Die Datenschutz-Grundverordnung (DSGVO) stellt den Schutz personenbezogener Daten in den Mittelpunkt und stärkt die Rechte von Bürgerinnen und Bürgern. Jede Person, deren Daten verarbeitet werden, sog. Betroffene, hat klare, gesetzlich verankerte Rechte gegenüber Unternehmen und Organisationen.
Für Unternehmen bedeutet das: Sie müssen nicht nur datenschutzkonform arbeiten, sondern auch in der Lage sein, Anfragen von Betroffenen korrekt, vollständig und fristgerecht zu beantworten. Art. 12 DSGVO enthält allgemeine Vorgaben. In den Art. 15 ff. DSGVO sind diese Betroffenenrechte detailliert geregelt.
Was sind Betroffenenrechte nach der DSGVO?
Betroffenenrechte sind die Möglichkeiten, die die DSGVO natürlichen Personen einräumt, Kontrolle über ihre eigenen personenbezogenen Daten auszuüben. Sie dienen der Transparenz und sollen sicherstellen, dass Datenverarbeitungen nachvollziehbar und überprüfbar bleiben.
Praxisrelevante Beispiele:
- Ein Kunde möchte wissen, welche Daten ein Unternehmen über ihn gespeichert hat.
- Ein Mitarbeiter fordert die Löschung seiner personenbezogenen Daten nach Austritt aus dem Unternehmen.
- Ein Nutzer widerspricht der Verwendung seiner Daten für Marketingzwecke.
Die wichtigsten Betroffenenrechte im Überblick
- Auskunftsrecht (Art. 15 DSGVO):
Betroffene haben das Recht, vom Verantwortlichen Auskunft über die Verarbeitung ihrer Daten zu verlangen. Das Unternehmen muss z. B. offenlegen:- Welche Daten verarbeitet werden
- Zu welchen Zwecken
- Wer Zugriff auf diese Daten hat
- Wie lange die Daten gespeichert werden
Beispiel: Ein Kunde möchte wissen, welche persönlichen Informationen ein Online-Shop gespeichert hat. Das Unternehmen muss ihm eine vollständige Übersicht zur Verfügung stellen. - Recht auf Berichtigung (Art. 16 DSGVO)
Personen können verlangen, dass falsche oder unvollständige Daten berichtigt oder ergänzt werden.
Beispiel: Ein Mitarbeiter bemerkt, dass seine hinterlegte Adresse nicht aktuell ist. - Recht auf Löschung – „Recht auf Vergessenwerden“ (Art. 17 DSGVO)
Betroffene können die Löschung ihrer personenbezogenen Daten verlangen, wenn:- die Daten für den ursprünglichen Zweck nicht mehr benötigt werden,
- eine erteilte Einwilligung widerrufen wurde,
- die Daten unrechtmäßig verarbeitet wurden.
Ausnahmen: Die Löschung kann verweigert werden, wenn z. B. gesetzliche Aufbewahrungspflichten bestehen.- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Anstatt die Daten zu löschen, können Betroffene verlangen, dass die Verarbeitung eingeschränkt wird.
Beispiel: Während der Prüfung einer Beschwerde dürfen Daten nicht weiter aktiv genutzt werden. - Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Betroffene haben das Recht, ihre Daten in einem maschinenlesbaren Format zu erhalten oder an einen anderen Anbieter übertragen zu lassen.
Beispiel: Wechsel des Bankkontos, bei dem Kontoinformationen exportiert werden sollen. - Widerspruchsrecht (Art. 21 DSGVO)
Betroffene können der Verarbeitung ihrer Daten jederzeit widersprechen, insbesondere bei:- Direktwerbung
- Profiling
- Verarbeitung auf Basis berechtigter Interessen
Das Unternehmen muss die Verarbeitung dann sofort einstellen, sofern keine zwingenden Gründe dagegensprechen. - Rechte bei automatisierten Entscheidungen (Art. 22 DSGVO)
Personen dürfen verlangen, nicht ausschließlich automatisierten Entscheidungen unterworfen zu sein, die rechtliche Wirkung haben oder sie erheblich beeinträchtigen.
Beispiel: Kreditvergabe durch eine Bank nur anhand eines Algorithmus.
Praxis im Unternehmen
Pflichten:
Unternehmen müssen Prozesse einrichten, um Anfragen von Betroffenen fristgerecht und vollständig zu bearbeiten. Das bedeutet:
- Dokumentation aller Anfragen
- Identitätsprüfung der anfragenden Person
- Bereitstellung klarer, verständlicher Informationen
- Einhaltung der Frist von einem Monat
Fristen:
- 1-Monats-Frist: Die Anträge zur Geltendmachung von Betroffenenrechten müssen grundsätzlich innerhalb eines Monats bearbeitet und beantwortet werden, vgl. Art. 12 Abs. 3 Satz 1 DSGVO.
- 2-monatige-Verlängerung: Mit entsprechender Begründung lässt sich die Frist um weitere 2 Monate verlängern, vgl. Art. 12 Abs. 3 Satz 2 DSGVO.
Folgen bei Missachtung:
Wenn Unternehmen Betroffenenrechte ignorieren oder fehlerhaft umsetzen, drohen:
- Hohe Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes
- Abmahnungen und Klagen
- Vertrauensverlust bei Kunden, Mitarbeitern und Partnern
- Negative PR und Imageschäden
Unsere Leistungen: Unterstützung bei der Umsetzung der Betroffenenrechte
Als erfahrene externe Datenschutzbeauftragte bzw. Datenschutzberater helfen wir Ihrem Unternehmen, die Anforderungen der DSGVO effizient umzusetzen.
- Analyse & Prozessgestaltung
Wir prüfen Ihre bestehenden Prozesse und entwickeln ein maßgeschneidertes Konzept, um Anfragen rechtskonform zu bearbeiten. - Vorlagen und Dokumentation
Wir stellen rechtssichere Musterbriefe und Checklisten bereit, damit Ihr Team schnell reagieren kann. - Schulung deiner Mitarbeiter
Wir schulen Ihre Mitarbeiter im Umgang mit Betroffenenanfragen und erklären typische Fehlerquellen. - Laufende Betreuung
Wir bleiben an Ihrer Seite und sorgen dafür, dass Ihr Unternehmen stets auf dem aktuellen Stand der Rechtsprechung bleibt.
Die Betroffenenrechte nach Art. 15 ff. DSGVO sind nicht nur gesetzliche Pflichten, sondern auch eine Chance, Vertrauen bei Kunden und Mitarbeitern aufzubauen. Mit klaren Prozessen und einem erfahrenen Partner an Ihrer Seite minimieren Sie Risiken und stellen sicher, dass Ihr Unternehmen rechtssicher und effizient arbeitet.
Checkliste: Bist du vorbereitet auf Betroffenenanfragen?
- Gibt es einen klar definierten Prozess für Anfragen?
- Sind alle Verantwortlichen und Mitarbeiter geschult?
- Wird jede Anfrage dokumentiert?
- Können Auskünfte fristgerecht und vollständig erteilt werden?
- Ist die Datenschutzerklärung auf der Website aktuell und verständlich?
Wenn Sie eine dieser Fragen mit „Nein“ beantworten, sollten Sie dringend handeln.
