Logo der activeMind AG

Das Recht auf Einschränkung der Verarbeitung in der Praxis

Inhalt

Das Recht auf Einschränkung der Verarbeitung ergibt sich aus Art. 18 EU-Datenschutz-Grundverordnung (DSGVO) und gehört zu den sogenannten Betroffenenrechten. Dieses Recht gibt Betroffenen neben der Berichtigung und Löschung eine ergänzende Möglichkeit, Kontrolle und Steuerung über ihre personenbezogenen Daten auszuüben. Was müssen Verantwortliche tun, wenn Betroffene die Einschränkung der Verarbeitung ihrer personenbezogenen Daten verlangen?

Voraussetzungen des Rechts auf Einschränkung

Betroffene haben ein Recht auf Einschränkung in den nach Art. 18 Abs. 1 DSGVO folgenden Fällen:

  • bei bestrittener Richtigkeit der Daten für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen (lit. a);
  • bei unrechtmäßiger Datenverarbeitung und wenn Betroffene gleichzeitig die Löschung ablehnen und an Stelle die Einschränkung der Verarbeitung verlangen (lit. b);
  • aufgrund Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch Betroffene (lit. c);
  • aufgrund eines begründeten Widerspruchs der Betroffenen gemäß  21 Abs. 1 DSGVO, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der Betroffenen überwiegen (lit. d).

Bei den in lit. a, c und d beschriebenen Fällen handelt es sich jeweils um eine vorrübergehende Einschränkung der Verarbeitung. Lediglich bei lit. b ist eine dauerhafte Einschränkung vorstellbar. Wie lange die Einschränkung erfolgen muss, ist abhängig von den oben beschriebenen Fällen. Im Falle der bestrittenen Richtigkeit der Daten richtet sich der Zeitraum der Prüfung der Berechtigung des Antrags auf Berichtigung nach Art. 16 DSGVO:

  • Sofern eine unrechtmäßige Verarbeitung vorliegt, bis zum Verlangen der Löschung durch die Betroffenen.
  • Sofern eine Einschränkung aufgrund Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch die Betroffenen vorliegt, für diesen Zeitraum.
  • Schließlich für den Zeitraum der Prüfung der Berechtigung des Widerspruchs nach 21 Abs. 1 DSGVO.

Folgen des Rechts auf Einschränkung

Der Verantwortliche hat alle Empfänger der von der Einschränkung betroffenen personenbezogenen Daten zu unterrichten, soweit ihm dies nicht ausnahmsweise unmöglich oder nur mit einem unverhältnismäßigen Aufwand durchführbar ist.

Sofern eine der oben genannten Voraussetzungen für eine Einschränkung der Verarbeitung erfüllt ist, ist die Verarbeitung der personenbezogenen Daten auf die Speicherung beschränkt. Eine Verarbeitung dieser Daten über die reine Speicherung ist dann nur in folgenden Fällen zulässig:

  • bei Einwilligung der betroffenen Person;
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen;
  • zum Schutz der Rechte Dritter;
  • aus Gründen eines wichtigen öffentlichen Interesses.

Wichtig ist zudem, dass die Betroffenen zuvor über die Aufhebung der Einschränkung der Verarbeitung zu informieren sind.

Wie ist die Einschränkung der Verarbeitung sicherzustellen?

Nach Art. 4 Nr. 3 DSGVO handelt es sich bei der Einschränkung der Verarbeitung um die Markierung gespeicherter personenbezogener Daten, mit dem Ziel ihre Weiterverarbeitung zukünftig einzuschränken. Eine Weiterverarbeitung ist dann nur noch für bestimmte Zwecke zugelassen (siehe oben). Um diese Zweckbegründung zu ermöglichen, sind die Daten zu markieren und es ist dann dafür zu sorgen, dass die Markierung auch beachtet wird.

Wie diese Markierung zum Zwecke der Einschränkung der Verarbeitung zu erfolgen hat, wird in Art. 18 DSGVO nicht beschrieben. Folgende Kriterien sollten jedoch erfüllt werden:

  • Jede Art der Markierung muss unmissverständlich und leicht erkennbar auf den Umstand der Verarbeitungseinschränkung hinweisen.
  • Die Art und Weise der Markierung darf keine negativen Rückschlüsse auf die personenbezogenen Daten des Betroffenen zulassen.
  • Es müssen geeignete technische Maßnahmen ergriffen werden, so dass die Daten nur noch zu den oben genannten Zwecken verarbeitet werden.

Praxistipp: Umsetzung der Einschränkung der Verarbeitung

In Erwägungsgrund 67 DSGVO werden Beispiele genannt, welche Methoden zur Einschränkung der Verarbeitung eingesetzt werden können. Demnach sollten Daten vorrübergehend in ein anderes Verarbeitungssystem übertragen oder durch Änderungen der Zugriffsrechte für Nutzer der Systeme gesperrt werden. Öffentliche-zugängliche Daten sollten vorrübergehend von der Website bzw. dem betriebenen Onlinedienst entfernt werden. Als technische Maßnahme wird eine automatisierte Sperre der betroffenen personenbezogenen Daten gegen die weitere Verarbeitung oder Veränderung einschließlich eines automatisierten Hinweises auf die Sperrung der betroffenen personenbezogenen Daten empfohlen.

Gleiches gilt auch bei der nicht automatisierten Verarbeitung, wie beispielsweise bei systematisch angelegten Patientenkarteikarten. Hier genügt es für die Einschränkung der Verarbeitung nicht, wenn diese z.B. durch einen Vermerk oder Stempel als „Daten gesperrt“ gekennzeichnet werden. Die Möglichkeit der Kenntnisnahme und damit eine über die Zweckbegrenzung hinausgehende Verarbeitung zu anderen, als den in Art. 18 Abs. 2 DSGVO genannten Zwecken, bliebe hier möglich. Als geeignete Maßnahme um die Einschränkung der Verarbeitung sicherzustellen, empfiehlt sich hier das Aussortieren der entsprechenden Karteikarten und deren Verwahrung an einem entsprechend zugangsgesicherten Ort.

Es ist zudem sicherzustellen, dass die Einschränkung der Verarbeitung auch bei etwaigen Sicherungskopien greift.

Form und weitere Modalitäten der Rechteausübung

Aus Art. 12 DSGVO lässt sich zwar ableiten, dass ein Antrag auf Einschränkung der Verarbeitung gestellt werden muss, es wird jedoch keine ausdrückliche Formanforderung an den Antrag gestellt. Betroffenen können das Recht auf Einschränkung demnach elektronisch oder auch – allerdings sollte dies aufgrund mangelnder Beweise vermieden werden – mündlich ausüben. Der Antragssteller muss jedoch seine Identität darlegen, um sein Recht ausüben zu können. Die Identität ist durch den Verantwortlichen zu prüfen, bevor eine Einschränkung der Verarbeitung der betroffenen Daten erfolgt.

Allgemeine Anforderungen an den Verantwortlichen zum Umgang mit dem Recht auf Einschränkung regelt ebenfalls Art. 12 DSGVO. Der Verantwortliche muss Betroffenen die Ausübung ihres Rechts auf Einschränkung der Verarbeitung erleichtern und sie unverzüglich, spätestens aber innerhalb eines Monats ab Eingang des Antrags über die auf ihren Antrag hin unternommenen Maßnahmen informieren. Diese Frist kann in wenigen gut begründeten Ausnahmen Frist um höchstens zwei weitere Monate verlängert werden. Sofern der Verantwortliche nicht tätig wird, muss er Betroffene über die Gründe hierfür und über Rechtsschutzmöglichkeiten ohne Verzögerung, aber spätestens binnen Monatsfrist ab Eingang des Antrags informieren.

Zudem muss der Verantwortliche die Einschränkung der Verarbeitung grundsätzlich unentgeltlich durchführen, sofern er nicht eine offenkundige Unbegründetheit oder einen exzessiven Charakter des Antrags nachweisen kann. Letzteres würde dann ein angemessenes Entgelt gerechtfertigten.

Fazit: Einschränkung ist manchmal besser als Löschung

Das Betroffenenrecht auf Einschränkung der Verarbeitung ist ein wichtiges Steuerungsrecht, das einen differenzierten Umgang mit personenbezogenen Daten ermöglicht – vor allem in Situationen, in denen eine sofortige Berichtigung oder Löschung nicht sachgerecht erscheint. Das Recht auf Einschränkung ist demnach in bestimmten Situationen ein milderes Mittel im Vergleich zur Löschung, da die Verarbeitung lediglich eingeschränkt wird. Zugleich erhalten Betroffene einen effektiven Rechtsschutz bis zur Klärung der Rechtslage.

Darüber hinaus empfehlen wir Ihnen unsere Anleitung zum Umgang mit Betroffenenanfragen und die kostenlose Vorlage für eine Richtlinie zum Umgang mit Betroffenenanfragen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.