Betroffenenrechte umsetzen: Auskunft, Löschung und Datenportabilität

Warum Betroffenenrechte kein Randthema sind

Kapitel III der DSGVO widmet sich vollständig den Rechten der betroffenen Personen. Das ist kein Zufall. Die gesamte Verordnung baut auf dem Prinzip auf, dass Menschen die Kontrolle über ihre personenbezogenen Daten behalten sollen. Die Betroffenenrechte sind das Werkzeug, mit dem sie diese Kontrolle ausüben.

Für dich als Unternehmen bedeutet das: Du brauchst funktionierende Prozesse, um Anfragen von Betroffenen fristgerecht, vollständig und korrekt zu bearbeiten. Eine verschleppte Auskunftsanfrage oder eine abgelehnte Löschanfrage ohne Begründung kann schnell eskalieren, von der Beschwerde bei der Aufsichtsbehörde bis zum gerichtlichen Verfahren.

Die gute Nachricht: Wenn du die Rechte einmal verstanden und die Prozesse eingerichtet hast, lässt sich die Bearbeitung weitgehend standardisieren. Die meisten Anfragen fallen in wenige wiederkehrende Kategorien, und für jede gibt es einen klaren Ablauf.

Überblick: Die acht Betroffenenrechte

Bevor wir in die Tiefe gehen, hier der Gesamtüberblick über alle Rechte aus Kapitel III DSGVO:

Dazu kommt das Informationsrecht nach Art. 13 und 14, das streng genommen kein Antragsrecht ist, sondern eine Pflicht, die du proaktiv erfüllen musst, etwa durch Datenschutzerklärungen.

Auskunftsrecht nach Art. 15: Der Klassiker

Das Auskunftsrecht ist das am häufigsten geltend gemachte Betroffenenrecht. Eine Person hat das Recht, von dir zu erfahren, ob du ihre personenbezogenen Daten verarbeitest, und falls ja, welche Daten das sind und wie du sie verarbeitest.

Was du auskunftspflichtig bist

Art. 15 Abs. 1 listet die Informationen auf, die du bereitstellen musst:

• Die Verarbeitungszwecke
• Die Kategorien personenbezogener Daten
• Die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben wurden oder werden
• Die geplante Speicherdauer oder die Kriterien für die Festlegung der Speicherdauer
• Das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung oder Widerspruch
• Das Beschwerderecht bei einer Aufsichtsbehörde
• Wenn die Daten nicht bei der betroffenen Person erhoben wurden: die Herkunft der Daten
• Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling, mit aussagekräftigen Informationen über die Logik und die Tragweite

Zusätzlich musst du nach Art. 15 Abs. 3 eine Kopie der personenbezogenen Daten bereitstellen, die Gegenstand der Verarbeitung sind. Diese Kopie ist kostenlos. Erst bei weiteren Kopien darfst du ein angemessenes Entgelt verlangen.

Der Auskunftsprozess in der Praxis

Eingang und Identitätsprüfung. Eine Auskunftsanfrage kann formlos erfolgen: per E-Mail, per Brief, telefonisch oder sogar mündlich. Du bist nicht berechtigt, ein bestimmtes Formular vorzuschreiben. Was du allerdings darfst und musst: die Identität des Anfragenden prüfen. Wenn du begründete Zweifel an der Identität hast, kannst du zusätzliche Informationen anfordern. Aber übertreibe nicht: Wenn ein Kunde über seine registrierte E-Mail-Adresse eine Anfrage stellt, ist die Identität in der Regel hinreichend klar.

Daten zusammentragen. Das ist der aufwändigste Schritt. Du musst alle Systeme durchsuchen, in denen personenbezogene Daten der anfragenden Person gespeichert sein könnten: CRM, E-Mail, Personalakte, Buchhaltung, Ticket-Systeme, Protokolldateien, Backups. Vergiss nicht die Auftragsverarbeiter: Wenn ein externer Dienstleister Daten in deinem Auftrag verarbeitet, musst du auch diese Daten einbeziehen.

Daten aufbereiten. Die Kopie muss vollständig und verständlich sein. Rohdaten-Dumps aus einer Datenbank, die nur ein Datenbankadministrator lesen kann, erfüllen die Anforderung nicht. Die betroffene Person muss verstehen können, welche Daten über sie gespeichert sind. Gleichzeitig musst du darauf achten, dass die Auskunft keine personenbezogenen Daten Dritter enthält, es sei denn, die Rechte dieser Dritten werden nicht beeinträchtigt.

Auskunft erteilen. Die Auskunft muss innerhalb eines Monats nach Eingang der Anfrage erteilt werden. Wenn die Anfrage komplex ist oder du viele Anfragen gleichzeitig bearbeitest, kannst du die Frist um zwei weitere Monate verlängern. Aber: Du musst die betroffene Person innerhalb des ersten Monats über die Verlängerung informieren und die Gründe dafür angeben.

Grenzen des Auskunftsrechts

Das Auskunftsrecht ist nicht grenzenlos. Du kannst eine Auskunft verweigern, wenn:

• Die Anfrage offensichtlich unbegründet oder exzessiv ist, insbesondere bei häufiger Wiederholung (Art. 12 Abs. 5)
• Die Auskunft Rechte und Freiheiten anderer Personen beeinträchtigen würde (Erwägungsgrund 63)
• Die Anfrage erkennbar rechtsmissbräuchlich ist (z. B. Auskunft nur zum Zweck der Prozessvorbereitung gegen dich)

In diesen Fällen musst du die Ablehnung begründen und die betroffene Person über ihr Beschwerderecht bei der Aufsichtsbehörde informieren.

Recht auf Löschung nach Art. 17

Das "Recht auf Vergessenwerden" klingt dramatischer, als es in der Praxis ist. Es gibt der betroffenen Person das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Voraussetzungen vorliegen.

Wann du löschen musst

Die Löschpflicht besteht, wenn einer der folgenden Gründe vorliegt:

• Die Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig
• Die betroffene Person widerruft ihre Einwilligung und es gibt keine anderweitige Rechtsgrundlage
• Die betroffene Person legt Widerspruch nach Art. 21 ein und es liegen keine vorrangigen berechtigten Gründe vor
• Die Daten wurden unrechtmäßig verarbeitet
• Die Löschung ist zur Erfüllung einer rechtlichen Pflicht nach EU- oder Mitgliedstaatsrecht erforderlich
• Die Daten wurden in Bezug auf Dienste der Informationsgesellschaft gegenüber einem Kind erhoben

Wann du nicht löschen musst

Art. 17 Abs. 3 definiert wichtige Ausnahmen, bei denen das Recht auf Löschung nicht greift:

• Gesetzliche Aufbewahrungspflichten: Handels- und steuerrechtliche Aufbewahrungspflichten nach HGB und AO gehen vor. Dein Löschkonzept regelt die Details. Buchungsbelege musst du zehn Jahre aufbewahren, unabhängig von einem Löschantrag.
• Ausübung des Rechts auf freie Meinungsäußerung und Information: Pressefreiheit geht vor.
• Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit.
• Archivzwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke.
• Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen: Wenn du die Daten brauchst, um dich in einem laufenden oder absehbaren Rechtsstreit zu verteidigen.

Löschanfragen richtig bearbeiten

Identitätsprüfung: Wie beim Auskunftsrecht musst du sicherstellen, dass die anfragende Person tatsächlich die betroffene Person ist.

Prüfung der Voraussetzungen: Liegt einer der Löschgründe aus Art. 17 Abs. 1 vor? Und greift keine der Ausnahmen aus Art. 17 Abs. 3?

Umsetzung: Wenn du löschen musst, löschst du die Daten in allen Systemen, also auch bei Auftragsverarbeitern. Art. 17 Abs. 2 verpflichtet dich, Empfänger, an die du die Daten weitergegeben hast, über die Löschanfrage zu informieren.

Dokumentation: Protokolliere die Löschung. Was wurde gelöscht, wann, in welchen Systemen und auf welcher Grundlage? Was wurde nicht gelöscht und warum (z. B. wegen gesetzlicher Aufbewahrungspflichten)?

Antwort: Teile der betroffenen Person innerhalb eines Monats mit, welche Daten gelöscht wurden und welche nicht (mit Begründung).

Recht auf Datenportabilität nach Art. 20

Das Recht auf Datenportabilität ist vergleichsweise neu und in der Praxis noch weniger eingespielt als Auskunft und Löschung. Es gibt der betroffenen Person das Recht, die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln.

Voraussetzungen

Das Recht auf Datenportabilität gilt nur unter bestimmten Bedingungen:

• Die Verarbeitung basiert auf einer Einwilligung (Art. 6 Abs. 1 lit. a) oder auf einem Vertrag (Art. 6 Abs. 1 lit. b)
• Die Verarbeitung erfolgt mithilfe automatisierter Verfahren
• Es handelt sich um Daten, die die betroffene Person selbst bereitgestellt hat

Das bedeutet: Daten, die du auf Basis eines berechtigten Interesses verarbeitest, fallen nicht unter die Datenportabilität. Und Daten, die du durch eigene Analyse oder Bewertung gewonnen hast (z. B. ein Kreditscoring-Ergebnis), musst du ebenfalls nicht portabel bereitstellen.

Was "bereitgestellt" bedeutet

Der Begriff "bereitgestellt" wird nach Auffassung der Artikel-29-Datenschutzgruppe weit ausgelegt. Er umfasst nicht nur Daten, die die Person aktiv eingegeben hat (Name, Adresse, Profilinformationen), sondern auch Daten, die durch die Nutzung eines Dienstes beobachtet wurden (Aktivitätsprotokolle, Standortdaten, Suchverläufe). Nicht erfasst sind dagegen abgeleitete oder errechnete Daten (Analyseergebnisse, Prognosen, Segmentzuordnungen).

Formate und technische Umsetzung

Die DSGVO schreibt kein bestimmtes Format vor, verlangt aber "strukturiert, gängig und maschinenlesbar". In der Praxis haben sich etabliert:

• CSV für tabellarische Daten (Bestellhistorie, Kontaktdaten)
• JSON für strukturierte Daten mit Hierarchien
• XML für komplexe Datenstrukturen
• PDF ist nach herrschender Meinung nicht maschinenlesbar genug für die Datenportabilität

Die betroffene Person kann auch verlangen, dass du die Daten direkt an einen anderen Verantwortlichen übermittelst, "soweit dies technisch machbar ist" (Art. 20 Abs. 2). In der Praxis scheitert die Direktübermittlung häufig an fehlenden standardisierten Schnittstellen zwischen den Verantwortlichen.

Berichtigung nach Art. 16

Das Recht auf Berichtigung ist konzeptionell das einfachste Betroffenenrecht, aber in der Umsetzung unterschätzt. Die betroffene Person hat das Recht, unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Außerdem hat sie das Recht, die Vervollständigung unvollständiger Daten zu verlangen.

Typische Fälle: Falscher Name nach Heirat, veraltete Adresse, falsche Geburtsdaten, fehlerhafte Vertragsdaten, unvollständige Kontaktinformationen.

Herausforderung in der Praxis: Du musst die Berichtigung in allen Systemen durchführen, in denen die fehlerhaften Daten gespeichert sind. Und du musst die Empfänger, an die du die Daten weitergegeben hast, über die Berichtigung informieren (Art. 19). Das kann bei verteilten IT-Landschaften aufwändig sein.

Einschränkung der Verarbeitung nach Art. 18

Das Recht auf Einschränkung ist das "Moratorium" unter den Betroffenenrechten. Es erlaubt der betroffenen Person, die Verarbeitung ihrer Daten vorübergehend einzuschränken, während bestimmte Fragen geklärt werden.

Wann die Einschränkung greift

• Die betroffene Person bestreitet die Richtigkeit der Daten: Einschränkung für die Dauer der Prüfung
• Die Verarbeitung ist unrechtmäßig, aber die betroffene Person will keine Löschung, sondern Einschränkung
• Du brauchst die Daten nicht mehr, aber die betroffene Person benötigt sie zur Geltendmachung von Rechtsansprüchen
• Die betroffene Person hat Widerspruch nach Art. 21 eingelegt: Einschränkung für die Dauer der Prüfung, ob deine berechtigten Gründe überwiegen

Technische Umsetzung

Eingeschränkte Daten darfst du nur noch speichern. Jede andere Verarbeitung (Nutzung, Übermittlung, Analyse) ist nur mit Einwilligung der betroffenen Person oder zur Geltendmachung von Rechtsansprüchen zulässig. Technisch setzt du das typischerweise durch eine Kennzeichnung (Flag) in der Datenbank um, die sicherstellt, dass die eingeschränkten Datensätze von regulären Verarbeitungsprozessen ausgeschlossen werden.

Widerspruchsrecht nach Art. 21

Das Widerspruchsrecht ist an eine spezifische Rechtsgrundlage geknüpft: Es gilt für Verarbeitungen, die auf berechtigten Interessen (Art. 6 Abs. 1 lit. f) oder auf öffentlichem Interesse (Art. 6 Abs. 1 lit. e) basieren.

Wenn eine betroffene Person Widerspruch einlegt, darfst du die Daten nicht mehr verarbeiten, es sei denn, du kannst "zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen". Die Beweislast liegt bei dir.

Sonderfall Direktwerbung: Bei Widerspruch gegen Verarbeitung zum Zweck der Direktwerbung gibt es keine Abwägung. Der Widerspruch ist immer wirksam, ohne Wenn und Aber (Art. 21 Abs. 2 und 3). Du musst die Verarbeitung zum Zweck der Direktwerbung sofort einstellen.

Automatisierte Einzelentscheidungen nach Art. 22

Art. 22 gibt betroffenen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Beispiele: Automatische Ablehnung eines Online-Kreditantrags, algorithmische Bewerbervorauswahl ohne menschliche Prüfung, automatisierte Kündigung einer Versicherung auf Basis von Risiko-Scoring.

Ausnahmen: Die automatisierte Entscheidung ist zulässig, wenn sie für den Abschluss oder die Erfüllung eines Vertrags erforderlich ist, wenn sie durch Rechtsvorschriften zugelassen ist oder wenn die betroffene Person ausdrücklich eingewilligt hat. In jedem Fall musst du angemessene Maßnahmen zum Schutz der betroffenen Person treffen, darunter das Recht auf menschliches Eingreifen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.

Der Bearbeitungsprozess: Von der Anfrage zur Antwort

Unabhängig davon, welches Recht geltend gemacht wird, folgt die Bearbeitung einem einheitlichen Grundprozess:

Phase 1: Eingang und Kategorisierung (Tag 0)

Die Anfrage geht ein. Du dokumentierst den Eingangszeitpunkt (die Frist läuft ab jetzt), identifizierst das geltend gemachte Recht und leitest die Anfrage an die zuständige Stelle weiter. In kleineren Unternehmen ist das oft der Datenschutzbeauftragte oder die Geschäftsführung direkt. In größeren Organisationen gibt es idealerweise ein zentrales Postfach oder ein Ticket-System für Betroffenenanfragen.

Phase 2: Identitätsprüfung (Tag 1 bis 5)

Prüfe, ob die anfragende Person tatsächlich die betroffene Person ist. Bei begründeten Zweifeln kannst du zusätzliche Informationen anfordern, aber die Frist läuft weiter. Tipp: Definiere vorab, welche Identitätsnachweise du in welchen Konstellationen akzeptierst. Ein Kunde, der über sein registriertes Kundenkonto schreibt, muss sich nicht zusätzlich ausweisen.

Phase 3: Sachbearbeitung (Tag 5 bis 20)

Hier passiert die eigentliche Arbeit: Daten zusammentragen (Auskunft), Daten korrigieren (Berichtigung), Löschprüfung durchführen (Löschung), Export erstellen (Datenportabilität). Binde alle Abteilungen ein, die relevante Daten halten könnten: IT, HR, Buchhaltung, Vertrieb, Kundendienst.

Phase 4: Qualitätsprüfung (Tag 20 bis 25)

Bevor du die Antwort versendest, prüft eine zweite Person (idealerweise der DSB) die Vollständigkeit und Richtigkeit. Sind alle Systeme durchsucht worden? Sind die Ausnahmen korrekt angewendet? Sind die Rechte Dritter gewahrt?

Phase 5: Antwort (Tag 25 bis 30)

Versende die Antwort an die betroffene Person. Die Antwort muss in klarer, einfacher Sprache verfasst sein (Art. 12 Abs. 1). Informiere die Person über ihr Beschwerderecht bei der Aufsichtsbehörde. Dokumentiere die Antwort und alle Schritte des Bearbeitungsprozesses.

Fristen und Fristverlängerung

Die Grundfrist beträgt einen Monat ab Eingang der Anfrage. "Monat" meint hier einen Kalendermonat: Eine Anfrage, die am 15. März eingeht, muss bis zum 15. April beantwortet sein.

Bei komplexen Anfragen oder einer hohen Anzahl gleichzeitiger Anfragen kannst du die Frist um zwei weitere Monate verlängern. Voraussetzungen:

• Du informierst die betroffene Person innerhalb des ersten Monats über die Verlängerung
• Du nennst die Gründe für die Verzögerung
• Du informierst über das Beschwerderecht bei der Aufsichtsbehörde

In der Praxis solltest du die Fristverlängerung nicht leichtfertig nutzen. Eine routinemäßige Auskunftsanfrage eines einzelnen Kunden rechtfertigt keine Verlängerung. Eine Auskunftsanfrage eines ehemaligen Mitarbeiters, der zehn Jahre lang in verschiedenen Abteilungen gearbeitet hat und dessen Daten in dutzenden Systemen verstreut sind, hingegen schon.

Organisatorische Voraussetzungen

Verantwortlichkeiten klären

Definiere, wer in deinem Unternehmen für die Bearbeitung von Betroffenenanfragen zuständig ist. In kleineren Unternehmen übernimmt das oft der Datenschutzbeauftragte. In größeren Organisationen empfiehlt sich ein Datenschutz-Team oder zumindest benannte Ansprechpartner in jeder Abteilung, die bei der Datenzusammenstellung unterstützen.

Datenkartierung pflegen

Du kannst eine Auskunftsanfrage nur vollständig beantworten, wenn du weißt, wo überall personenbezogene Daten gespeichert sind. Dein Verarbeitungsverzeichnis nach Art. 30 DSGVO ist die Grundlage. Ergänze es um eine Datenkartierung (Data Map), die für jede Verarbeitungstätigkeit die beteiligten Systeme und Datenquellen auflistet.

Vorlagen erstellen

Erstelle Antwortvorlagen für die häufigsten Anfragen: Auskunftsantwort, Löschbestätigung, Ablehnungsbescheid mit Begründung, Fristverlängerungsmitteilung. Die Vorlagen sparen Zeit und stellen sicher, dass du keine Pflichtangaben vergisst.

Fristenkalender führen

Richte ein System ein, das dich an ablaufende Fristen erinnert. ISMS Lite bietet ein integriertes Fristenmanagement für Betroffenenanfragen, das automatisch an auslaufende Fristen erinnert und den Bearbeitungsstatus dokumentiert. Eine vergessene Frist ist nicht nur ein Compliance-Verstoß, sondern gibt der betroffenen Person einen konkreten Beschwerdegrund bei der Aufsichtsbehörde.

Häufige Praxisprobleme

Massenanfragen: Manche Personen stellen monatlich Auskunftsanfragen, um ein Unternehmen unter Druck zu setzen. Art. 12 Abs. 5 DSGVO erlaubt dir, offensichtlich unbegründete oder exzessive Anfragen abzulehnen oder ein angemessenes Entgelt zu verlangen. Die Beweislast für die Exzessivität liegt allerdings bei dir.

Anfragen über Anwälte: Betroffene können ihre Rechte auch über einen Bevollmächtigten ausüben. Verlange in diesem Fall eine Vollmacht und prüfe deren Echtheit.

Daten in Backups: Musst du bei einer Löschanfrage auch die Backups bereinigen? Die herrschende Meinung lautet: Ja, grundsätzlich schon. In der Praxis ist das bei inkrementellen Backups technisch aufwändig. Ein pragmatischer Ansatz: Dokumentiere, dass die Daten im Produktivsystem gelöscht wurden und dass die Backups einem definierten Löschzyklus unterliegen, nach dessen Ablauf die Daten auch dort nicht mehr vorhanden sind.

Daten bei Auftragsverarbeitern: Du bist verantwortlich, nicht der Auftragsverarbeiter. Wenn du eine Löschanfrage erhältst, musst du sicherstellen, dass auch der Auftragsverarbeiter die Daten löscht. Dein Auftragsverarbeitungsvertrag (AVV) sollte entsprechende Regelungen enthalten.

Widersprüchliche Pflichten: Ein Kunde verlangt die Löschung seiner Daten, aber du musst die Rechnungen zehn Jahre aufbewahren. Lösung: Du löschst alle Daten, die nicht unter eine Aufbewahrungspflicht fallen, und informierst den Kunden, welche Daten du auf welcher Rechtsgrundlage weiterhin speicherst.

Sanktionen bei Verstößen

Verstöße gegen die Betroffenenrechte werden nach Art. 83 Abs. 5 lit. b DSGVO mit dem höheren Bußgeldrahmen sanktioniert: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Auch eine nicht fristgerecht gemeldete Datenpanne kann in dieser Größenordnung sanktioniert werden. In der Praxis verhängen die Aufsichtsbehörden regelmäßig Bußgelder für verspätete oder unvollständige Auskunftserteilung. Selbst bei kleineren Unternehmen können die Beträge fünfstellig ausfallen.

Mindestens ebenso relevant ist der Reputationsschaden. Betroffene, die ihre Rechte nicht durchsetzen können, beschweren sich nicht nur bei der Aufsichtsbehörde, sondern auch öffentlich. Negative Berichterstattung über Datenschutzverstöße kann geschäftsschädigender sein als jedes Bußgeld.

Weiterführende Artikel

• Datenschutz-Folgenabschätzung (DSFA): Wann nötig und wie durchführen
• DSGVO-Datenpanne melden: Wann, wie und an wen
• Löschkonzept nach DSGVO: Aufbewahrungsfristen, Löschregeln und Umsetzung
• Verarbeitungsverzeichnis (VVA) nach Art. 30 DSGVO erstellen
• Einwilligung nach DSGVO: Anforderungen an gültige Consent-Mechanismen

Ein funktionierender Prozess für Betroffenenanfragen ist kein Nice-to-have. Er ist eine gesetzliche Pflicht und gleichzeitig ein Vertrauensbeweis gegenüber deinen Kunden und Mitarbeitern. Wer schnell, transparent und vollständig auf Anfragen reagiert, signalisiert: Wir nehmen den Schutz deiner Daten ernst.