kostenlos starten

Betroffenenrechte in der DSGVO – Überblick und Pflichten

Die DSGVO verankert umfassende Rechte für Personen, deren Daten verarbeitet werden. Diese Betroffenenrechte sichern Transparenz und Kontrolle und verpflichten Unternehmen zu klaren Prozessen. Dieser Artikel gibt einen kompakten, vollständigen Überblick über die Rechte nach Art. 12-22 DSGVO und erläutert die wichtigsten Pflichten, die sich für Unternehmen ergebe

Table of Contents

Das Wichtigste in Kürze

  • Rechtsgrundlage: Art. 12–22 DSGVO
  • Zentrale Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, Rechte bei automatisierten Entscheidungen
  • Antwortfrist: i. d. R. 1 Monat (verlängerbar)
  • Pflichten: Nachweis- und Dokumentationspflichten
  • Ziel: Transparenz & Kontrolle für Betroffene

Was regelt die DSGVO zu Betroffenenrechten?

Die Rechte der betroffenen Personen sind in den Artikeln 12 bis 22 der Datenschutz-Grundverordnung (DSGVO) verankert. Sie basieren auf den Grundprinzipien der Transparenz, Fairness und Kontrolle. Ziel ist es, jeder Person die Kontrolle über die Verarbeitung ihrer personenbezogenen Daten zu geben. Unternehmen sind verpflichtet, diesen Rechten nachzukommen.

Übersicht aller Betroffenenrechte (DSGVO)

Die Betroffenenrechte gelten grundsätzlich für alle Verantwortlichen und alle Datenverarbeitungen. Sie müssen von Unternehmen sachgerecht und fristgemäß bearbeitet werden.

Recht auf Auskunft (Art. 15 DSGVO)

Dies gilt als das Basisrecht oder der Königsanspruch des Datenschutzrechtes. Es ermöglicht es Betroffenen zu erfahren, ob ihre Daten verarbeitet werden, welche Daten dies sind und zu welchem Zweck die Verarbeitung erfolgt. Darüber hinaus muss der Verantwortliche folgende ergänzende Informationen liefern:

  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Darüber hinaus steht der betroffenen Person auch das Recht zu, eine Kopie der verarbeiteten Daten zu erhalten.

Das Kernziel dieses Rechts ist es, Überblick und Transparenz über die Art, den Umfang und den Zweck der Speicherung zu erhalten. Ohne Auskunft könnten die meisten anderen Rechte nicht zielgerichtet ausgeübt werden. Das Auskunftsrecht ist neben dem Recht auf Löschung (Art. 17 DSGVO) das in der Praxis am meisten angewandte Recht.

Hier finden Sie einen Praxisleitfaden zum Umgang mit Auskunftsersuchen. 

Recht auf Berichtigung (Art. 16 DSGVO)

Betroffene können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen. Dies ist entscheidend, um Nachteile durch unkorrekte Daten, beispielsweise bei automatisierten Entscheidungen, zu vermeiden. Ist ein Datensatz unvollständig hat die betroffene Person zudem das Recht, den Datensatz zu vervollständigen.

Recht auf Löschung („Recht auf Vergessenwerden“) (Art. 17 DSGVO)

Dieses Recht verlangt die Entfernung der Daten, wenn der ursprüngliche Zweck der Verarbeitung entfallen ist, also beispielsweise, wenn gesetzliche Aufbewahrungsfristen abgelaufen sind. Gelöscht werden muss allerdings auch, wenn eine Einwilligung widerrufen wurde oder die Daten unrechtmäßig verarbeitet wurden. Dieses Recht sorgt für die Minimierung und Verhältnismäßigkeit der gespeicherten Daten. Eine wichtige Nuance besteht darin, dass der Verantwortliche, der Daten an Dritte weitergegeben hat, angemessene Schritte unternehmen muss, um auch andere Verantwortliche (Dritte) über das Löschersuchen zu informieren, damit diese die Daten ebenfalls löschen können.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

In bestimmten Fällen (z. B. bei Bestreitung der Richtigkeit von Daten) kann die betroffene Person verlangen, dass die Verarbeitung ihrer Daten eingeschränkt wird. Das heißt, dass die betroffenen Datensätze besonders markiert werden müssen. Die Daten dürfen in diesem Fall dann zwar gespeichert, aber nicht weiterverarbeitet werden.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Dieses Recht ist primär auf die digitale Ökonomie zugeschnitten. Es gilt für automatisiert verarbeitete Daten, die auf einer Einwilligung oder einem Vertrag basieren. Betroffene können verlangen, diese Daten in einem gängigen, strukturierten und maschinenlesbaren Format zu erhalten, um sie zu einem anderen Dienstanbieter zu transferieren. Dieses Recht wirkt als Marktöffnungs-Instrument, das den Wechsel zwischen Anbietern erleichtern und den sogenannten Vendor-Lock-in verhindern soll, und sichert damit die Wechselbarkeit und Interoperabilität.

Widerspruchsrecht (Art. 21 DSGVO)

Dieses Recht erlaubt es Betroffenen, der Verarbeitung ihrer Daten zu widersprechen, wenn diese auf der Rechtsgrundlage eines berechtigten Interesses des Verantwortlichen erfolgt (Art. 6 Abs. 1 lit. f DSGVO). Es stellt ein Veto-Recht dar, mit dem der Verarbeitung widersprochen werden kann.

Der Widerspruch ist im Regelfall jedoch nur möglich, wenn sich für die betroffene Person eine besondere Situation darstellt. Nach Rechtsprechung des LG Hamburg ist dies nur bei „atypische[n] Situation etwa rechtlicher, wirtschaftlicher, ethischer, sozialer, gesellschaftlicher und/oder familiärer Natur“ möglich (LG Hamburg ZD 2021, 216 Rn. 16). Der bloße Wunsch der betroffenen Person, dass ihre Daten nicht verarbeitet werden, reicht nach der Rechtsprechung des BGH nicht aus.

Anders verhält es sich jedoch bei Direktwerbung. Hier hat die betroffene Person jederzeit und ohne die Angabe von Gründen das Recht, der Direktwerbung zu widersprechen. Diese darf dann nicht mehr durchgeführt werden.

Automatisierte Entscheidungen inkl. Profiling (Art. 22 DSGVO)

Betroffene haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Pflichten für Unternehmen

Die Umsetzung der Betroffenenrechte stellt Unternehmen vor erhebliche Pflichten:

  • Bearbeitung von Anfragen: Anfragen müssen sachgerecht und fristgemäß bearbeitet werden.
  • Identitätsprüfung und Kommunikation: Die Identität des Anfragenden muss geprüft und eine sichere Kommunikation gewährleistet werden (Achtung: Falsche Auskunft kann eine Datenpanne sein).
  • Dokumentation / Nachweis: Die Bearbeitung jeder Anfrage muss nachweisbar dokumentiert werden (Rechenschaftspflicht).
  • Rollen: Verantwortlicher und ggf. der Datenschutzbeauftragte sind in den Prozess einzubinden.

Fristen, Formate und Nachweise

  • Frist: Die entscheidende operative Pflicht ist die Einhaltung der einmonatigen Regelfrist zur Beantwortung eines Antrags nach den Artikeln 15 bis 22 DSGVO. Diese Frist beginnt, sobald der Antrag beim Verantwortlichen eingegangen ist. Dies impliziert für den Verantwortlichen die Notwendigkeit, schnelle interne Prozesse zur Identifizierung und Datenbeschaffung sicherzustellen.
  • Verlängerung: Zwar besteht die Möglichkeit, die Frist um bis zu zwei weitere Monate zu verlängern, wenn der Antrag besonders komplex ist oder ein hohes Arbeitsaufkommen vorliegt. Der wichtige Punkt ist jedoch: Die Mitteilung und Begründung der Verlängerung muss zwingend innerhalb der ursprünglichen Monatsfrist erfolgen. Dies erfordert die unverzügliche Prüfung der Komplexität und sofortige schriftliche Kommunikation bei Verzögerungen.

    Daraus ergibt sich, dass die Reaktionszeit des Unternehmens auf jeden Fall maximal einen Monat beträgt. Auch wenn die reine Bearbeitung komplizierter Anfragen länger dauern darf, muss die Kommunikationspflicht zur Verzögerung unverzüglich erfüllt werden.
  • Formate: Die Mitteilung muss in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einfacher und klarer Sprache erfolgen. Dies kann schriftlich oder elektronisch geschehen.
  • Kosten: Die Informationen sind grundsätzlich kostenfrei bereitzustellen; bei exzessiven Anträgen kann jedoch eine Gebühr verlangt werden.
  • Nachweis: Unternehmen haben Prozess- und Ergebnisdokumentationen zu führen, um die Einhaltung der Pflichten nachzuweisen.

Konsequenzen bei Nichtbeachtung (für Unternehmen)

Die Missachtung der Betroffenenrechte kann erhebliche Konsequenzen haben:

  • Aufsichtsmaßnahmen: Die Aufsichtsbehörden können Warnungen, Verwarnungen und Anordnungen erlassen (z. B. die Erfüllung eines Betroffenenrechts oder ein Verarbeitungsverbot).
  • Bußgelder: Bei Verstößen gegen Betroffenenrechte drohen Bußgelder von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.
  • Schadensersatz: Betroffene können materiellen und immateriellen Schadensersatz geltend machen (Art. 82 DSGVO), wobei ein tatsächlicher Schaden nachgewiesen werden muss.
  • Datenpanne: Das Versenden einer Auskunft an die falsche Person kann eine meldepflichtige Datenpanne darstellen, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden (Art. 33) und ggf. die Benachrichtigung der Betroffenen (Art. 34) erfordert.
  • Folgekosten & Risiken: Hinzu kommen Prüfaufwände/Audits, Reputationsschäden sowie Mehraufwände in Support und Recht.

Tools & Unterstützung für die Praxis

Unternehmen können Zeit und Fehler sparen, wenn Anfragen standardisiert bearbeitet werden.

  • Workflow für Betroffenenanfragen: Ein vordefinierter Prozess inkl. Zuständigkeiten, Fristen und Nachweisen reduziert Risiko und Aufwand.
  • Dokumentenanonymisierung: Tools zur sicheren Schwärzung/Anonymisierung personenbezogener Daten Dritter vor der Herausgabe von Auskünften sind hilfreich.
  • Effizientes Datenschutzmanagement durch den Einsatz von PLANIT // PRIMA als Datenschutzmanagementsoftware

Fazit: Transparenz als Grundprinzip

Die Betroffenenrechte sind der Kern der DSGVO und dienen dem Grundprinzip der Transparenz. Unternehmen profitieren von klaren Prozessen und Standardantworten, um diese Anfragen rechtskonform zu bewältigen.

Hier geht es weiter zu Praxisleitfaden und Unternehmensumsetzung.

Weitere Beiträge

Betroffenenrechte in der Praxis – Anträge richtig bearbeiten

Unternehmen müssen Anfragen zu Auskunft, Löschung, Widerspruch oder Datenübertragbarkeit fristgerecht, vollständig und nachweisbar beantworten.

Betroffenenrechte im Datenschutzmanagement – So gelingt die Umsetzung in Ihrem Unternehmen

Die Datenschutz-Grundverordnung (DSGVO) stärkt die Rechte betroffener Personen. Es reicht nicht aus, Anfragen von

Betroffenenrechte in der DSGVO – Überblick und Pflichten

Die DSGVO verankert umfassende Rechte für Personen, deren Daten verarbeitet werden. Diese Betroffenenrechte sichern

Was sind Betroffenenrechte? Bedeutung & Überblick

Die Digitalisierung hat die Art und Weise, wie Daten verarbeitet werden revolutioniert. Gleichzeitig wurden

Phishing im Rahmen von Black Friday

Der Black Friday ist für viele Verbraucherinnen und Verbraucher ein Highlight – Unternehmen locken

Auftragsverarbeitungsvertrag (AVV)

Ein Auftragsverarbeitungsvertrag (AVV) ist nach Art. 28 DSGVO Pflicht, sobald ein Unternehmen personenbezogene Daten

Datenschutzbeauftragter Pflicht – Wann ist ein Datenschutzbeauftragter nach DSGVO und BDSG erforderlich?

Datenschutzbeauftragter Pflicht – diese Frage beschäftigt viele Unternehmen seit Inkrafttreten der DSGVO. Nach der

Kosten Datenschutzbeauftragter – Interner vs. Externer DSB im transparenten Kostenvergleich

Wann ist ein Datenschutzbeauftragter verpflichtend? Ein DSB ist erforderlich, wenn u. a.: Er kann

Interner Datenschutzbeauftragter – Aufgaben, Haftung und Herausforderungen nach DSGVO

Ein interner Datenschutzbeauftragter ist für viele Unternehmen ein zentraler Bestandteil der Datenschutzorganisation. Mit Art.

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024