Person mit kurzen grauen Haaren und Brille sitzt mit einem Laptop auf dem Schoß und blickt freudig darauf
© Jacob Lund | stock.adobe.com

EU-Datenschutz-Grundverordnung (DSGVO): Betroffenenrechte

Die Betroffenenrechte im Überblick 

Lesedauer: 4 Minuten

Was sind Betroffenenrechte?

Betroffenenrechte sind, wie der Name schon sagt, Rechte der von einer Datenverarbeitung betroffenen Person (= Betroffener) gegenüber dem Verantwortlichen. Sie kann damit z.B. erfahren, welche sie betreffende Daten verarbeitet werden, sich gegen unrichtige oder unvollständige Datensätze zur Wehr setzen oder verlangen, dass Daten wieder gelöscht werden. 

Welche Rechte gibt es? 

Transparente Information, Kommunikation und Modalitäten 

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen und alle Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Die Übermittlung der Informationen erfolgt schriftlich, elektronisch oder in einer anderen Form. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Identitätsnachweis

Nach alter Rechtslage (DSG 2000) war es notwendig, dass der Betroffene seine Identität mit entsprechendem Nachweis (Ausweiskopie) bereits bei der Anfrage offengelegt hat.

Nach der DSGVO muss die betroffene Person das nur, wenn der Verantwortliche begründete Zweifel an seiner Identität hat. In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Hinweis: In der Regel werden begründete Zweifel bei telefonischen Anfragen oder wenn das Auskunftsersuchen von einer Fantasie-E-Mail-Adresse versandt wurde, bestehen.

Je nach Situation muss der Betroffene nicht mit seinem Klarnamen auftreten, z.B. wenn dieser für die konkrete Datenanwendung nicht relevant ist, sondern er mit einem frei gewählten Benutzer beim Verantwortlichen bekannt ist.

Tipp:

Sollte eine Anfrage z.B. von Max.Mustermann@domain.at kommen und nicht elektronisch signiert sein, wäre es ratsam, z.B. eine Ausweiskopie zu verlangen.

Frist

Informationen nach den Informationspflichten sind den Betroffenen zum Zeitpunkt der Erhebung der Daten, wenn diese bei dem Betroffenen direkt erhoben werden, zur Verfügung zu stellen. Werden Daten nicht beim Betroffenen selbst erhoben, erteilt der Verantwortliche die Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, spätestens innerhalb eines Monats. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an die Person, oder falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

Alle weiteren Anfragen durch Betroffene (Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Widerspruchsrecht) müssen vom Verantwortlichen unverzüglich, jedenfalls innerhalb eines Monats nach Eingang der Anfrage beantwortet werden. Diese Frist kann um weitere zwei Monate verlängert werden (die Frist kann daher insgesamt drei Monate betragen), wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen (in der Regel des Betroffenen) erforderlich ist.

Der Verantwortliche muss die betroffene Person aber innerhalb eines Monats nach Eingang der Anfrage über eine Fristverlängerung unterrichten, das zusammen mit den Gründen für die Verzögerung. Wurde der Antrag elektronisch eingebracht, soll auch diese Mitteilung elektronisch übersandt werden (sofern die betroffene Person dem nicht zuvor widersprochen hat).

Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, muss er ebenso die betroffene Person ohne Verzögerung informieren, spätestens aber innerhalb eines Monats nach Eingang der Anfrage über die Gründe für das Nicht-Tätigwerden und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.

Unentgeltlichkeit

Informationen und alle Mitteilungen und Maßnahmen sind unentgeltlich zur Verfügung zu stellen. Bei offenkundig unbegründeten oder exzessiven Anträgen (z.B., wenn die Anfrage häufig wiederholt wird) einer betroffenen Person kann der Verantwortliche

  • ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
  • sich weigern, aufgrund des Antrags tätig zu werden.

Beim Entgelt können die Verwaltungskosten für das Verständigungsschreiben berücksichtigt werden. Ob die Anfrage des Betroffenen tatsächlich offenkundig unbegründet oder exzessiv war, hat der Verantwortliche zu beweisen.

Durchsetzung der Betroffenenrechte

Falls eine betroffene Person meint, in ihren Rechten verletzt worden zu sein, kann zur Durchsetzung der Betroffenenrechte binnen eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Datenschutzbehörde eingereicht werden. Sind mehr als drei Jahre seit dem Ereignis vergangen, kann der Anspruch nicht mehr geltend gemacht werden (Präklusion), sofern kein Dauerdelikt vorliegt.

Geldstrafen

Die Verletzung der Betroffenenrechte ist mit bis zu 20 Mio. EUR oder 4% des letztjährigen weltweiten Jahresumsatzes sanktioniert.

Relevante Artikel der DSGVO: Art 12 - 21

Relevante Erwägungsgründe: 58 ff

Relevante Bestimmungen des DSG: § 24

Stand: 19.01.2024

Weitere interessante Artikel
  • Person mit dunklen geschlossenen Haaren und Businesskleidung hält eine Brille in der Hand und blickt freudig in die Kamera, während im Hintergrund weitere Personen am selben Besprechungstisch sitzen
    Pflicht des Arbeitgebers zur Information des Betriebsrates bei automationsunterstützter Verarbeitung von Mitarbeiterdaten
    Weiterlesen
  • Nahaufnahme von Aktenstapeln
    EU-Datenschutz-Grund­verordnung (DSGVO): Dokumentation­s­pflicht - Ver­­zeichnis von Verarbeitungs­tätigkeiten
    Weiterlesen
  • Lächelnde Person mit Brillen im Fokus, umgeben von weiteren Personen die auf Fenster Post-its kleben und betrachten
    EU-Datenschutz-Grundverordnung (DSGVO): Datenschutzerklärung für Mitarbeiter
    Weiterlesen