BAllgemein

Betroffenenrechte (Auskunft, Löschung, Berichtigung, Widerspruch)

DSGVO-Rechte von Personen; Unternehmen brauchen Prozesse und Fristenkontrolle.

Betroffenenrechte sind die in der DSGVO verankerten Rechte von Personen (z. B. Kund:innen, Mitarbeitenden), die es ihnen ermöglichen, Kontrolle über ihre personenbezogenen Daten auszuüben – insbesondere Auskunft, Berichtigung, Löschung und Widerspruch. Für Unternehmen bedeutet das: Anfragen müssen sicher identifiziert, fristgerecht bearbeitet, dokumentiert und technisch-organisatorisch unterstützt werden.

Was umfasst das konkret?

  • Auskunft (Art. 15 DSGVO): Betroffene können eine Kopie ihrer personenbezogenen Daten sowie Informationen zu Zweck, Kategorien, Empfängern, Speicherdauer, Herkunft und Rechten verlangen.
  • Berichtigung (Art. 16 DSGVO): Falsche oder unvollständige Daten müssen korrigiert bzw. vervollständigt werden (z. B. falsche Adresse im CRM).
  • Löschung / „Recht auf Vergessenwerden“ (Art. 17 DSGVO): Daten sind zu löschen, wenn sie nicht mehr erforderlich sind, eine Einwilligung widerrufen wurde oder unrechtmäßig verarbeitet wurde – sofern keine Aufbewahrungspflichten (z. B. Steuerrecht) entgegenstehen.
  • Widerspruch (Art. 21 DSGVO): Gegen Verarbeitungen auf Basis „berechtigter Interessen“ kann widersprochen werden; bei Direktwerbung muss die Verarbeitung dafür in der Regel sofort beendet werden.

Wie funktioniert die Umsetzung im KMU (Praxis-Prozess)?

  • 1) Eingangskanal festlegen: z. B. datenschutz@… und ein Webformular; Zuständigkeiten (Vertretung!) definieren.
  • 2) Identität prüfen: risikobasiert (z. B. Rückfrage über bekannte Kontaktdaten, Ausweiskopie nur wenn nötig). Ziel: keine Daten an Unbefugte herausgeben.
  • 3) Anfrage klassifizieren: Auskunft, Löschung, Berichtigung, Widerspruch – und welche Systeme betroffen sind (E-Mail, CRM, Buchhaltung, Support-Tool, HR).
  • 4) Daten finden & bewerten: Datenquellen über Dateninventar/Verzeichnis der Verarbeitungstätigkeiten abgleichen; prüfen, ob Ausnahmen gelten (z. B. gesetzliche Aufbewahrung, laufende Verträge, Rechtsansprüche).
  • 5) Umsetzen & antworten: Daten bereitstellen/ändern/löschen bzw. Verarbeitung einschränken; Betroffene verständlich informieren.
  • 6) Dokumentieren: Ticket, Fristen, Entscheidung, Nachweise (Audit-Trail) – wichtig für Rechenschaftspflicht.

Fristen, Kosten und typische Stolperfallen

Grundsätzlich muss die Antwort innerhalb eines Monats erfolgen; bei komplexen Fällen ist eine Verlängerung möglich, muss aber begründet und kommuniziert werden. Häufige Probleme in KMU sind fehlende Übersicht über Daten (Schatten-IT), unklare Zuständigkeiten, Löschungen ohne Backup-/Archiv-Konzept sowie fehlende Trennung von Marketing- und Vertragsdaten (Widerspruch vs. Aufbewahrungspflicht).

Beispiele aus dem Alltag

  • Auskunft: Ein Kunde verlangt „alle Daten zu mir“. Sie liefern CRM-Datensatz, Bestellhistorie, Support-Tickets und Empfänger (z. B. Versanddienstleister) – aber keine internen Notizen, die Rechte Dritter verletzen.
  • Löschung: Eine ehemalige Interessentin will gelöscht werden. Marketingdaten werden entfernt; Rechnungsdaten bleiben bis zum Ablauf gesetzlicher Fristen gespeichert und werden gesperrt/archiviert.
  • Widerspruch: Empfänger widerspricht Newsletter/Telefonwerbung. Sie setzen ihn auf eine Sperrliste („Do-not-contact“), damit er nicht erneut angeschrieben wird.

Gerade wenn KI-Tools genutzt werden (z. B. ChatGPT oder Generative KI (Generative AI) im Support), sollten Unternehmen zusätzlich klären, wo personenbezogene Daten landen (Logs, Trainingsausschlüsse, Aufbewahrung) und wie Betroffenenrechte systemübergreifend erfüllt werden.