Betroffenenrechte
Werden personenbezogene Daten einer Person verarbeitet, wird sie zum Betroffenen nach der DSGVO. Diesem Betroffen gewährt die DSGVO zahlreiche Rechte. Nimmt ein Betroffener diese Recht in Anspruch, sind Unternehmen verpflichtet, sicherzustellen, dass Anfragen dazu ordnungsgemäß und fristgerecht bearbeitet werden. Die Nichteinhaltung kann zu Beschwerden bei den Aufsichtsbehörden und empfindlichen Bußgeldern führen.
Die wichtigsten Betroffenenrechte sind:
- Das Recht auf Information
Informationspflichten
Das Recht des Betroffenen auf Information wird über die Informationspflichten des Verantwortlichen gewährleistet. Diese Datenschutzinformation soll den Betroffenen transparent über die Verarbeitung seiner personenbezogenen Daten informieren. Diese Informationspflichten müssen im Zeitpunkt der Datenerhebung erfüllt werden.Mitzuteilen sind insbesondere:- Name und Kontaktdaten des Verantwortlichen und falls vorhanden des Datenschutzbeauftragten
- Zweck und Rechtsgrundlage der Datenverarbeitung
- das berechtigte Interesse, falls die Verarbeitung darauf beruht
- Empfänger oder Kategorien von Empfängern
- geplante Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
- Betroffenenrechte
- Informationen zur Datenübermittlung in ein Drittland und angewendete Schutzmaßnahmen (falls zutreffend)
Die Datenschutzinformationen müssen leicht zugänglich, verständlich und in klarer Sprache formuliert sein. Sie können beispielsweise in einer Datenschutzerklärung auf der Website oder als gesonderte Informationsblätter bereitgestellt werden. - Das Recht auf Auskunft
Auskunftsrecht
Betroffene können eine Auskunft über die sie betreffenden personenbezogenen Daten verlangen, die der Verantwortliche verarbeitet. Neben der Information, dass der Verantwortliche überhaupt personenbezogene Daten des Betroffenen verarbeitet, gehören zum Auskunftsrecht die personenbezogenen Daten, die verarbeitet werden, oder zumindest die Information der Kategorien personenbezogener Daten, die verarbeitet werden, sowie u. a. auch die Verarbeitungszwecke, die Empfänger der Daten und die geplante Speicherdauer. Unternehmen müssen diese Auskunft grundsätzlich innerhalb eines Monats erteilen.Beispiel: Ein Kunde fordert eine Kopie der bei einem Online-Händler gespeicherten Bestelldaten an. - Das Recht auf Berichtigung
Recht auf Berichtigung
Stellt der Betroffene fest, dass die vom Unternehmen gespeicherten Daten falsch oder unvollständig sind, hat er das Recht, eine Berichtigung oder eine Vervollständigung der Daten zu verlangen.Beispiel: Ein Kunde stellt fest, dass seine hinterlegte Adresse fehlerhaft ist, und verlangt eine Korrektur. - Das Recht auf Löschung
Recht auf Löschung
Betroffene können die Löschung der von ihnen gespeicherten personenbezogenen Daten verlangen. Voraussetzung für dieses „Recht auf Vergessenwerden“ ist etwa, dass diese Daten für die Zwecke, für die sie erhoben worden sind, nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden. Es gibt jedoch Ausnahmen, wenn z. B. noch gesetzliche Aufbewahrungspflichten bestehen oder wenn diese Daten für einen Rechtsstreit noch benötigt werden.Beispiel: Ein ehemaliger Kunde möchte, dass sein Kundenkonto bei einem Onlineshop gelöscht wird. - Das Recht auf Einschränkung der Verarbeitung
Recht auf Einschränkung der Verarbeitung
Betroffene können auch verlangen, dass die Verarbeitung ihrer Daten eingeschränkt wird. nur noch eingeschränkt verarbeitet werden. Dies ist dann möglich, wenn- die Richtigkeit der Daten durch den Betroffenen bestritten wird für die Dauer der Prüfung,
- die Verarbeitung unrechtmäßig war und der Betroffene die Einschränkung statt der Löschung verlangt,
- der Verantwortliche die Daten zwar für den ursprünglichen Zweck nicht mehr benötigt, der Betroffene sie aber noch zur Verfolgung von Rechtsansprüchen benötigt, oder
- der Betroffene Widerspruch gegen die Verarbeitung eingelegt hat, für die Dauer des Widerspruchs.
Wurde die Verarbeitung eingeschränkt, darf der Verantwortliche die Daten nur noch gespeichert werden. Eine darüberhinausgehende Verarbeitung ist nur mit Einwilligung des Betroffenen, zur Geltendmachung von Rechtsansprüchen oder zum Schutz der Rechte eines Dritten zulässig. Wurde die Verarbeitung eingeschränkt, muss der Betroffene vor der Aufhebung der Einschränkung unterrichtet weden.Beispiel: Ein Kunde fordert während der Klärung der Richtigkeit seiner Daten, dass seine Daten vorläufig nicht weiterverarbeitet werden. - Das Recht auf Datenübertragbarkeit
Recht auf Datenübertragbarkeit
Betroffene können verlangen, dass sie ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und an einen anderen Verantwortlichen übermitteln oder übermitteln lassen können. Voraussetzung ist, dass die Verarbeitung entweder auf einer Einwilligung oder einem Vertrag beruht.Beispiel: Ein Kunde möchte seine gespeicherten Gesundheitsdaten von einem Fitnessstudio zu einem anderen übertragen lassen. - Das Recht auf Widerspruch
Widerspruchsrecht
Personen können der Verarbeitung ihrer Daten aus Gründen, die sich aus ihrer besonderen Situation ergeben, widersprechen. Dies gilt insbesondere für Datenverarbeitungen, die sich auf das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) des Verantwortlichen beziehen. Bei Direktwerbung hat der Betroffene jederzeit ein Widerspruchsrecht, ohne dass es einer besonderen Begründung bedarf. Besteht ein Widerspruchsrecht, muss der Betroffene spätestens im Zeitpunkt der ersten Kommunikation ausdrücklich auf das Widerspruchsrecht hingewiesen werden.Beispiel: Ein Kunde widerspricht der weiteren Nutzung seiner Daten für Werbezwecke. - Widerruf der Einwilligung
Widerruf der Einwilligung
Der Betroffene hat das Recht eine einmal erteilte Einwilligung jederzeit zu Widerrufen. Mit dem Widerruf wir die Verarbeitung für die Zukunft unzulässig. Die bis zum Widerruf erfolgten Verarbeitungen bleiben jedoch rechtmäßig. Über das Recht zum Widerruf der Einwilligung muss vor Abgabe der Einwilligung informiert werden. Der Widerruf der Einwilligung muss so einfach erfolgen können, wie die Einwilligung selbst.Beispiel: Ein Kunde möchte sich aus dem Verteiler eines Newsletters austragen lassen. - Rechte in Bezug auf automatisierte Entscheidungen und Profiling
Automatisierte Entscheidungen und Profiling
Betroffene haben das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, wenn diese rechtliche Wirkungen entfaltet. Eine automatisierte Entscheidungsfindung ist jedoch zulässig, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrages zwischen Betroffenem und Verantwortlichem erforderlich ist oder der Betroffene ausdrücklich eingewilligt hat. Dann müssen allerdings Maßnahmen ergriffen werden, die die berechtigten Interessen des Betroffenen wahren. Dazu gehört insbesondere das Recht auf Eingreifen durch eine Person oder Anfechtung der automatischen Entscheidung.Beispiel: Eine Bank lehnt einen Kredit automatisch ab, ohne menschliche Prüfung.
Praktische Umsetzung für Unternehmen
Damit Unternehmen die Betroffenenrechte effizient umsetzen können, sollten sie:
- Ein standardisiertes Verfahren zur Bearbeitung von Anfragen etablieren
- Interne Zuständigkeiten klar regeln
- Fristen zur Beantwortung von Anfragen einhalten (in der Regel 1 Monat)
- Dokumentieren, wie Anfragen bearbeitet wurden
- Regelmäßig die Datenschutzerklärungen auf Aktualität überprüfen
Stand: 27. März 2025