Datenschutz-Grundverordnung: Recht auf Einschränkung der Verarbeitung

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Betroffene Personen haben gegenüber dem Verantwortlichen ein Recht auf Einschränkung der Verarbeitung der über sie gespeicherten Daten

Geldbuße bis zu 20 Mio. EUR oder bis 4 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen und ggf. Strafbarkeit

Die Einschränkung der Verarbeitung entspricht im Wesentlichen der bisher nach dem BDSG bestehenden Pflicht zur Sperrung der Daten des Betroffenen. 

Voraussetzungen für das Recht auf Einschränkung:((Rechtsgrundlage: Art. 18 (1) ))
Die betroffene Person kann die Einschränkung der Verarbeitung verlangen, wenn 

• die Richtigkeit der Daten bestritten wird (so lange, dass der Verantwortliche die Richtigkeit überprüfen kann), 
• die Verarbeitung unrechtmäßig ist und die betroffene Person statt der Löschung die Einschränkung der Nutzung der betroffenen Daten verlangt
• der Verantwortliche die Daten für die Verarbeitungszwecke nicht länger benötigt, aber der Betroffene sie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt
• die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat und die Verarbeitung auf einer Interessenabwägung beruht (für den Zeitraum der Interessenabwägung) 

Folgen der Einschränkung: Die Daten dürfen ((Rechtsgrundlage: Art. 18 (2) ))

• gespeichert bleiben 
• verarbeitet werden nur noch 
• mit Einwilligung des Betroffenen 
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen 
• zum Schutz der Rechte einer anderen natürlichen oder juristischen Person 
• aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates

Der Betroffene ist zu informieren, bevor die Einschränkung aufgehoben wird.((Rechtsgrundlage: Art. 18 (3) ))

Der Verantwortliche hat den Umstand der Einschränkung der Verarbeitung allen Empfängern dieser Daten mitzuteilen.((Rechtsgrundlage: Art. 19 S.1))

Der Verantwortliche hat dem Betroffenen auf Verlangen die Empfänger der Daten mitzuteilen.((Rechtsgrundlage: Art. 19 S.2 ))

Möglichkeiten zur Umsetzung bestehen in ((Rechtsgrundlage: ErwGr 67 ))

• der Übertragung auf ein anderes Verarbeitungssystem
• der Sperrung für Nutzer oder
• der Entfernung von veröffentlichten Daten von der Homepage

Bei automatisierten Dateisystemen soll die Einschränkung grds. durch technische Mittel erfolgen, so dass die Daten weder weiterverarbeitet noch verändert werden können. Auf die Einschränkung soll im System unmissverständlich hingewiesen werden.

Die Mitteilungen an den Betroffenen müssen((Rechtsgrundlagen: Art. 12 (1) ))

• präzise
• transparent
• verständlich
• leicht zugänglich und
• in einer klaren und einfachen Sprache verfasst sein, insbesondere dann, wenn sie sich an Kinder richten.

Die Information erfolgt schriftlich oder in anderer Form, ggfs. auch elektronisch. Auf Verlangen der betroffenen Person kann die Information auch mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde (keine Information ausschließlich am Telefon).

Für die Einschränkung ist eine Frist nicht ausdrücklich geregelt.((Rechtsgrundlage: Art. 12 (3) )) Da die Einschränkung jedoch gerade in Situationen zum Tragen kommt, in denen vorübergehend die Voraussetzungen anderer Rechte (z. B. Löschung, Berichtigung, Widerruf) unklar sind, ist davon auszugehen, dass die Einschränkung kurzfristig (maximal unverzüglich) zu erfolgen hat. 

Der Betroffene muss vor der Aufhebung der Einschränkung darüber informiert werden.((Rechtsgrundlage: Art. 18 (3) )) Ungeklärt ist, wie lange vor der Aufhebung der Einschränkung die betroffene Person informiert sein muss. Die Frist sollte so bemessen sein, dass die Ausübung anderer Rechte (z. B. des Rechts auf Löschung) durch die betroffene Person noch vor der Aufhebung der Einschränkung möglich ist.

Wenn der Verantwortliche nicht in der Lage ist,((Rechtsgrundlage: Art. 12 (2) )) die betroffene Person eindeutig zu identifizieren, darf er sich weigern, dem Antrag der betroffenen Person nachzukommen. In diesem Fall ist der Betroffene unverzüglich, spätestens jedoch innerhalb eines Monats, zu informieren.((Rechtsgrundlage: Art. 12 (4) ))

Bestehen Zweifel hinsichtlich der Identität, können weitere Informationen angefordert werden.((Rechtsgrundlage: Art. 12 (6) )) 

Bei Anfragen per einfacher E-Mail oder Web-Formular ist eine Identitätsfeststellung in der Regel nicht hinreichend sicher möglich, so dass weitere Maßnahmen zur Identitätsfeststellung erforderlich sein dürften (z. B. telefonische Rückfragen, postalische Kontaktaufnahme) Im deutschen BDSG (neu) gibt es Regelungen,((§ 35 Abs. 1 und 2 BDSG (neu) )) die die Einschränkung anstatt der Löschung zulässt, etwa wenn eine Löschung nur mit unverhältnismäßig hohem Aufwand möglich ist oder durch die Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden.