Die Datenschutz-Grundverordnung bietet Personen, deren Daten verarbeitet werden, umfangreiche Rechte gegen den Verarbeiter. Diese sogenannten Betroffenenrechte sind kein rechtlich-theoretisches Konstrukt, sondern ein regelmäßig auftretendes Thema im Unternehmensalltag. Auskunftsersuchen von Kunden, Bewerbern oder ehemaligen Mitarbeitenden nehmen zu, ebenso Beschwerden bei Aufsichtsbehörden. Für Unternehmen bedeutet das: Betroffenenrechte müssen organisatorisch vorbereitet und rechtssicher umgesetzt werden.
Betroffenenrechte nach der DSGVO: Rechtliche Grundlagen
Die DSGVO verfolgt das Ziel, Transparenz über die Verarbeitung personenbezogener Daten zu schaffen und den Einzelnen in die Lage zu versetzen, die Nutzung seiner Daten zu kontrollieren. Unternehmen sind deshalb verpflichtet, Betroffenen nicht nur Informationen über die Verarbeitung zu geben, sondern ihnen auch konkrete Eingriffsmöglichkeiten einzuräumen.
Typischerweise werden Betroffenenrechte daher im Rahmen der Datenschutzhinweise erläutert. Dies spiegelt sich beispielsweise in entsprechenden Textblöcken in Datenschutzerklärungen oder in Kundeninformationen wider. Dort müssen Unternehmen transparent darüber aufklären, welche Rechte bestehen und wie diese ausgeübt werden können.
Besonders praxisrelevant ist das Auskunftsrecht nach Art. 15 DSGVO. Betroffene können verlangen zu erfahren, ob und welche personenbezogenen Daten über sie verarbeitet werden. Zudem haben Betroffene nach Art. 15 Abs. 3 DSGVO Anspruch auf eine unentgeltliche Kopie der verarbeiteten personenbezogenen Daten. In der Praxis kann dies einen erheblichen Aufwand verursachen, insbesondere wenn Daten in mehreren IT-Systemen gespeichert sind. Beschränkt wird das Auskunftsrecht aber gelegentlich durch den Geheimhaltungsbedarf für Betriebsgeheimnisse. Zu Details dieses Anspruchs siehe auch „Auskunftsansprüche nach der DSGVO – Maßgaben für Unternehmen“.
Eng damit verbunden ist das Recht auf Löschung nach Art. 17 DSGVO. Es verpflichtet Unternehmen, personenbezogene Daten zu löschen, wenn der Zweck der Verarbeitung entfällt oder eine Einwilligung widerrufen wird. Ausnahmen bestehen etwa bei gesetzlichen Aufbewahrungspflichten.
Darüber hinaus sieht die DSGVO unter anderem folgende Rechte vor:
- Recht auf Berichtigung von Daten
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit in einem maschinenlesbaren Format
- Widerspruchsrecht gegen bestimmte Verarbeitungen, insbesondere gegen Direktwerbung
- Recht auf Widerruf erteilter Einwilligungen
- Schutz vor ausschließlich automatisierten Entscheidungen einschließlich Profiling
- Beschwerderecht bei einer Datenschutzaufsichtsbehörde
Anforderungen und Risiken
Unternehmen müssen auf Anfragen von Betroffenen grundsätzlich innerhalb eines Monats reagieren. In komplexen Fällen kann die Frist um zwei weitere Monate verlängert werden. Wichtig ist jedoch, dass die betroffene Person innerhalb der ersten Monatsfrist über die Verlängerung informiert wird.
Gleichzeitig müssen Unternehmen sicherstellen, dass Anfragen nur von Seiten berechtigter Personen bearbeitet werden. Eine sorgfältige Identitätsprüfung ist daher zwingend erforderlich.
In der Praxis entstehen Probleme häufig dort, wo keine klaren internen Prozesse zur Abarbeitung bestehen. Denkbar ist auch, dass Auskunftsersuchen strategisch eingesetzt werden – etwa in arbeitsrechtlichen Konflikten oder im Rahmen von Streitigkeiten mit Geschäftspartnern. Unvollständige oder verspätete Antworten können nicht nur zu Beschwerden bei Aufsichtsbehörden führen, sondern auch zu Schadensersatzansprüchen.
Best Practice: So sollten Unternehmen Betroffenenrechte organisatorisch umsetzen
Eine pragmatische und rechtssichere Handhabung lässt sich vor allem mit einem geordneten Datenschutzmanagement gewährleisten, flankiert durch einige erweiterte Maßnahmen wie einer zentralen Kontaktstelle, klarer Löschprozesse, standardisierter Antwortvorlagen und der regelmäßigen Schulung von Mitarbeitenden.
Fazit
Betroffenenrechte gehören zu den zentralen Pflichten des Datenschutzrechts. Für Unternehmen bedeutet dies nicht nur juristische Verantwortung mit potenziellem Schadensersatzrisiko, sondern auch organisatorischen Handlungsbedarf. Wer klare Prozesse etabliert, Mitarbeitende sensibilisiert und seine Datenstrukturen im Griff hat, reduziert rechtliche Risiken erheblich und stärkt zugleich das Vertrauen von Kunden, Mitarbeitenden und Geschäftspartnern.
