Mit Inkrafttreten der Datenschutz-Grundverordnung sind auch die Recht betroffener Personen neu ausgestaltet worden. Der in Europa grundsätzlich geltende Schutz der Rechte und Freiheiten natürlicher Personen wird damit um eindeutige Vorgaben für die Verarbeitung personenbezogener Daten ergänzt. Verbraucher-freundlich müssen betroffenen Personen alle Informationen über die Erhebung der Daten sowie ihre Rechte im Umgang mit diese Daten in einfacher, verständlicher und transparenter Weise vermittelt werden.
Diese Mitteilung erfolgt in aller Regel schriftlich bzw. elektronisch in Form einer Datenschutzerklärung. Diese Informationen sollen betroffenen Personen die Ausübung von Rechten vor allem nach Art. 15 bis 22 DS-GVO erleichtern.
Bei einer Datenschutzerklärung, die sich an Kinder richtet, sind vergleichbar hohe Hürden gesetzt, wie bei deren Einwilligungserklärungen.
Ausübung der Rechte betroffener Personen
Die Datenschutz-Grundverordnung sieht klare Fristen für das Feedback eines Verantwortlichen auf Anfragen betroffener Personen vor. So muss innerhalb eines Monats nach dem Eingang schriftlicher oder elektronischer Anfragen ein Feedback über die Bearbeitung oder Umsetzung erfolgen. Diese Frist darf um maximal zwei Monate verlängert werden, falls es sich dies aus Komplexität oder Anzahl an Anfragen ergibt.
Auch wenn der Verantwortliche den Rechten des Anfragestellers nicht entsprechen kann, muss eine schriftliche Begründung erfolgen. Es ist z.B. möglich, einer Anfrage auf Löschung zu widersprechen, wenn Unterlagen wie Rechnungen, Lieferscheine etc. für die Dauer der Aufbewahrungsfrist in der Buchhaltung gespeichert bleiben müssen. Es sollten allerdings alle Daten mit einem Löschvermerkt versehen werden und dies der betroffenen Person mitgeteilt werden.
Das Recht auf Speicherung kann in der Praxis zu einer Vergrößerung des Umfangs gespeicherter personenbezogener Daten führen. Da ein Verantwortlicher gegenüber Aufsichtsbehörden jederzeit nachweisen können muss, dass er sich DS-GVO konform verhält, erfordert dies zusätzliche Dokumentation. Hinzu kommt, dass für die Legitimierung einer Anfrage ggf. ein Ausweisdokument angefordert und Mails archiviert werden müssen (e.g. zusätzliche Daten). Um dennoch dem Grundsatz der Datenminimierung gerecht zu werden, könnte Legitimationsnachweise mit dem Verweis „Ausweisdokument lag vor“ gelöscht werden.
Weitere lesenswerte Artikel finden sie im übergeordneten Bereich DS-GVO Basics