Maren Winter - stock.adobe.com

GDPR/DSGVO: Was Einschränkung der Verarbeitung bedeutet

Auch die Einschränkung der Verarbeitung gehört zu den Betroffenenrechten nach Datenschutz-Grundverordnung (DSGVO/GDPR). Zur Umsetzung gehört mehr als eine Kennzeichnung der Daten.

Wenn es um die Betroffenenrechte nach Datenschutz-Grundverordnung (DSGVO/GDPR) geht, denken viele Unternehmen an das Recht ihrer Kunden, die Löschung der eigenen personenbezogenen Daten zu verlangen, oder an das Recht der Kunden, Auskunft über die eigenen gespeicherten personenbezogenen Daten zu erhalten, die das Unternehmen hat.

Die Betroffenenrechte umfassen aber weitere Rechte, die ein Unternehmen umgesetzt haben muss:

  • Informationsrecht
  • Recht auf Berichtigung und Vervollständigung
  • Recht auf Löschung und „Recht auf Vergessenwerden“
  • Auskunftsrecht
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht

Jedes einzelne Betroffenenrecht bedarf der konkreten technischen und organisatorischen Vorbereitung und Umsetzung in einem Unternehmen, damit die Betroffenen auch Gebrauch davon machen können, wie es die Datenschutz-Grundverordnung garantiert.

Betrachtet man die Situation in vielen Unternehmen, stellt man fest, dass bestimmte Betroffenenrechte wenig Beachtung finden, darunter das Recht auf Einschränkung der Verarbeitung.

Das bedeutet Einschränkung der Verarbeitung

Die Datenschutz-Grundverordnung definiert die Einschränkung der Verarbeitung als „die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken“. Dazu erklärt zum Beispiel die Datenschutzaufsichtsbehörde des Saarlandes: „Nach Art. 18 DSGVO kann die betroffene Person vom Verantwortlichen in bestimmten Fallkonstellationen die Einschränkung der Verarbeitung verlangen, das heisst, dass die Daten zwar nicht gelöscht werden, aber auch nicht mehr anderweitig verarbeitet werden dürfen.“

Wie man dies erreichen kann, sagt die Datenschutzaufsicht auch: „Dies kann beispielsweise dadurch erreicht werden, dass Daten für Nutzer gesperrt oder vorübergehend von einer Website entfernt werden.“

Für Unternehmen stellt sich dann noch die Frage, warum es denn ein solches Recht auf Einschränkung gibt, wo es doch auch ein Recht auf Löschung gibt. Dazu erklärt die Aufsichtsbehörde: „Eine solche Einschränkung der Verarbeitung kann einerseits dann geltend gemacht werden, wenn das Recht oder die Pflicht des Verantwortlichen zur Löschung bestimmter Daten besteht, der Löschung aber Interessen der betroffenen Person entgegenstehen, und andererseits in Fällen, in denen die Überprüfung von Löschungsansprüchen eine gewisse Zeit erfordert.“

Man kann sich also die Einschränkung der Verarbeitung vorstellen, als Vorbereitung einer anstehenden Löschung, um in der Zwischenzeit eine Verarbeitung zu verhindern. Ein anderer Fall für eine Einschränkung ist, dass eine Löschung den Interessen der betroffenen Person entgegensteht, die Daten also noch einige Zeit benötigt werden.

Insgesamt besagt die DSGVO, dass die betroffene Person das Recht hat, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:

  1. Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, dann erfolgt die Einschränkung der Verarbeitung für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
  2. Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt die Löschung der personenbezogenen Daten ab, stattdessen wird die Einschränkung der Nutzung der personenbezogenen Daten verlangt.
  3. Der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  4. Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt. Die Verarbeitung wird eingeschränkt, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Was mit dem Recht auf Einschränkung verbunden ist

Unternehmen müssen wissen, wie sie die Einschränkung praktisch umsetzen, wie sie also die Daten markieren und gegen eine Nutzung sperren können. Zusätzlich sind weitere Pflichten mit diesem Recht verknüpft:

  • Bereits bei Erhebung von personenbezogenen Daten bei der betroffenen Person besteht die Informationspflicht über „das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit“.
  • Die Information unter anderem über das Recht auf Einschränkung der Verarbeitung gehört auch zur Erteilung der Auskunft über die gespeicherten Daten des Betroffenen.
  • Wurde die Verarbeitung eingeschränkt, so dürfen die betroffenen personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der EU oder eines Mitgliedstaats verarbeitet werden.

Nächste Schritte

Gratis-eBook: Das müssen Unternehmen zur DSGVO wissen

Datenschutz: Was sind eigentlich personenbezogene Daten?

DSGVO: Tools zur Datenlöschung

Erfahren Sie mehr über Datenschutz und Compliance