Betroffene Personen sind nach Artikel 4 Nummer 1 der Datenschutz-Grundverordnung (DSGVO) identifizierte oder identifizierbare natürliche Personen, deren personenbezogene Daten verarbeitet werden. Eine identifizierbare natürliche Person ist jemand, der direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Betroffene Personen haben nach der DSGVO verschiedene Rechte, um die Kontrolle über ihre Daten zu behalten und deren Schutz zu gewährleisten. Dazu gehören unter anderem das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO), das Recht auf Datenübertragbarkeit (Art. 20 DSGVO) und das Widerspruchsrecht (Art. 21 DSGVO).
Die DSGVO verpflichtet den Verantwortlichen, die Rechte der Betroffenen zu respektieren und Anfragen in Bezug auf diese Rechte ohne unnötige Verzögerung und in jedem Fall innerhalb eines Monats nach Eingang der Anfrage zu beantworten. Dieser Zeitraum kann unter bestimmten Umständen um zwei weitere Monate verlängert werden. Wenn der Verantwortliche die Anfrage eines Betroffenen nicht erfüllen will, muss er den Betroffenen unverzüglich, spätestens aber innerhalb eines Monats nach Eingang der Anfrage, über die Gründe hierfür informieren und ihn auf das Recht auf Beschwerde bei einer Aufsichtsbehörde und auf ein gerichtliches Rechtsbehelfsverfahren hinweisen.
Identifizierte Personen
Identifizierte Personen sind solche, bei denen bereits eine Feststellung der Identität stattgefunden hat, das heißt, es liegen konkrete Informationen vor, die eine natürliche Person eindeutig bestimmen. Beispielsweise könnte eine Person durch ihren Namen, eine eindeutige Kennnummer oder andere spezifische Daten, die nur auf diese eine Person zutreffen, bereits identifiziert sein.
Ein Beispiel für eine identifizierte Person könnte ein Gast sein, der bereits eingecheckt hat und dessen Daten wie Name, Adresse und Ausweisnummer im Reservierungssystem des Hotels gespeichert sind. Diese Informationen ermöglichen es dem Hotel, die Person eindeutig zu identifizieren.
Identifizierbare Personen
Identifizierbare Personen hingegen sind solche, bei denen die Möglichkeit besteht, ihre Identität direkt oder indirekt zu bestimmen. Dies kann durch die Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder durch eines oder mehrere besondere Merkmale geschehen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Eine identifizierbare Person ist also eine Person, die noch nicht eindeutig identifiziert wurde, aber durch vorhandene oder zusätzliche Informationen identifiziert werden könnte.
Ein Beispiel für eine identifizierbare Person könnte ein Nutzer der Hotelwebsite sein, der die Seiten durchstöbert, ohne eine Buchung vorzunehmen oder persönliche Daten anzugeben. Das Hotel könnte jedoch über die IP-Adresse des Nutzers oder über Cookies, die auf dessen Computer gespeichert sind, potenziell die Identität des Nutzers ermitteln, falls zusätzliche Informationen verfügbar werden, die eine Verbindung zwischen den Online-Kennungen und der realen Person herstellen.
Der Unterschied zwischen identifizierten und identifizierbaren Personen liegt also im Grad der Bestimmtheit ihrer Identität. Bei identifizierten Personen ist die Identität bereits festgestellt, während bei identifizierbaren Personen die Identität noch festgestellt werden kann, aber noch nicht festgestellt wurde.