Die Betroffenenrechte nach der DSGVO sind ein zentraler Bestandteil des Datenschutzes. Sie geben jeder betroffenen Person umfassende Kontrolle über ihre personenbezogenen Daten – von der Auskunft bis hin zur Löschung. Für Unternehmen bedeutet das, klare Prozesse und Strukturen einzurichten, um Anfragen rechtssicher und fristgerecht zu beantworten. Wir erklären Ihnen, welche Rechte bestehen, welche Pflichten Unternehmen treffen und wie wir Sie bei der praktischen Umsetzung unterstützen können.
Überblick: Welche Betroffenenrechte gibt es?
Die Betroffenenrechte der DSGVO umfassen eine Reihe von Ansprüchen, die einer betroffenen Person im Rahmen der Datenverarbeitung zustehen. Diese Rechte sollen sicherstellen, dass Daten nicht unkontrolliert verarbeitet werden, sondern jederzeit überprüft, berichtigt oder gelöscht werden können.
Im Folgenden finden Sie eine Übersicht der Betroffenenrechte und der entsprechenden Artikel der DSGVO:
| Betroffenenrecht | Artikel DSGVO | Kurzbeschreibung |
|---|---|---|
| Auskunftsrecht | Art. 15 DSGVO | Die betroffene Person hat das Recht zu erfahren, ob und welche personenbezogenen Daten verarbeitet werden, inkl. Erhalt einer Datenkopie. |
| Recht auf Berichtigung | Art. 16 DSGVO | Unrichtige Daten müssen korrigiert, unvollständige Daten ergänzt werden. |
| Recht auf Löschung („Recht auf Vergessenwerden“) | Art. 17 DSGVO | Personenbezogene Daten sind u.a. zu löschen, wenn sie nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden. |
| Recht auf Einschränkung der Verarbeitung | Art. 18 DSGVO | Daten dürfen nur noch für bestimmte Zwecke verarbeitet, aber nicht zu anderen Zwecken weiterverarbeitet werden (Sperrung). |
| Recht auf Datenübertragbarkeit | Art. 20 DSGVO | Anspruch auf Herausgabe personenbezogener Daten in einem gängigen Format oder Übertragung zu einem anderen Verantwortlichen (digitales Umzugsrecht). |
| Widerspruchsrecht | Art. 21 DSGVO | Die betroffene Person kann der Verarbeitung aus besonderen Gründen widersprechen. |
| Verbot automatisierter Einzelentscheidungen | Art. 22 DSGVO | Schutz vor ausschließlich automatisierten Entscheidungen einschließlich Profiling. |
Grenzen der Betroffenenrechte – Wann Anfragen eingeschränkt werden dürfen
Obwohl die Betroffenenrechte der DSGVO sehr weitreichend sind, gelten sie nicht absolut. Die Verordnung selbst sieht in Art. 23 DSGVO sowie in den einzelnen Artikeln zu den Rechten bestimmte Ausnahmen und Einschränkungen vor. Für Verantwortliche ist es wichtig, diese Grenzen zu kennen, um unberechtigte Anfragen korrekt ablehnen zu können.
Jetzt rechtssicher informieren!Ausnahmen vom Recht auf Löschung (Art. 17 Abs. 3 DSGVO)
Das Recht auf Löschung ist eines der bekanntesten, aber auch eines der am häufigsten eingeschränkten Rechte in der Praxis. Ein Antrag auf Löschung personenbezogener Daten kann beispielsweise abgelehnt werden, wenn die Verarbeitung weiterhin erforderlich ist:
- Zur Erfüllung einer rechtlichen Verpflichtung: Dies ist der häufigste Fall. Gesetzliche Aufbewahrungsfristen (z. B. aus dem Handels- oder Steuerrecht) verpflichten Unternehmen, bestimmte Dokumente wie Rechnungen über Jahre aufzubewahren, auch wenn die betroffene Person deren Löschung verlangt.
- Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen: Wenn die Daten (z.B. Videoüberwachungsdaten und Aufzeichnungen) noch benötigt werden, um rechtliche Ansprüche durchzusetzen oder abzuwehren, dürfen sie weiter gespeichert werden.
- Aus Gründen des öffentlichen Interesses: Dies betrifft vor allem die Bereiche öffentliche Gesundheit, Archivzwecke oder wissenschaftliche und historische Forschungszwecke.
Einschränkungen des Auskunftsrechts (Art. 15 DSGVO)
Auch das Auskunftsrecht kann eingeschränkt werden. Eine der wichtigsten Grenzen ist der Schutz der Rechte und Freiheiten anderer Personen. Ein Unternehmen muss beispielsweise keine Auskunft erteilen, wenn dadurch Geschäftsgeheimnisse oder die personenbezogenen Daten anderer Mitarbeiter offengelegt würden. Eine pauschale Ablehnung ist jedoch nicht zulässig; der Verantwortliche muss immer prüfen, ob Teile der Auskunft dennoch erteilt werden können (z. B. durch Schwärzung von Passagen).
Offensichtlich unbegründete oder exzessive Anträge
Die DSGVO schützt Unternehmen vor rechtsmissbräuchlichen Anfragen. Stellt eine betroffene Person wiederholt und in kurzen Abständen Anträge oder sind diese offensichtlich unbegründet, kann der Verantwortliche entweder eine angemessene Gebühr für den Verwaltungsaufwand verlangen oder die Bearbeitung des Antrags ablehnen. Diese Entscheidung muss er jedoch gut begründen und die betroffene Person darüber informieren, dass sie das Recht auf Beschwerde bei einer Aufsichtsbehörde hat. Hervorzuheben ist allerdings, dass – wie der Europäische Gerichtshof Anfang 2025 in der Rechtssache C-416/23 entschieden hat – die hohe Anzahl von Beschwerden oder Anträgen innerhalb eines bestimmten Zeitraums nicht als (alleiniges) Indiz dafür herangezogen werden, dass es sich um „exzessive Anträge“ handelt. Der Verantwortliche muss in solchen Fällen vielmehr nachweisen, dass das Verhalten der Person tatsächlich missbräuchlich ist. Ob ihm dies gelingt, kommt auf die weiteren Umstände des Einzelfalls an. Die Ablehnung von Anträgen ist daher als Ausnahme zu betrachten und sollte mit dem Datenschutzbeauftragten abgestimmt werden.
Viele Verantwortliche unterschätzen, wie komplex Betroffenenrechte in der Praxis sein können. Eine Anfrage zur Löschung, ein Widerspruch gegen die Verarbeitung oder eine Anfrage zur Datenübertragbarkeit kann schnell zum Stresstest für interne Abläufe werden. Insbesondere, wenn mehrere Betroffenenrechte in einem Antrag geltend gemacht werden, was in der Praxis nicht selten vorkommt. Mit unseren Experten von GDPC stehen Sie nicht allein da: Wir übernehmen die rechtliche und organisatorische Absicherung für Sie.
Die Informationspflicht – Proaktive Transparenz als Grundlage
Neben den reaktiven Rechten, die auf eine Anfrage der betroffenen Person hin erfüllt werden müssen, etabliert die DSGVO eine proaktive Informationspflicht für Verantwortliche (Art. 13 und 14 DSGVO). Sie sorgt für die von der DSGVO geforderte Transparenz (Art. 5 Abs. 1 lit. a DSGVO) und stellt sicher, dass die betroffene Person überhaupt erst in die Lage versetzt wird, ihre Rechte wie Auskunft, Berichtigung oder Widerspruch gegen die Verarbeitung sinnvoll auszuüben.
Information bei Direkterhebung
(Art. 13 DSGVO)
Werden Daten direkt bei der betroffenen Person erhoben, muss der Verantwortliche zum Zeitpunkt der Erhebung transparent über alle wesentlichen Aspekte der Datenverarbeitung informieren. Zu den Pflichtinformationen gehören die Kontaktdaten des Verantwortlichen, die Verarbeitungszwecke und Rechtsgrundlagen, die Speicherdauer und ein klarer Hinweis auf die Betroffenenrechte.
Information, wenn Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO)
Kauft ein Unternehmen Adressdaten oder erhält es personenbezogene Daten von Dritten, gelten erweiterte Informationspflichten. In diesem Fall muss die betroffene Person zusätzlich darüber informiert werden, aus welcher Quelle die Daten stammen und um welche Datenkategorien es sich handelt.
Fristen und Verfahren zur Wahrnehmung von Betroffenenrechten
Die DSGVO schreibt klare Fristen für die Bearbeitung von Betroffenenanfragen vor:
- Grundfrist: Spätestens innerhalb eines Monats nach Eingang des Antrags. Hierbei handelt es sich allerdings um eine sog. „Maximalfrist“, z.B. bei komplexeren Anfragen bzw. Auskünften. Das bedeutet, dass die Bearbeitung immer unverzüglich erfolgen muss und somit im Einzelfall auch eine geringere Frist (z.B. 14 Tage) als unverzüglich und damit als angemessen erachtet werden kann.
- Verlängerung: In sehr komplexen Fällen oder bei nicht vom Unternehmen zu verschuldenden Gründen und unvorhersehbaren Ereignissen (z.B. Krankheit/Abwesenheit des Datenschutzbeauftragten) kann die Frist um weitere zwei Monate verlängert werden, sofern die betroffene Person rechtzeitig informiert und die Verlängerung hinreichend begründet wird.
- Kosten: Die Auskunft muss grundsätzlich unentgeltlich erfolgen. Nur bei offenkundig unbegründeten oder exzessiven Anträgen dürfen Gebühren verlangt werden.
Die Bearbeitung von Betroffenenanfragen muss nicht kompliziert sein – wenn Sie die richtigen Prozesse und Vorlagen zur Hand haben. GDPC begleitet Sie dabei von der Analyse Ihrer Abläufe bis zur rechtssicheren Umsetzung, damit keine Frist versäumt und keine Anfrage unvollständig beantwortet wird. Vertrauen Sie auf unsere Expertise!
Unverbindlich Kontakt aufnehmen
Betroffenenrecht DSGVO – Checkliste für Verantwortliche
GDPC – Ihr Partner für den professionellen Umgang mit Betroffenenrechten nach DSGVO
Die Theorie der Betroffenenrechte zu verstehen, ist die eine Sache. Die Betroffenenanfragen sicher, fristgerecht und DSGVO-konform zu bearbeiten, ist eine ganz andere – und für viele Verantwortliche eine erhebliche Herausforderung. Ein einziger Fehler bei der Identitätsprüfung einer betroffenen Person, eine versäumte Frist oder eine unvollständige Auskunft, z.B. über die konkreten Empfänger der personenbezogenen Daten, kann bereits ausreichen, um eine Beschwerde bei der Aufsichtsbehörde und kostspielige Sanktionen nach sich zu ziehen.
Genau hier setzt die Expertise von GDPC als Ihr externer Datenschutzbeauftragter an. Wir verstehen uns nicht nur als Berater, sondern als Ihr zuverlässiger Partner, der den sicheren Umgang mit Betroffenenrechten nach DSGVO in Ihrem Unternehmen etabliert.
So unterstützen wir Sie:
Etablierung rechtssicherer Prozesse
Wir analysieren Ihre bestehenden Abläufe und entwickeln einen maßgeschneiderten Prozess für die Bearbeitung von Anfragen – von der Identifizierung eines Antrags bis zur dokumentierten Antwort.
Bereitstellung von Vorlagen & Checklisten
Sie erhalten von uns praxiserprobte Vorlagen für Antwortschreiben, Checklisten zur Prüfung von Anträgen auf Löschung und Leitfäden zur Identitätsprüfung, die Ihnen im Ernstfall wertvolle Zeit sparen.
Schulung Ihrer Mitarbeiter
Wir sensibilisieren Ihre Teams, damit Betroffenenanfragen an jeder Schnittstelle im Unternehmen korrekt erkannt und unverzüglich an die zuständige Stelle weitergeleitet werden.
Unterstützung im Einzelfall
Bei komplexen Anfragen, etwa zur Einschränkung des Auskunftsrechts oder bei der Prüfung von Ausnahmen vom Recht auf Löschung, stehen wir Ihnen mit unserer Expertise zur Seite.
Vermeiden Sie Bußgelder und rechtliche Risiken: GDPC sorgt für klare Strukturen beim Umgang mit Betroffenenanfragen. Kontaktieren Sie uns jetzt!
Jetzt beraten lassenBetroffenenrechte DSGVO – Häufig gestellte Fragen
Müssen auch kleine Unternehmen und Vereine die Betroffenenrechte erfüllen?
Ja, die Betroffenenrechte der DSGVO gelten für jeden, der personenbezogene Daten verarbeitet, unabhängig von der Größe des Unternehmens oder der Rechtsform. Ob internationaler Konzern, Handwerksbetrieb oder kleiner Verein – sobald personenbezogene Daten (z. B. von Kunden, Mitgliedern oder Mitarbeitern) verarbeitet werden, müssen auch die Betroffenenrechte vollumfänglich gewährleistet werden.
Müssen auch kleine Unternehmen und Vereine die Betroffenenrechte erfüllen?
Ja, die Betroffenenrechte der DSGVO gelten für jeden, der personenbezogene Daten verarbeitet, unabhängig von der Größe des Unternehmens oder der Rechtsform. Ob internationaler Konzern, Handwerksbetrieb oder kleiner Verein – sobald personenbezogene Daten (z. B. von Kunden, Mitgliedern oder Mitarbeitern) verarbeitet werden, müssen auch die Betroffenenrechte vollumfänglich gewährleistet werden.
Wie schnell müssen Unternehmen auf Anfragen reagieren?
Unternehmen müssen Betroffenenanfragen unverzüglich beantworten, spätestens innerhalb eines Monats nach Eingang. In Ausnahmefällen kann die Frist um zwei weitere Monate verlängert werden. Allerdings gilt dies nur, wenn die betroffene Person rechtzeitig über die Gründe informiert wird.
Darf ein Unternehmen die Auskunft verweigern?
Ja, aber nur beschränkt: Eine Auskunft kann verweigert werden, wenn sie die Rechte und Freiheiten anderer Personen beeinträchtigen würde oder wenn die Anfrage offensichtlich unbegründet oder exzessiv ist. Auch in diesen Fällen muss Ihr Unternehmen die Ablehnung gegenüber dem Betroffenen schriftlich begründen.
Fallen für Betroffene Kosten an?
Grundsätzlich ist die Auskunftserteilung kostenlos. Ihr Unternehmen darf jedoch bei missbräuchlichen, exzessiven oder wiederholten Anträgen eine angemessene Gebühr verlangen. Diese muss sich an den tatsächlichen Verwaltungskosten orientieren.
Was passiert, wenn Ihr Unternehmen Fristen nicht einhält?
Die Nichteinhaltung der gesetzlichen Fristen kann zu erheblichen Bußgeldern durch die Aufsichtsbehörden führen. Außerdem riskieren Sie dadurch Reputationsschäden und Vertrauensverluste sowohl bei Ihren Kunden als auch Geschäftspartnern.
