Betroffenenrechte nach DSGVO

Die Rechte betroffener Personen nach DSGVO

Die Datenschutz-Grundverordnung (DSGVO) gewährt betroffenen Personen in den Artikeln 15 bis 22 umfassende Rechte. Diese Betroffenenrechte bilden einen Kernbestandteil des europäischen Datenschutzes und verpflichten Unternehmen, transparente Prozesse zur Bearbeitung von Anfragen einzurichten. Jede Organisation, die personenbezogene Daten verarbeitet, muss diese Rechte kennen und fristgerecht erfüllen können.

Auskunftsrecht (Art. 15 DSGVO)

Das Auskunftsrecht ist das am häufigsten ausgeübte Betroffenenrecht. Jede Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, besteht ein Recht auf Auskunft über:

• Die Verarbeitungszwecke
• Die Kategorien personenbezogener Daten
• Die Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben wurden oder werden
• Die geplante Speicherdauer oder die Kriterien für die Festlegung der Dauer
• Das Bestehen weiterer Rechte (Berichtigung, Löschung, Einschränkung, Widerspruch)
• Das Beschwerderecht bei einer Aufsichtsbehörde
• Informationen über die Herkunft der Daten, wenn sie nicht direkt beim Betroffenen erhoben wurden
• Informationen über automatisierte Entscheidungsfindung einschließlich Profiling

Zusätzlich muss der Verantwortliche eine Kopie der personenbezogenen Daten kostenlos bereitstellen. Bei offenkundig unbegründeten oder exzessiven Anträgen kann ein angemessenes Entgelt verlangt oder die Bearbeitung verweigert werden.

Recht auf Berichtigung (Art. 16 DSGVO)

Betroffene Personen haben das Recht, die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung kann auch die Vervollständigung unvollständiger Daten verlangt werden — etwa durch eine ergänzende Erklärung.

Unternehmen müssen sicherstellen, dass berichtigte Daten auch an alle Empfänger weitergegeben werden, denen die Daten zuvor übermittelt wurden (Art. 19 DSGVO).

Recht auf Löschung — Recht auf Vergessenwerden (Art. 17 DSGVO)

Das Recht auf Löschung verpflichtet den Verantwortlichen, personenbezogene Daten unverzüglich zu löschen, wenn einer der folgenden Gründe zutrifft:

• Die Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig.
• Die Einwilligung wird widerrufen und es gibt keine andere Rechtsgrundlage.
• Die betroffene Person legt Widerspruch ein und es liegen keine vorrangigen Gründe vor.
• Die Daten wurden unrechtmäßig verarbeitet.
• Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
• Die Daten wurden in Bezug auf Dienste der Informationsgesellschaft eines Kindes erhoben.

Das Recht auf Vergessenwerden geht weiter: Hat der Verantwortliche die Daten öffentlich gemacht, muss er angemessene Maßnahmen treffen, um andere Verantwortliche über den Löschantrag zu informieren.

Ausnahmen bestehen unter anderem bei der Ausübung der Meinungsfreiheit, zur Erfüllung rechtlicher Verpflichtungen, aus Gründen des öffentlichen Interesses im Bereich der Gesundheit oder zur Geltendmachung von Rechtsansprüchen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Betroffene können die Einschränkung der Verarbeitung verlangen, wenn:

• Die Richtigkeit der Daten bestritten wird — für die Dauer der Überprüfung.
• Die Verarbeitung unrechtmäßig ist, die betroffene Person aber statt Löschung die Einschränkung verlangt.
• Der Verantwortliche die Daten nicht mehr benötigt, die betroffene Person sie aber zur Geltendmachung von Rechtsansprüchen braucht.
• Die betroffene Person Widerspruch eingelegt hat — solange noch nicht feststeht, ob die Gründe des Verantwortlichen überwiegen.

Eingeschränkte Daten dürfen — mit Ausnahme der Speicherung — nur noch mit Einwilligung oder zur Geltendmachung von Rechtsansprüchen verarbeitet werden.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Betroffene Personen haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln. Dieses Recht gilt, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt.

Soweit technisch machbar, kann die betroffene Person verlangen, dass die Daten direkt von einem Verantwortlichen an einen anderen übermittelt werden. Gängige Formate sind JSON, CSV oder XML.

Widerspruchsrecht (Art. 21 DSGVO)

Das Widerspruchsrecht erlaubt es betroffenen Personen, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Widerspruch einzulegen, wenn die Verarbeitung auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f) oder öffentlichem Interesse (Art. 6 Abs. 1 lit. e) beruht.

Besonders wichtig: Bei Direktwerbung besteht ein uneingeschränktes Widerspruchsrecht — der Verantwortliche muss die Verarbeitung in jedem Fall einstellen. Auf dieses Recht muss spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich hingewiesen werden.

Automatisierte Entscheidungen und Profiling (Art. 22 DSGVO)

Betroffene Personen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Ausnahmen bestehen, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, durch Rechtsvorschriften zugelassen ist oder mit ausdrücklicher Einwilligung erfolgt. In diesen Fällen muss der Verantwortliche angemessene Maßnahmen zum Schutz der Rechte treffen — mindestens das Recht auf Erwirkung des Eingreifens einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung.

Die 1-Monats-Frist und der DSAR-Prozess

Gemäß Art. 12 Abs. 3 DSGVO muss der Verantwortliche Anfragen betroffener Personen unverzüglich, spätestens innerhalb eines Monats beantworten. Diese Frist kann bei komplexen Anfragen oder einer großen Anzahl von Anfragen um weitere zwei Monate verlängert werden — der Betroffene muss jedoch innerhalb des ersten Monats über die Fristverlängerung informiert werden.

DSAR-Prozess (Data Subject Access Request)

Ein strukturierter DSAR-Prozess ist für die fristgerechte Bearbeitung unerlässlich:

• Eingang und Registrierung — Zentrale Erfassung aller Anfragen mit Eingangsdatum und Fristberechnung.
• Identitätsprüfung — Sicherstellung, dass der Antragsteller tatsächlich die betroffene Person ist.
• Datenermittlung — Identifikation aller relevanten Systeme und Datenquellen.
• Prüfung und Aufbereitung — Zusammenstellung der Daten unter Wahrung der Rechte Dritter.
• Antwort und Dokumentation — Fristgerechte Übermittlung und lückenlose Dokumentation des gesamten Vorgangs.

Kosten und Formvorschriften

Die Bearbeitung von Betroffenenanfragen ist grundsätzlich kostenlos. Anfragen können formfrei gestellt werden — mündlich, schriftlich oder elektronisch. Der Verantwortliche muss die Antwort in einer klaren und einfachen Sprache erteilen. Wird die Anfrage elektronisch gestellt, sollte die Antwort nach Möglichkeit ebenfalls elektronisch erfolgen.

Praxistipps für Unternehmen

• Richten Sie einen zentralen Kanal für Betroffenenanfragen ein (z. B. datenschutz@unternehmen.de).
• Schulen Sie Mitarbeiter, die Anfragen erkennen und weiterleiten müssen.
• Dokumentieren Sie jeden Vorgang lückenlos — von Eingang bis Antwort.
• Automatisieren Sie den DSAR-Prozess mit geeigneten Tools, um Fristen einzuhalten.
• Prüfen Sie regelmäßig, ob Ihre Prozesse den aktuellen Anforderungen entsprechen.

Betroffenenrechte und Auftragsverarbeitung

Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen. Betroffene richten ihre Anfragen in der Regel an den Verantwortlichen. Der Auftragsverarbeiter muss den Verantwortlichen jedoch bei der Erfüllung der Betroffenenrechte unterstützen — dies ist im Auftragsverarbeitungsvertrag (AVV) vertraglich zu regeln.