Betroffenenrechte nach Art. 15–22 DSGVO im Überblick
Die DSGVO gibt jeder Person konkrete Rechte gegenüber Stellen, die ihre Daten verarbeiten. Hier findest du jedes Recht mit Fundstelle, Voraussetzungen und den geltenden Fristen — kompakt und belegt.
Die Rechte betroffener Personen auf einen Blick
Kapitel III der Datenschutz-Grundverordnung (DSGVO) regelt in den Art. 12 bis 22 die Rechte der betroffenen Person — also der Person, deren personenbezogene Daten verarbeitet werden. Für die Praxis und für die Zertifizierungsprüfung zum Datenschutzbeauftragten sind vor allem die Art. 15 bis 22 zentral. Sie stehen jeder betroffenen Person zu und müssen vom Verantwortlichen erfüllt werden.
Merksatz: Die Betroffenenrechte sind für die betroffene Person grundsätzlich unentgeltlich (Art. 12 Abs. 5 DSGVO) und müssen innerhalb eines Monats erfüllt werden (Art. 12 Abs. 3 DSGVO). Nur bei besonderer Komplexität ist eine Verlängerung möglich.
Art. 15 — Auskunftsrecht
Nach Art. 15 DSGVO kann eine Person zunächst eine Bestätigung verlangen, ob sie betreffende Daten verarbeitet werden. Ist das der Fall, hat sie ein Recht auf Auskunft über diese Daten und eine Reihe von Pflichtinformationen: unter anderem die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger oder Kategorien von Empfängern, die geplante Speicherdauer, das Bestehen von Rechten auf Berichtigung oder Löschung, das Beschwerderecht bei einer Aufsichtsbehörde, die Herkunft der Daten sowie das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling. Nach Art. 15 Abs. 3 DSGVO ist außerdem eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen.
Art. 16 — Recht auf Berichtigung
Nach Art. 16 DSGVO hat die betroffene Person das Recht, „unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen". Unter Berücksichtigung der Zwecke der Verarbeitung kann sie außerdem die Vervollständigung unvollständiger Daten verlangen — auch mittels einer ergänzenden Erklärung.
Art. 17 — Recht auf Löschung („Recht auf Vergessenwerden")
Art. 17 Abs. 1 DSGVO verpflichtet den Verantwortlichen, Daten unverzüglich zu löschen, wenn einer der genannten Gründe zutrifft, unter anderem:
- die Daten sind für die Zwecke nicht mehr notwendig,
- die betroffene Person widerruft ihre Einwilligung und es fehlt eine andere Rechtsgrundlage,
- die Person legt Widerspruch nach Art. 21 ein und es liegen keine vorrangigen berechtigten Gründe vor,
- die Daten wurden unrechtmäßig verarbeitet,
- die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
Art. 18 — Recht auf Einschränkung der Verarbeitung
Statt einer Löschung kann die Person nach Art. 18 DSGVO eine Einschränkung („Sperrung") verlangen. Das gilt in vier Fällen: wenn die Richtigkeit der Daten bestritten wird (für die Dauer der Prüfung); wenn die Verarbeitung unrechtmäßig ist, die Person aber statt der Löschung die Einschränkung wünscht; wenn der Verantwortliche die Daten nicht mehr benötigt, die Person sie aber zur Geltendmachung von Rechtsansprüchen braucht; und wenn ein Widerspruch nach Art. 21 Abs. 1 eingelegt wurde, solange die Abwägung noch nicht abgeschlossen ist. Eingeschränkte Daten dürfen — von der Speicherung abgesehen — nur noch eingeschränkt verarbeitet werden.
Art. 19 — Mitteilungspflicht des Verantwortlichen
Nach Art. 19 DSGVO muss der Verantwortliche allen Empfängern, denen Daten offengelegt wurden, jede Berichtigung, Löschung oder Einschränkung mitteilen — es sei denn, dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden. Auf Verlangen unterrichtet er die betroffene Person über diese Empfänger.
Art. 20 — Recht auf Datenübertragbarkeit
Art. 20 DSGVO gibt der Person das Recht, die von ihr bereitgestellten Daten in einem „strukturierten, gängigen und maschinenlesbaren Format" zu erhalten und sie einem anderen Verantwortlichen zu übermitteln. Voraussetzung ist, dass die Verarbeitung auf einer Einwilligung (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a) oder einem Vertrag (Art. 6 Abs. 1 lit. b) beruht und mit automatisierten Verfahren erfolgt. Soweit technisch machbar, kann eine direkte Übermittlung von einem Verantwortlichen zu einem anderen verlangt werden.
Art. 21 — Widerspruchsrecht
Nach Art. 21 Abs. 1 DSGVO kann die Person aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen eine Verarbeitung Widerspruch einlegen, die auf Art. 6 Abs. 1 lit. e oder f gestützt ist (einschließlich Profiling). Der Verantwortliche muss die Verarbeitung dann einstellen, es sei denn, er weist zwingende schutzwürdige Gründe nach, die die Interessen der Person überwiegen, oder die Verarbeitung dient der Geltendmachung von Rechtsansprüchen.
Absolut bei Direktwerbung: Richtet sich die Verarbeitung auf Direktwerbung, ist der Widerspruch nach Art. 21 Abs. 2 und 3 DSGVO ohne Abwägung wirksam — die Daten dürfen dann nicht mehr für Zwecke der Direktwerbung verarbeitet werden.
Art. 22 — Automatisierte Entscheidungen im Einzelfall
Nach Art. 22 Abs. 1 DSGVO hat die Person das Recht, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden", die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Ausnahmen bestehen nach Art. 22 Abs. 2, wenn die Entscheidung für einen Vertrag erforderlich ist, durch Rechtsvorschriften zugelassen wird oder auf ausdrücklicher Einwilligung beruht. In diesen Fällen sind nach Art. 22 Abs. 3 Schutzmaßnahmen vorzusehen — insbesondere das Recht auf Eingreifen einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung.
Fristen und Kosten (Art. 12 DSGVO)
Für alle genannten Rechte gilt der Rahmen des Art. 12 DSGVO:
Der Verantwortliche stellt die Informationen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Bei welcher Stelle betroffene Personen ihre Rechte geltend machen, erklärt auch unser Artikel zur Rolle des Datenschutzbeauftragten; die Grundprinzipien der Verarbeitung findest du unter DSGVO-Grundlagen.
Häufige Fragen
Kostet eine Auskunft nach Art. 15 DSGVO etwas?
Grundsätzlich nicht: Nach Art. 12 Abs. 5 DSGVO werden Auskunft und die Erfüllung der übrigen Betroffenenrechte unentgeltlich zur Verfügung gestellt. Nur bei offenkundig unbegründeten oder exzessiven Anträgen kann ein angemessenes Entgelt verlangt oder die Bearbeitung verweigert werden.
Was ist der Unterschied zwischen Löschung und Einschränkung?
Bei der Löschung nach Art. 17 werden die Daten entfernt. Bei der Einschränkung nach Art. 18 bleiben die Daten gespeichert, dürfen aber — abgesehen von der Speicherung — nur noch mit Einwilligung oder in engen Ausnahmefällen weiterverarbeitet werden. Die Einschränkung ist damit eine „Sperrung" auf Zeit.
Betroffenenrechte sicher beherrschen
Übe die Betroffenenrechte und alle weiteren Themengebiete der DSGVO mit Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).
Kostenlos registrierenRechtsgrundlagen & Quellen
- Art. 12 DSGVO — Modalitäten, Fristen und Unentgeltlichkeit (dsgvo-gesetz.de)
- Art. 15 DSGVO — Auskunftsrecht der betroffenen Person
- Art. 16 DSGVO — Recht auf Berichtigung
- Art. 17 DSGVO — Recht auf Löschung
- Art. 18 DSGVO — Recht auf Einschränkung der Verarbeitung
- Art. 19 DSGVO — Mitteilungspflicht
- Art. 20 DSGVO — Recht auf Datenübertragbarkeit
- Art. 21 DSGVO — Widerspruchsrecht
- Art. 22 DSGVO — Automatisierte Entscheidungen im Einzelfall
- Verordnung (EU) 2016/679 (DSGVO) — Volltext auf EUR-Lex
Stand: 07/2026 · Alle Angaben nach dem Wortlaut der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679). Keine Rechtsberatung.