{"id":6448,"date":"2021-06-08T15:51:06","date_gmt":"2021-06-08T15:51:06","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/?p=6448"},"modified":"2026-06-15T06:55:14","modified_gmt":"2026-06-15T06:55:14","slug":"rechte-der-betroffenen-person-gemaess-der-datenschutz-grundverordnung-dsgvo","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/de\/fachgebiete\/technik-und-digital\/datenschutz-daten-und-cybersicherheit\/rechte-der-betroffenen-person-gemaess-der-datenschutz-grundverordnung-dsgvo\/","title":{"rendered":"Allgemeine Datenschutzverordnung (GDPR): Rechte und Herausforderungen"},"content":{"rendered":"\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n

Die Datenschutz-Grundverordnung hat den rechtlichen Rahmen f\u00fcr den Schutz personenbezogener Daten nicht nur versch\u00e4rft, sondern zugleich deutlich gemacht, dass digitaler Rechtsschutz erst dann tats\u00e4chliche Bedeutung erlangt, wenn die Rechte der betroffenen Personen praktisch zug\u00e4nglich, verst\u00e4ndlich und durchsetzbar sind. Eine Organisation kann \u00fcber interne Richtlinien, Verzeichnisse, Verfahren und vertragliche Klauseln verf\u00fcgen; wenn die betroffene Person jedoch nicht effektiv feststellen kann, welche personenbezogenen Daten verarbeitet werden, warum diese Verarbeitung erfolgt, wie lange die Daten gespeichert werden, mit welchen Dritten sie geteilt werden und auf welcher Grundlage sie berichtigt, gel\u00f6scht oder eingeschr\u00e4nkt werden k\u00f6nnen, bleibt Datenschutz weitgehend formal. Die Rechte der betroffenen Personen bilden daher keinen Anhang zur Datenschutz-Compliance, sondern den operativen Kern des Systems. Sie zeigen, ob die Organisation personenbezogene Daten als beherrschbare, r\u00fcckverfolgbare und begrenzte Informationen behandelt oder als verstreute digitale R\u00fcckst\u00e4nde, deren Speicherort, Bedeutung, Zweck oder Entscheidungswirkung niemand vollst\u00e4ndig erkl\u00e4ren kann. Die zentrale Frage dieses Kapitels lautet daher nicht, ob Rechte auf dem Papier bestehen, sondern ob die Organisation so strukturiert ist, dass diese Rechte fristgerecht, vollst\u00e4ndig, \u00fcberpr\u00fcfbar und verst\u00e4ndlich verwirklicht werden k\u00f6nnen.<\/p>\n

Diese Frage steht in unmittelbarem Zusammenhang mit dem Integrierten Risikomanagement f\u00fcr digitale Kriminalit\u00e4t, da die Aus\u00fcbung der Rechte nach der DSGVO nicht von Risiken digitaler Kriminalit\u00e4t, Datenintegrit\u00e4t, Identit\u00e4tspr\u00fcfung, Zugriffsmanagement, Protokollierung, Incident Response, Lieferantensteuerung und Verantwortung auf Leitungsebene getrennt werden kann. Ein Auskunftsersuchen kann beispielsweise offenlegen, dass Daten an mehr Orten gespeichert werden als urspr\u00fcnglich angenommen; ein Berichtigungsersuchen kann zeigen, dass mehrere Systeme unterschiedliche Versionen derselben Identit\u00e4t enthalten; ein L\u00f6schungsersuchen kann unzureichende Kontrolle \u00fcber Back-ups, Unterauftragsverarbeiter oder historische Berichte sichtbar machen; und ein Ersuchen auf Daten\u00fcbertragbarkeit kann Fragen zur Datenqualit\u00e4t, Interoperabilit\u00e4t und R\u00fcckverfolgbarkeit aufwerfen. Die Rechte der betroffenen Personen sind daher nicht lediglich individuelle Anspr\u00fcche, sondern zugleich Belastungsproben f\u00fcr die Qualit\u00e4t digitaler Governance. Wenn die Bearbeitung von Anfragen von verstreuten E-Mails, manuellen Suchl\u00e4ufen, informellem Wissen einzelner Mitarbeitender oder unklarer Systemverantwortung abh\u00e4ngt, entsteht ein strukturelles Risiko. Die Datenschutz-Grundverordnung verlangt daher eine anspruchsvollere Form des Managements digitaler Integrit\u00e4t: Personenbezogene Daten m\u00fcssen nicht nur rechtm\u00e4\u00dfig verarbeitet werden, sondern auch auffindbar, erkl\u00e4rbar, berichtigbar, \u00fcbertragbar und wirksam begrenzbar bleiben.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\n

Das Auskunftsrecht als Grundlage der Transparenz<\/h4>\n

Das Auskunftsrecht geh\u00f6rt zu den grundlegendsten Rechten der Datenschutz-Grundverordnung, weil ohne Auskunft nahezu kein anderes Recht wirksam ausge\u00fcbt werden kann. Eine betroffene Person kann Berichtigung, Einschr\u00e4nkung, L\u00f6schung oder Widerspruch erst dann verlangen, wenn klar ist, ob personenbezogene Daten verarbeitet werden, welche Datenkategorien betroffen sind, welche Zwecke der Verarbeitung zugrunde liegen, welche Empf\u00e4nger Zugriff erhalten haben, welche Speicherfristen gelten und welche Logik gegebenenfalls bei einer automatisierten Verarbeitung zum Einsatz kommt. Auskunft ist daher mehr als die administrative Bereitstellung von Kopien. Sie ist ein rechtliches Instrument, das die Informationsasymmetrie zwischen Organisation und betroffener Person verringern soll. Die Organisation verf\u00fcgt \u00fcber Systeme, Akten, Datenfl\u00fcsse und internes Wissen; die betroffene Person verf\u00fcgt h\u00e4ufig nur \u00fcber Vermutungen, Fragmente oder das sichtbare Ergebnis einer Verarbeitung. Das Auskunftsrecht korrigiert dieses Ungleichgewicht, indem es die Organisation verpflichtet, Einblick in die Verarbeitung in einer hinreichend konkreten, vollst\u00e4ndigen und verst\u00e4ndlichen Weise zu gew\u00e4hren.<\/p>\n

In der Praxis f\u00fchren Auskunftsersuchen zu erheblichen Spannungen. Personenbezogene Daten befinden sich selten in einer einzigen geordneten Akte. Sie k\u00f6nnen in Kundendatenbanken, E-Mail-Postf\u00e4chern, CRM-Systemen, Compliance-Dateien, Betrugs\u00fcberwachungstools, Protokollierungsumgebungen, Vertragssystemen, Beschwerderegistrierungen, Gespr\u00e4chsaufzeichnungen, Cloud-Speichern, Lieferantenberichten und historischen Archiven vorhanden sein. Eine begrenzte Suche kann daher leicht ein unvollst\u00e4ndiges Bild ergeben. Ebenso problematisch ist eine Antwort, die zwar eine gro\u00dfe Menge technischer Daten enth\u00e4lt, aber keine inhaltlich tragf\u00e4hige Erkl\u00e4rung bietet. Eine umfangreiche Exportdatei ohne Kontext kann die betroffene Person mit Informationen \u00fcberfluten und zugleich die zentrale Frage unbeantwortet lassen: Welche Daten werden tats\u00e4chlich genutzt, zu welchem Zweck, durch wen und mit welchen Folgen? Die Transparenzpflicht verlangt daher mehr als einen Datenabzug oder ein Standardschreiben. Sie verlangt eine sorgf\u00e4ltige \u00dcbersetzung interner Datenverarbeitung in eine \u00fcberpr\u00fcfbare Erkl\u00e4rung, die f\u00fcr die betroffene Person verst\u00e4ndlich ist.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t hat das Auskunftsrecht besondere Bedeutung, weil Auskunftsersuchen h\u00e4ufig als Belastungstest f\u00fcr Datenherkunft, Zugriffsmanagement, Dokumentation und interne Verantwortungsverteilung wirken. Eine Organisation, die nicht rekonstruieren kann, welche Daten \u00fcber eine betroffene Person verarbeitet wurden, wird h\u00e4ufig auch Schwierigkeiten haben, \u00fcberzeugend nachzuweisen, dass diese Daten angemessen gesichert, nur begrenzt zug\u00e4nglich gehalten oder gegen unbefugte Nutzung gesch\u00fctzt wurden. Das hat unmittelbare Relevanz f\u00fcr Risiken digitaler Kriminalit\u00e4t wie Identit\u00e4tsmissbrauch, Account Takeover, interne Datenschutzverletzungen, unbefugte Einsichtnahmen und unkontrollierte Weiter\u00fcbermittlungen an Dritte. Ein belastbares Auskunftsverfahren erfordert daher ein koh\u00e4rentes System aus Dateninventarisierung, klaren Prozessverantwortlichkeiten, verl\u00e4sslichen Suchprotokollen, Identit\u00e4tspr\u00fcfung, Bewertung der Rechte Dritter, Dokumentation getroffener Entscheidungen und fristgerechter Kommunikation. Das Auskunftsrecht ist damit nicht nur ein Recht der betroffenen Person, sondern auch ein Spiegel der administrativen Beherrschbarkeit der digitalen Organisation.<\/p>\n

Das Recht auf Berichtigung als Garantie f\u00fcr Datenqualit\u00e4t und Richtigkeit<\/h4>\n

Das Recht auf Berichtigung sch\u00fctzt die betroffene Person vor den Folgen unrichtiger, unvollst\u00e4ndiger oder veralteter personenbezogener Daten. Dieses Recht ist von erheblicher Bedeutung, weil personenbezogene Daten in digitalen Prozessen h\u00e4ufig nicht passiv gespeichert, sondern aktiv f\u00fcr Bewertung, Auswahl, Segmentierung, Risikogewichtung, Kundenannahme, Dienstleistungserbringung, Kontrolle, Betrugspr\u00e4vention oder Entscheidungsfindung genutzt werden. Eine falsche Adresse, ein unrichtiges Geburtsdatum, eine unvollst\u00e4ndige Akte, eine falsch verkn\u00fcpfte Telefonnummer, ein fehlerhaftes Zahlungsdatum oder ein ungerechtfertigtes Risikosignal k\u00f6nnen weitreichende Folgen haben. Das Problem liegt nicht nur darin, dass die Daten sachlich falsch sind, sondern darin, dass digitale Systeme unrichtige Daten schnell wiederholen, verbreiten und verst\u00e4rken k\u00f6nnen. Eine einzige fehlerhafte Registrierung kann sich \u00fcber Verkn\u00fcpfungen, Exporte, interne Berichte und Lieferantenketten zu einem strukturellen Problem entwickeln. Berichtigung ist daher keine kosmetische Korrektur, sondern eine notwendige Garantie gegen digitale Entscheidungsfindung auf Grundlage mangelhafter Informationen.<\/p>\n

F\u00fcr Organisationen ist Berichtigung h\u00e4ufig komplexer, als es zun\u00e4chst erscheint. Die Frage besteht nicht nur darin, ob ein Datenelement korrigiert werden muss, sondern auch, wo diese Korrektur vorzunehmen ist, welche abgeleiteten Dateien betroffen sind, welche historischen Aufzeichnungen rechtm\u00e4\u00dfig aufbewahrt werden d\u00fcrfen, welche Dritten informiert werden m\u00fcssen und wie verhindert werden kann, dass derselbe Fehler sp\u00e4ter erneut auftritt. Gerade in komplexen digitalen Umgebungen kann dieselbe personenbezogene Registrierung an mehreren Stellen bestehen, jeweils mit eigener Funktion und technischer Logik. Eine Korrektur im prim\u00e4ren Kundenbestand l\u00f6st das Problem nicht, wenn alte Daten weiterhin in Marketinglisten, Risikoprofilen, Korrespondenzarchiven oder Berichten an Dienstleister vorhanden sind. Die Organisation darf daher nicht nur auf das Ersuchen selbst reagieren, sondern muss untersuchen, welche Datenbeziehungen durch den Fehler betroffen sind. Berichtigung verlangt, dass Datenqualit\u00e4t nicht als technische Nebensache behandelt wird, sondern als rechtliche und organisatorische Anforderung.<\/p>\n

Im Kontext des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t ist das Recht auf Berichtigung eng mit der Integrit\u00e4t digitaler Daten verbunden. Risiken digitaler Kriminalit\u00e4t nehmen zu, wenn Systeme unrichtige oder verunreinigte Daten enthalten, weil fehlerhafte Daten zu falschen Risikobewertungen, ungerechtfertigten Sperren, \u00fcbersehenen Signalen, fehlerhafter Kundenidentifikation oder anf\u00e4lligen Authentifizierungsprozessen f\u00fchren k\u00f6nnen. Datenverunreinigung kann zudem Missbrauch erleichtern, wenn falsche, doppelte oder veraltete Identit\u00e4ten nicht rechtzeitig korrigiert werden. Berichtigung ist daher nicht nur eine individuelle Rechtsschutzma\u00dfnahme, sondern auch eine Kontrollma\u00dfnahme gegen operative Risiken und Integrit\u00e4tsrisiken. Eine Organisation, die Berichtigungsersuchen ernst nimmt, st\u00e4rkt zugleich ihre F\u00e4higkeit, verl\u00e4ssliche Daten zu nutzen, Fehler zu isolieren, Quellregister zu korrigieren und k\u00fcnftige Sch\u00e4den zu begrenzen. Das Recht auf Berichtigung zeigt damit, dass Datenschutz und Risikomanagement einander nicht ausschlie\u00dfen, sondern gegenseitig verst\u00e4rken.<\/p>\n

Das Recht auf L\u00f6schung als Grenze unn\u00f6tiger Verarbeitung<\/h4>\n

Das Recht auf L\u00f6schung bringt den Grundsatz zum Ausdruck, dass personenbezogene Daten nicht unbegrenzt weiter zirkulieren d\u00fcrfen, wenn die Grundlage der Verarbeitung entfallen ist. Wenn Daten f\u00fcr den urspr\u00fcnglichen Zweck nicht mehr erforderlich sind, wenn eine Einwilligung widerrufen wurde, wenn ein Widerspruch Erfolg hat, wenn Daten unrechtm\u00e4\u00dfig verarbeitet wurden oder wenn eine rechtliche Pflicht zur L\u00f6schung besteht, muss die Organisation wirksam handeln k\u00f6nnen. Dieses Recht sch\u00fctzt die betroffene Person vor dem Risiko, dass digitale Spuren unbegrenzt fortbestehen und sp\u00e4ter in einem anderen Kontext erneut verwendet werden. In einer Daten\u00f6konomie, in der Speicherung kosteng\u00fcnstig ist und Wiederverwendung attraktiv sein kann, bildet L\u00f6schung eine wesentliche Grenze. Ohne diese Grenze besteht die Gefahr, dass Organisationen Daten aus Bequemlichkeit, Unsicherheit, kommerziellem Wert oder k\u00fcnftiger Spekulation aufbewahren. Die Datenschutz-Grundverordnung verlangt jedoch, dass Verarbeitung an Zweck, Erforderlichkeit und Dauer gebunden bleibt.<\/p>\n

Die praktische Umsetzung der L\u00f6schung ist h\u00e4ufig komplex. Daten k\u00f6nnen sich in aktiven Systemen, Back-ups, Audit-Logs, Korrespondenz, Berichten, Lieferantendatens\u00e4tzen, Compliance-Dateien und historischen Transaktionsregistern befinden. Vollst\u00e4ndige L\u00f6schung kann zudem mit gesetzlichen Aufbewahrungspflichten, Beweisinteressen, steuerlichen Verpflichtungen, vertraglichen Streitigkeiten oder Sicherheitszwecken kollidieren. Die Organisation muss dann pr\u00e4zise bestimmen, welche Daten tats\u00e4chlich zu l\u00f6schen sind, welche Daten vor\u00fcbergehend aufbewahrt werden d\u00fcrfen, welche Daten abgeschirmt werden m\u00fcssen und wie dies der betroffenen Person klar erl\u00e4utert wird. Ein allgemeiner Verweis auf Aufbewahrungspflichten oder technische Unm\u00f6glichkeit reicht nicht aus, wenn nicht je Datenkategorie bewertet wurde, weshalb eine Aufbewahrung weiterhin erforderlich ist. L\u00f6schung verlangt daher Differenzierung, Dokumentation und organisatorische Disziplin. Es handelt sich nicht um einen einfachen Tastendruck, sondern um einen kontrollierten Prozess, in dem Rechtsgrundlage, technische Umsetzbarkeit und operative Verantwortung zusammenkommen.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t ist L\u00f6schung ein wichtiges Instrument zur Reduzierung \u00fcberm\u00e4\u00dfiger Datenrisiken. Je mehr personenbezogene Daten ohne Erforderlichkeit aufbewahrt werden, desto gr\u00f6\u00dfer ist die potenzielle Auswirkung von Datenschutzverletzungen, Ransomware, Insider-Bedrohungen, Account Takeover und unbefugtem Zugriff. Unn\u00f6tige Daten bilden eine stille Risikoreserve: Sie liefern h\u00e4ufig keinen aktuellen Wert mehr, erh\u00f6hen jedoch den Schaden, wenn Sicherheit versagt oder Systeme kompromittiert werden. L\u00f6schung tr\u00e4gt daher zur Datenminimierung, zur Verringerung der Angriffsfl\u00e4che und zur Begrenzung von Haftungsrisiken bei. Zugleich muss L\u00f6schung sorgf\u00e4ltig bewertet werden, wenn Daten f\u00fcr Betrugsuntersuchungen, Incident-Analysen oder rechtliche Verteidigung erforderlich sind. Die Herausforderung liegt darin, ein \u00fcberpr\u00fcfbares Gleichgewicht zu finden: Daten nicht l\u00e4nger aufzubewahren als erforderlich, aber auch keine vorzeitige L\u00f6schung vorzunehmen, wenn zwingende rechtliche oder berechtigte Interessen eine fortgesetzte Aufbewahrung verlangen. Dieses Gleichgewicht setzt klare Aufbewahrungsfristen, Entscheidungsregeln, Eskalationswege und Audit Trails voraus.<\/p>\n

Das Recht auf Einschr\u00e4nkung der Verarbeitung als vorl\u00e4ufige Schutzma\u00dfnahme<\/h4>\n

Das Recht auf Einschr\u00e4nkung der Verarbeitung erf\u00fcllt innerhalb der Datenschutz-Grundverordnung eine besondere Funktion, weil es h\u00e4ufig in Situationen geltend gemacht wird, in denen noch Unsicherheit \u00fcber die Richtigkeit, Rechtm\u00e4\u00dfigkeit oder Erforderlichkeit der Verarbeitung besteht. Die betroffene Person kann verlangen, dass Daten vor\u00fcbergehend nicht weiter aktiv genutzt werden, wenn deren Richtigkeit bestritten wird, wenn die Verarbeitung m\u00f6glicherweise unrechtm\u00e4\u00dfig ist, wenn die Daten nicht mehr ben\u00f6tigt werden, die betroffene Person sie jedoch zur Geltendmachung, Aus\u00fcbung oder Verteidigung von Rechtsanspr\u00fcchen ben\u00f6tigt, oder wenn Widerspruch eingelegt wurde und noch zu pr\u00fcfen ist, welches Interesse \u00fcberwiegt. Einschr\u00e4nkung ist damit ein Schutzmechanismus gegen fortgesetzte Nutzung w\u00e4hrend eines Konflikts. Sie verhindert, dass Daten weiterhin Entscheidungsfindung, Profiling, Berichterstattung oder externe Weitergabe beeinflussen, solange ihre Rechtm\u00e4\u00dfigkeit oder Qualit\u00e4t noch in Frage steht.<\/p>\n

F\u00fcr Organisationen erfordert die Einschr\u00e4nkung der Verarbeitung ein hohes Ma\u00df an technischer und organisatorischer Pr\u00e4zision. Es gen\u00fcgt nicht, in einer Akte zu vermerken, dass ein Ersuchen eingegangen ist. Die betroffenen Daten m\u00fcssen tats\u00e4chlich markiert, abgeschirmt oder auf andere Weise aus der aktiven Verarbeitung herausgehalten werden, au\u00dfer f\u00fcr Speicherung, Rechtsanspr\u00fcche, den Schutz von Rechten Dritter oder zwingende Gr\u00fcnde des \u00f6ffentlichen Interesses. Dies setzt Systeme voraus, die Statusmarkierungen verarbeiten k\u00f6nnen, Arbeitsabl\u00e4ufe, die Mitarbeitende warnen, Lieferantenvereinbarungen, die Einschr\u00e4nkungen weitergeben, und Kontrollen, die verhindern, dass Daten dennoch erneut verwendet werden. Besonders schwierig ist dies in vernetzten Verarbeitungsketten. Wenn Daten mit Unterauftragsverarbeitern, internen Abteilungen oder externen Partnern geteilt wurden, muss die Einschr\u00e4nkung in der gesamten relevanten Verarbeitungskette Wirkung entfalten. Andernfalls bleibt das Recht theoretisch, und es entsteht das Risiko, dass die Organisation die Einschr\u00e4nkung formal best\u00e4tigt, w\u00e4hrend Daten faktisch weiterhin aktiv zirkulieren.<\/p>\n

F\u00fcr das Integrierte Risikomanagement f\u00fcr digitale Kriminalit\u00e4t hat die Einschr\u00e4nkung der Verarbeitung eine unmittelbare Integrit\u00e4tsfunktion. Im Zusammenhang mit Risiken digitaler Kriminalit\u00e4t kann eine betroffene Person beispielsweise die Richtigkeit einer Betrugsmarkierung, eines Risikosignals, eines Ger\u00e4te-Fingerabdrucks, einer Identit\u00e4tsverkn\u00fcpfung oder eines Transaktionsindikators bestreiten. Wenn solche Daten weiterwirken, w\u00e4hrend die Beanstandung noch gepr\u00fcft wird, kann dies zu ungerechtfertigtem Ausschluss, Sperrung von Diensten, Reputationssch\u00e4den oder Eskalation an externe Stellen f\u00fchren. Zugleich darf Einschr\u00e4nkung nicht bedeuten, dass jede Risikosteuerung endet, sobald ein Ersuchen gestellt wird. Die Organisation muss daher \u00fcber einen sorgf\u00e4ltigen Bewertungsrahmen verf\u00fcgen, in dem individuelle Rechte, Sicherheitsinteressen, Betrugsindikatoren und gesetzliche Verpflichtungen gegeneinander abgewogen werden. Das Recht auf Einschr\u00e4nkung verlangt vor\u00fcbergehende Zur\u00fcckhaltung dort, wo Unsicherheit besteht, ohne den notwendigen Schutz vor Risiken digitaler Kriminalit\u00e4t aufzugeben.<\/p>\n

Das Recht auf Daten\u00fcbertragbarkeit in einer digitalen Wirtschaft<\/h4>\n

Das Recht auf Daten\u00fcbertragbarkeit gibt der betroffenen Person unter bestimmten Voraussetzungen die M\u00f6glichkeit, personenbezogene Daten, die sie einer Organisation bereitgestellt hat, in einem strukturierten, g\u00e4ngigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Dienstleister zu \u00fcbermitteln. Dieses Recht ist besonders relevant in einer digitalen Wirtschaft, in der Kunden, Nutzer und Klienten h\u00e4ufig von Plattformen, Anwendungen, Finanzdiensten, Gesundheitsportalen, Abonnementsystemen oder anderen digitalen Umgebungen abh\u00e4ngig werden, in denen sich Daten \u00fcber die Zeit ansammeln. Ohne \u00dcbertragbarkeit kann ein Anbieterwechsel erschwert werden, weil relevante Daten faktisch im System des urspr\u00fcnglichen Dienstleisters eingeschlossen bleiben. Daten\u00fcbertragbarkeit st\u00e4rkt daher individuelle Kontrolle, Marktzugang und digitale Autonomie. Das Recht begrenzt die Macht von Organisationen, Nutzer \u00fcber Datenabh\u00e4ngigkeit festzuhalten, und f\u00f6rdert den Grundsatz, dass personenbezogene Daten nicht nur f\u00fcr die Verarbeitung durch die Organisation verf\u00fcgbar sein d\u00fcrfen, sondern auch f\u00fcr die betroffene Person selbst nutzbar bleiben m\u00fcssen.<\/p>\n

Die Umsetzung der Daten\u00fcbertragbarkeit stellt hohe Anforderungen an Datenqualit\u00e4t, technische Standards und Abgrenzung des Umfangs. Nicht alle personenbezogenen Daten fallen unter dieses Recht. Erfasst sind insbesondere Daten, die die betroffene Person bereitgestellt hat, sofern die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt. Die Organisation muss daher sorgf\u00e4ltig zwischen bereitgestellten Daten, abgeleiteten Daten, internen Analysen, Risikobewertungen, gesch\u00e4ftsvertraulichen Einsch\u00e4tzungen und Daten Dritter unterscheiden. Zudem muss das Format tats\u00e4chlich nutzbar sein. Eine technisch bereitgestellte Portabilit\u00e4tsdatei, die jedoch kaum verst\u00e4ndlich oder importierbar ist, erf\u00fcllt den Zweck des Rechts nur eingeschr\u00e4nkt. Gleichzeitig muss die Organisation verhindern, dass die \u00dcbermittlung zu einer Verletzung der Rechte anderer, zur Offenlegung von Sicherheitsinformationen oder zur unkontrollierten Verbreitung sensibler Daten f\u00fchrt. Daten\u00fcbertragbarkeit verlangt daher eine Kombination aus rechtlicher Abgrenzung, technischer Verl\u00e4sslichkeit und sicherer \u00dcbermittlung.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t ber\u00fchrt Daten\u00fcbertragbarkeit mehrere Risiken digitaler Kriminalit\u00e4t. Die \u00dcbermittlung personenbezogener Daten kann Risiken im Zusammenhang mit Identit\u00e4tspr\u00fcfung, Phishing, Account Takeover, unbefugten Ersuchen und Manipulation von Exportprozessen aufwerfen. Eine Organisation muss sicherstellen, dass die Person, die die \u00dcbertragung verlangt, tats\u00e4chlich berechtigt ist, dass Daten sicher bereitgestellt werden, dass der \u00dcbertragungskanal angemessen gesch\u00fctzt ist und dass keine Informationen offengelegt werden, die Missbrauch erm\u00f6glichen k\u00f6nnten. Zugleich kann Daten\u00fcbertragbarkeit Vertrauen f\u00f6rdern, wenn Nutzer erleben, dass ihre Daten nicht undurchsichtig oder restriktiv zur\u00fcckgehalten werden. Das Recht verpflichtet Organisationen, Daten nicht ausschlie\u00dflich als Unternehmenswert zu behandeln, sondern auch als Informationen, \u00fcber die die betroffene Person unter den gesetzlichen Voraussetzungen Kontrolle aus\u00fcben k\u00f6nnen muss. In diesem Sinne bildet Daten\u00fcbertragbarkeit eine moderne Korrektur digitaler Abh\u00e4ngigkeit: Die Organisation darf Daten nutzen, muss sie unter bestimmten Umst\u00e4nden aber auch freigeben k\u00f6nnen.<\/p>\n

Das Widerspruchsrecht gegen die Verarbeitung<\/h4>\n

Das Widerspruchsrecht bildet eine wesentliche Begrenzung der Datenverarbeitung, wenn diese nicht ausschlie\u00dflich auf einer Einwilligung oder einem Vertrag beruht, sondern auf einer Interessenabw\u00e4gung der Organisation oder auf der Wahrnehmung einer Aufgabe im \u00f6ffentlichen Interesse. Dieses Recht verlangt eine erneute Bewertung von Verarbeitungsvorg\u00e4ngen, die aus Sicht der Organisation logisch, effizient oder wirtschaftlich zweckm\u00e4\u00dfig erscheinen k\u00f6nnen, f\u00fcr die betroffene Person jedoch eine unverh\u00e4ltnism\u00e4\u00dfige Belastung darstellen k\u00f6nnen. Insbesondere bei Verarbeitungen auf Grundlage berechtigter Interessen entsteht ein Spannungsverh\u00e4ltnis zwischen organisatorischen Zielsetzungen und individuellem Schutz. Die Organisation kann eine Verarbeitung f\u00fcr Betrugspr\u00e4vention, Kundenmanagement, Sicherheit, Risikomodellierung, Analyse, Marketing oder Verbesserung von Dienstleistungen f\u00fcr erforderlich halten, w\u00e4hrend die betroffene Person Profiling, \u00dcberwachung, Zielgruppenansprache oder Risikobewertung ausgesetzt sein kann, ohne hierf\u00fcr eine gesonderte Einwilligung erteilt zu haben. Das Widerspruchsrecht verlangt nicht in jeder Situation eine automatische Beendigung der Verarbeitung, wohl aber eine ernsthafte, konkrete und individualisierte Interessenabw\u00e4gung. Allgemeine Verweise auf Unternehmensinteressen, Effizienz oder Standardrichtlinien reichen nicht aus, wenn die pers\u00f6nlichen Umst\u00e4nde der betroffenen Person ein h\u00f6heres Gewicht haben k\u00f6nnen.<\/p>\n

Im Bereich des Direktmarketings entfaltet das Widerspruchsrecht eine besonders strenge Wirkung. Widerspricht die betroffene Person der Verarbeitung zu Zwecken des Direktmarketings, muss diese Verarbeitung beendet werden. Dies betrifft nicht nur den Versand kommerzieller Kommunikation, sondern auch Profiling, soweit es mit Direktmarketing zusammenh\u00e4ngt. Diese Anforderung ist in einer digitalen Wirtschaft von erheblicher Bedeutung, in der Marketingprozesse h\u00e4ufig durch Verhaltensdaten, Segmentierungsmodelle, Kaufhistorien, Klickverhalten, Interessen, Standortindikatoren, Kundenwertklassifikationen und automatisiertes Targeting gespeist werden. Ein Widerspruch gegen Marketing darf daher nicht auf die Abmeldung von einem einzelnen Newsletter reduziert werden, wenn zugrunde liegende Profile, Lookalike-Segmente, Werbeplattformen oder Kundenselektionen weiterhin funktionieren. Die Organisation muss nachweisen k\u00f6nnen, dass der Widerspruch in allen relevanten Marketingkan\u00e4len Wirkung entfaltet und die betroffene Person nicht \u00fcber einen alternativen Weg erneut angesprochen wird. Dies setzt eine wirksame Verbindung zwischen Datenschutzanfragen, CRM-Systemen, Consent Management, Werbetools, Datenplattformen und Lieferantenprozessen voraus.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t gewinnt das Widerspruchsrecht zus\u00e4tzliche Bedeutung, wenn Daten f\u00fcr Risikobewertung, Betrugspr\u00e4vention, \u00dcberwachung oder Sicherheitsanalyse verarbeitet werden. Risiken digitaler Kriminalit\u00e4t k\u00f6nnen ein zwingendes Interesse darstellen, entbinden die Organisation jedoch nicht von der Pflicht, Widerspr\u00fcche sorgf\u00e4ltig zu pr\u00fcfen. Wenn eine betroffene Person geltend macht, ein Risikosignal sei unrichtig, unverh\u00e4ltnism\u00e4\u00dfig oder veraltet, muss die Organisation erkl\u00e4ren k\u00f6nnen, welche Daten verwendet werden, weshalb die fortgesetzte Verarbeitung weiterhin erforderlich ist, welche Auswirkungen die Verarbeitung hat und welche Garantien Missbrauch oder fehlerhafte Bewertungen verhindern. Zugleich darf der Widerspruch nicht zu einem Mechanismus werden, durch den notwendige Sicherheitsma\u00dfnahmen oder unverzichtbare Betrugspr\u00e4vention schlicht deaktiviert werden. Der rechtliche Kern liegt daher in einer \u00fcberpr\u00fcfbaren Abw\u00e4gung: einerseits Schutz vor Identit\u00e4tsmissbrauch, Account Takeover, Online-Zahlungsbetrug, missbr\u00e4uchlicher Nutzung von Diensten und weiteren Risiken digitaler Kriminalit\u00e4t; andererseits Schutz vor undurchsichtiger, unverh\u00e4ltnism\u00e4\u00dfiger oder unzureichend kontrollierter Verarbeitung personenbezogener Daten. Ein belastbares Widerspruchsverfahren erfordert klare Bewertungskriterien, Eskalation an Datenschutz- und Risikofunktionen, Dokumentation der vorgenommenen Abw\u00e4gung und eine verst\u00e4ndliche R\u00fcckmeldung an die betroffene Person.<\/p>\n

Schutz vor ausschlie\u00dflich automatisierter Entscheidungsfindung<\/h4>\n

Der Schutz vor ausschlie\u00dflich automatisierter Entscheidungsfindung betrifft einen der sensibelsten Bereiche moderner Datenverarbeitung: Situationen, in denen eine Person durch eine Entscheidung erheblich betroffen ist, die ohne ma\u00dfgebliche menschliche Mitwirkung getroffen wird. Dies kann bei Kreditannahme, Versicherungsbewertung, Betrugserkennung, Zugangsentscheidungen, Risikoklassifizierungen, Bewerbungsverfahren, Plattformmoderation, Kundensperrungen, Dienstleistungserbringung, Preisdifferenzierung oder Auswahl zu Kontrollzwecken auftreten. Die rechtliche Sorge besteht nicht darin, dass Automatisierung als solche verboten w\u00e4re, sondern darin, dass Automatisierung Distanz, Intransparenz und fehlende Korrekturm\u00f6glichkeiten erzeugen kann. Wird eine Entscheidung vollst\u00e4ndig durch ein System getroffen, besteht das Risiko, dass die betroffene Person nicht versteht, weshalb ein bestimmtes Ergebnis zustande gekommen ist, keine wirksame M\u00f6glichkeit hat, dieses Ergebnis anzufechten, und mit einer digitalen Schlussfolgerung konfrontiert wird, die intern als objektiv oder neutral behandelt wird. Die Datenschutz-Grundverordnung verlangt daher angemessene Garantien, einschlie\u00dflich des Rechts auf menschliches Eingreifen, des Rechts auf Darlegung des eigenen Standpunkts und des Rechts, die Entscheidung anzufechten.<\/p>\n

Die praktische Schwierigkeit liegt in der Abgrenzung zwischen automatisierter Unterst\u00fctzung und ausschlie\u00dflich automatisierter Entscheidungsfindung. Viele Organisationen nutzen Modelle, Scores, Signale oder regelbasierte Systeme als Grundlage menschlicher Entscheidungen. Menschliche Beteiligung ist jedoch nur dann bedeutsam, wenn die zust\u00e4ndige Person tats\u00e4chlich die M\u00f6glichkeit hat, das Ergebnis zu bewerten, zu korrigieren und begr\u00fcndet davon abzuweichen. Eine lediglich formale \u00dcberpr\u00fcfung durch eine Person, die der Systemempfehlung regelm\u00e4\u00dfig folgt, kann unzureichend sein. Menschliches Eingreifen muss substanzielle Bedeutung haben: Zugang zu relevanten Informationen, Verst\u00e4ndnis der verwendeten Kriterien, Befugnis zu einer abweichenden Entscheidung und Verantwortung f\u00fcr das endg\u00fcltige Ergebnis. Dar\u00fcber hinaus muss die Organisation erkl\u00e4ren k\u00f6nnen, welche Rolle die automatisierte Verarbeitung spielt, welche Datenkategorien genutzt werden, welche Logik in Grundz\u00fcgen angewandt wird und welche Folgen die Verarbeitung f\u00fcr die betroffene Person haben kann. Eine Black Box, die Entscheidungen ohne Erkl\u00e4rbarkeit und ohne echte Neubewertung erzeugt, ist mit wirksamem Rechtsschutz nur schwer vereinbar.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t ist dieses Thema besonders relevant, weil Organisationen zunehmend automatisierte Systeme einsetzen, um Risiken digitaler Kriminalit\u00e4t zu erkennen, zu blockieren oder vorherzusagen. Dazu z\u00e4hlen etwa Transaktions\u00fcberwachung, Anomalieerkennung, Ger\u00e4teintelligenz, Verhaltensanalyse, Sanktionsscreening, Betrugsscores, Identit\u00e4tspr\u00fcfung und Mustererkennung. Solche Systeme k\u00f6nnen notwendig sein, um digitale Kriminalit\u00e4t zu bek\u00e4mpfen, k\u00f6nnen aber auch falsche Positivmeldungen, ungerechtfertigte Ausschl\u00fcsse, Kontosperrungen oder Eskalationen in Untersuchungen ohne ausreichende menschliche Pr\u00fcfung verursachen. Die Herausforderung besteht daher nicht darin, Automatisierung zu vermeiden, sondern sie kontrollierbaren Garantien zu unterwerfen. Kriterien m\u00fcssen getestet, Ergebnisse \u00fcberwacht, Fehlermargen bekannt, menschliche Pr\u00fcfungen tats\u00e4chlich wirksam und f\u00fcr betroffene Personen effektive Kan\u00e4le zur Meldung von Fehlern vorhanden sein. Der Schutz vor ausschlie\u00dflich automatisierter Entscheidungsfindung wirkt damit als Korrektiv gegen\u00fcber digitalen Entscheidungsprozessen, die sich zu weit von der Person entfernen.<\/p>\n

Organisatorische Herausforderungen bei der Aus\u00fcbung der Rechte<\/h4>\n

Die Aus\u00fcbung der Rechte betroffener Personen bringt erhebliche organisatorische Herausforderungen mit sich, weil personenbezogene Daten in modernen Organisationen h\u00e4ufig \u00fcber Abteilungen, Anwendungen, Lieferanten, Cloud-Umgebungen, Projektakten, Kommunikationskan\u00e4le und Altsysteme verteilt sind. Ein Antrag einer betroffenen Person kann von au\u00dfen betrachtet einfach erscheinen: Auskunft, Berichtigung, L\u00f6schung, Einschr\u00e4nkung, \u00dcbertragbarkeit oder Widerspruch. Innerhalb der Organisation kann derselbe Antrag jedoch eine Abfolge von Suchl\u00e4ufen, Verifizierungen, rechtlichen Bewertungen, technischen Ma\u00dfnahmen, Lieferantenanweisungen, Interessenabw\u00e4gungen und Dokumentationsschritten erforderlich machen. Die Organisation muss nicht nur bestimmen, welche Rechte betroffen sind, sondern auch feststellen, welche Daten relevant sind, welche Systeme gepr\u00fcft werden m\u00fcssen, welche Ausnahmen gelten, welche Interessen Dritter ber\u00fchrt werden und welche Fristen streng zu \u00fcberwachen sind. Fehlt eine klare Aufgabenverteilung, k\u00f6nnen Verz\u00f6gerungen, Inkonsistenzen oder unvollst\u00e4ndige Antworten schnell entstehen.<\/p>\n

Ein wesentliches Problem besteht darin, dass Rechte betroffener Personen h\u00e4ufig als anlassbezogene Datenschutzaufgaben behandelt werden, w\u00e4hrend ihre Umsetzung von struktureller digitaler Kontrolle abh\u00e4ngt. Wenn Dateninventare veraltet sind, Verzeichnisse von Verarbeitungst\u00e4tigkeiten zu abstrakt bleiben, Systemverantwortliche nicht klar benannt sind, Aufbewahrungsfristen nicht in die operative Praxis \u00fcbersetzt wurden oder Lieferantenvereinbarungen nicht ausreichend umsetzbar sind, wird jeder Antrag zu einem Ad-hoc-Projekt. Dies erh\u00f6ht nicht nur die Wahrscheinlichkeit von Frist\u00fcberschreitungen, sondern auch das Risiko inhaltlicher Fehler. Eine Organisation kann beispielsweise nur die sichtbarsten Systeme pr\u00fcfen, w\u00e4hrend relevante Daten in E-Mail-Archiven, Audit-Logs, Berichten, Data Lakes, Back-ups oder externen Umgebungen verbleiben. Ebenso problematisch ist es, wenn verschiedene Abteilungen denselben Antrag unterschiedlich auslegen. Die betroffene Person kann dann fragmentierte, widerspr\u00fcchliche oder unzureichend begr\u00fcndete Antworten erhalten, was das Vertrauen in die Bearbeitung des Antrags schw\u00e4cht.<\/p>\n

Das Integrierte Risikomanagement f\u00fcr digitale Kriminalit\u00e4t verlangt, dass die Rechte betroffener Personen mit umfassenderen digitalen Kontrollprozessen verbunden werden. Risiken digitaler Kriminalit\u00e4t, Datenschutzrisiken und operative Risiken \u00fcberschneiden sich in diesem Bereich. Ein Antrag kann von einem b\u00f6swilligen Akteur stammen, der mittels Social Engineering personenbezogene Daten zu erlangen versucht, kann aber ebenso ein berechtigter Antrag einer betroffenen Person sein, die Schutz vor unrichtiger Verarbeitung sucht. Identit\u00e4tspr\u00fcfung, Zugriffskontrolle, Protokollierung, Vier-Augen-Pr\u00fcfung, sichere Kommunikation und klare Eskalationskriterien sind daher unverzichtbar. Zugleich darf Sicherheit nicht als pauschaler Grund genutzt werden, um die Aus\u00fcbung von Rechten zu erschweren. Die Organisation muss ein Gleichgewicht finden zwischen dem Schutz vor Missbrauch von Rechteverfahren und einem effektiven Zugang zu rechtlichem Schutz. Dieses Gleichgewicht setzt geschultes Personal, klare Verfahrensschritte, rechtlich tragf\u00e4hige Musterantworten, technische Umsetzbarkeit, zentrale Koordination und \u00fcberpr\u00fcfbare Dokumentation von Entscheidungen voraus.<\/p>\n

Die Spannung zwischen formalen Rechten und praktischer Umsetzbarkeit<\/h4>\n

Die Datenschutz-Grundverordnung gew\u00e4hrt betroffenen Personen ein breites und wirksames B\u00fcndel an Rechten, doch die tats\u00e4chliche Qualit\u00e4t des Datenschutzes bestimmt sich danach, inwieweit diese Rechte in der Praxis verwirklicht werden k\u00f6nnen. Formale Rechte haben nur begrenzten Wert, wenn die Organisation nicht feststellen kann, wo sich Daten befinden, nicht erkl\u00e4ren kann, weshalb die Verarbeitung erfolgt, nicht zwischen aktiven und historischen Daten unterscheiden kann, keine verl\u00e4sslichen Aufbewahrungsfristen anwendet oder keine Kontrolle \u00fcber durch Lieferanten verarbeitete Daten besitzt. Die Spannung entsteht vor allem daraus, dass rechtliche Normen h\u00e4ufig klar formuliert sind, w\u00e4hrend digitale Prozesse technisch, organisatorisch und vertraglich fragmentiert sind. Die betroffene Person sieht eine einzige Organisation; hinter dieser Organisation k\u00f6nnen Dutzende Systeme, Abteilungen und Dienstleister stehen. Die Pflicht verbleibt gleichwohl bei der f\u00fcr die Verarbeitung verantwortlichen Organisation, die nachweisen k\u00f6nnen muss, dass Rechte tats\u00e4chlich beachtet werden.<\/p>\n

Praktische Umsetzbarkeit verlangt mehr als Bereitschaft. Sie setzt voraus, dass die Organisation bereits im Vorfeld \u00fcber Auffindbarkeit, Datenqualit\u00e4t, Aufbewahrungsfristen, Systemverkn\u00fcpfungen, Protokollierung, Zugriffsrechte, Lieferantenanweisungen, Ausnahmen und Kommunikation mit betroffenen Personen nachgedacht hat. Fehlen diese Grundlagen, h\u00e4ngt die Bearbeitung von Antr\u00e4gen von einzelnen Mitarbeitenden, historischem Wissen oder manueller Rekonstruktion ab. Das ist anf\u00e4llig, insbesondere wenn Antr\u00e4ge komplex sind oder mehrere Rechte gleichzeitig betreffen. Ein Auskunftsersuchen kann in ein Berichtigungs-, Einschr\u00e4nkungs- oder Widerspruchsersuchen \u00fcbergehen. Ein L\u00f6schungsersuchen kann Fragen zu Aufbewahrungspflichten, laufenden Streitigkeiten oder Sicherheitsprotokollen aufwerfen. Ein Antrag auf Daten\u00fcbertragbarkeit kann mit dem Schutz gesch\u00e4ftsvertraulicher Analysen oder den Rechten Dritter kollidieren. Die Organisation muss dann nicht nur rechtlich korrekt antworten, sondern auch technisch in der Lage sein, das umzusetzen, was zugesagt wird. Andernfalls entsteht eine L\u00fccke zwischen schriftlicher Antwort und operativer Wirklichkeit.<\/p>\n

Im Rahmen des Integrierten Risikomanagements f\u00fcr digitale Kriminalit\u00e4t wird diese Spannung besonders deutlich. Risiken digitaler Kriminalit\u00e4t verlangen schnelle Erkennung, intensive \u00dcberwachung, Datenanalyse und mitunter die l\u00e4ngere Aufbewahrung bestimmter Signale. Gleichzeitig verlangt die Datenschutz-Grundverordnung Datenminimierung, Transparenz, Zweckbindung, Einschr\u00e4nkung der Verarbeitung und die Aus\u00fcbung von Rechten. Diese Anforderungen stehen nicht notwendigerweise im Widerspruch zueinander, sondern verlangen ein sorgf\u00e4ltig strukturiertes Gleichgewicht. Risikomanagement ohne rechtlichen Schutz kann zu \u00fcberm\u00e4\u00dfiger \u00dcberwachung, unzutreffenden Risikoprofilen und unzureichender Erkl\u00e4rbarkeit f\u00fchren. Rechtsschutz ohne Sicherheitsbewusstsein kann Missbrauch von Antragsverfahren, unbefugte Offenlegung von Daten oder die Schw\u00e4chung notwendiger Betrugspr\u00e4vention zur Folge haben. Die Organisation muss daher je Datenkategorie, je Prozess und je Risikosituation bestimmen, welche Verarbeitung erforderlich ist, welche Rechte ausge\u00fcbt werden k\u00f6nnen, welche Einschr\u00e4nkungen gerechtfertigt sind und wie die Abw\u00e4gung dokumentiert wird. Die Spannung zwischen formalen Rechten und praktischer Umsetzbarkeit ist daher kein technisches Detail, sondern eine zentrale Frage des Managements digitaler Integrit\u00e4t.<\/p>\n

Rechte und Herausforderungen als Kern strategischen Managements digitaler Integrit\u00e4t<\/h4>\n

Die Rechte betroffener Personen bilden einen zentralen Bestandteil des strategischen Managements digitaler Integrit\u00e4t, weil sie sichtbar machen, ob eine Organisation personenbezogene Daten tats\u00e4chlich unter Kontrolle hat. Auskunft, Berichtigung, L\u00f6schung, Einschr\u00e4nkung, Daten\u00fcbertragbarkeit, Widerspruch und Schutz vor ausschlie\u00dflich automatisierter Entscheidungsfindung sind eigenst\u00e4ndige Rechte, wirken zusammen jedoch als Pr\u00fcfung der Integrit\u00e4t der gesamten Datenumgebung. Eine Organisation, die diese Rechte wirksam umsetzen kann, zeigt, dass Daten auffindbar sind, Prozesse erkl\u00e4rbar bleiben, Verantwortlichkeiten zugewiesen sind, Systeme kontrollierbar funktionieren und Interessenabw\u00e4gungen rechtlich begr\u00fcndet werden k\u00f6nnen. Eine Organisation, die dazu nicht in der Lage ist, setzt sich nicht nur dem Risiko von Beschwerden, Verfahren oder aufsichtsrechtlichen Ma\u00dfnahmen aus, sondern auch Reputationssch\u00e4den und Vertrauensverlust. Der Kern liegt daher nicht in der blo\u00dfen Existenz eines Datenschutzverfahrens, sondern in der F\u00e4higkeit, individuellen Rechtsschutz mit dem digitalen Tagesgesch\u00e4ft zu verbinden.<\/p>\n

Strategisches Management verlangt, dass die Rechte betroffener Personen nicht isoliert innerhalb einer Rechts- oder Datenschutzfunktion behandelt werden, sondern in Governance, Produktentwicklung, Lieferantenmanagement, Datensteuerung, Informationssicherheit, Incident Response und interne Kontrolle integriert werden. Bei neuen digitalen Prozessen muss im Voraus festgelegt werden, wie Auskunft erteilt wird, wie Berichtigungen Wirkung entfalten, wie L\u00f6schung technisch erm\u00f6glicht wird, wie Einschr\u00e4nkungen der Verarbeitung registriert werden, wie Widerspr\u00fcche bewertet werden und welche Rolle automatisierte Entscheidungsfindung spielt. Werden diese Fragen erst nach Eingang eines Antrags gestellt, besteht ein erhebliches Risiko, dass die Organisation improvisieren muss. Eine belastbare digitale Organisation behandelt Rechte daher als Gestaltungsanforderungen und nicht als nachtr\u00e4gliche Reparaturma\u00dfnahmen. Das bedeutet, dass Systeme, Vertr\u00e4ge, Rollen, Datenmodelle und Berichte von Beginn an ber\u00fccksichtigen m\u00fcssen, wie betroffene Personen ihre Rechte aus\u00fcben k\u00f6nnen.<\/p>\n

Das Integrierte Risikomanagement f\u00fcr digitale Kriminalit\u00e4t bietet hierf\u00fcr einen notwendigen Rahmen, weil Risiken digitaler Kriminalit\u00e4t, Datenschutz und Leitungsverantwortung nicht isoliert gesteuert werden k\u00f6nnen. Dieselben Daten, die f\u00fcr Dienstleistungserbringung, Compliance oder Betrugspr\u00e4vention erforderlich sind, k\u00f6nnen auch zum Ziel von Cyberangriffen, internen Missbrauchsszenarien, Social Engineering oder unbefugten Weiter\u00fcbermittlungen werden. Dieselben Systeme, die effiziente Verarbeitung erm\u00f6glichen, k\u00f6nnen die Aus\u00fcbung von Rechten erschweren, wenn sie nicht hinreichend transparent, schlecht miteinander verbunden oder zu stark von Lieferanten abh\u00e4ngig sind. Dieselben automatisierten Modelle, die Risiken erkennen, k\u00f6nnen rechtlichen Schutz unter Druck setzen, wenn ihre Funktionsweise nicht erkl\u00e4rbar oder korrigierbar ist. Die Datenschutz-Grundverordnung macht damit deutlich, dass digitale Integrit\u00e4t nicht nur aus Sicherheit oder Compliance besteht, sondern aus der F\u00e4higkeit, personenbezogene Daten in einer Weise zu verarbeiten, die \u00fcberpr\u00fcfbar, verh\u00e4ltnism\u00e4\u00dfig, erkl\u00e4rbar und respektvoll bleibt. Die Rechte betroffener Personen sind kein Hindernis f\u00fcr digitale Entwicklung, sondern eine notwendige Voraussetzung f\u00fcr Vertrauen in digitale Systeme.<\/p>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t

\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t
\n\t\t\t
<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\r\n\r\n
\r\n \r\n
\r\n \r\n \n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Pr\u00e4vention\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Erkennung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Untersuchung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Reaktion\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Beratung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Prozessf\u00fchrung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article>\n
\n\n
\n \n \n \n
\n\n
\n\n
\r\n

\r\n \r\n Verhandlung\r\n <\/a>\r\n<\/h2><\/div>\n <\/div>\n\n<\/div>\n\n\n \n <\/div>\n\n<\/article> \r\n \r\n <\/div>\r\n \r\n \r\n<\/div>\r\n\r\n \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Die Datenschutz-Grundverordnung hat den rechtlichen Rahmen f\u00fcr den Schutz personenbezogener Daten nicht nur versch\u00e4rft, sondern zugleich deutlich gemacht, dass digitaler Rechtsschutz erst dann tats\u00e4chliche Bedeutung erlangt, wenn die Rechte der betroffenen Personen praktisch zug\u00e4nglich, verst\u00e4ndlich und durchsetzbar sind. Eine Organisation kann \u00fcber interne Richtlinien, Verzeichnisse, Verfahren und vertragliche Klauseln verf\u00fcgen; wenn die betroffene Person jedoch nicht effektiv feststellen kann, welche personenbezogenen Daten verarbeitet werden, warum diese Verarbeitung erfolgt, wie lange die Daten gespeichert werden, mit welchen Dritten sie geteilt werden und auf welcher Grundlage sie berichtigt, gel\u00f6scht oder eingeschr\u00e4nkt werden k\u00f6nnen, bleibt Datenschutz weitgehend formal. Die Rechte der betroffenen Personen<\/p>\n","protected":false},"author":2,"featured_media":34737,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[184],"tags":[],"class_list":["post-6448","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz-daten-und-cybersicherheit"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/comments?post=6448"}],"version-history":[{"count":24,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6448\/revisions"}],"predecessor-version":[{"id":34785,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/posts\/6448\/revisions\/34785"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/media\/34737"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/media?parent=6448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/categories?post=6448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/de\/wp-json\/wp\/v2\/tags?post=6448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}