Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2018

Um diese Seite zu drucken, benutzen Sie bitte die "Drucken"-Funktion Ihres Browsers (etwa im Menü Datei->Drucken). Danach dieses Fenster bitte wieder schließen.

Welche Datenschutzrechte haben Sie?

Ihnen können folgende Rechte zustehen, wenn bayerische öffentliche Stellen (insbesondere bayerische Behörden) personenbezogene Daten verarbeiten, die Sie betreffen:

  1. Auskunftsrecht (Art. 15 DSGVO, Art. 10 BayDSG)
  2. Recht auf Berichtigung (Art. 16 DSGVO)
  3. Recht auf Löschung (Art. 17 DSGVO)
  4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
  6. Widerspruchsrecht (Art. 21 DSGVO)
  7. Recht auf Schadenersatz (Art. 82 DSGVO)
  8. Recht auf Beschwerde beim Bayerischen Landesbeauftragten für den Datenschutz (Art. 77 DSGVO, Art. 20 BayDSG)

Die genannten Rechte können je nach Behörde durch unterschiedliche Gesetze eingeschränkt und gegebenenfalls auch ausgeschlossen werden. In der Folge finden Sie die wesentlichen Grundsätze, die sich aus der Datenschutz-Grundverordnung (DSGVO) ergeben. Die einzelnen Vorschriften der Datenschutz-Grundverordnung können Sie im Wortlaut unter Recht und Normen - EU-Recht nachlesen.

Ergänzt wird die Datenschutz-Grundverordnung für bayerische öffentliche Stellen durch das Bayerische Datenschutzgesetz (BayDSG, nachzulesen im Wortlaut unter Recht und Normen - Allgemeines Datenschutzrecht) sowie Spezialgesetze aus verschiedenen Bereichen, die gegebenenfalls dem Bayerischen Datenschutzgesetz vorgehen. Spezialregelungen finden sich beispielsweise im Anwendungsbereich des Sozialgesetzbuchs.

Sonderregelungen gibt es auch insbesondere im Bereich der Polizei, der Staatsanwaltschaften und des Landesamts für Verfassungsschutz.

1. Auskunftsrecht (Art. 15 DSGVO, Art. 10 BayDSG)

Sie wollen wissen, was eine bayerische öffentliche Stelle über Sie weiß?

Dann können Sie bei ihr einen Antrag auf Auskunft stellen.

Sie haben einen Anspruch darauf, dass Ihnen die öffentliche Stelle mitteilt, ob sie Ihre personenbezogenen Daten verarbeitet. Wenn Ihre Daten bei der Stelle verarbeitet werden, haben Sie insbesondere das Recht auf Auskunft, um welche Daten es sich konkret handelt sowie zu welchem Zweck und wie lange die Daten verarbeitet werden. Hierbei genügt es nicht, wenn Ihnen die öffentliche Stelle pauschal mitteilt, dass sie ein bestimmtes Datum wie z. B. die Bankverbindung gespeichert hat. Vielmehr sind grundsätzlich die gespeicherten Daten detailliert mitzuteilen, z. B. also Kontonummer und Bank(-leitzahl). Nur so können Sie anhand der Auskunft überprüfen, ob die öffentliche Stelle Ihre Daten richtig gespeichert hat.

Darüber hinaus muss die öffentliche Stelle Sie gegebenenfalls darüber informieren, woher die Daten stammen (sofern diese Information verfügbar ist) und wem gegenüber sie diese Daten offengelegt hat oder offenlegen wird. Auch über Ihre Rechte auf Berichtigung oder Löschung der Daten und das Beschwerderecht bei der Aufsichtsbehörde müssen Sie informiert werden.

Beachten Sie bitte, dass das Auskunftsrecht in bestimmten, gesetzlich vorgesehenen Fällen, oder gegenüber bestimmten Behörden, z. B. Polizei, Staatsanwaltschaft und Verfassungsschutz, eingeschränkt sein kann.

Auch der Auskunftsanspruch gegenüber Sozialbehörden enthält Besonderheiten.

Müssen Sie für eine Auskunft etwas bezahlen?

Die Auskunft ist für Sie grundsätzlich gebührenfrei, auch dann, wenn Sie in regelmäßigen - aber angemessenen - Abständen erneut einen Antrag stellen. Eine Gebühr darf nur ausnahmsweise erhoben werden, wenn Ihr Antrag offenkundig unbegründet ist oder wenn Sie besonders häufig denselben Antrag stellen. Das Gesetz regelt auch, dass Ihnen nur eine Kopie der Daten kostenlos zur Verfügung gestellt werden muss. Für alle weiteren Kopien, die Sie beantragen, kann die Behörde ein Entgelt verlangen.

Wie stellen Sie einen Antrag auf Auskunft?

Im Regelfall ist der Antrag formfrei und bedarf keiner Begründung. Es empfiehlt sich aber, den Antrag schriftlich oder elektronisch zu stellen und diesen Antrag auch kurz zu begründen. Das erleichtert der öffentlichen Stelle die Beantwortung.

Wenn von Ihnen eine große Menge an Informationen verarbeitet wird, kann die auskunftspflichtige Stelle von Ihnen verlangen, dass Sie näher beschreiben, auf welche Verarbeitungsvorgänge sich Ihr Antrag bezieht.

Um sicherzustellen, dass Ihre Daten nicht unbefugten Dritten zur Verfügung gestellt werden, kann die öffentliche Stelle zusätzliche Informationen anfordern, um Ihre Identität zu bestätigen. Dies kann insbesondere bei mündlichen oder elektronischen Anträgen erforderlich sein.

Gilt der Auskunftsanspruch auch für Daten, die nicht in Computern erfasst sind?

Der Auskunftsanspruch gilt für alle personenbezogenen Daten, unabhängig davon, ob sie elektronisch oder in Papierform verarbeitet werden.

Die Datenschutz-Grundverordnung gilt für die automatisierte Verarbeitung personenbezogener Daten ebenso wie für die Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Strukturierte Behördenakten - gleich, ob sie elektronisch oder in Papierform geführt werden - unterfallen vollumfänglich diesen Regelungen. Nicht hiervon erfasst sind allerdings Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind.

Wie muss die öffentliche Stelle Ihnen Auskunft erteilen?

Die Auskunft kann schriftlich, elektronisch oder mündlich erteilt werden. Im Regelfall wird sich die öffentliche Stelle schriftlich äußern. Wenn Sie Ihren Antrag elektronisch stellen, wird Ihnen die Auskunft unter Beachtung erforderlicher technisch-organisatorischer Maßnahmen nach Möglichkeit auch elektronisch erteilt, sofern Sie keinen anderweitigen Weg auswählen.

Darf eine öffentliche Stelle Ihnen auch die Auskunft verweigern?

In aller Regel müssen öffentliche Stellen Ihnen mitteilen, ob und welche Daten sie über Sie gespeichert haben. Das Bayerische Datenschutzgesetz und einige besondere Fachgesetze sehen allerdings Ausnahmen von diesem Grundsatz vor. So schließt Art. 10 Abs. 2 BayDSG den Auskunftsanspruch unter anderem aus, wenn durch die Auskunft beispielsweise die Strafverfolgung oder die öffentliche Sicherheit und Ordnung gefährdet würden oder wenn etwa zum Schutz der betroffenen Person personenbezogene Daten geheim gehalten werden müssen.

Als Faustformel gilt dazu: Die Auskunft unterbleibt vor allem, wenn sie Sicherheitsbelange berühren würde oder wenn sonstige Geheimhaltungsgründe der Auskunft entgegenstehen.

Die Sicherheitsbehörden müssen in diesen Fällen das Vorliegen eines Verweigerungsgrundes prüfen und die Gründe aktenkundig machen. Sofern Ihnen die Auskunft nicht erteilt werden kann, müssen Sie nach Art. 10 Abs. 3 BayDSG in der Regel hierüber unter Darlegung der Gründe informiert werden, es sei denn, auch dies würde dem Zweck der Auskunftsverweigerung zuwiderlaufen.

Auch im Sozialbereich sieht das Gesetz - konkret § 83 des Zehnten Buches Sozialgesetzbuch - Fallkonstellationen vor, in denen Sozialbehörden die Auskunft verweigern dürfen.

Gibt es Fälle, in denen eine öffentliche Stelle verpflichtet ist, Ihnen auch ohne entsprechenden Antrag mitzuteilen, dass sie Ihre Daten verarbeitet?

Ja, diese Pflicht kann sich aus Art. 13 und 14 Datenschutz-Grundverordnung ergeben. Allerdings werden Sie aufgrund dieser Vorschriften nicht darüber informiert, welche Daten konkret von Ihnen verarbeitet werden. Die Information soll Sie vielmehr unter anderem in die Lage versetzten, Ihre hier dargestellten Rechte, beispielsweise das Auskunftsrecht, auszuüben.

Ausnahmen von diesem Grundsatz formuliert schon die Datenschutz-Grundverordnung selbst: Beispielsweise wenn Sie bereits über alle Informationen verfügen, müssen Ihnen diese nicht mehr gesondert mitgeteilt werden. Weitere Ausnahmen enthält das Bayerische Datenschutzgesetz in Art. 9: Die Pflicht zur Information entfällt etwa dann, wenn eine Gefahr für das Gemeinwohl oder die öffentliche Sicherheit und Ordnung droht oder die Verfolgung von Straftaten gefährdet würde. Die Verpflichtung kann auch zur Verhinderung einer schwerwiegenden Beeinträchtigung der Rechte einer anderen Person entfallen.

Wenn bei Ihnen personenbezogene Daten erhoben werden, muss Ihnen die öffentliche Stelle grundsätzlich ihre Kontaktdaten, gegebenenfalls auch die ihres behördlichen Datenschutzbeauftragten, sowie den Zweck und die Rechtsgrundlage für die Datenverarbeitung mitteilen. Darüber hinaus muss die öffentliche Stelle Informationen zur Verfügung stellen zur Dauer der Verarbeitung, zu Ihren hier dargestellten Rechten aus der Datenschutz-Grundverordnung und dem Beschwerderecht bei der Aufsichtsbehörde sowie zu Ihrem Recht, eine erteilte Einwilligung zu widerrufen.

Sofern die Daten nicht bei Ihnen selbst sondern bei anderen Personen oder Behörden erhoben werden, muss die verantwortliche öffentliche Stelle Sie regelmäßig in gleicher Weise informieren. Da Sie in diesen Fällen keine Kenntnis von den erhobenen Daten haben, muss Ihnen die öffentliche Stelle zusätzlich mitteilen, welche Kategorien von personenbezogenen Daten verarbeitet werden.

Auch wenn die öffentliche Stelle beabsichtigt, die erhobenen Daten nunmehr für einen anderen Zweck zu verwenden, muss sie Ihnen Informationen über den neuen Zweck sowie alle anderen maßgeblichen Informationen gemäß Art. 14 Abs. 2 DSGVO zur Verfügung stellen.

2. Recht auf Berichtigung (Art. 16 DSGVO)

Sie meinen, dass eine öffentliche Stelle unrichtige Daten über Sie gespeichert hat?

Dann können Sie bei der öffentlichen Stelle in aller Regel die Berichtigung dieser unrichtigen Daten beantragen.

Bei automatisiert gespeicherten Daten können unrichtige Daten häufig einfach "überschrieben" werden. Es gibt allerdings Fälle, in denen dokumentiert werden muss, dass und wann die unrichtigen Daten korrigiert wurden.

Sollen Daten in Akten berichtigt werden, erfolgt ein sogenannter "Berichtigungsvermerk". Das bedeutet: Die öffentliche Stelle trägt ein, dass die in der Akte niedergeschriebene Information unrichtig ist.

Das Recht auf Berichtigung bezieht sich nur auf Sie betreffende unrichtige personenbezogene Daten. Sonstige Akteninhalte, beispielsweise Gutachten, deren Richtigkeit bestritten wird, können nicht aufgrund dieser Vorschrift aus der Akte entfernt werden.

3. Recht auf Löschung (Art. 17 DSGVO)

Können Sie die Löschung Ihrer Daten verlangen?

Unter bestimmten Voraussetzungen haben Sie das Recht, dass Ihre Daten gelöscht werden, das sogenannte "Recht auf Vergessenwerden".

Wann sind Ihre Daten zu löschen?

Zum einen sind Ihre Daten zu löschen, wenn sie von vorneherein unrechtmäßig verarbeitet wurden.

Eine Löschpflicht kommt aber beispielsweise auch dann in Betracht, wenn die Daten für die genannten Zwecke nicht mehr notwendig sind oder Sie Ihre Einwilligung widerrufen bzw. gegen die Verarbeitung Widerspruch eingelegt haben.

Zu beachten ist jedoch, dass gegenüber Behörden das Recht auf Löschung nach Art. 17 Abs. 3 DSGVO nur eingeschränkt Anwendung findet. So besteht dieses Recht unter anderem nicht, soweit die Verarbeitung durch die Behörde zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt.

Was heißt Löschen?

Löschen heißt, dass Ihre Daten "unkenntlich gemacht werden". Ihre Daten müssen also nach der Löschung unlesbar sein. Sie sind dann schlechthin nicht mehr greifbar.

Beispiel: Werden Ihre Daten in einer Akte mit einem Stift durchgestrichen, handelt es sich nicht um eine Löschung (denn man kann die Information noch zur Kenntnis nehmen).

Wie weit geht der Anspruch?

Die verantwortliche öffentliche Stelle ist nicht nur dazu verpflichtet, Ihre personenbezogenen Daten zu löschen. Hat die Stelle die Daten öffentlich gemacht, kann sie auch verpflichtet sein, den weiteren Datenverarbeitern mitzuteilen, dass alle Links zu diesen Daten oder Kopien der Daten zu löschen sind (vgl. Art. 17 Abs. 2 DSGVO).

4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Gibt es Möglichkeiten, die Daten zunächst zu sperren?

Sie haben unter den in Art. 18 DSGVO genannten Voraussetzungen das Recht, von der öffentlichen Stelle die Einschränkung der Verarbeitung zu verlangen. In diesem Fall dürfen Ihre Daten im Grunde nur mit Ihrer Einwilligung weiter verarbeitet werden.

Die Einschränkung der Verarbeitung bedeutet, dass Daten markiert werden mit dem Ziel, ihre künftige Verarbeitung einzuschränken. Sie kann unter anderem darin bestehen, dass ausgewählte Daten vorübergehend auf ein anderes System übertragen, dass die Daten für Nutzer gesperrt oder dass veröffentlichte Daten vorübergehend von einer Webseite entfernt werden.

Wann können Sie die Einschränkung der Verarbeitung fordern?

Die Verarbeitung kann einzuschränken sein, wenn einer der folgenden Gründe vorliegt: Sie haben die Richtigkeit der Daten bestritten oder Widerspruch gegen die Verarbeitung eingelegt oder die Daten sind unrechtmäßig verarbeitet worden, Sie wünschen aber statt einer Löschung die Einschränkung der Verarbeitung. Sie können die Einschränkung der Verarbeitung auch verlangen, wenn die öffentliche Stelle die Daten nicht mehr braucht, Sie diese jedoch zur Geltendmachung von Rechtsansprüchen benötigen.

Die weitere Verarbeitung kann dann nur mit Ihrer Einwilligung oder aus den in Art. 18 Abs. 2 DSGVO genannten Gründen erfolgen, etwa weil die Verarbeitung für die Geltendmachung von Rechtsansprüchen, zum Schutz der Rechte anderer Personen oder aus Gründen eines wichtigen öffentlichen Interesses erforderlich ist.

5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Wozu dient die Datenübertragbarkeit?

Um eine bessere Kontrolle über Ihre Daten zu haben, können Sie Ihre Daten zu einem anderen Verantwortlichen "mitnehmen". Dies wird in der Regel der Fall sein, wenn Sie Ihren Vertragspartner oder Anbieter wechseln. Im Umgang mit Behörden ist das Recht auf Übertragbarkeit weniger bedeutsam, da es in den Fällen, in denen die Verarbeitung im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt, ausgeschlossen ist.

Welche Daten können Sie übertragen?

Übertragbar sind alle Sie betreffenden personenbezogenen Daten, die Sie der verantwortlichen Stelle bereitgestellt haben und die in einem automatisierten Verfahren verarbeitet werden.

Wie werden die Daten übertragen?

Sie haben zwei Möglichkeiten: Entweder fordern Sie, dass Ihnen selbst die Daten in einem maschinenlesbaren Format zur Verfügung gestellt werden und übertragen diese dann selbst an den neuen Verantwortlichen oder Sie fordern die direkte Übertragung der Daten an einen neuen Verantwortlichen, soweit dies technisch machbar ist.

6. Widerspruchsrecht (Art. 21 DSGVO)

Können Sie einer Verarbeitung Ihrer Daten widersprechen?

Auch wenn die Verarbeitung Ihrer Daten an sich richtig und zulässig ist, können Sie einer Verarbeitung unter bestimmten Voraussetzungen widersprechen. Dies gilt insbesondere dann, wenn die Verarbeitung Ihrer Daten im öffentlichen Interesse liegt. Der Verarbeiter darf die Daten jedoch weiterhin verarbeiten, wenn er zwingende schutzwürdige Gründe nachweisen kann, die Ihre Interessen, Rechte und Freiheiten überwiegen.

7. Recht auf Schadenersatz (Art. 82 DSGVO)

Wann können Sie Schadenersatz wegen eines Datenschutzverstoßes verlangen?

Jede Person, die wegen eines Verstoßes gegen die Datenschutz-Grundverordnung einen Schaden erleidet, hat gegen denjenigen, der für die Datenverarbeitung verantwortlich ist, einen Anspruch auf Schadenersatz.

Kommt auch eine Art Schmerzensgeld in Betracht?

Die Datenschutz-Grundverordnung sieht Schadenersatz nicht nur für materielle, sondern grundsätzlich auch für immaterielle Schäden vor.

An welche öffentliche Stelle wenden Sie sich, falls mehrere Stellen Ihren Schaden verursacht haben?

Grundsätzlich können Sie gegenüber jeder öffentlichen Stelle Schadenersatz verlangen, die für den durch die Verarbeitung verursachten Schaden verantwortlich ist. Die öffentlichen Stellen müssen dann untereinander (im sogenannten Innenverhältnis) klären, wer in welcher Höhe haftet.

Wie gehen Sie vor, wenn Sie einen Schadenersatzanspruch geltend machen wollen?

Wenn Schadenersatz verweigert wird, müssen Sie vor einem ordentlichen Gericht (Zivilgericht) auf Schadenersatz klagen. Dabei ist dringend zu empfehlen, die Rechtslage vorher durch einen Rechtsanwalt prüfen zu lassen.

Kann Sie der Bayerische Landesbeauftragte für den Datenschutz bei einer Klage vertreten?

Nein, dazu ist er nicht befugt.