ZAP-2019-21
Fach 19, Seite 946 Datenschutz: Kommunalebene Verfassungsrecht/Verwaltungsrecht IV. Betroffenenrechte 1. Auskunft Die betroffene Person hat das Recht von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob er betreffende personenbezogene Daten verarbeitet. Betroffene Person ist aber nur diejenige, die deshalb zu schützen ist, weil der Umgang mit personenbezogenen Daten einen Eingriff in das Persönlichkeitsrecht mit sich bringen kann (OVG Lüneburg, ZD 2019, 473: Betroffenheit für Insolvenzverwalter verneint). Das Auskunftsrecht erfolgt dabei zweistufig. Zunächst ist zu prüfen, ob überhaupt ein Auskunftsanspruch besteht und in zweiter Folge dann, wie umfangreich Auskunft erteilt werden muss. Dabei geht es auch darum, welche besonderen Datenkategorien ggf. verarbeitet worden sind (vgl. II.2.). Die Auskunft kann schriftlich oder digital erfolgen; regelmäßig sind Kopien zu übersenden. Diese haben eine zusammengefasste Liste der persönlichen Daten zu enthalten. Die Fertigung der Kopien ist für den Auskunftssuchenden kostenfrei (Art. 12 Abs. 5 S. 1 DSGVO). Die Auskunft muss unverzüglich, spätestens innerhalb eines Monats nach Antragseingang erteilt werden. Eine Verlängerung ist in Ausnahmefällen jedoch bis zu zwei Monaten möglich. Hinweis: Bei der Prüfung, ob und inwieweit Auskunft zu erteilen ist, muss immer beachtet werden, ob durch die Auskunft Rechte Dritter verletzt werden könnten. Praxistipp: Der Streitwert für eine Auskunftsklage nach Art. 15 DSGVO beträgt regelmäßig 500 €, sofern nicht besondere Umstände vorliegen (OLG Köln ZD 2019, 463). 2. Berichtigung Nach Art. 16 DSGVO hat die betroffene Person das Recht vom Verantwortlichen unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unrichtig sind Daten dann, wenn sie in Widerspruch mit der Wirklichkeit stehen und damit nicht der objektiven Sachlage entsprechen. Beispiel: falsch geschriebener Name, unzutreffende Adresse, falsches Geburtsdatum. Gegenstand der Berichtigung können aber nur Tatsachen und keine Meinungsäußerungen sein. 3. Löschung Art. 17 DSGVO trägt dem Recht auf Vergessenwerden Rechnung (EuGH NJW 2014, 2257). Danach müssen bei Google Suchergebnisse gelöscht werden, wenn sie insbesondere aufgrund des zeitlichen Ablaufes eine Persönlichkeitsverletzung darstellen. Denn eine ursprünglich rechtmäßige Verwertung personenbezogener Daten kann zu einem späteren Zeitpunkt Gegenstand eines Löschungsanspruchs werden, wobei die Unterlassung der Verarbeitung für die Zukunft ein Teil der Löschung i.S.d. Art. 17 Abs. 1 DSGVO ist (LG Frankfurt/Main ZD 2019, 410). Eine Löschung nach Art. 17 kommt aber nur in Betracht, wenn keine Gründe entgegenstehen, die aufgrund gesetzlicher Aufbewahrungspflichten dem widersprechen. Ein weiteres Kriterium nach der DSGVO ist die Erstellung eines sog. Löschkonzeptes. Dies trifft gleichermaßen private Unternehmen wie öffentliche Stellen. Denn als Ausdruck der Datensparsamkeit und der Datenminimierung sollen Daten nur so lange vorgehalten werden, wie sie tatsächlich erforderlich sind. Ist dies nicht mehr der Fall, so sind sie unverzüglich zu löschen. 1148 ZAP Nr. 21 7.11.2019
Verfassungsrecht/Verwaltungsrecht Fach 19, Seite 947 Datenschutz: Kommunalebene In einem Löschkonzept ist also festzulegen, wie und wann Daten zu löschen sind unter Berücksichtigung der gesetzlichen Aufbewahrungspflichten. Praxistipp: Auch dieses Löschkonzept kann im Rahmen der Mandatierung von rechtsentscheidender Bedeutung sein. Auch hieraus können sich entsprechende Abwehrrechte ergeben. 4. Widerspruch Gemäß Art. 21 DSGVO kann unter bestimmten Voraussetzungen ein Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten bestehen. Das Widerspruchsrecht dient dazu bei bestimmten Datenverarbeitungen einer möglichen besonderen Situation der betroffenen Person Rechnung zu tragen. Auch beim Bestehen eines Widerspruchsrechts kann der Verantwortliche die personenbezogenen Daten aber dennoch weiterhin verarbeiten, wenn zwingende schutzwürdige Gründe vorliegen, die die Verarbeitung erforderlich machen, insbesondere aufgrund gesetzlicher Vorgaben. 5. Datenpanne Die Meldung von Datenschutzverletzungen richtet sich nach Art. 33 DSGVO. Kommt es zu einem unbefugten Offenlegen von personenbezogenen Daten, zu einer Vernichtung, einem Diebstahl oder einem sonstigen Verlust eines Datenträgers, z.B. eines USB-Sticks, so handelt es sich um eine Datenpanne. Weiteres Beispiel ist auch der Verlust des privaten Telefons des Mitarbeiters, jedenfalls dann, wenn auf diesem auch Kundendaten gespeichert waren. Dann geht es darum weitere Folgen insbesondere dadurch zu verhindern, indem die SIM-Karte über den Anbieter gesperrt wird. Weiterhin ist dann zu prüfen, welche Arten von Daten betroffen sind, welche Personen in Mitleidenschaft gezogen worden sind und welche Risiken für diese bestehen. Praxistipp: Die Datenpanne muss innerhalb von 72 Stunden bei der Aufsichtsbehörde gemeldet werden; die Frist beginnt dabei spätestens ab dem Moment der tatsächlichen Kenntnisnahme zu laufen. Auf ein Verschulden kommt es nicht an. Diese Meldung muss mindestens enthalten, welche Art der Verletzung des Schutzes personenbezogener Daten gegeben ist, möglichst mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen. Weiterhin sind Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle zu nennen; weiterhin eine Beschreibung der wahrscheinlichen Folgen der Verletzungen des Schutzes personenbezogener Daten sowie der Maßnahmen, die kurzfristig, vor allem aber auch langfristig als Gegenwirkung beschlossen worden sind (Art. 33 Abs. 3 DSGVO). V. Aktuelle Fallgestaltungen zum Datenschutzrecht 1. Foto Das Recht am eigenen Bild nach Art. 2, 1 GG i.V.m. §§ 22, 23 KUG war bislang spezialgesetzlich geregelt. Danach durften Bildnisse nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Es gab aber entsprechende Ausnahmen, so z.B. für Personen des öffentlichen Lebens, aber auch für solche, die nur Beiwerk auf dem Bild sind oder die sich im Rahmen von Versammlungen bewegen. Der Handlungsrahmen insbesondere für nicht professionelle Fotografen war damit klar abgesteckt. Nunmehr ist Unsicherheit dadurch entstanden, dass mit jeder Fertigung eines Fotos auch Daten entstehen und dies zur Konsequenz haben könnte, dass die DSGVO die bisherigen Regelungen des KUG verdrängt. Soweit die DSGVO selbst keine expliziten Regelungen zu Fotos enthält, so hat der ZAP Nr. 21 7.11.2019 1149
- Seite 9 und 10: ZAP Anwaltsmagazin Bundestag verlä
- Seite 11 und 12: ZAP Buchreport Buchreport Berichte
- Seite 13 und 14: ZAP Buchreport kommentars Erbrecht,
- Seite 15 und 16: ZAP Buchreport kommentiert, u.a. §
- Seite 17 und 18: ZAP Buchreport Anwaltsrecht/Anwalts
- Seite 19 und 20: ZAP Buchreport sich mit den rechtli
- Seite 21 und 22: Eilnachrichten 2019 Fach 1, Seite 1
- Seite 23 und 24: Eilnachrichten 2019 Fach 1, Seite 1
- Seite 25 und 26: Eilnachrichten 2019 Fach 1, Seite 1
- Seite 27 und 28: Eilnachrichten 2019 Fach 1, Seite 1
- Seite 29 und 30: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 31 und 32: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 33 und 34: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 35 und 36: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 37 und 38: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 39 und 40: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 41 und 42: Straßenverkehrsrecht Fach 9 R, Sei
- Seite 43 und 44: Handelsrecht/Gesellschaftsrecht Fac
- Seite 45 und 46: Handelsrecht/Gesellschaftsrecht Fac
- Seite 47 und 48: Handelsrecht/Gesellschaftsrecht Fac
- Seite 49 und 50: Handelsrecht/Gesellschaftsrecht Fac
- Seite 51 und 52: Verfassungsrecht/Verwaltungsrecht F
- Seite 53 und 54: Verfassungsrecht/Verwaltungsrecht F
- Seite 55 und 56: Verfassungsrecht/Verwaltungsrecht F
- Seite 57 und 58: Verfassungsrecht/Verwaltungsrecht F
- Seite 59: Verfassungsrecht/Verwaltungsrecht F
- Seite 63 und 64: Verfassungsrecht/Verwaltungsrecht F
- Seite 65 und 66: Verfassungsrecht/Verwaltungsrecht F
Fach 19, Seite 946<br />
Datenschutz: Kommunalebene<br />
Verfassungsrecht/Verwaltungsrecht<br />
IV.<br />
Betroffenenrechte<br />
1. Auskunft<br />
Die betroffene Person hat das Recht von dem Verantwortlichen eine Bestätigung darüber zu verlangen,<br />
ob er betreffende personenbezogene Daten verarbeitet. Betroffene Person ist aber nur diejenige, die<br />
deshalb zu schützen ist, weil der Umgang mit personenbezogenen Daten einen Eingriff in das Persönlichkeitsrecht<br />
mit sich bringen kann (OVG Lüneburg, ZD <strong>2019</strong>, 473: Betroffenheit für Insolvenzverwalter<br />
verneint).<br />
Das Auskunftsrecht erfolgt dabei zweistufig. Zunächst ist zu prüfen, ob überhaupt ein Auskunftsanspruch<br />
besteht und in zweiter Folge dann, wie umfangreich Auskunft erteilt werden muss. Dabei geht<br />
es auch darum, welche besonderen Datenkategorien ggf. verarbeitet worden sind (vgl. II.2.).<br />
Die Auskunft kann schriftlich oder digital erfolgen; regelmäßig sind Kopien zu übersenden. Diese haben<br />
eine zusammengefasste Liste der persönlichen Daten zu enthalten. Die Fertigung der Kopien ist für den<br />
Auskunftssuchenden kostenfrei (Art. 12 Abs. 5 S. 1 DSGVO).<br />
Die Auskunft muss unverzüglich, spätestens innerhalb eines Monats nach Antragseingang erteilt<br />
werden. Eine Verlängerung ist in Ausnahmefällen jedoch bis zu zwei Monaten möglich.<br />
Hinweis:<br />
Bei der Prüfung, ob und inwieweit Auskunft zu erteilen ist, muss immer beachtet werden, ob durch die<br />
Auskunft Rechte Dritter verletzt werden könnten.<br />
Praxistipp:<br />
Der Streitwert für eine Auskunftsklage nach Art. 15 DSGVO beträgt regelmäßig 500 €, sofern nicht besondere<br />
Umstände vorliegen (OLG Köln ZD <strong>2019</strong>, 463).<br />
2. Berichtigung<br />
Nach Art. 16 DSGVO hat die betroffene Person das Recht vom Verantwortlichen unverzüglich die<br />
Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unrichtig sind Daten dann, wenn sie<br />
in Widerspruch mit der Wirklichkeit stehen und damit nicht der objektiven Sachlage entsprechen.<br />
Beispiel: falsch geschriebener Name, unzutreffende Adresse, falsches Geburtsdatum.<br />
Gegenstand der Berichtigung können aber nur Tatsachen und keine Meinungsäußerungen sein.<br />
3. Löschung<br />
Art. 17 DSGVO trägt dem Recht auf Vergessenwerden Rechnung (EuGH NJW 2014, 2257). Danach<br />
müssen bei Google Suchergebnisse gelöscht werden, wenn sie insbesondere aufgrund des zeitlichen<br />
Ablaufes eine Persönlichkeitsverletzung darstellen. Denn eine ursprünglich rechtmäßige Verwertung<br />
personenbezogener Daten kann zu einem späteren Zeitpunkt Gegenstand eines Löschungsanspruchs<br />
werden, wobei die Unterlassung der Verarbeitung für die Zukunft ein Teil der Löschung i.S.d. Art. 17 Abs. 1<br />
DSGVO ist (LG Frankfurt/Main ZD <strong>2019</strong>, 410).<br />
Eine Löschung nach Art. 17 kommt aber nur in Betracht, wenn keine Gründe entgegenstehen, die<br />
aufgrund gesetzlicher Aufbewahrungspflichten dem widersprechen.<br />
Ein weiteres Kriterium nach der DSGVO ist die Erstellung eines sog. Löschkonzeptes. Dies trifft gleichermaßen<br />
private Unternehmen wie öffentliche Stellen. Denn als Ausdruck der Datensparsamkeit und der<br />
Datenminimierung sollen Daten nur so lange vorgehalten werden, wie sie tatsächlich erforderlich sind. Ist<br />
dies nicht mehr der Fall, so sind sie unverzüglich zu löschen.<br />
1148 <strong>ZAP</strong> Nr. <strong>21</strong> 7.11.<strong>2019</strong>