabsichtigt er, Ihre Daten für einen anderen Zweck weiterzuverarbeiten als den, für den er sie erhoben hat, so muss er Ihnen vor dieser Weiterverarbeitung dazu Informationen zur Verfügung stellen.
 
Bitte beachten Sie: All dies findet keine Anwendung, wenn und soweit Sie bereits über die aufgeführten Informationen verfügen, zum Beispiel indem der Verantwortliche Sie durch ein Merkblatt bereits informiert hat.

Weitere Informationen

Wurden Ihre Daten nicht bei Ihnen, sondern bei einem Dritten (zum Beispiel einem Nachbarn oder Ihrem Arbeitgeber) erhoben, dann muss Ihnen der Verantwortliche verschiedene Angaben machen. So muss er Ihnen nach Artikel 14 Absatz 1 DSGVO unter anderem seinen Namen und seine Kontaktdaten, die Kontaktdaten des Datenschutzbeauftragten, die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung, die Kategorien personenbezogener Daten, die verarbeitet werden und die Empfänger der personenbezogenen Daten mitteilen. Zusätzlich muss er Ihnen nach Artikel 14 Absatz 2 DSGVO unter anderem auch noch die Dauer der Speicherung Ihrer Daten, das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen und eines Beschwerderechts bei der Aufsichtsbehörde sowie die Quelle der personenbezogenen Daten mitteilen.

Diese Informationen muss Ihnen der Verantwortliche innerhalb einer angemessenen Frist, längstens jedoch innerhalb eines Monats, oder, falls die personenbezogenen Daten zur Kommunikation mit Ihnen verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an Sie, oder, falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung, mitteilen.

Beabsichtigt der Verantwortliche, Ihre Daten für einen anderen Zweck weiterzuverarbeiten als den, für den sie erhoben worden sind, so muss er Ihnen vor dieser Weiterverarbeitung dazu Informationen zur Verfügung stellen.

Bitte beachten Sie: All dies findet nach Artikel 14 Absatz 5 DSGVO keine Anwendung, wenn und soweit Sie bereits über die aufgeführten Informationen verfügen, die Erteilung der Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.

Weitere Informationen

Das Auskunftsrecht nach Artikel 15 DSGVO ist nach wie vor Ihr „Königsrecht“. Mit dem Auskunftsrecht soll ein informationeller Machtausgleich zwischen Ihnen und dem Verantwortlichen erreicht werden. Sie haben das Recht zu erfahren, ob ein Verantwortlicher Sie betreffende personenbezogene Daten verarbeitet. Ist das der Fall, haben Sie nach Artikel 15 Absatz 1 DSGVO weiter ein Recht auf folgende Informationen und nach Artikel 15 Absatz 3 DSGVO auf eine Kopie der personenbezogenen Daten (wenn Sie dies wünschen).

Die Informationen betreffen unter anderem die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden, oder die Empfänger oder Kategorien von Empfängern. Des Weiteren ist Ihnen unter anderem Auskunft zu erteilen über die geplante Speicherdauer, das Bestehen Ihrer Rechte auf Berichtigung, Löschung, Einschränkung oder Widerspruch. Ferner ist Ihnen unter anderem Auskunft zu erteilen über Ihr Recht auf Beschwerde bei einer Aufsichtsbehörde und über die Herkunft der Daten.

Werden Ihre Daten in ein Drittland oder an eine internationale Organisation übermittelt, so haben Sie auch das Recht, über die geeigneten Garantien gemäß Artikel 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Der Verantwortliche muss Ihnen, wenn Sie dies wünschen, eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung stellen. Stellen Sie den Antrag elektronisch, so sind die Informationen Ihnen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern Sie nichts anderes angeben.

Ihr Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

Nach § 9 Absatz 1 Sächsisches Datenschutzdurchführungsgesetz darf Ihr Auskunftsrecht unter bestimmten Voraussetzungen beschränkt werden. Das bedeutet, dass die Auskunft an Sie insoweit unterbleiben darf. Dazu zählt etwa der Fall, dass dies wegen der Verfolgung von Straftaten oder Ordnungswidrigkeiten notwendig ist. Die ablehnende Entscheidung bedarf nach § 9 Absatz 2 Sächsisches Datenschutzdurchführungsgesetz keiner Begründung, wenn dadurch der Zweck der Ablehnung gefährdet würde. Der Verantwortliche muss Sie dann darauf hinzuweisen, dass Sie sich an die Sächsische Datenschutzbeauftragte wenden können. Wenn sich die Auskunft auf die Übermittlung von Daten an Strafverfolgungsbehörden oder Nachrichtendienste bezieht, dann muss der Verantwortliche diesen Behörden vor einer Auskunft an Sie Gelegenheit zur Stellungnahme zu geben.

Weitere Informationen

Kurzpapier: Auskunftsrecht der betroffenen Person, Artikel 15 DSGVO (PDF-Datei auf der Website der Datenschutzkonferenz)

Das Recht auf Berichtigung gibt Ihnen das Recht, von dem Verantwortlichen unverzüglich die Berichtigung Sie betreffender unrichtiger Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie des Weiteren das Recht, die Vervollständigung Ihrer unvollständigen Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. Personenbezogene Daten sind dann unvollständig, wenn sie für sich genommen zwar richtig sind, aber bezogen auf den Verarbeitungszweck ein unzutreffendes Bild Ihrer Person ergeben, das durch die fehlenden Daten korrigiert werden kann. Hierzu folgendes Beispiel: Sie betreiben ein Gewerbe. Aus den Akten geht hervor, dass Sie Steuerschulden haben, was gegen Ihre Zuverlässigkeit sprechen kann. Diese Information ist dann unvollständig, wenn in der Sache ein finanzgerichtliches Verfahren anhängig ist und darauf nicht hingewiesen wird.

Das Recht auf Löschung gibt Ihnen das Recht, vom Verantwortlichen zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Voraussetzung ist, dass diese Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Das Gleiche gilt, wenn Sie Ihre Einwilligung zur Verarbeitung widerrufen haben und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Auch wenn Sie gemäß Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung eingelegt haben und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen oder Ihre Daten unrechtmäßig verarbeitet worden sind, müssen diese grundsätzlich gelöscht werden. 

Nach Artikel 17 Absatz 3 Buchstabe b DSGVO scheidet eine Löschung aber aus, solange gesetzliche Aufbewahrungsfristen bestehen. Außerdem geht bei öffentlichen Stellen gemäß § 7 Sächsisches Datenschutzdurchführungsgesetz auch weiterhin grundsätzlich die Pflicht, Unterlagen dem zuständigen Archiv anzubieten, zeitlich einer Löschung vor.

In Artikel 17 Absatz 2 DSGVO ist nunmehr das „Recht auf Vergessenwerden“ normiert. Es erweitert den Anspruchsumfang des bekannten „Rechts auf Löschung“ und regelt Folgendes: Ein Verantwortlicher, der zur Löschung personenbezogener Daten verpflichtet ist, diese aber zuvor öffentlich gemacht hat, muss Maßnahmen treffen, um andere Verantwortliche, die diese Daten verarbeiten, darüber zu informieren, dass die betroffene Person (also Sie – die Anspruchstellerin oder der Anspruchsteller) von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat. Für den Verantwortlichen bedeutet das konkret, dass er andere Verantwortliche ermitteln und informieren muss. Jedoch müssen die zu treffenden Maßnahmen angemessen sein. Insbesondere sind die verfügbaren Technologien und die Implementierungskosten zu berücksichtigen.

Weitere Informationen

Kurzpapier: Recht auf Löschung/Recht auf Vergessenwerden (PDF-Datei auf der Website der Datenschutzkonferenz)

Sie haben das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn Sie

  • die Richtigkeit der personenbezogenen Daten bestreiten, wobei die Einschränkung dann für die Dauer zu bewirken ist, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen oder
  • die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen oder
  • der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder
  • Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 DSGVO eingelegt haben, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber Ihren Gründen überwiegen.

Wichtig: Erwirken Sie die Einschränkung der Verarbeitung, begründet dies für den Verantwortlichen die Pflicht, Sie vor der Aufhebung der Einschränkung über diese zu unterrichten.

Nach diesem Recht können Sie verlangen, dass sämtliche zu Ihrer Person gespeicherten personenbezogenen Daten fortan nur mit Ihrer individuellen Einwilligung (und zur Geltendmachung und Durchsetzung von Rechtsansprüchen) verarbeitet werden dürfen. Die Berechtigung des Verantwortlichen zur Speicherung wird dadurch allerdings nicht berührt. Ist eine Einschränkung der Verarbeitung erfolgt, soll er die gespeicherten Daten nur nicht wie bisher verwenden können.

Auch im Falle der Einschränkung der Verarbeitung ist der Verantwortliche gemäß Artikel 19 DSGVO zusätzlich verpflichtet, Dritte, an welche die Daten übermittelt wurden, zu informieren, damit diese ihre Verarbeitungsprozesse selbst einschränken können. Diese Pflicht greift nur insoweit, wie die Unterrichtung möglich und dem Verantwortlichen nicht unzumutbar ist.

Die Einschränkung der Verarbeitung personenbezogener Daten lässt für öffentliche Stellen die Anbietungspflicht nach dem Archivgesetz für den Freistaat Sachsen unberührt.

Artikel 19 DSGVO verpflichtet den Verantwortlichen, den Empfängern, denen er Ihre Daten offengelegt hat, jede Berichtigung oder Löschung Ihrer Daten oder jede Einschränkung der Verarbeitung nach Artikel 16, Artikel 17 Absatz 1 und Artikel 18 Datenschutz-Grundverordnung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Der Verantwortliche muss Sie über diese Empfänger unterrichten, wenn Sie dies verlangen. So soll garantiert werden, dass nur richtige und zulässigerweise verarbeitete Daten zu Ihrer Person in Umlauf sind.

Das Recht auf Datenübertragbarkeit („Portabilität“) gibt Ihnen das Recht, die Sie betreffenden personenbezogenen Daten, die Sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und berechtigt Sie zudem, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Es gilt dagegen nicht, soweit die Verarbeitung zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, erforderlich ist (Artikel 20 Absatz 3 Satz 2 DSGVO). Der Anwendungsbereich ist somit für öffentliche Stellen sehr gering.

Das Widerspruchsrecht ermöglicht es Ihnen, gegen eine an sich rechtmäßige Verarbeitung, die im öffentlichen Interesse liegt, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses des Verantwortlichen oder eines Dritten erfolgt (Artikel 6 Absatz 1 Buchstabe e oder f DSGVO) vorzugehen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Der Verantwortliche darf dann Ihre Daten nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Voraussetzung Ihres Rechts ist, dass Sie Gründe geltend machen, die sich aus Ihrer besonderen Situation ergeben. Denkbar sind beispielsweise rechtliche, wirtschaftliche, ethische, soziale, gesellschaftliche oder familiäre Zwangssituationen. Ist bereits eine Datenschutzverletzung durch den Verantwortlichen verursacht worden und ist zu befürchten, dass weitere Verletzungen folgen, berechtigt auch dies zu einem Widerspruch.

Sie haben Ihren Widerspruch mit Tatsachen zu begründen, die vom Verantwortlichen zu prüfen sind. Der Verantwortliche darf bei einem rechtmäßig eingelegten Widerspruch die Daten nur noch verarbeiten, wenn er zwingende schutzwürdige Gründe für die Verarbeitung nachweisen kann, die Ihre Interessen, Rechte und Freiheiten überwiegen.

Artikel 22 DSGVO gibt Ihnen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt allerdings nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und dem Verantwortlichen erforderlich ist oder aufgrund von EU-, deutschen oder sächsischen Rechtsvorschriften, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder Ihre ausdrückliche Einwilligung vorliegt.

Artikel 34 DSGVO verpflichtet den Verantwortlichen, Sie über die Verletzung des Schutzes Ihrer personenbezogener Daten unverzüglich zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Diese Benachrichtigung muss Ihnen in klarer und einfacher Sprache die Art der Verletzung des Schutzes Ihrer Daten beschreiben und zumindest die in Artikel 33 Absatz 3 Buchstabe b, c und d DSGVO genannten Informationen und Maßnahmen enthalten.

Das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde gibt Ihnen das Recht, sich unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs bei einer Aufsichtsbehörde, insbesondere der Ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt.

Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde gibt Ihnen das Recht, sich unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs gegen einen Sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde zu wenden. Sie haben dieses Recht, wenn die nach den Artikeln 55 und 56 DSGVO zuständige Aufsichtsbehörde sich nicht mit Ihrer Beschwerde befasst oder Sie nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 DSGVO erhobenen Beschwerde in Kenntnis gesetzt hat.

Das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter gibt Ihnen das Recht, sich unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 DSGVO an ein Gericht zu wenden, wenn Sie der Ansicht sind, dass die Ihnen aufgrund der Datenschutz-Grundverordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung Ihrer Daten verletzt wurden.

Die Haftung des Verantwortlichen und Ihr Recht auf Schadenersatz geben Ihnen – neben anderen Rechtsgrundlagen – das Recht, vom Verantwortlichen oder Auftragsverarbeiter wegen eines Verstoßes gegen die Datenschutz-Grundverordnung Schadenersatz zu verlangen, wenn Ihnen ein materieller oder immaterieller Schaden entstanden ist.

zurück zum Seitenanfang