Zum Inhalt springen

Prozess für Betroffenenrechte (Auskunft, Löschung, Widerspruch) einrichten

Provimedia 4 Min. Lesezeit 11. Juli 2026
Unternehmerpflichten
Prozess für Betroffenenrechte (Auskunft, Löschung, Widerspruch) einrichten

Kunden, Website-Besucher, Bewerber oder ehemalige Geschäftspartner können jederzeit Auskunft über ihre gespeicherten Daten verlangen oder deren Löschung fordern. Damit eine solche Anfrage nicht zum Ad-hoc-Stress wird, brauchen Unternehmen einen belastbaren, wiederholbaren Ablauf.

Kurz erklärt: Die Art. 12–22 DSGVO geben Betroffenen Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch. Unternehmen müssen Anträge grundsätzlich unentgeltlich und binnen eines Monats beantworten. Wer diese Pflicht nicht oder verspätet erfüllt, riskiert Beschwerden bei der Aufsichtsbehörde und Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.

Welche Rechte haben Betroffene nach der DSGVO?

Betroffene haben gegenüber jedem Unternehmen, das ihre personenbezogenen Daten verarbeitet, sechs zentrale Rechte aus den Art. 12–22 DSGVO. Dazu gehören das Recht auf Auskunft darüber, welche Daten verarbeitet werden, das Recht auf Berichtigung fehlerhafter Angaben, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit sowie das Recht auf Widerspruch gegen bestimmte Verarbeitungen. Diese Rechte gelten unabhängig davon, ob es sich um Kunden, Website-Besucher, Bewerber oder andere betroffene Personen handelt, und unabhängig davon, ob aktuell eine Geschäftsbeziehung besteht. Für Ihr Unternehmen bedeutet das: Jede eingehende Anfrage zu einem dieser Rechte muss erkannt, der richtigen Stelle zugeordnet und fristgerecht beantwortet werden – unabhängig davon, über welchen Kanal sie eingeht.

Wie richten Sie den Prozess für Betroffenenanfragen ein?

Ein belastbarer Prozess für Betroffenenrechte besteht aus fünf Bausteinen, die von der ersten Anfrage bis zur dokumentierten Erledigung reichen. Wichtig ist, dass der Ablauf nicht von einer einzelnen Person im Kopf getragen wird, sondern so festgelegt ist, dass er auch bei Urlaub, Krankheit oder Personalwechsel funktioniert.

  1. Zentrale Eingangsstelle und Zuständigkeit für Betroffenenanfragen festlegen.
  2. Identitätsprüfung des Antragstellers definieren (ohne unnötige Zusatzdatenerhebung).
  3. Für jedes Recht (Auskunft, Löschung, Widerspruch …) einen Standardablauf mit Fristenkontrolle festlegen.
  4. Antworten innerhalb eines Monats sicherstellen; Verlängerung nur begründet um zwei Monate.
  5. Anfragen und Erledigung revisionssicher dokumentieren.

Der Auskunftsantrag nach Art. 15 ist in der Praxis die häufigste Anfrage – eine vorbereitete Vorlage für Antwortschreiben und interne Weiterleitung spart im Ernstfall wertvolle Zeit und verhindert, dass die Frist unbemerkt verstreicht. Ob Ihr Unternehmen für solche Anfragen bereits ausreichend aufgestellt ist oder an welchen Stellen der Ablauf noch Lücken hat, lässt sich im Rahmen eines Company Audit strukturiert prüfen.

Welche Frist gilt für die Beantwortung?

Für die Beantwortung von Betroffenenanfragen gilt grundsätzlich eine Frist von einem Monat. Diese Ein-Monats-Frist läuft ab dem Eingang des Antrags bei Ihrem Unternehmen, nicht erst ab der internen Kenntnisnahme durch die zuständige Stelle – landet eine Anfrage also zunächst im allgemeinen Kundenpostfach und wird erst später an die richtige Stelle weitergeleitet, läuft die Frist trotzdem bereits. Nur in begründeten Fällen – etwa bei besonders komplexen oder zahlreichen Anfragen – darf die Frist um zwei weitere Monate verlängert werden. Anträge sind dabei grundsätzlich unentgeltlich zu bearbeiten, eine Fristenkontrolle sollte deshalb fest im Prozess verankert sein.

Was droht bei einem Verstoß gegen die Betroffenenrechte?

Wer Betroffenenrechte nicht oder verspätet erfüllt, riskiert zunächst eine Beschwerde der betroffenen Person bei der zuständigen Aufsichtsbehörde. Aus einer solchen Beschwerde kann ein förmliches Prüfverfahren werden, an dessen Ende Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes stehen können. Neben dem finanziellen Risiko wirkt sich ein schlecht organisierter Umgang mit Betroffenenanfragen auch auf das Vertrauen von Kunden und Geschäftspartnern aus, sobald eine Anfrage ins Leere läuft oder unnötig lange dauert. Ein sauber dokumentierter Prozess mit klarer Zuständigkeit und Fristenkontrolle reduziert dieses Risiko erheblich, weil sich jede Anfrage im Zweifel nachweisbar fristgerecht bearbeiten lässt.

Häufige Fragen

Wer kann einen Antrag auf Auskunft, Löschung oder Widerspruch stellen?

Grundsätzlich jede betroffene Person, deren personenbezogene Daten Ihr Unternehmen verarbeitet – also Kunden, Website-Besucher, Bewerber oder ehemalige Geschäftspartner. Die Rechte aus Art. 12–22 DSGVO stehen ihnen unabhängig von einer bestehenden Geschäftsbeziehung zu, auch ehemalige Kunden oder abgelehnte Bewerber können also einen Antrag stellen.

Kostet die Bearbeitung einer Betroffenenanfrage etwas?

Nein, Anträge sind grundsätzlich unentgeltlich zu bearbeiten. Der interne Aufwand für Prüfung, Recherche und Antwort liegt beim Unternehmen und lässt sich am besten über einen standardisierten, wiederholbaren Ablauf begrenzen.

Ab wann läuft die Ein-Monats-Frist?

Die Frist beginnt mit dem Eingang des Antrags bei Ihrem Unternehmen, nicht erst dann, wenn die zuständige Stelle intern davon erfährt. Deshalb ist eine zentrale Eingangsstelle für Betroffenenanfragen wichtig, damit keine Zeit durch interne Weiterleitung verloren geht.

Muss ich die Identität des Antragstellers prüfen?

Ja, eine Identitätsprüfung ist Teil eines belastbaren Prozesses – allerdings ohne dass dafür unnötige zusätzliche Daten erhoben werden. Der Prüfaufwand sollte zur Sensibilität der angefragten Daten passen, damit weder Betroffene unnötig belastet noch Anfragen leichtfertig an Unbefugte beantwortet werden.

Was passiert, wenn eine Anfrage nicht fristgerecht beantwortet wird?

Die betroffene Person kann sich mit einer Beschwerde an die zuständige Aufsichtsbehörde wenden. Das kann zu einem Prüfverfahren und im weiteren Verlauf zu Bußgeldern bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes führen, weshalb eine revisionssichere Dokumentation aller Anfragen und Antworten wichtig ist.

Quelle: Art. 12–22 DSGVO. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.

Beitrag teilen

Bleiben Sie auf dem Laufenden

Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.

Bereit für Ihr KI-Kompetenz-Zertifikat?

Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.