Betroffenenrechte nach der DSGVO: Ein Überblick

Personen sollen die Kontrolle über ihre Daten behalten. Wie genau das in Zeiten von Datenkraken wie sozialen Medien, Suchmaschinen und Messenger-Diensten gelingen kann?

Durch eine Mischung aus Pflichten für Unternehmen und Organisationen, die Daten erheben und verarbeiten – auch als Verantwortliche bekannt – (z. B. die Pflicht zur Benennung eines Datenschutzbeauftragten und zum Ergreifen von technischen und organisatorischen Maßnahmen) und Rechten der natürlichen Personen, deren Daten erhoben und verarbeitet werden. Diese Personen sind in der DSGVO als Betroffene bekannt.

Die Betroffenenrechte regeln, welche Ansprüche Betroffene gegenüber Verantwortlichen haben. Wir erklären, wie Sie als Unternehmen oder Organisation richtig auf Betroffenenanfragen reagieren.


Das Wichtigste in Kürze

  • Die DSGVO räumt jeder betroffenen Person gegenüber einem Verantwortlichen sogenannte Betroffenenrechte ein.
  • Diese Betroffenenrechte werden unterteilt in Informationsrecht, Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Datenverarbeitung, Recht auf Widerspruch und das Recht auf Datenübertragbarkeit. 
  • Betroffenenanfragen sollten unverzüglich bearbeitet werden.

In diesem Beitrag

Betroffenenrechte nach der DSGVO

Betroffenenrechte sind jene Rechte, die die DSGVO den betroffenen Personen bezüglich ihrer personenbezogenen Daten einräumt. Personenbezogene Daten wiederum sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Rechte stehen den Betroffenen gegenüber Unternehmen oder Organisationen zu, die über Zweck und Mittel einer Datenverarbeitung entscheiden.

Die DSGVO beschreibt folgende Betroffenenrechte.

Informationsrecht

Gemäß DSGVO muss ein Verantwortlicher – also ein Unternehmen / eine Organisation – dem Betroffenen folgende Informationen mitteilen:  

  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • Angabe der Rechtsgrundlage der Datenverarbeitung bzw. Hinweis auf Bestehen eines berechtigten Interesses
  • Empfänger der Daten, inkl. etwaige Übermittlung in Drittländer
  • Hinweis zu den Rechten des Betroffenen (z. B. Recht auf Auskunft, Löschung, Widerruf einer Einwilligung und das Beschwerderecht bei Aufsichtsbehörden)
  • Kontaktdaten des Verantwortlichen, bzw. gegebenenfalls Kontaktdaten eines Datenschutzbeauftragten
  • Dauer der Speicherung der personenbezogenen Daten oder Kriterien für die Festlegung der Dauer
  • Erforderlichkeit der Bereitstellung der personenbezogenen Daten, Informationen über fällige Verpflichtung zur Bereitstellung und allenfalls Folgen einer Nichtbereitstellung
  • Falls zutreffend, Information über eine automatisierte Entscheidung oder Profiling-Maßnahmen

Info: Wenn Ihr Unternehmen einen externen Datenschutzbeauftragten benannt hat, sind auch diese Kontaktdaten bereitzustellen. Mehr zur Benennung eines externen Datenschutzbeauftragten finden Sie übrigens hier.

Wenn Sie die personenbezogenen Daten direkt bei der betroffenen Person einholen, müssen Sie der Informationspflicht sofort nachkommen. Das heißt, dass Ihr Kontakt, Nutzer oder Kunde beispielsweise bei der Newsletter-Anmeldung, der Registrierung oder dem Kaufvertragsabschluss zu informieren ist.

Erheben Sie die Daten nicht direkt, so erteilen Sie die Information z.B.  innerhalb einer angemessenen Frist nach Erlangen der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, oder, falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an Sie.

 

Auskunftsrecht

Zusätzlich zum Informationsrecht steht jedem Betroffenen das Recht zu, bezüglich der Verarbeitung seiner personenbezogenen Daten Auskunft einzuholen (Auskunftsrecht gemäß Art. 15 DSGVO). Diese Anfragen muss das Unternehmen in einfacher und verständlicher Form beantworten.

Recht auf Berichtigung

Sind die personenbezogenen Daten sachlich unrichtig oder im Hinblick auf den Verwendungszweck unvollständig, hat die betroffene Person ein Recht darauf, dass diese Informationen berichtigt oder ergänzt werden. Dieses Recht auf Berichtigung ist in Art. 16 DSGVO verankert.

Recht auf Löschung

Die Betroffenenrechte gewähren Personen das Recht, ihre gespeicherten personenbezogenen Daten umgehend vom Verantwortlichen löschen zu lassen.

Dieses Recht auf Löschung (Art. 17 DSGVO) besteht, wenn

  • die Speicherung für den Verwendungszweck nicht mehr erforderlich ist,
  • die betroffene Person ihre Einwilligung zur Datenverarbeitung zurückzieht (Widerruf),
  • oder der Verantwortliche die personenbezogenen Daten nicht rechtmäßig erhoben / verarbeitet

Auch eine EU-Vorschrift oder eine nationale Regelung kann Unternehmen dazu auffordern, eine verpflichtende Datenlöschung vorzunehmen.

Recht auf Einschränkung der Datenverarbeitung

Es muss nicht gleich die komplette Löschung der Daten sein: Art. 18 der DSGVO berechtigt jeden Betroffenen dazu, auch die Verwendung gewisser Daten zu stoppen. Dieses Recht besteht dann, wenn der Betroffene die Richtigkeit seiner gespeicherten Daten hinterfragt oder der Datenverwendung widersprochen hat.

Ist die Datenverarbeitung nicht rechtskonform, kann das Recht auf Einschränkung der Verarbeitung ebenfalls ausgeübt werden.

Recht auf Widerspruch

Eine betroffene Person hat das Recht aus Gründen, die sich aus ihrer besonderen Situation ergeben, Widerspruch gegen die Verarbeitung von personenbezogenen Daten einzureichen. Dies betrifft vor allem den Bereich Direktmarketing.

Recht auf Datenübertragbarkeit

Seit Geltungsbeginn der DSGVO haben Personen das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Demnach können sie das datenverarbeitende Unternehmen unter bestimmten Voraussetzungen dazu verpflichten, die personenbezogenen Daten in einem geeigneten maschinenlesbaren Datenformat bereitzustellen oder einem anderen Anbieter zukommen zu lassen. 

Dieses Recht auf Datenübertragbarkeit soll es den Nutzern von sozialen Netzwerken, Apps, Telefonanbietern und anderen Diensten erleichtern, den Anbieter zu wechseln.

Prozess zum Umgang mit Betroffenenrechten

Betroffene können ihre gesetzlich verankerten Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Datenverarbeitung, Widerspruch und Datenübertragbarkeit einfordern, indem sie eine Betroffenenanfrage an den Verantwortlichen stellen. Solch eine Betroffenenanfrage kann jederzeit und auf verschiedenen Kanälen in Ihrem Unternehmen eingehen.

Achten Sie darauf, dass ihre Mitarbeiter geschult sind, solche Anfragen zu erkennen und an die richtige Stelle weiterzuleiten. Implementieren sie entsprechende Prozesse im Unternehmen, um Ihren Pflichten fristgerecht und vollständig nachkommen zu können bzw. überprüfen Sie regelmäßig, ob es Anpassungsbedarf gibt. Ziehen Sie ihren Datenschutzbeauftragten rechtzeitig hinzu, wenn Sie Fragen haben oder nicht wissen, was genau zu tun ist. Hier erfahren Sie, wie Sie am besten mit Betroffenenfragen umgehen.

Fristen zur Bearbeitung von Betroffenenanfragen

Laut DSGVO müssen Betroffenenanfragen unverzüglich bearbeitet werden. Zur Beantwortung von Betroffenenanfragen haben Sie maximal einen Monat Zeit – ab dem Tag, an dem die Anfrage bei Ihnen eingegangen ist. Eine Verlängerung der Beantwortungsfrist um weitere zwei Monate ist in Ausnahmefällen möglich, sofern Sie die Verzögerung begründen können. In diesem Fall müssen Sie den Anfragenden innerhalb eines Monats über diesen Umstand unterrichten.

Wir empfehlen, möglichst schnell auf Betroffenenanfragen zu reagieren und die Monatsfrist nicht unbedingt auszureizen – auch, um Ihren Kontakten zu zeigen, dass Sie deren Anfragen ernst nehmen.

Schritt 1: Prüfen Sie die Identität der Person sowie mögliche Ausschlussgründe

Bevor Sie die in der Betroffenenanfrage angeforderten Daten übermitteln oder löschen, müssen Sie die Identität des Anfragenden überprüfen. Schließlich wäre es eine klare Datenpanne, wenn Sie die Daten an jemanden übermitteln würden, der nicht selbst Betroffener oder Bevollmächtigter ist. Verlangen Sie zur Identifizierung nicht zusätzlich Daten, die sie nicht benötigen.

Schritt 2: Übermitteln Sie die Negativmitteilung oder ein Auskunftsschreiben

Im nächsten Schritt sollten Sie sich einen Überblick darüber verschaffen, welche personenbezogenen Daten Sie speichern und verarbeiten. Finden sich keine entsprechenden Informationen in der Datenbank, teilen Sie diesen Umstand in Form einer Negativauskunft mit.

Handelt es sich um ein Auskunftsersuchen, teilen Sie dem Betroffenen nur die ihn betreffenden Informationen mit. Informationen, die auf natürliche Personen im Unternehmen (beispielsweise auf die Sachbearbeiterin) oder andere Personen Rückschlüsse ziehen lassen, sind unkenntlich zu machen. Durch die Auskunftserteilung an den Betroffenen dürfen die Rechte und Freiheiten anderer nicht verletzt werden. Deshalb sind Textpassagen, die Informationen über dritte Personen beinhalten, entsprechend zu schwärzen.

Schritt 3: Verschlüsseln Sie Ihr Auskunftsschreiben oder Antwortschreiben

Personenbezogene Daten sind sicher und vertraulich zu übermitteln und daher etwa durch Verschlüsselung zu sichern. Dafür kommen Briefe, verschlüsselte Datenträger, mit Passwörtern geschützte Portale oder verschlüsselte E-Mail-Anhänge in Betracht.

Fazit

Als Unternehmen gewissenhaft mit personenbezogenen Daten umzugehen, ist nicht nur gesetzlich vorgeschrieben. Sie zeigen Ihren Kunden dadurch, dass Sie den Datenschutz ernst nehmen und sich zügig um ihre Anliegen kümmern.

Als externer Datenschutzbeauftragter helfen wir Ihnen im Umgang mit Betroffenenrechten. Unser Team aus Experten aller Branchen steht Ihnen bei der richtigen Entscheidung. Treten Sie ganz einfach mit uns Kontakt! Das erste Gespräch ist für Sie dabei kostenlos. Kostenlose Erstberatung vereinbaren

 

 

whitepaper-download whitepaper-download

DIE TOP 6 DATENSCHUTZFEHLER IN UNTERNEHMEN

UND WIE SIE ES BESSER MACHEN

WHITEPAPER HERUNTERLADEN

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren