Skip to content
Rechte & Anfragen calendar_today Aktualisiert: 6. April 2026 schedule 8 Min. Lesezeit

DSGVO Betroffenenrechte: Der vollständige Leitfaden für Unternehmer

verified Zuletzt überprüft 6. April 2026 · das GDPRWise Rechtsteam

Die DSGVO gibt Personen 8 Rechte über ihre personenbezogenen Daten. Als Unternehmer müssen Sie diese Anfragen korrekt bearbeiten - innerhalb eines Monats, kostenlos und gut dokumentiert. Dieser Leitfaden erklärt jedes Recht und was Sie tun müssen.

summarize Kernaussagen
  • check_circle Betroffene haben 8 Rechte unter der DSGVO; Sie müssen jede Anfrage innerhalb eines Monats beantworten
  • check_circle Die erste Anfrage ist kostenlos - nur bei offensichtlich unbegründeten oder übermäßigen Anfragen dürfen Sie Gebühren erheben
  • check_circle Überprüfen Sie immer die Identität des Antragstellers, bevor Sie Daten herausgeben oder löschen
  • check_circle Führen Sie ein Register aller eingegangenen Anfragen und wie Sie diese bearbeitet haben
  • check_circle GDPRWise generiert automatisch Antwortvorlagen für jeden Anfragetyp

Die 8 Rechte im Überblick

Die DSGVO (Datenschutz-Grundverordnung) gibt jeder Person, deren Daten Sie verarbeiten - Kunden, Mitarbeiter, Website-Besucher - eine Reihe von Rechten. Als Unternehmer sind Sie verpflichtet, jede Anfrage ernst zu nehmen und korrekt zu bearbeiten.

Dies sind die 8 Rechte:

  1. Recht auf Information - wissen, welche Daten Sie verarbeiten und warum
  2. Auskunftsrecht - eine Kopie ihrer Daten erhalten
  3. Recht auf Berichtigung - unrichtige Daten korrigieren lassen
  4. Recht auf Löschung - Daten löschen lassen (“Recht auf Vergessenwerden”)
  5. Recht auf Einschränkung - Verarbeitung vorübergehend stoppen
  6. Recht auf Datenübertragbarkeit - Daten in einem lesbaren Format erhalten
  7. Widerspruchsrecht - bestimmten Verarbeitungen widersprechen
  8. Recht bei automatisierter Entscheidungsfindung - nicht rein automatisierten Entscheidungen unterworfen werden

Bevor Sie beginnen: die Grundregeln

Unabhängig davon, welches Recht jemand geltend macht, gelten immer dieselben Grundregeln:

Frist: Sie haben maximal einen Monat Zeit zu antworten. Bei komplexen Anfragen können Sie einmalig um zwei Monate verlagern, müssen den Antragsteller aber innerhalb des ersten Monats über die Verzögerung und den Grund informieren.

Kosten: Die erste Anfrage ist immer kostenlos. Sie dürfen nur ein angemessenes Entgelt verlangen, wenn die Anfrage offensichtlich unbegründet oder übermäßig ist (z.B. wenn jemand jede Woche dieselbe Anfrage stellt).

Identitätsprüfung: Überprüfen Sie immer die Identität des Antragstellers, bevor Sie Daten herausgeben oder ändern. Bitten Sie um eine Kopie eines Ausweisdokuments, aber schwartzen Sie die Ausweisnummer und das Foto - diese Informationen benötigen Sie nicht.

Registrierung: Führen Sie ein Register aller eingegangenen Anfragen, das Datum, den Typ des Rechts und wie Sie diese bearbeitet haben. Die Aufsichtsbehörde kann dieses Register anfordern.

1. Recht auf Information

Was es bedeutet: Personen haben das Recht zu wissen, welche Daten Sie verarbeiten, warum, wie lange Sie sie aufbewahren, mit wem Sie sie teilen und welche Rechte sie haben. Dieses Recht ist “proaktiv” - Sie müssen diese Informationen aktiv bereitstellen, nicht erst wenn jemand danach fragt.

Wie Sie dies organisieren:

  • Veröffentlichen Sie eine klare Datenschutzerklärung auf Ihrer Website
  • Informieren Sie Kunden bei der Datenerhebung (Anmeldeformulare, Verträge)
  • Nennen Sie immer: den Zweck, die Rechtsgrundlage, die Aufbewahrungsfrist und die Rechte der betroffenen Person

Häufiger Fehler: Eine Datenschutzerklärung, die niemand versteht. Schreiben Sie in verständlicher Sprache, nicht in juristischem Fachjargon.

2. Auskunftsrecht (Recht auf Zugang)

Was es bedeutet: Jemand kann Sie um eine Kopie aller personenbezogenen Daten bitten, die Sie über ihn verarbeiten. Dies ist die häufigste Anfrage, bekannt als DSAR (Data Subject Access Request).

Wie Sie reagieren:

  1. Überprüfen Sie die Identität des Antragstellers
  2. Sammeln Sie alle Daten, die Sie über diese Person haben, in allen Systemen (CRM, E-Mail, Buchhaltung, HR)
  3. Senden Sie eine Übersicht mit: welche Daten, zu welchem Zweck, von wem erhalten, mit wem geteilt, wie lange aufbewahrt
  4. Liefern Sie dies in einem verständlichen Format (z.B. PDF)

Frist: innerhalb eines Monats.

Hinweis: Sie dürfen keine Daten anderer Personen mitsenden. Wenn eine Akte auch Daten Dritter enthält, schwartzen Sie diese.

3. Recht auf Berichtigung

Was es bedeutet: Wenn personenbezogene Daten unrichtig oder unvollständig sind, kann die betroffene Person eine Korrektur oder Ergänzung verlangen.

Wie Sie reagieren:

  1. Prüfen Sie, ob die Daten tatsächlich unrichtig sind
  2. Korrigieren Sie sie in allen Ihren Systemen
  3. Haben Sie die Daten an Dritte weitergegeben (z.B. einen Auftragsverarbeiter)? Informieren Sie diese ebenfalls über die Änderung
  4. Bestätigen Sie die Korrektur schriftlich an den Antragsteller

Praktischer Tipp: Viele Systeme ermöglichen es Kunden, ihre Daten selbst zu aktualisieren (z.B. über eine Kontoseite). Das ist der einfachste Weg.

4. Recht auf Löschung (“Recht auf Vergessenwerden”)

Was es bedeutet: Personen können die Löschung ihrer personenbezogenen Daten verlangen. Dies ist kein absolutes Recht - es gibt Ausnahmen.

Wann Sie löschen müssen:

  • Die Daten werden für den ursprünglichen Zweck nicht mehr benötigt
  • Die betroffene Person widerruft die Einwilligung (und es gibt keine andere Rechtsgrundlage)
  • Die betroffene Person widerspricht berechtigterweise
  • Die Daten wurden unrechtmäßig verarbeitet

Wann Sie ablehnen dürfen:

  • Die Daten werden für eine gesetzliche Verpflichtung benötigt (z.B. steuerliche Aufbewahrungspflicht von 7-10 Jahren)
  • Für die Ausübung des Rechts auf freie Meinungsäußerung
  • Für die Geltendmachung oder Ausübung von Rechtsansprüchen

Wie Sie reagieren:

  1. Überprüfen Sie die Identität
  2. Beurteilen Sie, ob eine Ausnahme vorliegt
  3. Löschen Sie die Daten aus allen Systemen, einschließlich Backups (soweit zumutbar)
  4. Informieren Sie eventuelle Empfänger der Daten
  5. Bestätigen Sie die Löschung oder erklären Sie, warum Sie ablehnen

5. Recht auf Einschränkung der Verarbeitung

Was es bedeutet: Die betroffene Person kann verlangen, die Verarbeitung vorübergehend zu stoppen. Das ist eine Art “Pause-Taste” - Sie bewahren die Daten auf, dürfen sie aber nicht mehr aktiv nutzen.

Wann dieses Recht gilt:

  • Die Richtigkeit der Daten wird bestritten (während der Überprüfung)
  • Die Verarbeitung ist unrechtmäßig, aber die betroffene Person will keine Löschung
  • Sie benötigen die Daten nicht mehr, aber die betroffene Person schon (für einen Rechtsstreit)
  • Die betroffene Person hat Widerspruch eingelegt und Sie prüfen, ob Ihre Gründe überwiegen

In der Praxis: Markieren Sie die Daten in Ihrem System als “eingeschränkt”. Sie dürfen sie nur noch mit Einwilligung der betroffenen Person oder für Rechtsansprüche verarbeiten.

6. Recht auf Datenübertragbarkeit

Was es bedeutet: Die betroffene Person kann die Daten, die sie selbst bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und diese Daten an eine andere Organisation übertragen lassen.

Wann dieses Recht gilt:

  • Die Verarbeitung basiert auf Einwilligung oder einem Vertrag
  • Die Verarbeitung erfolgt automatisiert (nicht auf Papier)

Format: Verwenden Sie ein gängiges Format wie CSV, JSON oder XML. Kein PDF - das ist nicht maschinenlesbar.

Hinweis: Dieses Recht gilt nur für Daten, die die betroffene Person selbst bereitgestellt hat. Abgeleitete Daten (Analysen, Scores, Profile) fallen nicht darunter.

7. Widerspruchsrecht

Was es bedeutet: Die betroffene Person kann der Verarbeitung von Daten widersprechen, insbesondere wenn Sie auf der Grundlage eines berechtigten Interesses oder für Direktwerbung verarbeiten.

Bei Direktwerbung: Der Widerspruch ist immer berechtigt. Sie müssen die Verarbeitung von Daten zu Marketingzwecken sofort einstellen. Keine Diskussion möglich.

Bei berechtigtem Interesse: Sie müssen beurteilen, ob Ihre Interessen die Rechte der betroffenen Person überwiegen. Wenn nicht, müssen Sie die Verarbeitung einstellen.

Wie Sie reagieren:

  1. Geht es um Direktwerbung? Sofort stoppen
  2. Geht es um berechtigtes Interesse? Nehmen Sie eine Abwägung vor und dokumentieren Sie diese
  3. Informieren Sie die betroffene Person über Ihre Entscheidung

8. Recht bei automatisierter Entscheidungsfindung und Profiling

Was es bedeutet: Personen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung (einschließlich Profiling) beruhenden Entscheidung unterworfen zu werden, wenn diese Entscheidung sie erheblich betrifft.

Wann dies relevant ist:

  • Sie verwenden einen Algorithmus, um Kreditanträge automatisch abzulehnen
  • Sie betreiben automatische Preisdiskriminierung basierend auf Profilen
  • Sie selektieren automatisch Bewerber ohne menschliche Beurteilung

Für die meisten KMU-Unternehmer: Dieses Recht ist selten relevant. Wenn Sie keine vollständig automatisierten Entscheidungen treffen, die Personen erheblich betreffen, müssen Sie sich darüber kaum Sorgen machen.

Wenn es relevant ist: Stellen Sie sicher, dass es immer eine Möglichkeit für menschliches Eingreifen gibt, und informieren Sie Betroffene, dass sie dieses Recht haben.

Antwortvorlagen

Wir haben gebrauchsfertige E-Mail-Vorlagen für die häufigsten Anfragen erstellt. Kopieren Sie sie, passen Sie Ihre Unternehmensdaten an und versenden Sie sie.

Was sollten Sie jetzt tun?

Eine Checkliste, um Ihre Pflichten in Ordnung zu bringen:

  • Stellen Sie sicher, dass Ihre Datenschutzerklärung aktuell ist und alle Rechte erwähnt
  • Richten Sie ein Verfahren für den Empfang und die Bearbeitung von Anfragen ein
  • Benennen Sie eine verantwortliche Person für die Bearbeitung von Anfragen
  • Verwenden Sie unsere Antwortvorlagen als Grundlage für Ihre eigenen Antworten
  • Richten Sie ein Register für eingegangene Anfragen ein
  • Schulen Sie Ihre Mitarbeiter - sie müssen wissen, wie sie eine Anfrage erkennen und weiterleiten
  • Testen Sie Ihr Verfahren: Wie schnell können Sie alle Daten einer Person aus allen Ihren Systemen abrufen?
auto_awesome Wissen Sie, welche Daten Sie verarbeiten?

GDPRWise scannt Ihre Website und zeigt auf, welche personenbezogenen Daten Sie erheben, mit wem Sie sie teilen und welche Rechte Ihre Besucher haben.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.