Nach der Einleitung zu allgemeinen Regelungen des Art. 12 DSGVO und den Erläuterungen zum Auskunftsrecht gem. Art. 15 DSGVO sowie unseren Artikeln zum Berichtigungs- und Löschungsrecht gem. Artt. 16 und 17 DSGVO ist dies nun der fünfte Beitrag unserer Reihe zu den Betroffenenrechten.
Der vorliegende Artikel befasst sich mit dem „Recht auf Einschränkung der Verarbeitung“. Systematisch knüpft dieses Recht an die Artt. 16 und 17 DSGVO an (Berichtigungs- und Löschungsanspruch) und flankiert diese, indem neben diesen beiden zentralen Korrekturrechten der DSGVO den betroffenen Person ein weiteres (vorläufiges) Schutzrecht eingeräumt wird, welches den Rechten der betroffenen Person (insbesondere den Rechten aus den Artt. 16 und 17 DSGVO) zur Geltung verhelfen soll.
Mit unserem heutigen Artikel möchten wir Sie über die wesentlichen Inhalte der Regelung des Art. 18 DSGVO informieren und Ihnen einige Handlungsempfehlungen für den richtigen Umgang mit dem Anspruch auf Einschränkung der Verarbeitung geben.
„Einschränkung der Verarbeitung“ – was heißt das nun konkret?
Bevor wir uns mit den Voraussetzungen, unter denen der Anspruch gewährt wird, beschäftigen und in die Einzelheiten vertiefen, möchten wir uns jedoch erst einmal den Begriff „Einschränkung der Verarbeitung“ bestimmen.
Art. 18 DSGVO enthält keine Definition des Begriffs „Einschränkung der Verarbeitung“. Eine Legaldefinition findet sich jedoch in Art. 4 Nr. 3 DSGVO, der die Einschränkung der Verarbeitung als „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“ definiert. Eine Zirkelschlussartigkeit des Begriffs ist zwar nicht von der Hand zu weisen und es bleibt (zunächst) unklar, was unter „Markierung“ zu verstehen ist, jedoch wird der Begriff etwas klarer, wenn man diesen zusammen mit dem Erwägungsgrund 67 zur DSGVO (ErwG) liest. Dort heißt es insbesondere bezüglich der Markierung: „Auf die Tatsache, dass die Verarbeitung der personenbezogenen Daten beschränkt wurde, sollte in dem System unmissverständlich hingewiesen werden“. Zudem bietet der ErwG 67 einige Beispiele für mögliche Einschränkungsmethoden. Diese wären beispielsweise eine vorübergehende Übertragung der ausgewählten personenbezogenen Daten auf ein anderes Verarbeitungssystem, welches für die Nutzer gesperrt ist, oder dass die Daten von einer Website vorübergehend entfernt werden. Hierbei geht es darum, durch entsprechende technische und organisatorische Maßnahmen (TOM) insbesondere durch die Einführung eines entsprechenden Rechte- und Rollenkonzepts die zu sperrenden Daten dem Zugriff der Nutzer zu entziehen und so die eingeschränkte Datennutzbarkeit tatsächlich sicherzustellen.
Die Daten könnten markiert werden, indem man z.B. ein einzelnes Datenfeld, einen ganzen Datensatz oder – je nach Einzelfall – sogar einen kompletten Datenträger als gesperrt markiert. Zu beachten ist hierbei auf jeden Fall die Granularität der vom Anspruch umfassten Daten.
Die technischen und organisatorischen Einschränkungen der Verarbeitung sind auch bei ggf. vorhandenen Sicherungskopien der Daten anzuwenden.
Anspruchsvoraussetzungen und Einschränkungsgründe
Nachdem der Begriff nun geklärt ist, sind die Gründe zu klären, nach denen eine betroffene Person die Einschränkung der Verarbeitung verlangen kann. Das Recht auf Einschränkung besteht nicht automatisch, sondern es bedarf diesbezüglichen einer Willenserklärung durch die betroffene Person. Zum Formerfordernis hinsichtlich dieser Willenserklärung macht die DSGVO wie auch bei den restlichen Betroffenenrechten keine konkreten Vorgaben. Aus Art. 12 Abs. 3 und Abs. 6 DSGVO lässt sich jedoch zumindest ableiten, dass das Recht auf Einschränkung der Verarbeitung nur auf Antrag einer betroffenen Person zu gewähren ist (hierzu vgl. Sydow/Peuker, Art. 18 DSGVO, Rn. 32; Gierschmann/Schlender/Stentzel/Veil, Art. 18 DSGVO, Rn. 27).
Die möglichen Einschränkungsgründe sind in den Buchstaben a bis d des ersten Absatzes des Art. 18 DSGVO genannt und sind die Folgenden:
lit. a: Einschränkung aufgrund der bestrittenen Richtigkeit der Daten
Gem. Art. 18 Abs. 1 lit. a DSGVO muss die Verarbeitung eingeschränkt werden, wenn eine betroffene Person die Richtigkeit der verarbeiteten Daten bestreitet, indem sie beispielsweise von ihrem Berichtigungsrecht gem. Art. 16 DSGVO Gebrauch gemacht hat.
Hierbei muss die betroffene Person die Daten, deren Verarbeitung eingeschränkt werden soll, möglichst genau bezeichnen, damit insbesondere eine Markierung der Daten, wie sie in Art. 4 Nr. 3 DSGVO (siehe oben) verlangt wird, tatsächlich umgesetzt werden kann. Soweit ein Einschränkungsverlangen ungenau ist und keine eindeutige Datenmarkierung ermöglicht wird, sind Nachfragen durch den Verantwortlichen zulässig und geboten. In der Literatur wird zum Teil vertreten, dass eine nicht ausreichende Darlegung seitens der betroffenen Person den Anspruch zum Scheitern bringen kann (hierzu vgl. Beck Online Kommentar, DatenschutzR/Worms, Art. 18 DSGVO, Rz. 36; zur gegenteiligen Ansicht vgl. Kühling/Buchner/Herbst, Art. 18 DSGVO, Rz. 11).
lit. b: Einschränkung aufgrund der unrechtmäßigen Datenverarbeitung
Soweit festgestellt wurde, dass die Datenverarbeitung unrechtmäßig erfolgt, so hat eine betroffene Person ein Wahlrecht, ob sie gemäß Art. 17 DSGVO die Löschung der Daten oder stattdessen die Einschränkung ihrer Verarbeitung gem. Art. 18 Abs. 1 lit. b DSGVO verlangt. Die Einschränkung der Verarbeitung statt der Löschung kann für eine betroffene Person insbesondere dann interessant sein, wenn sie damit rechnen muss, dass sie die Daten zu einem späteren Zeitpunkt wieder beibringen müsste oder wenn die nach der Löschung übrig bleibenden Daten für sich genommen zu Missverständnissen führen würden.
Ansonsten wäre das Interesse der betroffenen Person hier evtl. damit begründet, dass sie die Daten zu Beweissicherungszwecken benötigen könnte, so dass ihre Löschung für sie nachteilig wäre. Hier gäbe es sachlich eine Überlappung mit der Regelung des Art. 18 Abs. 1 lit. c DSGVO, die sich ebenfalls mit der Rechtsverfolgung durch die betroffene Person beschäftigt. Zu beachten ist hier jedoch, dass die Unrechtmäßigkeit der Verarbeitung, wie bereits erwähnt, objektiv festgestellt werden muss. Ein Recht auf Löschung und entsprechend Einschränkung der Verarbeitung besteht somit nicht, solange keine objektive Feststellung der Unrechtmäßigkeit der Datenverarbeitung erfolgt ist.
An die Form des Begehrens einer betroffenen Person und den Wortlaut des entsprechenden Antrags sind keine sehr hohen Anforderungen zu stellen. Eine Erklärung der betroffenen Person (beispielsweise der Widerruf einer Einwilligungserklärung) muss gegebenenfalls ausgelegt werden. Sollte im Zweifelsfall keine eindeutige Auslegung möglich sein, ist, durch Nachfragen seitens des Verantwortlichen der wahre Wille der betroffenen Person zu ermitteln (beispielsweise ob die betroffene Person nun Löschung der Daten oder lediglich Einschränkung ihrer Verarbeitung verlangt).
lit. c: Einschränkung aus Gründen der Rechtsverfolgung durch die betroffene Person
Das Recht auf Einschränkung der Verarbeitung gem. Art. 18 Abs. 1 lit. c DSGVO erfasst den Fall, dass die Daten durch den Verantwortlichen aufgrund des Wegfalls des Zwecks der Verarbeitung alsbald (rechtmäßig) gelöscht werden könnten, eine betroffene Person diese Daten jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt. In dieser Situation kann eine betroffene Person verlangen, dass die Daten nicht gelöscht werden, sondern dass lediglich ihre Verarbeitung eingeschränkt wird.
lit. d: Einschränkung aufgrund der Begründetheit eines Widerspruchs
Art. 18 Abs. 1 lit. d DSGVO ergänzt die Regelung des Art. 21 Abs. 1 DSGVO, nach der eine betroffene Person das Recht hat, unter den dort genannten Voraussetzungen Widerspruch gegen die Verarbeitung einzulegen. Der Anknüpfungspunkt der Regelung des Art. 18 Abs. 1 lit. d DSGVO ist der Zustand der Rechtsunsicherheit, der entsteht, wenn die betroffene Person von Ihrem Widerspruchsrecht gem. Art. 21 Abs. 1 DSGVO Gebrauch gemacht hat und noch nicht geklärt ist, ob zwingende Gründe, die der Verantwortliche gegebenenfalls geltend macht (und nachweisen muss), ihm gem. Art. 21 Abs. 1 S. 2 DSGVO erlauben, die Daten dennoch weiterhin zu verarbeiten. Während der Zeit, die für die Klärung und die Abwägung der widerstreitenden Interessen benötigt wird, müssen die Daten gemäß Art. 18 Abs. 1 lit. d DSGVO zwar nicht gelöscht, aber hinsichtlich der Verarbeitung eingeschränkt werden.
Fälle der zulässigen Verarbeitung trotz Einschränkung gem. Art. 18 Abs. 2 DSGVO
Soweit feststeht, dass die Verarbeitung gem. Art. 18 Abs. 1 DSGVO einzuschränken wäre, ist eine Weiterverarbeitung der Daten grundsätzlich nicht mehr möglich. In Art. 18 Abs. 2 DSGVO werden einige Ausnahmen definiert, nach denen die Verarbeitung trotz einer Einschränkung gem. Art. 18 Abs. 1 DSGVO zulässig ist.
Zunächst ist eine Verarbeitungsalternative vorbehaltlos erlaubt und zwar die der Speicherung (Speicherung ist gem. Art. 4 Nr. 2 DSGVO eine Form der Verarbeitung). Dies erklärt sich aus der Natur der Sache, denn Daten, die grundsätzlich zwar nicht mehr genutzt werden dürfen, müssen immerhin auf einem Datenträger noch vorhanden sein und das kann nur durch ihre Speicherung sichergestellt werden. Über die Speicherung hinaus ist die weitere Verarbeitung der Daten nur in folgenden Fällen möglich (abschließende Aufzählung):
- Die betroffene Person hat ausdrücklich in die Verarbeitung eingewilligt. Hierbei ist jedoch zu bedenken, dass eine Person, die Einschränkung der Verarbeitung verlangt, wohl nur ausnahmsweise und temporär in die Verarbeitung (wieder) einwilligen wird. Eine erklärte Einwilligung kann dabei ohne Angabe von Gründen jederzeit widerrufen werden.
- Die Verarbeitung dient der Rechtsverfolgung durch den Verantwortlichen, d.h. sie ist zur Geltendmachung, Ausübung oder Verteidigung seiner Rechtsansprüche erforderlich. Zwar wird der Verantwortliche nicht ausdrücklich angesprochen im Wortlaut der Norm, jedoch ergibt sich aus der Systematik des Gesetzes, dass es sich bei der zweiten Alternative des Art. 18 Abs. 2 DSGVO um die Interessen des Verantwortlichen korrespondierend zu den Interessen der betroffenen Person in Art. 18 Abs. 1 lit. c DSGVO handelt (hierzu vgl. Sydow/Peuker, Art. 18 DSGVO, Rn. 21; Plath/Kamlah, Art. 18 DSGVO, Rn. 17). In diesem Fall muss eine gerichtliche oder eine außergerichtliche rechtliche Auseinandersetzung mit hinreichender Wahrscheinlichkeit bevorstehen oder bereits laufen, denn lediglich eine theoretische Möglichkeit, dass gegebenenfalls eine Rechtsverfolgung stattfinden könnte, reicht hier nicht aus.
- Die Verarbeitung findet zum Schutz der Rechte einer anderen natürlichen oder juristischen Person statt. Zu denken wäre in diesem Fall beispielsweise an Verarbeitung von Daten, die an sich einer Beschränkung unterliegen, jedoch weiterverarbeitet werden (müssen), um einen gegen eine Person erhobenen Betrugsvorwurf zu entkräften.
- Die Verarbeitung erfolgt aufgrund eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates. Zu erwähnen wären hier insbesondere öffentliche Interessen, die eine Einschränkung der Betroffenenrechte gemäß Art. 23 DSGVO in dem in den Buchstaben a bis j genannten Katalog erlauben. Namentlich zählen dazu insbesondere die nationale Sicherheit, die Landesverteidigung, die öffentliche Sicherheit, die Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder die Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit, die wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, usw.
Information einer betroffenen Person bei Aufhebung der Einschränkung
Nicht zu vergessen ist, dass gemäß Art. 18 Abs. 3 DSGVO die betroffene Person über die Aufhebung einer ihrerseits erwirkten Einschränkung zu informieren ist und zwar bevor die Aufhebung durchgeführt wird. Einer Zustimmung zur Aufhebung durch die betroffene Person bedarf es hier jedoch nicht. Ist die betroffene Person mit der Aufhebung nicht einverstanden, so kann sie sich an eine Aufsichtsbehörde mit der Beschwerde wenden oder gegebenenfalls auch Schadensersatzansprüche geltend machen.
An eine bestimmte Form ist die Informationserteilung zwar nicht gebunden, jedoch sieht Art. 12. Abs. 1 Satz 2 DSGVO vor, dass die Übermittlung der Informationen „schriftlich oder in anderer Form, gegebenenfalls auch elektronisch“ erfolgt. Zu beachten ist, dass im europarechtlichen Kontext mit „schriftlich“ die Textform gemeint ist. Eine mündliche Übermittlung wäre gem. Art. 12. Abs. 1 Satz 3 DSGVO zumindest auf Wunsch der betroffenen Person zwar zulässig, ist aber aufgrund der Voraussetzung (auf Wunsch der betroffenen Person) nicht realisierbar, denn die Information der betroffenen Person erfolgt bei der Aufhebung der Einschränkung der Verarbeitung proaktiv durch den Verantwortlichen. Darüber hinaus empfiehlt sich eine schriftliche Information auch im Hinblick auf die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Nach Möglichkeit sollte ein entsprechender Vermerk der Einschränkungsaufhebung dem jeweiligen Datum hinzugefügt werden.
Fazit und Handlungsempfehlungen für die Praxis
Die Antwort auf die Frage, inwiefern die Einschränkung der Verarbeitung als Betroffenenrecht greift oder nicht, hängt entscheidend davon ab, ob das Unternehmen, welches die Daten verarbeitet, prüfen und nachweisen kann, dass die Daten korrekt sind und ob gegebenenfalls ein den Interessen der betroffenen Person entgegenstehendes überwiegendes Interesse des Verantwortlichen nachgewiesen werden kann. All das setzt voraus, dass die Verarbeitungsprozesse im Unternehmen dokumentiert sind und damit sowohl die Beurteilung der Korrektheit der Daten als auch die Durchführung der gegebenenfalls erforderlichen Interessenabwägung sowie deren Nachweis ermöglicht wird. Aus diesem Grund kann empfehlen wir, die Verarbeitungsprozesse nicht nur (zur reinen Pflichterfüllung) im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO lediglich mit Pflichtangaben zu beschreiben, sondern auch weitere relevante Informationen zu dokumentieren und bereitzuhalten, die eine möglichst schnelle Einschätzung und Beurteilung der Datenkorrektheit und Interessenabwägung ermöglichen.
Wie auch im Rahmen der Behandlung der Artt. 16 und 17 DSGVO bereits angesprochen, sind in organisatorischer Hinsicht Prozesse einzuführen, die auch die Erfüllung der Mitteilungspflichten aus Art. 19 DSGVO (Mitteilung über jede durchgeführte Einschränkung der Verarbeitung an alle Datenempfänger) sicherstellen.
Sind Sie unsicher wie das Thema DSGVO-konform anzugehen ist? Dann kontaktieren Sie uns gerne!
Dieser Artikel ist Teil unserer Reihe zu den Betroffenenrechten. Die weiteren Artikel finden Sie hier:
- Teil 1: Allgemeine Regelungen
- Teil 2: Auskunft / Art. 15 DSGVO
- Teil 3: Berichtigung / Art. 16 DSGVO
- Teil 4: Löschung / Art. 17 DSGVO
- Teil 5: Einschränkung der Verarbeitung / Art. 18 DSGVO (dieser Artikel)
- Teil 6: Datenübertragbarkeit / Art. 20 DSGVO
- Teil 7: Widerspruch / Art. 21 DSGVO
- Teil 8: Beschwerde bei der Aufsichtsbehörde / Art. 77 DSGVO
- Teil 9: Widerruf einer Einwilligung / Art. 7 DSGVO