Skip to content
Rechte & Anfragen calendar_today Aktualisiert: 6. April 2026 schedule 8 Min. Lesezeit

DSGVO Betroffenenrechte: Der vollstandige Leitfaden fur Unternehmer

Die DSGVO gibt Personen 8 Rechte uber ihre personenbezogenen Daten. Als Unternehmer mussen Sie diese Anfragen korrekt bearbeiten - innerhalb eines Monats, kostenlos und gut dokumentiert. Dieser Leitfaden erklart jedes Recht und was Sie tun mussen.

summarize Kernaussagen
  • check_circle Betroffene haben 8 Rechte unter der DSGVO; Sie mussen jede Anfrage innerhalb eines Monats beantworten
  • check_circle Die erste Anfrage ist kostenlos - nur bei offensichtlich unbegrundeten oder ubermassigen Anfragen durfen Sie Gebuhren erheben
  • check_circle Uberprufen Sie immer die Identitat des Antragstellers, bevor Sie Daten herausgeben oder loschen
  • check_circle Fuhren Sie ein Register aller eingegangenen Anfragen und wie Sie diese bearbeitet haben
  • check_circle GDPRWise generiert automatisch Antwortvorlagen fur jeden Anfragetyp

Die 8 Rechte im Uberblick

Die DSGVO (Datenschutz-Grundverordnung) gibt jeder Person, deren Daten Sie verarbeiten - Kunden, Mitarbeiter, Website-Besucher - eine Reihe von Rechten. Als Unternehmer sind Sie verpflichtet, jede Anfrage ernst zu nehmen und korrekt zu bearbeiten.

Dies sind die 8 Rechte:

  1. Recht auf Information - wissen, welche Daten Sie verarbeiten und warum
  2. Auskunftsrecht - eine Kopie ihrer Daten erhalten
  3. Recht auf Berichtigung - unrichtige Daten korrigieren lassen
  4. Recht auf Loschung - Daten loschen lassen (“Recht auf Vergessenwerden”)
  5. Recht auf Einschrankung - Verarbeitung vorubergehend stoppen
  6. Recht auf Datenubertragbarkeit - Daten in einem lesbaren Format erhalten
  7. Widerspruchsrecht - bestimmten Verarbeitungen widersprechen
  8. Recht bei automatisierter Entscheidungsfindung - nicht rein automatisierten Entscheidungen unterworfen werden

Bevor Sie beginnen: die Grundregeln

Unabhangig davon, welches Recht jemand geltend macht, gelten immer dieselben Grundregeln:

Frist: Sie haben maximal einen Monat Zeit zu antworten. Bei komplexen Anfragen konnen Sie einmalig um zwei Monate verlagern, mussen den Antragsteller aber innerhalb des ersten Monats uber die Verzogerung und den Grund informieren.

Kosten: Die erste Anfrage ist immer kostenlos. Sie durfen nur ein angemessenes Entgelt verlangen, wenn die Anfrage offensichtlich unbegrundet oder ubermassig ist (z.B. wenn jemand jede Woche dieselbe Anfrage stellt).

Identitatsprufung: Uberprufen Sie immer die Identitat des Antragstellers, bevor Sie Daten herausgeben oder andern. Bitten Sie um eine Kopie eines Ausweisdokuments, aber schwartzen Sie die Ausweisnummer und das Foto - diese Informationen benotigen Sie nicht.

Registrierung: Fuhren Sie ein Register aller eingegangenen Anfragen, das Datum, den Typ des Rechts und wie Sie diese bearbeitet haben. Die Aufsichtsbehorde kann dieses Register anfordern.

1. Recht auf Information

Was es bedeutet: Personen haben das Recht zu wissen, welche Daten Sie verarbeiten, warum, wie lange Sie sie aufbewahren, mit wem Sie sie teilen und welche Rechte sie haben. Dieses Recht ist “proaktiv” - Sie mussen diese Informationen aktiv bereitstellen, nicht erst wenn jemand danach fragt.

Wie Sie dies organisieren:

  • Veroffentlichen Sie eine klare Datenschutzerklarung auf Ihrer Website
  • Informieren Sie Kunden bei der Datenerhebung (Anmeldeformulare, Vertrage)
  • Nennen Sie immer: den Zweck, die Rechtsgrundlage, die Aufbewahrungsfrist und die Rechte der betroffenen Person

Haufiger Fehler: Eine Datenschutzerklarung, die niemand versteht. Schreiben Sie in verstandlicher Sprache, nicht in juristischem Fachjargon.

2. Auskunftsrecht (Recht auf Zugang)

Was es bedeutet: Jemand kann Sie um eine Kopie aller personenbezogenen Daten bitten, die Sie uber ihn verarbeiten. Dies ist die haufigste Anfrage, bekannt als DSAR (Data Subject Access Request).

Wie Sie reagieren:

  1. Uberprufen Sie die Identitat des Antragstellers
  2. Sammeln Sie alle Daten, die Sie uber diese Person haben, in allen Systemen (CRM, E-Mail, Buchhaltung, HR)
  3. Senden Sie eine Ubersicht mit: welche Daten, zu welchem Zweck, von wem erhalten, mit wem geteilt, wie lange aufbewahrt
  4. Liefern Sie dies in einem verstandlichen Format (z.B. PDF)

Frist: innerhalb eines Monats.

Hinweis: Sie durfen keine Daten anderer Personen mitsenden. Wenn eine Akte auch Daten Dritter enthalt, schwartzen Sie diese.

3. Recht auf Berichtigung

Was es bedeutet: Wenn personenbezogene Daten unrichtig oder unvollstandig sind, kann die betroffene Person eine Korrektur oder Erganzung verlangen.

Wie Sie reagieren:

  1. Prufen Sie, ob die Daten tatsachlich unrichtig sind
  2. Korrigieren Sie sie in allen Ihren Systemen
  3. Haben Sie die Daten an Dritte weitergegeben (z.B. einen Auftragsverarbeiter)? Informieren Sie diese ebenfalls uber die Anderung
  4. Bestatigen Sie die Korrektur schriftlich an den Antragsteller

Praktischer Tipp: Viele Systeme ermoglichen es Kunden, ihre Daten selbst zu aktualisieren (z.B. uber eine Kontoseite). Das ist der einfachste Weg.

4. Recht auf Loschung (“Recht auf Vergessenwerden”)

Was es bedeutet: Personen konnen die Loschung ihrer personenbezogenen Daten verlangen. Dies ist kein absolutes Recht - es gibt Ausnahmen.

Wann Sie loschen mussen:

  • Die Daten werden fur den ursprunglichen Zweck nicht mehr benotigt
  • Die betroffene Person widerruft die Einwilligung (und es gibt keine andere Rechtsgrundlage)
  • Die betroffene Person widerspricht berechtigterweise
  • Die Daten wurden unrechtmassig verarbeitet

Wann Sie ablehnen durfen:

  • Die Daten werden fur eine gesetzliche Verpflichtung benotigt (z.B. steuerliche Aufbewahrungspflicht von 7-10 Jahren)
  • Fur die Ausubung des Rechts auf freie Meinungsausserung
  • Fur die Geltendmachung oder Ausubung von Rechtsanspruchen

Wie Sie reagieren:

  1. Uberprufen Sie die Identitat
  2. Beurteilen Sie, ob eine Ausnahme vorliegt
  3. Loschen Sie die Daten aus allen Systemen, einschliesslich Backups (soweit zumutbar)
  4. Informieren Sie eventuelle Empfanger der Daten
  5. Bestatigen Sie die Loschung oder erklaren Sie, warum Sie ablehnen

5. Recht auf Einschrankung der Verarbeitung

Was es bedeutet: Die betroffene Person kann verlangen, die Verarbeitung vorubergehend zu stoppen. Das ist eine Art “Pause-Taste” - Sie bewahren die Daten auf, durfen sie aber nicht mehr aktiv nutzen.

Wann dieses Recht gilt:

  • Die Richtigkeit der Daten wird bestritten (wahrend der Uberprufung)
  • Die Verarbeitung ist unrechtmassig, aber die betroffene Person will keine Loschung
  • Sie benotigen die Daten nicht mehr, aber die betroffene Person schon (fur einen Rechtsstreit)
  • Die betroffene Person hat Widerspruch eingelegt und Sie prufen, ob Ihre Grunde uberwiegen

In der Praxis: Markieren Sie die Daten in Ihrem System als “eingeschrankt”. Sie durfen sie nur noch mit Einwilligung der betroffenen Person oder fur Rechtsanspruche verarbeiten.

6. Recht auf Datenubertragbarkeit

Was es bedeutet: Die betroffene Person kann die Daten, die sie selbst bereitgestellt hat, in einem strukturierten, gangigen und maschinenlesbaren Format erhalten und diese Daten an eine andere Organisation ubertragen lassen.

Wann dieses Recht gilt:

  • Die Verarbeitung basiert auf Einwilligung oder einem Vertrag
  • Die Verarbeitung erfolgt automatisiert (nicht auf Papier)

Format: Verwenden Sie ein gangiges Format wie CSV, JSON oder XML. Kein PDF - das ist nicht maschinenlesbar.

Hinweis: Dieses Recht gilt nur fur Daten, die die betroffene Person selbst bereitgestellt hat. Abgeleitete Daten (Analysen, Scores, Profile) fallen nicht darunter.

7. Widerspruchsrecht

Was es bedeutet: Die betroffene Person kann der Verarbeitung von Daten widersprechen, insbesondere wenn Sie auf der Grundlage eines berechtigten Interesses oder fur Direktwerbung verarbeiten.

Bei Direktwerbung: Der Widerspruch ist immer berechtigt. Sie mussen die Verarbeitung von Daten zu Marketingzwecken sofort einstellen. Keine Diskussion moglich.

Bei berechtigtem Interesse: Sie mussen beurteilen, ob Ihre Interessen die Rechte der betroffenen Person uberwiegen. Wenn nicht, mussen Sie die Verarbeitung einstellen.

Wie Sie reagieren:

  1. Geht es um Direktwerbung? Sofort stoppen
  2. Geht es um berechtigtes Interesse? Nehmen Sie eine Abwagung vor und dokumentieren Sie diese
  3. Informieren Sie die betroffene Person uber Ihre Entscheidung

8. Recht bei automatisierter Entscheidungsfindung und Profiling

Was es bedeutet: Personen haben das Recht, nicht einer ausschliesslich auf automatisierter Verarbeitung (einschliesslich Profiling) beruhenden Entscheidung unterworfen zu werden, wenn diese Entscheidung sie erheblich betrifft.

Wann dies relevant ist:

  • Sie verwenden einen Algorithmus, um Kreditantrage automatisch abzulehnen
  • Sie betreiben automatische Preisdiskriminierung basierend auf Profilen
  • Sie selektieren automatisch Bewerber ohne menschliche Beurteilung

Fur die meisten KMU-Unternehmer: Dieses Recht ist selten relevant. Wenn Sie keine vollstandig automatisierten Entscheidungen treffen, die Personen erheblich betreffen, mussen Sie sich daruber kaum Sorgen machen.

Wenn es relevant ist: Stellen Sie sicher, dass es immer eine Moglichkeit fur menschliches Eingreifen gibt, und informieren Sie Betroffene, dass sie dieses Recht haben.

Antwortvorlagen

Wir haben gebrauchsfertige E-Mail-Vorlagen fur die haufigsten Anfragen erstellt. Kopieren Sie sie, passen Sie Ihre Unternehmensdaten an und versenden Sie sie.

Was sollten Sie jetzt tun?

Eine Checkliste, um Ihre Pflichten in Ordnung zu bringen:

  • Stellen Sie sicher, dass Ihre Datenschutzerklarung aktuell ist und alle Rechte erwahnt
  • Richten Sie ein Verfahren fur den Empfang und die Bearbeitung von Anfragen ein
  • Benennen Sie eine verantwortliche Person fur die Bearbeitung von Anfragen
  • Verwenden Sie unsere Antwortvorlagen als Grundlage fur Ihre eigenen Antworten
  • Richten Sie ein Register fur eingegangene Anfragen ein
  • Schulen Sie Ihre Mitarbeiter - sie mussen wissen, wie sie eine Anfrage erkennen und weiterleiten
  • Testen Sie Ihr Verfahren: Wie schnell konnen Sie alle Daten einer Person aus allen Ihren Systemen abrufen?
auto_awesome Wissen Sie, welche Daten Sie verarbeiten?

GDPRWise scannt Ihre Website und zeigt auf, welche personenbezogenen Daten Sie erheben, mit wem Sie sie teilen und welche Rechte Ihre Besucher haben.

GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.