th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Pflicht zur Berichtigung, Löschung ("Recht auf Vergessenwerden") und zur Einschränkung der Verarbeitung

Was bei einem Antrag auf Berichtigung, Löschung und Einschränkung der Verarbeitung zu tun ist

Hinweis
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“).

Die DSGVO räumt der betroffenen Person ein Recht auf Berichtigung, allenfalls Ergänzung über alle zu ihrer Person verarbeiteten Daten ein. Des Weiteren stehen jedem Betroffenen ein Löschungsrecht und ein Recht auf Einschränkung der Verarbeitung zu.

Wem stehen diese Ansprüche zu?

Jeder betroffenen Person. Diese muss ihre Identität nur dann nachweisen, wenn der Verantwortliche berechtigte Zweifel daran hat. Werden große Mengen an Informationen über die betroffene Person verarbeitet, trifft sie eine Mitwirkungspflicht. 

Hinweis:
In der Regel werden solche Zweifel bei telefonischen Anfragen oder wenn der Antrag von einer Fantasie-E-Mail-Adresse versandt wurde, bestehen.

Tipp:
Sollte eine Anfrage z.B. von Max.Mustermann@domain.at kommen und nicht elektronisch signiert sein, wäre es ratsam, z.B. eine Ausweiskopie zu verlangen.

Wen treffen diese Pflichten?

Nur der Verantwortliche hat die Daten zu berichtigen, zu löschen oder einzuschränken.

Wird ein Antrag irrtümlich an einen Auftragsverarbeiter gerichtet, trifft diesen zwar keine ausdrückliche Pflicht, den Antrag an den Verantwortlichen weiterzuleiten. Der Auftragsverarbeiter hat jedoch eine Unterstützungspflicht dem Verantwortlichen gegenüber. 

Hinweis:
Die Weiterleitung eines Antrages an den Verantwortlichen ist daher zu empfehlen.

Wie muss die Berichtigung, Löschung oder Einschränkung verlangt werden?

Der Antrag kann formlos gestellt werden, allenfalls sogar mündlich. Bei mündlichen Antragstellungen per Telefon werden jedoch in der Regel Zweifel an der Identität bestehen, anders bei einer persönlichen Vorsprache.

Welche Voraussetzungen hat das …

Recht auf Berichtigung?

Voraussetzung für den Anspruch ist, dass die Daten unrichtig sind, also mit der Wirklichkeit nicht übereinstimmen (z.B. falsches Geburtsdatum) oder dass die Daten unter Berücksichtigung des Zweckes der Verarbeitung, unvollständig sind.

Recht auf Löschung?

Voraussetzung für das Löschungsrecht ist das Zutreffen einer der folgenden Gründe:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

  • Die betroffene Person hat ihre Einwilligung zur Datenverarbeitung widerrufen (und es liegt keine andere Rechtsgrundlage vor).

  • Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt (und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor).

  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.

  • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich.

  • Die Daten wurden von einem Kind im Zusammenhang mit einem Dienst der Informationsgesellschaft ermittelt.

Recht auf Einschränkung?

Voraussetzung für das Recht auf Einschränkung ist das Zutreffen einer der folgenden Gründe:

  • Die betroffene Person hat die Richtigkeit der personenbezogenen Daten bestritten, solange der Verantwortliche die Richtigkeit der personenbezogenen Daten überprüft.

  • Die Verarbeitung ist unrechtmäßig und die betroffene Person hat die Löschung der personenbezogenen Daten abgelehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt.

  • Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

  • Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen des Betroffenen überwiegen.

Was ist zu tun bei einem  

  • Berichtigungsantrag? Der Verantwortliche hat die Daten der betroffenen Person richtig zu stellen. Unter Berücksichtigung der Zwecke der Verarbeitung hat der Betroffene außerdem das Recht, die Vervollständigung unvollständiger Daten zu verlangen.

  • Löschungsantrag? Der Verantwortliche hat die Daten der betroffenen Person zu löschen.

  • Einschränkungsantrag? Der Verantwortliche darf die Daten der betroffenen Person nur mehr speichern, aber keine sonstigen Verarbeitungsschritte setzen.

Wie ist die betroffene Person zu verständigen? 

Die betroffene Person ist von der durchgeführten Maßnahme zu informieren. Dies hat schriftlich zu erfolgen, und zwar in einer kompakten, transparenten, verständlichen und leicht zugänglichen Form. Elektronische Medien (vor allem E-Mail) können insbesondere dann verwendet werden, wenn der Antrag elektronisch gestellt wurde. Auf ausdrücklichen Wunsch der betroffenen Person ist das Schreiben auf Papier zu übersenden. Eine mündliche Verständigung ist auf Wunsch der betroffenen Person möglich, sofern keine Zweifel an der Identität bestehen. 

Besonderes Augenmerk ist auf die Textierung zu legen: Der Verantwortliche hat sich einer klaren und einfachen Sprache zu bedienen; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. 

Kann der Antrag abgelehnt werden?

Durch Rechtsvorschriften können alle Betroffenenrechte eingeschränkt werden, wenn dadurch bestimmte Ziele erreicht werden sollen. Für den Bereich der gewerblichen Wirtschaft sind wohl lediglich die Tatbestände „den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“ oder „die Durchsetzung zivilrechtlicher Ansprüche“ relevant. 

Offenkundig unbegründete oder – insbesondere im Fall von häufiger Wiederholung – exzessive Anträge einer betroffenen Person kann der Verantwortliche entweder ablehnen oder ein angemessenes Entgelt verlangen. Bei diesem können die Verwaltungskosten für das Verständigungsschreiben berücksichtigt werden. Den Verantwortlichen trifft die Beweislast, dass der Antrag offensichtlich unbegründet war oder einen exzessiven Charakter hatte.

Bei der Geltendmachung des Löschungsrechts kommen noch einige spezielle Ablehnungsgründe hinzu. Der Anspruch darf daher abgelehnt werden, wenn die Verarbeitung erforderlich ist: 

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

  • zur Erfüllung einer rechtlichen Verpflichtung, welche die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, notwendig macht;

  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;

  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke;

  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.  

Kann die Berichtigung oder Löschung der Daten nicht unverzüglich erfolgen, weil dies aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden kann, so kann der Auftraggeber die Erledigung dieses Antrages bis zu diesem Zeitpunkt aufschieben und ist die Verarbeitung der Daten einzuschränken.

Das Recht auf Einschränkung besteht nicht, wenn 

  • die betroffene Person einer weitergehenden Verarbeitung zugestimmt hat;

  • die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist;

  • die Verarbeitung zum Schutz der Rechte einer anderen natürlichen oder juristischen Person notwendig ist.  

In welcher Frist ist dem Antrag nachzukommen?

Der Verantwortliche hat den Antrag unverzüglich zu erledigen und zu beantworten, in jedem Fall aber binnen eines Monats ab Eingang. Ist die Erledigung des Antrages komplex und liegen mehrfache Anträge vor, kann die Frist um zwei weitere Monate verlängert werden. Der Verantwortliche muss dies der betroffenen Person unter Angabe von Gründen mitteilen. Wurde der Antrag elektronisch eingebracht, soll auch diese Mitteilung elektronisch übersandt werden (sofern die betroffene Person dem nicht zuvor widersprochen hat).

Lehnt der Verantwortliche den Antrag ab, hat er dies der betroffenen Person binnen eines Monats mitzuteilen. 

Spezielle Mitteilungspflichten

Wurden Daten auf Antrag einer betroffenen Person berichtigt, gelöscht oder eingeschränkt, hat der Verantwortliche jeden anderen, an den die Daten weitergegeben wurden, über die Geltendmachung dieser Ansprüche in Kenntnis zu setzen. Eine Ausnahme besteht nur dann, wenn diese Mitteilungspflicht unmöglich oder mit einem unverhältnismäßig hohen Aufwand verbunden wäre. Der Betroffene hat Anspruch auf Auskunft über diese Empfänger. 

Beispiel:
Eine Konzerntochter, die dem Berichtigungsantrag eines Mitarbeiters entsprochen hat, muss andere Konzernunternehmen die diese Daten auch haben, von der Geltendmachung des Berichtigungsanspruches in Kenntnis setzen.

Beim Löschungsrecht erfasst diese Mitteilungspflicht auch veröffentlichte Daten („Recht auf Vergessenwerden“): Der Verantwortliche hat unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art zu treffen, um andere Verantwortliche, welche personenbezogenen Daten der betroffenen Person verarbeiten, darüber zu informieren, dass die betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. 

Muss die Berichtigung, Löschung oder Einschränkung kostenlos erfolgen?

Grundsätzlich ja. Ein angemessenes Entgelt kann nur bei offenkundig unbegründeten oder insbesondere wegen ihrer Häufigkeit exzessiven Anträgen verlangt werden. 

Wo kann die betroffene Person ihre Ansprüche durchsetzen?

Falls die betroffene Person behauptet, dass ihr Anspruch verletzt worden ist, kann sie zur Durchsetzung dieses Anspruches binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde einreichen.

Geldstrafen 

Die Verletzung der Rechte auf Berichtigung, Löschung und Einschränkung der Verarbeitung ist mit bis zu EUR 20 Mio oder 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht.  

Relevante Artikel der DSGVO: Artikel 11, 12, 16, 17, 18, 19, 23
Relevante Erwägungsgründe: 57- 60, 64 – 66, 73.
Relevante Bestimmungen des DSG (i.d.F. des Datenschutz-Anpassungsgesetzes 2018): § 4 Abs 2, § 24 Abs 4


Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.