Die DSGVO legt sehr starken Wert auf die Rechte der betroffenen Personen und will ihnen die Kontrolle ihrer persönlichen Daten soweit wie möglich erleichtern. Zu diesem Zweck hat sie verschiedene Grundsätze, Rechte und Pflichten formuliert.
Der Grundsatz der Rechtmäßigkeit und Transparenz soll sicherstellen, dass der Betroffene schon vor der Erhebung erfährt, welche Daten von ihm verarbeitet werden, auf welcher Rechtsgrundlage dies passiert, welchen Zweck die Verarbeitung hat und wann die Daten wieder gelöscht werden.
Über all die vorgenannten Punkte muss ein Betroffener in klarer und einfacher Sprache unterrichtet werden, BEVOR seine Daten verarbeitet werden.
Im Rahmen dieser Informationspflicht der verantwortlichen Stelle muss der Betroffene unter anderem über seine Rechte umfassend informiert werden - mit Angabe der Kontaktdaten, bei denen er diese einfordern kann.
Damit der Betroffene jederzeit überprüfen kann, welche Informationen über ihn gespeichert sind, gibt es das Recht auf Auskunft. Dieses Recht war bereits im Bundesdatenschutzgesetz (BDSG) verankert, doch es ließ der verantwortlichen Stelle einen großen Freiraum bei der Beantwortung entsprechender Anfragen. Das hat sich mit der DSGVO nun geändert:
Die betroffene Person kann jetzt JEDERZEIT und FORMLOS einen Antrag auf Auskunft über ihre persönlichen Daten und deren Verwendung bei dem Verantwortlichen stellen. Dieser ist verpflichtet, innerhalb eines Monats umfänglich zu antworten."Umfänglich zu antworten" bedeutet, dass nicht nur die verwendeten Datenkategorien (wie zum Beispiel "Name", "Anschrift", "Telefon") genannt werden, sondern auch die gespeicherten Inhalte, die Verwendungszwecke sowie deren Rechtsgrundlagen bekanntgegeben werden. Welche Informationen im Detail angegeben werden müssen, erfahren Sie im Kapitel “Die Rechte der Betroffenen”.
Der Zeitraum der Antwort kann im Ausnahmefall um maximal zwei Monate verlängert werden. Diese Verlängerung muss aber innerhalb des ersten Monats begründet werden.
Beweislastumkehr: Nach dem BDSG musste der Betroffene beweisen, dass die Verantwortliche Stelle seine Daten falsch oder ungenügend verarbeitet. Nach der DSGVO ist nun der Verantwortliche in der Beweispflicht und muss nachweisen, dass er die Daten richtig verarbeitet. Das erleichtert die Selbstkontrolle der Betroffenen enorm.
Marktort- versus Herkunftslandprinzip: Auch große internationale Unternehmen sind der DSGVO unterworfen, sofern sie ihr Angebot an europäische Konsumenten richten. Nach der DSGVO gilt nämlich (statt des Herkunftslandprinzips) das "Marktortprinzip", dem gemäß die Datenschutzgesetze der EU anzuwenden sind. Dadurch sind auch ausländische Unternehmen zur Transparenz und Auskunft verpflichtet.
Die DSGVO vereinfacht also die Selbstkontrolle der Betroffenen. Jeder kann und sollte verfolgen, was mit seinen personenbezogenen Daten geschieht und Auskunft über deren Verarbeitung verlangen.