Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift
Top Themen im Datenschutz:
Cortina Consult
Betroffenenrechte
Datenschutz

Betroffenenrechte gemäß DSGVO

Betroffenenrechte sind zentrale Kontrollinstrumente der DSGVO. Von Auskunft über Löschung bis Datenportabilität – die rechtssichere Bearbeitung erfordert Expertise, die ein externer Datenschutzbeauftragter kostengünstig bereitstellt.

Pauschalpakete
Kostenloser Leitfaden
Abstraktes Sicherheitsmotiv mit Tresor, Datei- und Benutzer-Icons als Darstellung von Datenschutz und digitaler Sicherheit

Was sind Betroffenenrechte?

Betroffenenrechte sind gesetzliche Ansprüche von Personen, deren Daten verarbeitet werden. Sie ermöglichen Kontrolle über die eigenen Daten – von Auskunft über Löschung bis Widerspruch.

Betroffene sind alle Menschen, von denen Sie personenbezogene Daten speichern und verarbeiten. Die DSGVO räumt diesen Personen umfangreiche Rechte ein, mit denen sie entscheiden können, was mit ihren Daten geschieht. Diese Rechte werden als Betroffenenrechte bezeichnet und sind in Artikel 12 ff. DSGVO aufgelistet. Sie dienen den Betroffenen als Steuerungs- und Kontrollelement hinsichtlich der Verarbeitung ihrer personenbezogenen Daten. Der Leitfaden des BfDI zu Betroffenenrechten bietet eine detaillierte behördliche Übersicht zu allen Rechten.

Welche Betroffenenrechte gibt es?

Die DSGVO gewährt acht zentrale Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch, transparente Information und Schutz vor automatisierten Entscheidungen. Alle Anfragen müssen Sie innerhalb eines Monats bearbeiten oder begründet ablehnen.

In vielen Fällen ist die Datenauskunft nur der erste Schritt, weil Betroffene eine bestimmte Absicht mit der Anfrage verbinden. Der Betroffene darf von Ihnen verlangen, die ihn betreffenden Daten umgehend zu berichtigen, zu löschen oder ihre Verarbeitung einzuschränken.

Außerdem darf er Widerspruch gegen die Datenverarbeitung einlegen und sich bei der Aufsichtsbehörde über die Verarbeitung oder unzureichende Auskünfte beschweren.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Recht auf transparente Information und Kommunikation

Wenn Sie personenbezogene Daten erheben möchten, müssen Sie die Betreffenden zuvor ausführlich und leicht verständlich über Art und Zweck der Datenverarbeitung informieren (Art. 13 und 14 DSGVO). Stellen Sie folgende Informationen in schriftlicher oder elektronischer Form zum Zeitpunkt der Datenerhebung bereit:

  • Name und Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke der Verarbeitung und Rechtsgrundlage
  • ggf. berechtigtes Interesse des Verantwortlichen
  • ggf. Empfänger oder Kategorien von Empfängern
  • Absicht der Übermittlung in ein Drittland sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission
  • Dauer der Datenspeicherung
  • Bestehen der Betroffenenrechte
  • Recht auf Widerspruch einer Einwilligung
  • Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
  • Information über mögliche Konsequenzen einer Nichtbereitstellung
  • Bestehen einer automatisierten Entscheidungsfindung
  • Bestehen anderer Zwecke zur Verarbeitung der erhobenen personenbezogenen Daten

Recht auf Auskunft gemäß DSGVO

Der Betroffene kann von Ihnen eine Bestätigung verlangen, ob Sie personenbezogene Daten verarbeiten. Ist dies der Fall, hat die Person das Recht auf Auskunft über die Verarbeitungszwecke, -dauer und Weitergabe an Dritte (Artikel 15 DSGVO).

Welche Informationen stehen Betroffenen zu?

Beantworten Sie bei einer Auskunftsanfrage folgende Fragen:

  • Welche Daten dieser Person aus welchen Kategorien verarbeiten Sie?
  • Woher stammen die Daten, falls nicht vom Betroffenen selbst?
  • Zu welchem Zweck verarbeiten Sie diese Daten?
  • Wer hat diese Daten erhalten oder wird sie künftig erhalten?
  • Befinden sich die Datenempfänger in Drittländern außerhalb der EU?
  • Wie lange beabsichtigen Sie die Daten zu speichern?
  • Findet mit diesen Daten eine automatisierte Verarbeitung statt?

Geben Sie zusätzlich Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters und die Kontaktdaten des zuständigen Datenschutzbeauftragten an.

Recht auf Berichtigung

Stellt der Betroffene aufgrund seiner Anfrage fest, dass Sie falsche oder unvollständige Daten gespeichert haben, kann er die unverzügliche Berichtigung bzw. Ergänzung verlangen (Art. 16 DSGVO). Informieren Sie die Betroffenen umgehend, sobald Sie Daten geändert haben.

Recht auf Widerspruch

Jeder, dessen Daten Sie verarbeiten, hat das Recht, seine Einwilligung in die Datenverarbeitung jederzeit und ohne Begründung zu widerrufen (Art. 21 DSGVO). Sie müssen die Datenverarbeitung bei einem Widerspruch in allen Bereichen sofort und vollständig beenden.

Das Widerspruchsrecht ist eingeschränkt bei:

  • Daten, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden
  • gegenüber öffentlichen Stellen bei einem zwingenden öffentlichen Interesse

Der Betroffene kann auch beauftragen, eine Weiterverarbeitung durch beauftragte Dritte zu unterbinden. Informieren Sie die Betroffenen umgehend, sobald Sie die Verarbeitung beendet haben.

Recht auf Löschung – Das Recht auf Vergessenwerden

Alle Personen, deren Daten Sie verarbeiten, dürfen verlangen, dass Sie diese Daten löschen, sobald der Zweck erfüllt ist (Art. 17 DSGVO). Dieses Recht wird auch das „Recht auf Vergessenwerden“ genannt.

Löschen Sie Daten, wenn:

  • Sie diese unrechtmäßig erfasst haben
  • die Frist für ihre Speicherung abgelaufen ist
  • sich der Zweck der Datenerfassung geändert hat
  • der Zweck erfüllt ist
  • die Löschung zur Einhaltung von Gesetzen erforderlich ist
  • Sie die Daten erfasst haben, als die Person minderjährig war
  • der Betroffene die Löschung verlangt

Achtung: Als Datenschutzverantwortlicher müssen Sie bei allen genannten Punkten außer dem letzten selbst darauf achten, dass Sie Daten zeitnah löschen. Es handelt sich hierbei nicht um eine Löschung nur auf Antrag! Stellen Sie sicher, dass Sie alle gesammelten und verteilten personenbezogenen Daten löschen – auch jene von Drittparteien.

Wichtig: Das Recht auf Vergessenwerden gilt nur innerhalb der Europäischen Union.

Leitfaden: Betroffenenanfragen

Erfüllen Sie die Monatsfrist nach Art. 12 DSGVO zuverlässig – mit dem Leitfaden zur rechtssicheren Bearbeitung aller Betroffenenrechte inkl. Ausnahmenprüfung und Verschlüsselungsanforderungen, kostenlos als Download.

PDF herunterladen
Grafik eines PDFs mit einer Checkliste und einem Download-Symbol darunter

Recht auf Datenübertragbarkeit

Der Betroffene hat Anrecht auf eine vollständige Kopie der vorliegenden personenbezogenen Daten und kann diese anderen Verantwortlichen übermitteln – auch maschinell (Art. 20 DSGVO). Wählen Sie hierzu ein übliches maschinenlesbares Format, etwa eine .csv-Datei. Der Betroffene kann die Daten auch direkt an einen von ihm beauftragten Dritten übermitteln lassen.

Hiermit soll der Wechsel beispielsweise zwischen Plattformen erleichtert werden. Für die direkte Übermittlung an einen Dritten muss die Verarbeitung auf einem Vertrag oder einer Einwilligung beruhen.

Recht auf Einschränkung der Verarbeitung

Der Betroffene hat das Recht, von Ihnen die Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO), wenn eine der folgenden Voraussetzungen gegeben ist:

  • Die Richtigkeit der personenbezogenen Daten wird bestritten, und zwar für eine Dauer, die Ihnen ermöglicht, die Richtigkeit zu überprüfen
  • Die Verarbeitung ist unrechtmäßig und die betroffene Person verlangt statt einer Löschung die Einschränkung
  • Sie benötigen die Daten nicht länger für die ursprünglichen Zwecke, der Betroffene benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
  • Die betroffene Person hat Widerspruch eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe überwiegen

In diesen Fällen dürfen Sie Daten nur begrenzt verarbeiten, aber noch speichern. Informieren Sie die Betroffenen, sobald Sie die Verarbeitung eingeschränkt haben. Sollten Sie die Einschränkung später aufheben, müssen Sie den Betroffenen vorab informieren.

Recht auf Beschwerde bei der Aufsichtsbehörde

Wenn der Betroffene den Eindruck gewinnt, dass Sie Daten nicht DSGVO-konform verarbeiten, hat er das Recht, sich bei der Aufsichtsbehörde zu beschweren. Aus diesem Grund müssen Sie auf Ihrer Website die zuständige Aufsichtsbehörde angeben.

Außerdem kann ein hohes Bußgeld gegen Ihr Unternehmen verhängt werden, wenn Sie Betroffenenanfragen ignorieren oder zu spät beantworten. Die Aufsichtsbehörde muss in jedem Fall tätig werden, wenn sich ein Betroffener wendet (Artikel 57 Absatz 1f DSGVO).

Art. 22 DSGVO: Automatisierte Entscheidung im Einzelfall

Ein besonderes Recht ist jenes auf Unbetroffenheit von maschinellen Entscheidungsprozessen. Hinter dieser Formulierung verbirgt sich die „Entscheidungsfindung allein auf Basis von Datenauswertungen“, etwa durch künstliche Intelligenz generiert aus Nutzerprofilen.

Die Vorschrift verbietet es, ausschließlich automatisierte Verarbeitungsprozesse zur Entscheidungsgrundlage für die Begründung oder Ablehnung rechtlicher Beziehungen zu machen. Dies betrifft etwa das Profiling und die vollautomatisierte Kreditwürdigkeitsbeurteilung.

Rein maschinell basierten Entscheidungen, die ihn persönlich oder rechtlich erheblich beeinträchtigen, kann der Betroffene anfechten.

Dieses Recht entfällt, wenn die Entscheidung:

  • für den Abschluss oder die Erfüllung eines Vertrags notwendig ist
  • aufgrund bestehender Rechtsvorschriften zulässig ist
  • mit expliziter Zustimmung der betroffenen Person erfolgt

Welche Ausnahmen von Betroffenenrechten gibt es?

Betroffenenrechte sind nicht absolut. Gesetzliche Aufbewahrungsfristen, öffentliche Sicherheit und Forschungszwecke können Ausnahmen rechtfertigen.

Ausnahmen vom Recht auf transparente Information

Das Recht auf transparente Information greift nicht, wenn:

  • die Aufgabenerfüllung einer öffentlichen Stelle gefährdet wird
  • damit eine Gefährdung der öffentlichen Sicherheit und Ordnung verbunden ist
  • die Betroffenen bereits über die Informationen verfügen
  • die Informationen mit Forschung, Wissenschaft oder Archiven verbunden sind
  • es sich um allgemein anerkannte Geheimnisse Dritter handelt
  • eine Übermittlung an eine Sicherheitsbehörde erfolgt
  • es mit einem unverhältnismäßigen Aufwand verbunden ist
  • die Übermittlung an eine öffentliche Stelle gefährdet wird
  • Ansprüche geltend gemacht werden
  • die vertragliche oder gesetzliche Aufbewahrungspflicht gilt
  • andere Rechtsvorschriften greifen

Ausnahmen vom Recht auf Löschung

Das Recht auf Löschung ist ausgesetzt, sofern gesetzliche Aufbewahrungsfristen bestehen oder wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. In diesen Fällen kann der Betroffene aber die weitere Verarbeitung beschränken. Auch bei öffentlichem Interesse im Bereich der öffentlichen Gesundheit, Archiv-, Forschungs- und Statistikzwecken können Sie die Löschung verweigern. Informieren Sie die Betroffenen umgehend, sobald Sie Daten gelöscht haben.

Tipp: Stellen Sie bereits im Vorhinein ein detailliertes Löschkonzept auf, damit Sie Löschungen zuverlässig, vollständig und schnellstmöglich durchführen können.

Ausnahmen vom Recht auf Einschränkung der Verarbeitung

  • Im Bereich der Forschung und Statistik, wenn eine Einschränkung den ursprünglichen Zweck unmöglich machen würde
  • Betroffenen steht kein Einschränkungsrecht zu, wenn dadurch Archivzwecke ernsthaft beeinträchtigt würden. Ausnahme ist ein Verlangen auf Einschränkung, um eigene Ansprüche geltend zu machen

Wie sieht eine Betroffenenanfrage aus?

Betroffene brauchen die Anfrage nicht zu begründen und müssen nicht in irgendeiner Beziehung zu Ihrem Unternehmen stehen. Sie müssen diese Anfrage wahrheitsgemäß beantworten. Liegen keine Daten vor oder haben Sie diese unumkehrbar anonymisiert, erteilen Sie eine Negativauskunft.

Der Fragesteller darf seine Anfrage formlos und auf jedem beliebigen Weg stellen. Er braucht sich weder auf die DSGVO zu beziehen noch das Wort „Betroffenenanfrage“ oder „Auskunftsersuchen“ zu verwenden.

Schon die einfache Frage „Woher haben Sie meine Daten?“ oder „Ich habe eine Frage zum Datenschutz“ kann eine Betroffenenanfrage sein. Auch eine Beschwerde über unerwünschte Werbung, Anrufe oder Spam oder der Wunsch nach Dateneinsicht kann eine Betroffenenanfrage darstellen.

Wer ist für Betroffenenrechte zuständig? Verantwortlicher vs. Datenschutzbeauftragter

Gemäß Artikel 12 Abs. 1 DSGVO muss der Verantwortliche geeignete Maßnahmen ergreifen, um die angeforderten Informationen zu übermitteln.

Dabei muss es sich bei dieser Person nicht um eine interne Person handeln. Sie haben die Möglichkeit, einen externen Datenschutzbeauftragten als Dienstleister in Anspruch zu nehmen. Beachten Sie jedoch, dass der Verantwortliche derjenige bleibt, der die Informationen zusammenträgt und die Betroffenenanfrage beantwortet.

Was ist bei der Umsetzung von Betroffenenrechten zu beachten?

Beim Umgang mit Betroffenenanfragen müssen Sie bestimmte formale Voraussetzungen einhalten: Form, Frist, Identitätsprüfung und Kostenfreiheit.

Grafische Übersicht zum Auskunftsprozess nach DSGVO mit Schritten wie Relevanzprüfung, Datenzusammenstellung und Bereitstellung

Form- und fristgerechte Beantwortung

DSGVO Art. 12 sieht vor, dass Sie die relevanten Informationen in präziser, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache übermitteln. Dies kann entweder schriftlich oder elektronisch erfolgen. Sie müssen die Betroffenenanfrage unverzüglich, aber spätestens innerhalb eines Monats bearbeiten.

Eine Fristverlängerung von zwei Monaten ist unter bestimmten Umständen möglich. Teilen Sie diese Verlängerung der betroffenen Person rechtzeitig mit. Eine Zustimmung ist nicht erforderlich.

Der konkrete Wortlaut im Gesetz lautet: „Der Verantwortliche stellt der betroffenen Person Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.“

Hinweis: Die Frist von einem Monat läuft ab dem Eingangstag der Anfrage. Stellen Sie eine redundante Auskunftserteilungsmöglichkeit sicher, denn Krankheit oder Urlaub des Datenschutzbeauftragten werden als Begründung für eine verspätete Antwort nicht akzeptiert.

Identitätsprüfung bei Betroffenenanfragen

Sollten Sie Zweifel an der Identität des Betroffenen hegen oder nicht in der Lage sein, diesen zu identifizieren, ist ein Identitätsnachweis erforderlich. Bieten Sie der betroffenen Person dabei verschiedene Möglichkeiten an.

Beim Vorlegen eines Personalausweises müssen Sie darauf achten, dass bis auf Namen, Anschrift, Geburtsdatum und Gültigkeitsdauer alle sonstigen Daten geschwärzt werden. Sollte die betroffene Person dem nicht nachkommen und keinen Nachweis vorlegen, können Sie gemäß Artikel 12 Abs. 2 DSGVO die Tätigkeit zur Betroffenenanfrage einstellen.

Datenschutzberatung anfragen

Eine umfassende Beratung zu allen Themen rund um die DSGVO aus einer Hand, damit Sie gesetzliche Anforderungen effizient umsetzen und Ihre Daten sicher verwalten können.

Beratung anfragen
Beratung

Wer kann Betroffenenrechte geltend machen?

Nach Artikel 15 der DSGVO haben alle Menschen, deren Daten Sie verarbeiten, das Recht auf Auskunft. Diese Auskünfte müssen Sie unverzüglich, mindestens aber innerhalb einer angemessenen Frist (üblicherweise maximal einem Monat) erteilen.

Bei den Betroffenen kann es sich sowohl um Kunden, Besucher Ihrer Unternehmenswebsite als auch um Mitarbeiter und Lieferanten handeln. All diese Personengruppen sind berechtigt, eine Betroffenenanfrage zu stellen.

Wie muss die Auskunft erfolgen?

Sie müssen die Antwort in verständlicher Form, präzise und transparent geben (einfache und klare Sprache, wenig Fachausdrücke, keine Fachkenntnisse voraussetzen) und für den Fragesteller leicht technisch zugänglich sein.

Um die Beantwortung zu dokumentieren, sollten Sie immer einen schriftlichen Antwortweg wählen. Die DSGVO sieht vor, dass Sie elektronisch gestellte Anfragen auch elektronisch beantworten.

Die Auskunft muss kostenlos sein

Diese Auskunft müssen Sie für den Anfragenden kostenlos erteilen. Nur zusätzliche Kopien dürfen Sie eventuell in Rechnung stellen. Falls Sie über sehr große Datenmengen verfügen, dürfen Sie eine Präzisierung der Anfrage verlangen.

Der Betroffene darf diese Anfrage in „angemessenen Zeitabständen“ wiederholen, ohne dass Sie Aufwendungen abrechnen dürften. Welche Zeiträume hierbei angemessen sind, werden die Gerichte klären.

Generell haben Sie nur wenige Möglichkeiten, die Auskunft einzuschränken – hier könnten nur die Wahrung der Rechte anderer Personen oder Geschäftsgeheimnisse eine Rolle spielen.

Wichtig: Sollte es in Ihrem Unternehmen zu einer Datenschutzpanne gekommen sein, durch die Daten in falsche Hände oder die Öffentlichkeit geraten sind, müssen Sie die Betroffenen über das Datenleck informieren, wenn ein hohes Risiko besteht (Artikel 34 DSGVO).

Hierzu müssen Sie eine Risikoabwägung und eine Datenschutz-Folgenabschätzung vornehmen. In Fällen mit hohem Risiko kann auch die Aufsichtsbehörde fordern, dass Sie die Betroffenen informieren.

In 7 Schritten zur DSGVO-konformen Datenauskunft

Eine unzureichende Beantwortung von Betroffenenanfragen kann eine Beschwerde bei der Aufsichtsbehörde nach sich ziehen. Stellen Sie daher sicher, dass Ihre Dokumentation vollständig ist, bevor Anfragen eintreffen. Die Datenauskunft und die daraus folgenden Schritte sollten Sie immer und ausschließlich vom Datenschutzbeauftragten durchführen lassen und nicht etwa „kurz mal nebenbei“ vom Kundendienst.

Zum einen fühlt sich der Betroffene ernster genommen und gewinnt einen professionelleren Eindruck, wenn ein Experte das Anliegen bearbeitet. Zum anderen haben Kundendienstmitarbeiter nicht die Befugnisse und Möglichkeiten, in sämtliche Systeme einzugreifen. Ein Datenschutzkoordinator kann als interne Schnittstelle zwischen Fachbereichen und Datenschutzbeauftragtem fungieren.

Eine unvollständige Datenauskunft oder eine nicht vollständige Löschung von Daten kann zur Anzeige bei den Aufsichtsbehörden führen. Für die Erfassung einer Datenschutzanfrage empfiehlt sich ein Ticketsystem, in dem Sie die einzelnen Bearbeitungsschritte mit Zeitstempel versehen und gut dokumentierbar nachverfolgen können.

Betroffenenanfragen digital bearbeiten

Bearbeiten Sie Betroffenenanfragen nach Art. 15-22 DSGVO strukturiert und revisionssicher – mit automatischer Fristenkontrolle und lückenloser Dokumentation.

Zur Betroffenenanfrage
Visualisierung des Compliance Hub mit Icons für Analysen, Checklisten und Dateien, verbunden durch digitale Linien als Symbol für automatisierte Prozesse

1. Leiten Sie die Anfrage an den Datenschutzbeauftragten weiter

Vermerken Sie den Eingangszeitpunkt (Fristberechnung) der Anfrage. In Konzernen ist diejenige Gesellschaft zuständig, die die Datenverarbeitung tatsächlich vornimmt. Wenn Sie Auftragsverarbeiter sind, leiten Sie die Anfrage umgehend an den Verantwortlichen weiter.

2. Bestätigen Sie dem Fragesteller den Eingang seiner Anfrage

Nutzen Sie dafür den Kommunikationsweg, den der Fragesteller gewählt hat, und dokumentieren Sie diese Bestätigung.

3. Überprüfen Sie die Identität des Fragestellers

Da Sie die Auskunft nur dem Betroffenen selbst oder einer von ihm bevollmächtigten Person erteilen dürfen, müssen Sie zunächst überprüfen, ob der Fragende tatsächlich der Betroffene ist. Nutzen Sie zusätzliche Identifizierungsmerkmale wie Geburtsdatum, Anschrift oder Kundennummer oder lassen Sie sich den Personalausweis vorlegen, insbesondere bei besonders schützenswerten Daten.

4. Stellen Sie innerhalb von maximal drei Wochen die Unterlagen zusammen

Eine Betroffenenauskunft umfasst auf Verlangen eine Kopie aller personenbezogenen Daten, die Sie besitzen, samt den Antworten auf die genannten Fragen. Kopieren Sie ALLE Daten über diese Person samt allen Verarbeitungsvorgängen aus allen Datenverarbeitungsprogrammen. Sollten in diesen Unterlagen auch personenbezogene Informationen zu anderen Personen oder zu Geschäftsgeheimnissen enthalten sein, machen Sie diese unkenntlich.

5. Prüfen Sie, ob die ermittelten Daten sich wirklich auf den Anfrager beziehen

In diesem Schritt sollten Sie beispielsweise Namensgleichheiten ausschließen.

6. Beantworten Sie die Anfrage wahrheitsgemäß

Nutzen Sie für die Auskunft und die Übermittlung ein sicheres Verfahren. Wenn Sie elektronische Auskünfte versenden möchten, verschlüsseln Sie die entsprechende E-Mail und alle Anlagen. Bei großen Datenmengen kann auch ein verschlüsselter Datenträger oder eine abgesicherte Datenverbindung infrage kommen. Eine mündliche Auskunft ist möglich, wenn Sie die Identität geprüft haben, allerdings ist die Dokumentation schwierig.

7. Dokumentieren Sie Schritte 1-6

Je nach Dokumentationssystem kann dies elektronisch oder per Datenschutzordner geschehen. Entwickeln Sie ein transparentes Widerspruchssystem, bei dem der Nutzer entweder im Kundenkonto oder per Formular/E-Mail der Nutzung seiner Daten für Werbezwecke leicht widersprechen kann. Weisen Sie den Kunden bereits darauf hin, wenn Sie seine Daten erheben.

Häufig gestellte Fragen zu Betroffenenrechten

Wie lange hat ein Unternehmen Zeit, eine Auskunft zu erteilen?

Sie müssen Betroffenenanfragen unverzüglich, spätestens aber innerhalb eines Monats ab Eingang beantworten. Eine Verlängerung um zwei weitere Monate ist möglich, wenn die Komplexität oder die Anzahl der Anfragen dies erfordert. Sie müssen den Betroffenen über die Verlängerung und die Gründe innerhalb des ersten Monats informieren.

Muss eine Datenauskunft kostenlos sein?

Ja, die erste Auskunft müssen Sie kostenlos erteilen. Nur bei offensichtlich unbegründeten oder exzessiven Anfragen oder bei zusätzlichen Kopien dürfen Sie ein angemessenes Entgelt verlangen (Art. 12 Abs. 5 DSGVO).

Kann ich als Betroffener Schadensersatz verlangen?

Ja, wenn Ihnen durch eine Verletzung der DSGVO ein materieller oder immaterieller Schaden entstanden ist, haben Sie Anspruch auf Schadensersatz (Art. 82 DSGVO). Der Verantwortliche oder Auftragsverarbeiter haftet für den Schaden, es sei denn, er kann nachweisen, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Was passiert, wenn ein Unternehmen Betroffenenanfragen ignoriert?

Ignorieren Sie Betroffenenanfragen oder beantworten Sie diese zu spät, kann die Aufsichtsbehörde ein Bußgeld verhängen. Verstöße gegen Betroffenenrechte können mit bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden (Artikel 83 Abs. 5 DSGVO). Außerdem kann der Betroffene sich bei der Aufsichtsbehörde beschweren.

Nach der Beantwortung dieser kritischen Compliance-Fragen empfiehlt sich ein Datenschutzaudit, um sicherzustellen, dass Ihre Prozesse DSGVO-konform sind.

Gilt das Recht auf Vergessenwerden weltweit?

Nein, das Recht auf Vergessenwerden gilt nur innerhalb der Europäischen Union. Datenverarbeitungen außerhalb der EU fallen nicht unter die DSGVO, sofern kein Niederlassungs- oder Marktortprinzip greift.

Beitrag aktualisiert am 13. Februar 2026 – Geprüft durch Datenschutzbeauftragter Jörg ter Beek
Sie suchen einen externen DSB?

Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive

ab 125€ / pro Monat
  • Stellung des TÜV-zertifizierten DSB
  • Datenschutzmanagementsystem
  • E-Learning für Mitarbeitende
  • Persönlicher Ansprechpartner
  • Website & Social Media Monitoring
Angebot berechnen
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult im Datenschutz

Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung und Skalierbarkeit garantiert
Pauschalpakete entdecken
Datenschutz
Jörg ter Beek
Autor dieses Artikels:
Jörg ter Beek
CEO & Datenschutzbeauftragter bei Cortina Consult
Zum Autorenprofil
Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO
+49 251 95 20 37 - 40
jtb@cortina-consult.de

Unsere Lösungen