Ratgeber / Betroffenenrechte

Betroffenenrechte nach Art. 15–22 DSGVO im Überblick

Die DSGVO gibt jeder Person konkrete Rechte gegenüber Stellen, die ihre Daten verarbeiten. Hier findest du jedes Recht mit Fundstelle, Voraussetzungen und den geltenden Fristen — kompakt und belegt.

Die Rechte betroffener Personen auf einen Blick

Kapitel III der Datenschutz-Grundverordnung (DSGVO) regelt in den Art. 12 bis 22 die Rechte der betroffenen Person — also der Person, deren personenbezogene Daten verarbeitet werden. Für die Praxis und für die Zertifizierungsprüfung zum Datenschutzbeauftragten sind vor allem die Art. 15 bis 22 zentral. Sie stehen jeder betroffenen Person zu und müssen vom Verantwortlichen erfüllt werden.

Merksatz: Die Betroffenenrechte sind für die betroffene Person grundsätzlich unentgeltlich (Art. 12 Abs. 5 DSGVO) und müssen innerhalb eines Monats erfüllt werden (Art. 12 Abs. 3 DSGVO). Nur bei besonderer Komplexität ist eine Verlängerung möglich.

Art. 15 — Auskunftsrecht

Nach Art. 15 DSGVO kann eine Person zunächst eine Bestätigung verlangen, ob sie betreffende Daten verarbeitet werden. Ist das der Fall, hat sie ein Recht auf Auskunft über diese Daten und eine Reihe von Pflichtinformationen: unter anderem die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer, das Bestehen von Rechten auf Berichtigung oder Löschung, das Beschwerderecht bei einer Aufsichtsbehörde, die Herkunft der Daten sowie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling. Nach Art. 15 Abs. 3 DSGVO ist außerdem eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen.

Art. 16 — Recht auf Berichtigung

Nach Art. 16 DSGVO hat die betroffene Person das Recht, „unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen". Unter Berücksichtigung der Zwecke der Verarbeitung kann sie außerdem die Vervollständigung unvollständiger Daten verlangen — auch mittels einer ergänzenden Erklärung.

Art. 17 — Recht auf Löschung („Recht auf Vergessenwerden")

Art. 17 Abs. 1 DSGVO verpflichtet den Verantwortlichen, Daten unverzüglich zu löschen, wenn einer der genannten Gründe zutrifft, unter anderem:

  • die Daten sind für die Zwecke nicht mehr notwendig,
  • die betroffene Person widerruft ihre Einwilligung und es fehlt eine andere Rechtsgrundlage,
  • die Person legt Widerspruch nach Art. 21 ein und es liegen keine vorrangigen berechtigten Gründe vor,
  • die Daten wurden unrechtmäßig verarbeitet,
  • die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
Ausnahmen (Art. 17 Abs. 3 DSGVO): Die Löschpflicht entfällt, soweit die Verarbeitung erforderlich ist — etwa zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses im Bereich der Gesundheit oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Art. 18 — Recht auf Einschränkung der Verarbeitung

Statt einer Löschung kann die Person nach Art. 18 DSGVO eine Einschränkung („Sperrung") verlangen. Das gilt in vier Fällen: wenn die Richtigkeit der Daten bestritten wird (für die Dauer der Prüfung); wenn die Verarbeitung unrechtmäßig ist, die Person aber statt der Löschung die Einschränkung wünscht; wenn der Verantwortliche die Daten nicht mehr benötigt, die Person sie aber zur Geltendmachung von Rechtsansprüchen braucht; und wenn ein Widerspruch nach Art. 21 Abs. 1 eingelegt wurde, solange die Abwägung noch nicht abgeschlossen ist. Eingeschränkte Daten dürfen — von der Speicherung abgesehen — nur noch eingeschränkt verarbeitet werden.

Art. 19 — Mitteilungspflicht des Verantwortlichen

Nach Art. 19 DSGVO muss der Verantwortliche allen Empfängern, denen Daten offengelegt wurden, jede Berichtigung, Löschung oder Einschränkung mitteilen — es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden. Auf Verlangen unterrichtet er die betroffene Person über diese Empfänger.

Art. 20 — Recht auf Datenübertragbarkeit

Art. 20 DSGVO gibt der Person das Recht, die von ihr bereitgestellten Daten in einem „strukturierten, gängigen und maschinenlesbaren Format" zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Voraussetzung ist, dass die Verarbeitung auf einer Einwilligung (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a) oder einem Vertrag (Art. 6 Abs. 1 lit. b) beruht und mit automatisierten Verfahren erfolgt. Soweit technisch machbar, kann eine direkte Übermittlung von einem Verantwortlichen zu einem anderen verlangt werden.

Art. 21 — Widerspruchsrecht

Nach Art. 21 Abs. 1 DSGVO kann die Person aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen eine Verarbeitung Widerspruch einlegen, die auf Art. 6 Abs. 1 lit. e oder f gestützt ist (einschließlich Profiling). Der Verantwortliche muss die Verarbeitung dann einstellen, es sei denn, er weist zwingende schutzwürdige Gründe nach, die die Interessen der Person überwiegen, oder die Verarbeitung dient der Geltendmachung von Rechtsansprüchen.

Absolut bei Direktwerbung: Richtet sich die Verarbeitung auf Direktwerbung, ist der Widerspruch nach Art. 21 Abs. 2 und 3 DSGVO ohne Abwägung wirksam — die Daten dürfen dann nicht mehr für Zwecke der Direktwerbung verarbeitet werden.

Art. 22 — Automatisierte Entscheidungen im Einzelfall

Nach Art. 22 Abs. 1 DSGVO hat die Person das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden", die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Ausnahmen bestehen nach Art. 22 Abs. 2, wenn die Entscheidung für einen Vertrag erforderlich ist, durch Rechtsvorschriften zugelassen wird oder auf ausdrücklicher Einwilligung beruht. In diesen Fällen sind nach Art. 22 Abs. 3 Schutzmaßnahmen vorzusehen — insbesondere das Recht auf Eingreifen einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.

Fristen und Kosten (Art. 12 DSGVO)

Für alle genannten Rechte gilt der Rahmen des Art. 12 DSGVO:

1 Monat
Regelfrist ab Eingang (Art. 12 Abs. 3)
+2 Monate
Verlängerung bei Komplexität
0 €
grundsätzlich unentgeltlich (Abs. 5)

Der Verantwortliche stellt die Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Bei welcher Stelle betroffene Personen ihre Rechte geltend machen, erklärt auch unser Artikel zur Rolle des Datenschutzbeauftragten; die Grundprinzipien der Verarbeitung findest du unter DSGVO-Grundlagen.

Häufige Fragen

Kostet eine Auskunft nach Art. 15 DSGVO etwas?

Grundsätzlich nicht: Nach Art. 12 Abs. 5 DSGVO werden Auskunft und die Erfüllung der übrigen Betroffenenrechte unentgeltlich zur Verfügung gestellt. Nur bei offenkundig unbegründeten oder exzessiven Anträgen kann ein angemessenes Entgelt verlangt oder die Bearbeitung verweigert werden.

Was ist der Unterschied zwischen Löschung und Einschränkung?

Bei der Löschung nach Art. 17 werden die Daten entfernt. Bei der Einschränkung nach Art. 18 bleiben die Daten gespeichert, dürfen aber — abgesehen von der Speicherung — nur noch mit Einwilligung oder in engen Ausnahmefällen weiterverarbeitet werden. Die Einschränkung ist damit eine „Sperrung" auf Zeit.

Betroffenenrechte sicher beherrschen

Übe die Betroffenenrechte und alle weiteren Themengebiete der DSGVO mit Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).

Kostenlos registrieren