Die Personen, von denen Sie Daten erheben, haben bestimmte Rechte, die übrigens mit der DSGVO verstärkt worden sind. Es handelt sich insbesondere um folgende Rechte:
- das Recht auf Information wie oben beschrieben;
- das Auskunftsrecht: das Recht auf Auskunft über seine Daten sowie das Recht, eine Kopie davon zu erhalten;
- das Recht auf Berichtigung: das Recht, die Berichtigung unrichtiger Daten zu verlangen;
- das Recht auf Löschung (das sogenannte „Recht auf Vergessenwerden“): das Recht, unter verschiedenen Umständen vom Verantwortlichen zu verlangen, dass personenbezogene Daten unverzüglich gelöscht werden (z.B. wenn die betroffene Person ihre Einwilligung widerruft, auf die sich die Verarbeitung stützt). Es handelt sich hier aber nicht um ein absolutes Recht. Müssen Daten zum Beispiel aufbewahrt werden, um eine rechtliche Verpflichtung zu erfüllen, so findet das Recht auf Löschung keine Anwendung;
- das Widerspruchsrecht: das Recht, aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten Widerspruch einzulegen, außer der Verantwortliche kann überwiegende, zwingende und schutzwürdige Gründe für die Verarbeitung nachweisen oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, muss man zwei Arten des Versands voneinander unterscheiden.
Wird die Werbung mit der regulären Post verschickt, so sieht die DSGVO vor, dass die betroffene Person jederzeit Widerspruch gegen die Verarbeitung einlegen kann („opt-out“), aber ihre vorherige Zustimmung ist nicht notwendig. Ein Verein kann also Informationsblätter oder Anfragen zu Spenden an seine eigenen Mitglieder per Brief verschicken, sofern die angeschriebenen Personen sich widersetzen können (zum Beispiel indem Sie ihnen einen Antwortschein beilegen oder eine spezielle E-Mail-Adresse, die es ihnen ermöglicht ihr Widerspruchsrecht geltend zu machen).
Sollte die Werbung per E-Mail versandt werden, so appliziert sich weiterhin das abgeänderte luxemburgische Gesetz vom 30. Mai 2005[1] im Bereich der elektronischen Kommunikation. Zwei verschiedene Hypothesen sind dann möglich:
- Hat ein Verein eine E-Mail-Adresse im Rahmen einer bestehenden Beziehung erhalten (z.B. durch den Verkauf einer Mitgliedskarte), so kann diese Adresse zu Werbezwecken benutzt werden ohne vorherige Genehmigung. Im Gegenzug müssen die betroffenen Personen sich jederzeit widersetzen können (und zum Zeitpunkt der Erhebung und bei jeder weiteren Mitteilung über dieses Recht informiert werden);
- Besteht keine Verbindung zwischen dem Verein und einer Person, so muss die Einwilligung vor dem Verschicken der E-Mail eingenommen werden („opt-in“).
Ein Verein muss den betroffenen Personen die Mittel zur Verfügung stellen, um ihre Rechte geltend zu machen. Sollten Sie eine Internetseite haben, so sehen Sie ein spezielles Kontaktformular, eine Telefonnummer oder eine E-Mail-Adresse vor. Bieten Sie ein Online-Konto an, dann geben Sie Ihren Mitgliedern die Möglichkeit, ihre Rechte über ihr Konto auszuüben. Richten Sie interne Prozeduren ein, die es Ihnen erlauben, die Identifikation und Verarbeitung der einzelnen Anfragen in kurz festgelegten Fristen (prinzipiell ein Monat) zu garantieren.
Stellen Sie sicher, dass Sie die Daten nicht länger als nötig aufbewahren. Sollte zum Beispiel ein Mitglied eines Vereins zurücktreten, so sind diese Daten prinzipiell zu löschen.
Die CNPD kann von jeder Person kontaktiert werden, die den Eindruck hat, dass Sie ihre Rechte nicht respektieren.
[1] Abgeändertes Gesetz vom 30. Mai 2005 betreffend die spezifischen Bestimmungen bezüglich des Schutzes der Person bei der Datenverarbeitung auf dem Gebiet der elektronischen Kommunikation und betreffend die Abänderung der Artikel 88-2 und 88-4 der Strafprozessordnung.