{"id":2210,"date":"2018-02-21T13:00:07","date_gmt":"2018-02-21T11:00:07","guid":{"rendered":"http:\/\/blog.iese.fraunhofer.de\/?p=2210"},"modified":"2025-08-21T11:29:02","modified_gmt":"2025-08-21T09:29:02","slug":"die-dsgvo-und-was-sie-fuer-digitale-dienste-bedeutet-die-pflichten-der-verantwortlichen-und-die-rechte-der-betroffenen-personen","status":"publish","type":"post","link":"https:\/\/www.iese.fraunhofer.de\/blog\/die-dsgvo-und-was-sie-fuer-digitale-dienste-bedeutet-die-pflichten-der-verantwortlichen-und-die-rechte-der-betroffenen-personen\/","title":{"rendered":"Die DSGVO und was sie f\u00fcr Digitale Dienste bedeutet: Die Pflichten der Verantwortlichen und die Rechte der betroffenen Personen"},"content":{"rendered":"

Teil 2 unserer Blog-Serie zur DSGVO. Lesen Sie hier Teil 1<\/a>.<\/p>\n

Am 25. Mai endet die \u00dcbergangsfrist von der alten EU-Datenschutzrichtlinie auf die neue EU-DSGVO, die damit zu diesem Datum vollst\u00e4ndig in Kraft tritt. Dies bedeutet auch, dass die neue Bu\u00dfgeldbewehrung bei Datenschutzverst\u00f6\u00dfen ab diesem Tag greift. Grund genug, die grundlegenden Inhalte der DSGVO einmal n\u00e4her zu betrachten und sie sowohl in Bezug zu Digitalen Diensten zu setzen als auch anhand aktueller Beispiele zu illustrieren, was sich bereits jetzt an Ver\u00e4nderungen abzeichnet, zu denen die DSGVO f\u00fchren wird. Der Blog des Fraunhofer IESE setzt mit diesem Artikel seine vierteilige Artikelserie zur DSGVO fort.<\/p>\n

Die Datenschutzrichtlinie der EU (1995\/46\/EG) ist angesichts der fortschreitenden Digitalisierung und der immer st\u00e4rker datenbezogenen und explosionsartig wachsenden Menge von digitalen Diensten in die Jahre gekommen. Die Richtlinie, deren Umsetzung im Bundesdatenschutzgesetz verankert ist, stammt aus dem Jahr 1995 und damit genau aus dem Jahr, in dem HTML 2.0 erstmalig als Standard f\u00fcr Internet-basierte Informationsdienste ver\u00f6ffentlicht wurde. Zeit also, diese Richtlinie gr\u00fcndlich zu \u00fcberarbeiten, um personenbezogenen Daten und deren Verarbeitung im Zeitalter der Digitalisierung gerecht zu werden. In der neuen EU-Datenschutzgrundverordnung, kurz DSGVO (2016\/679\/EU), wird dies neu geregelt. Gleichzeitig wird die Richtlinie zu einer Verordnung aufgewertet. Eine Besonderheit ist, dass f\u00fcr die DSGVO das Marktortprinzip gilt. Das hei\u00dft, dass auch Anbieter von Diensten, deren Firmensitz sich au\u00dferhalb der EU befindet, den Regularien unterliegen, wenn sie ihren Dienst innerhalb der EU anbieten.<\/p>\n

Die Pflichten der Verantwortlichen<\/h2>\n

Die grundlegenden Pflichten des f\u00fcr die Verarbeitung von personenbezogenen Daten Verantwortlichen, also ein Unternehmen oder eine Organisation, zur Information von betroffenen Personen sind insbesondere in Artikel 13 und 14 DSGVO geregelt.<\/p>\n

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Artikel 13 DSGVO)<\/h3>\n

Werden personenbezogene Daten bei der betroffenen Person erhoben (Artikel 13 DSGVO), so muss der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung<\/strong> dieser Daten dies mitteilen<\/strong>. Zu der Mitteilung geh\u00f6ren unter anderem der Name und Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters (z.B. des Gesch\u00e4ftsf\u00fchrers eines Unternehmens) oder die Kontaktdaten des Datenschutzbeauftragten. Dazu ist es erforderlich die Zwecke, f\u00fcr welche die personenbezogenen Daten verarbeitet werden sollen und die Rechtsgrundlage f\u00fcr die Verarbeitung zu benennen. Ebenso sollen die Empf\u00e4nger oder Kategorien von Empf\u00e4ngern der personenbezogenen Daten benannt werden und, falls der Verantwortliche dies beabsichtigt, auch die geplante Weitergabe der Daten an Drittl\u00e4nder oder internationale Organisationen. Ein Online Shop beispielsweise sollte in seiner Datenschutzerkl\u00e4rung mitteilen, dass bei Bestellungen Adressdaten der betroffenen Person an den jeweiligen Logistikdienstleister zum Zweck des Transports und der Zustellung der bestellten Ware weitergegeben werden, oder, dass bei Zahlungsausfall die Weitergabe der Kontaktdaten der betroffenen Person an ein Inkassob\u00fcro zwecks Verfolgung der offenen Zahlung erfolgt.<\/p>\n

Zus\u00e4tzlich soll der Verantwortliche zum Zeitpunkt der Erhebung der personenbezogenen Daten der betroffenen Person weitere Informationen zur Verf\u00fcgung stellen, die die Prinzipien einer transparenten und fairen Verarbeitung ber\u00fccksichtigen. Dazu geh\u00f6rt unter anderem die Dauer der Speicherung der Daten oder zumindest Kriterien, nach denen die Dauer bestimmt oder entschieden werden kann. Ein Beispiel w\u00e4re, dass die Speicherung der Daten bis zur K\u00fcndigung des Accounts bei einem Online-Shop und der Abwicklung (Lieferung und Bezahlung) der letzten Bestellung erfolgt. Hier ist auch handelsrechtlich zu beachten, dass dar\u00fcber hinaus Aufbewahrungsfristen f\u00fcr Rechnungen bestehen, die \u00fcber den Zeitpunkt der K\u00fcndigung des Kunden Accounts hinaus reichen k\u00f6nnen. Weiter ist der Hinweis erforderlich, dass jederzeit ein Recht auf Auskunft, die L\u00f6sung oder die Einschr\u00e4nkung der Verarbeitung der personenbezogenen Daten besteht. Daneben ist auf die M\u00f6glichkeit hinzuweisen, dass eine einmal gegebene \u2013 nicht f\u00fcr die Erf\u00fcllung des Vertrags erforderliche \u2013 Einwilligung zur Verarbeitung von Daten jederzeit widerrufen werden kann. Ebenso muss ein Hinweis auf ein Beschwerderecht bei der Aufsichtsbeh\u00f6rde f\u00fcr Datenschutz – bei Unternehmen ist dies der jeweilige Landesdatenschutzbeauftragte –\u00a0 erfolgen. Zudem muss der Verantwortliche auch \u00fcber die Existenz einer automatisierten Entscheidungsfindung einschlie\u00dflich Profiling informieren.<\/p>\n

Auch eine beabsichtigte Umwidmung des Verarbeitungszwecks der personenbezogenen Daten durch den Verantwortlichen ist der betroffenen Person vorab mitzuteilen. Hier besteht gegebenenfalls Bedarf an einer gesonderten Einwilligung oder das Recht auf Widerspruch gegen die Verarbeitung durch die betroffene Person.<\/p>\n

Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Artikel 14 DSGVO)<\/h3>\n

\u00c4hnliche geartete Mitteilungen wie die nach Artikel 13 DSGVO m\u00fcssen Verantwortliche der betroffenen Person machen, wenn die Daten nicht bei der betroffenen Person erhoben wurden (Artikel 14 DSGVO), sondern aus anderen Quellen, wie z.B. Internetrecherchen, stammen. Hier ist auch die Quelle, aus der die Daten stammen, mit anzugeben und dar\u00fcber zu informieren, falls der Grund f\u00fcr die Verarbeitung der Daten im Bereich des berechtigten Interesses Dritter liegt.<\/p>\n

Ich selbst erhielt vor wenigen Wochen von einem Unternehmen meine erste Mitteilung gem\u00e4\u00df Artikel 14 DSGVO. In diesem Fall wurden meine beruflichen personenbezogenen Daten (Name, Anschrift, E-Mail Adresse und Telefonnummer) auf unserer Unternehmenswebseite erhoben. Ein korrektes Vorgehen des informierenden Unternehmens, das mit Gesch\u00e4ftsadressen weltweit \u2013 also auch in Europa \u2013 handelt. Ein wenig nachdenklich machte mich, dass ausgerechnet die erste Information gem\u00e4\u00df Artikel 14 aus Kanada kam, also nicht von einem Unternehmen aus der EU. Ist Nordamerika hier tats\u00e4chlich schneller als Europa? Und das obwohl wir den neuen Datenschutz mit Marktortprinzip doch erfunden haben?<\/p>\n

Die Rechte der betroffenen Person<\/h2>\n

Das Recht auf Auskunft (Artikel 15 DSGVO)<\/h3>\n

Als betroffene Person haben Sie, verankert in Artikel 15 DSGVO, das Recht auf Auskunft<\/strong> \u00fcber Art und Umfang aller Verarbeitungen der Sie betreffenden personenbezogenen Daten. Dazu z\u00e4hlen die Kategorien von personenbezogenen Daten<\/strong> und die Verarbeitungszwecke der Daten<\/strong>, also welche Auswertungen oder Analysen ausgef\u00fchrt werden. Auch besteht ein Auskunftsrecht dar\u00fcber, welche Empf\u00e4nger und Kategorien von Empf\u00e4ngern die personenbezogenen Daten erhalten und wie lang die geplante Dauer der Datenspeicherung ist; zumindest jedoch \u00fcber die Kriterien, nach denen dies entschieden wird. Weiter ist der Hinweis auf das Recht zur Berichtigung oder L\u00f6schung der betreffenden Daten bei der Auskunftserteilung zu geben. Ebenso muss \u00fcber das Widerspruchsrecht zur Verarbeitung, das Beschwerderecht bei einer Aufsichtsbeh\u00f6rde und die Quellen der Daten informiert werden.<\/p>\n

Weiterhin muss der Verantwortliche eine Kopie der personenbezogenen Daten<\/strong>, die Gegenstand der Verarbeitung sind, zur Verf\u00fcgung stellen<\/strong>. Eine einmalige Auskunft muss dabei kostenfrei bleiben. Stellt die betroffene Person den Antrag auf Auskunft elektronisch, so sind \u2013 falls nichts anderes angegeben \u2013 die Daten auch in einem g\u00e4ngigen elektronischen Format zur Verf\u00fcgung zu stellen. Somit kann die betroffene Person nicht nur die Arten der Verarbeitung und die Kategorien ihrer personenbezogenen Daten<\/strong> in Erfahrung bringen, sondern auch die Daten selbst in einer Art Kontoauszug<\/strong> entweder auf schriftlichem oder elektronischem Wege<\/strong> erhalten.<\/p>\n

Das Recht auf Berichtigung und Vervollst\u00e4ndigung personenbezogener Daten (Artikel 16 DSGVO)<\/h3>\n

Artikel 16 DSGVO r\u00e4umt den betroffenen Personen das Recht auf unverz\u00fcgliche Berichtigung und Vervollst\u00e4ndigung<\/strong> personenbezogener Daten ein. Dies kann zum Beispiel durch eine erg\u00e4nzende Erkl\u00e4rung zu den Daten und den Verarbeitungszwecken erfolgen. Dies ist ein wichtiges Recht, da z.B. bei automatisierten Entscheidungen auf Basis unvollst\u00e4ndiger oder nicht korrekter Daten erhebliche Nachteile f\u00fcr die betroffene Person entstehen k\u00f6nnen.<\/p>\n

Das \u00bbRecht auf Vergessenwerden\u00ab (Artikel 17 DSGVO)<\/h3>\n

Das Recht auf L\u00f6schung von personenbezogenen Daten (\u00bbRecht auf Vergessenwerden\u00ab<\/strong>) ist in Artikel 17 DSGVO verankert und versetzt die betroffene Person in die Lage eine unverz\u00fcgliche L\u00f6schung der personenbezogenen Daten zu verlangen. \u00a0Der Verantwortliche ist dabei verpflichtet dies auch zu tun, wenn die personenbezogenen Daten f\u00fcr die Zwecke, f\u00fcr die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr notwendig sind. Dies kann z.B. der Fall sein, wenn ein Benutzerkonto oder Dienstvertrag gek\u00fcndigt wurde und alle gegebenenfalls noch offenen Transaktionen, wie z.B. Bestellungen, abgeschlossen sind. Ebenso kann die L\u00f6schung auf Basis des Widerrufs einer gegebenen Einwilligung zur Verarbeitung gefordert werden. Alternativ kann die betroffene Person Widerspruch gegen die Verarbeitung einlegen, wenn keine offenen berechtigten Interessen des Verantwortlichen mehr bestehen (beispielsweise eine noch nicht gezahlte Rechnung zu einer Bestellung bei einem Online-Shop).<\/p>\n

Das Recht auf L\u00f6schung geht sogar noch weiter:<\/strong> Hat der Verantwortliche die personenbezogenen Daten \u00f6ffentlich gemacht<\/strong> und ist er zur L\u00f6schung verpflichtet, so muss er auch \u2013 unter Ber\u00fccksichtigung der verf\u00fcgbaren Technologie und der Umsetzungskosten \u2013 weitere Stellen, an denen die personenbezogenen Daten vorliegen<\/strong>, \u00fcber die Notwendigkeit der L\u00f6schung informieren<\/strong> sowie dar\u00fcber informieren, dass eine betroffene Person die L\u00f6schung aller Links zu diesen Daten, Kopien oder Replikationen verlangt hat. Dies d\u00fcrfte eine der spannendsten technischen Herausforderungen<\/strong> werden.<\/p>\n

Denken wir dabei an Dienste wie Facebook oder Instagram, bei denen es beispielsweise f\u00fcr jeden einfach m\u00f6glich ist, gepostete Bilder durch Screenshots oder einfaches Speichern zu kopieren oder zu replizieren. Voraussetzung ist z.B. die Verbindung mit dem betroffenen Benutzerkonto \u00fcber die Freundesliste. Hierin liegt eine echte technische Herausforderung.<\/p>\n

Das Recht auf Einschr\u00e4nkung der Verarbeitung (Artikel 18 DSGVO)<\/h3>\n

Das Recht auf Einschr\u00e4nkung der Verarbeitung<\/strong>, in Artikel 18 DSGVO festgelegt, gibt der betroffenen Person das Recht auf eine Einschr\u00e4nkung der Verarbeitung in verschiedenen F\u00e4llen. Dazu geh\u00f6ren unter anderem F\u00e4lle, in welchen die Richtigkeit der Daten bestritten wird, die Verarbeitung unrechtm\u00e4\u00dfig ist oder die L\u00f6schung der Daten von der betroffenen Person abgelehnt wird. Ebenso gilt dies, wenn der Verantwortliche die personenbezogenen Daten f\u00fcr die Zwecke der Verarbeitung nicht l\u00e4nger ben\u00f6tigt, die betroffene Person aber die Daten beispielsweise zur Durchsetzung von Rechtsanspr\u00fcchen ben\u00f6tigt oder die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat. Wenn die Verarbeitung der Daten wirksam eingeschr\u00e4nkt wurde, d\u00fcrfen keine weiteren Verarbeitungen der Daten, au\u00dfer der reinen Speicherung, ohne Einwilligung der betroffenen Person erfolgen. Eine Ausnahme hiervon bildet die Durchsetzung berechtigter Interessen des Verantwortlichen. Vor Aufhebung der Einschr\u00e4nkung der Verarbeitung muss der Verantwortliche die betroffene Person informieren.<\/p>\n

Das Recht auf Widerspruch (Artikel 21 DSGVO)<\/h3>\n

Das Widerspruchsrecht<\/strong> zur Verarbeitung personenbezogener Daten wird von Artikel 21 DSGVO definiert. Hier hat die betroffene Person aus besonderen Gr\u00fcnden jederzeit das Recht, Widerspruch gegen die Verarbeitung personenbezogener Daten aus \u00f6ffentlichem Interesse oder in Aus\u00fcbung \u00f6ffentlicher Gewalt sowie zur Wahrnehmung berechtigter Interessen einzulegen. Dies gilt auch f\u00fcr ein in diesem Zusammenhang stattfindendes Profiling. In diesen F\u00e4llen verarbeitet der Verantwortliche die Daten nicht mehr. Eine Ausnahme liegt vor, wenn der Verantwortliche zwingende Gr\u00fcnde f\u00fcr die weitere Verarbeitung nachweisen kann, welche die Rechte und Freiheiten der betroffenen Person \u00fcberwiegen.<\/p>\n

Im Fall der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung<\/strong> kann die betroffene Person jederzeit Widerspruch<\/strong> gegen diese Verarbeitung einlegen. Dieser Widerspruch darf auch ein zu diesem Zwecke durchgef\u00fchrtes Profiling einschlie\u00dfen. Hierzu passt gut die aktuelle Beobachtung, die Sie vielleicht auch gemacht haben, dass die gro\u00dfen Suchportale dieser Tage ihre Privatsph\u00e4reneinstellungen neu und erweitert abfragen. So ist es zum Beispiel jetzt m\u00f6glich jegliche Art von Werbung in den Suchergebnissen per Schalter zu deaktivieren und auch die Suchverl\u00e4ufe nicht mehr dem Profiling zuzuf\u00fchren.<\/p>\n

Generell kann im Zusammenhang mit der Nutzung von digitalen Diensten (Diensten der Informationsgesellschaft) die betroffene Person ihr Widerspruchsrecht auch mittels automatisierter Verfahren aus\u00fcben, bei denen technische Spezifikationen verwendet werden. Dies k\u00f6nnte zum Beispiel mittels einer Art von Men\u00fc f\u00fcr Einstellungen zur Privatsph\u00e4re gel\u00f6st werden.<\/p>\n

Zusammenfassung und Ausblick<\/h2>\n

Neben den Grunds\u00e4tzen der DSGVO gibt es eine Reihe von Rechten und Pflichten, welche die Rechte der Verbraucher hinsichtlich des Umgangs mit ihren personenbezogenen Daten \u2013 und Verbraucher sind wir letztlich alle.<\/p>\n

Die vier wichtigsten Take-aways des zweiten Teils der Serie sind:<\/p>\n