Betroffenenrechte
Auskunft, Löschung, Widerspruch — Anfragen rechtssicher und fristgerecht bearbeiten.
Jede Person, deren Daten Sie verarbeiten, hat Rechte — und Sie als Unternehmen haben die Pflicht, diese Rechte zu erfüllen. Fristgerecht, vollständig und ohne bürokratische Hürden. Das klingt selbstverständlich, ist in der Praxis aber eine der häufigsten Schwachstellen.
Die Rechte der Betroffenen im Überblick
Betroffene können verlangen zu erfahren, welche Daten Sie über sie verarbeiten, zu welchem Zweck, wie lange und an wen Sie sie weitergeben. Frist: 1 Monat.
Unrichtige Daten müssen auf Verlangen unverzüglich korrigiert werden. Unvollständige Daten müssen ergänzt werden.
Das sogenannte "Recht auf Vergessenwerden". Betroffene können Löschung verlangen, wenn der Zweck entfallen ist, eine Einwilligung widerrufen wurde oder die Verarbeitung unrechtmäßig war.
Während einer Prüfung oder bei Widerspruch können Betroffene verlangen, dass Daten nur noch eingeschränkt verarbeitet werden — sie werden quasi "eingefroren".
Bei Einwilligung oder Vertrag können Betroffene ihre Daten in einem maschinenlesbaren Format herausverlangen, um sie zu einem anderen Anbieter mitzunehmen.
Gegen Verarbeitungen auf Basis berechtigten Interesses oder für Direktmarketing kann jederzeit Widerspruch eingelegt werden. Der muss unmittelbar beachtet werden.
Fristen und Pflichten
| Anfrage | Frist | Verlängerung |
|---|---|---|
| Auskunftsanfrage (Art. 15) | 1 Monat | + 2 Monate bei komplexen Anfragen (mit Begründung) |
| Löschungsanfrage (Art. 17) | Unverzüglich | Keine Verlängerung, aber Prüfung ob Ausnahmen greifen |
| Berichtigungsanfrage (Art. 16) | Unverzüglich | Keine Verlängerung |
| Widerspruch Direktmarketing (Art. 21) | Sofort | Keine Verlängerung — muss unmittelbar beachtet werden |
Prozess für Betroffenenanfragen aufbauen
Damit Anfragen nicht im Chaos versinken oder Fristen verpasst werden, brauchen Sie einen dokumentierten Prozess. Mindestens:
Eingang erfassen — wann wurde die Anfrage gestellt? Ab diesem Zeitpunkt läuft die Frist.
Identität prüfen — stellt die anfragende Person tatsächlich die anfragende Person? (Keine überzogenen Anforderungen, aber bei sensiblen Daten angemessene Verifikation.)
Zuständigkeit klären — wer im Unternehmen beantwortet die Anfrage?
Daten zusammenstellen — alle Systeme durchsuchen, in denen Daten der Person vorliegen könnten.
Antworten — vollständig, verständlich und kostenlos (bei Auskunftsanfragen). Bestätigungsschreiben für Löschungen und Berichtigungen.
Dokumentieren — die Anfrage, die Prüfung und die Antwort intern festhalten.
Achtung: Keine unbegründeten Ablehnungen
Betroffenenrechte können in bestimmten Ausnahmefällen eingeschränkt sein — etwa wenn gesetzliche Aufbewahrungspflichten einer Löschung entgegenstehen. Diese Ausnahmen müssen aber begründet werden. Eine einfache Verweigerung ist rechtswidrig und kann zur Beschwerde bei der Aufsichtsbehörde führen.