BAllgemein
Betroffenenrechte (Auskunft, Löschung, Berichtigung, Widerspruch)
DSGVO-Rechte von Personen; Unternehmen brauchen Prozesse und Fristenkontrolle.
1 AufrufeBetroffenenrechte sind die in der DSGVO verankerten Rechte von Personen (z. B. Kund:innen, Mitarbeitenden), die es ihnen ermöglichen, Kontrolle über ihre personenbezogenen Daten auszuüben – insbesondere Auskunft, Berichtigung, Löschung und Widerspruch. Für Unternehmen bedeutet das: Anfragen müssen sicher identifiziert, fristgerecht bearbeitet, dokumentiert und technisch-organisatorisch unterstützt werden.
Was umfasst das konkret?
- Auskunft (Art. 15 DSGVO): Betroffene können eine Kopie ihrer personenbezogenen Daten sowie Informationen zu Zweck, Kategorien, Empfängern, Speicherdauer, Herkunft und Rechten verlangen.
- Berichtigung (Art. 16 DSGVO): Falsche oder unvollständige Daten müssen korrigiert bzw. vervollständigt werden (z. B. falsche Adresse im CRM).
- Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO): Daten sind zu löschen, wenn sie nicht mehr erforderlich sind, eine Einwilligung widerrufen wurde oder unrechtmäßig verarbeitet wurde – sofern keine Aufbewahrungspflichten (z. B. Steuerrecht) entgegenstehen.
- Widerspruch (Art. 21 DSGVO): Gegen Verarbeitungen auf Basis „berechtigter Interessen“ kann widersprochen werden; bei Direktwerbung muss die Verarbeitung dafür in der Regel sofort beendet werden.
Wie funktioniert die Umsetzung im KMU (Praxis-Prozess)?
- 1) Eingangskanal festlegen: z. B. datenschutz@… und ein Webformular; Zuständigkeiten (Vertretung!) definieren.
- 2) Identität prüfen: risikobasiert (z. B. Rückfrage über bekannte Kontaktdaten, Ausweiskopie nur wenn nötig). Ziel: keine Daten an Unbefugte herausgeben.
- 3) Anfrage klassifizieren: Auskunft, Löschung, Berichtigung, Widerspruch – und welche Systeme betroffen sind (E-Mail, CRM, Buchhaltung, Support-Tool, HR).
- 4) Daten finden & bewerten: Datenquellen über Dateninventar/Verzeichnis der Verarbeitungstätigkeiten abgleichen; prüfen, ob Ausnahmen gelten (z. B. gesetzliche Aufbewahrung, laufende Verträge, Rechtsansprüche).
- 5) Umsetzen & antworten: Daten bereitstellen/ändern/löschen bzw. Verarbeitung einschränken; Betroffene verständlich informieren.
- 6) Dokumentieren: Ticket, Fristen, Entscheidung, Nachweise (Audit-Trail) – wichtig für Rechenschaftspflicht.
Fristen, Kosten und typische Stolperfallen
Grundsätzlich muss die Antwort innerhalb eines Monats erfolgen; bei komplexen Fällen ist eine Verlängerung möglich, muss aber begründet und kommuniziert werden. Häufige Probleme in KMU sind fehlende Übersicht über Daten (Schatten-IT), unklare Zuständigkeiten, Löschungen ohne Backup-/Archiv-Konzept sowie fehlende Trennung von Marketing- und Vertragsdaten (Widerspruch vs. Aufbewahrungspflicht).
Beispiele aus dem Alltag
- Auskunft: Ein Kunde verlangt „alle Daten zu mir“. Sie liefern CRM-Datensatz, Bestellhistorie, Support-Tickets und Empfänger (z. B. Versanddienstleister) – aber keine internen Notizen, die Rechte Dritter verletzen.
- Löschung: Eine ehemalige Interessentin will gelöscht werden. Marketingdaten werden entfernt; Rechnungsdaten bleiben bis zum Ablauf gesetzlicher Fristen gespeichert und werden gesperrt/archiviert.
- Widerspruch: Empfänger widerspricht Newsletter/Telefonwerbung. Sie setzen ihn auf eine Sperrliste („Do-not-contact“), damit er nicht erneut angeschrieben wird.
Gerade wenn KI-Tools genutzt werden (z. B. ChatGPT oder Generative KI (Generative AI) im Support), sollten Unternehmen zusätzlich klären, wo personenbezogene Daten landen (Logs, Trainingsausschlüsse, Aufbewahrung) und wie Betroffenenrechte systemübergreifend erfüllt werden.
Zahlen & Fakten
gesetzliche AntwortfristUnternehmen müssen Auskunfts-, Löschungs- oder Berichtigungsanfragen nach DSGVO in der Regel innerhalb eines Monats beantworten, was klare Prozesse und Fristenkontrolle besonders für KMU notwendig macht.
maximales BußgeldFehler beim Umgang mit Betroffenenrechten können zu erheblichen Datenschutzrisiken führen, da Verstöße gegen DSGVO-Pflichten mit Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes sanktioniert werden können.
manueller BearbeitungsanteilIn vielen KMU werden Betroffenenanfragen noch überwiegend manuell bearbeitet, was den Aufwand erhöht und das Risiko von Fristversäumnissen oder unvollständigen Antworten steigert.
Anwendungsfälle in der Praxis
Bist du bereit für Betroffenenrechte (Auskunft, Löschung, Berichtigung, Widerspruch)?
Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Hast du festgelegt, wie Anfragen zu Auskunft, Löschung, Berichtigung oder Widerspruch in deinem Unternehmen eingehen und erfasst werden?
Gibt es bei euch klare Zuständigkeiten dafür, wer Betroffenenanfragen prüft und beantwortet?
Überwachst du die DSGVO-Fristen für Betroffenenanfragen systematisch, damit Antworten rechtzeitig erfolgen?
Sind eure Prozesse so dokumentiert, dass du Anfragen nachvollziehbar bearbeiten und Entscheidungen begründen kannst?
Prüfst du regelmäßig, ob Betroffenenrechte auch in allen relevanten Systemen, Abteilungen und bei Dienstleistern zuverlässig umgesetzt werden?
Sind deine Prozesse für Auskunft, Löschung, Berichtigung und Widerspruch wirklich sauber aufgesetzt?
Betroffenenrechte sind schnell erklärt – in der Praxis scheitert es aber oft an unklaren Zuständigkeiten, verstreuten Tools und fehlender Fristenkontrolle. Mit dem Tech-Gutachten analysiere ich deine bestehende Systemlandschaft und zeige dir, wo personenbezogene Daten liegen, welche Prozesse fehlen und wo Risiken entstehen. Du bekommst ein klares Bild davon, wie Anfragen effizient und nachvollziehbar bearbeitet werden können, statt im Tagesgeschäft unterzugehen. So schaffst du die Grundlage für DSGVO-konforme Abläufe, die dein Team auch wirklich umsetzen kann.