Euer Datenschutz-Thema der Woche – Betroffenenanfrage DSGVO: Was jetzt wirklich wichtig ist

Einleitung

Unternehmen erhalten sie häufiger, als viele denken – und oft völlig unerwartet:
Betroffenenanfragen nach der DSGVO.
Eine falsche oder verspätete Reaktion kann schnell zu Beschwerden bei der Aufsichtsbehörde führen. Umso wichtiger ist es, zu wissen, was eine Betroffenenanfrage ist, welche Pflichten bestehen und wie Sie strukturiert vorgehen.

Was ist eine Betroffenenanfrage?

Eine Betroffenenanfrage liegt vor, wenn eine Person ihre Rechte nach der DSGVO geltend macht.
Das kann sowohl formlos, schriftlich als auch mündlich erfolgen – ein bestimmtes Stichwort ist nicht erforderlich.

Typische Beispiele:

• „Welche Daten haben Sie über mich gespeichert?“
• „Bitte löschen Sie meine Daten.“
• „Ich möchte meine Daten berichtigt haben.“
• „Ich widerspreche der Verarbeitung meiner Daten.“

Mit anderen Worten: Auch eine E-Mail ohne den Begriff „DSGVO“ kann eine Betroffenenanfrage sein.

Welche Rechte haben betroffene Personen?

Die DSGVO sieht mehrere Betroffenenrechte vor und zwar:

• Auskunftsrecht (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung („Recht auf Vergessenwerden“, Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Unternehmen müssen in der Lage sein, jedes dieser Rechte korrekt umzusetzen.

Welche Fristen gelten bei Betroffenenanfragen?

Die wichtigste Frist lautet:

Ein Monat ab Eingang der Anfrage

Eine Verlängerung der Frist um zwei Monate ist in Ausnahmefällen möglich –
aber nur, wenn:

• die Anfrage besonders komplex ist und
• die betroffene Person rechtzeitig eine Information erhält.

Ein „Wir melden uns später“ ohne Begründung reicht nicht aus.

Wie sollten Sie auf eine Betroffenenanfrage reagieren?

Ein strukturiertes Vorgehen hilft, Fehler zu vermeiden:

1. Anfrage erkennen und intern weiterleiten

Alle Mitarbeitenden sollten wissen, an wen Betroffenenanfragen weiterzuleiten sind (z. B. Datenschutzbeauftragte*r, Geschäftsführung).

2. Identität prüfen

Bevor Daten herausgegeben werden, muss sichergestellt sein, dass die Anfrage tatsächlich von der betroffenen Person stammt.

3. Daten zusammentragen

Alle relevanten Systeme, Abteilungen sowie Dienstleister müssen berücksichtigt werden.
Dazu zählen auch E-Mail-Postfächer, CRM-Systeme oder Cloud-Dienste.

4. Antwort fristgerecht erteilen

Die Antwort muss:

• vollständig
• verständlich
• kostenfrei
• sowie fristgerecht erfolgen.

5. Vorgang dokumentieren

Jede Betroffenenanfrage sollte dokumentiert werden – inklusive Datum, Inhalt, Antwort sowie Fristwahrung.

Wann dürfen Anfragen abgelehnt werden?

Nicht jede Anfrage muss automatisch erfüllt werden.
Eine Ablehnung ist z. B. möglich, wenn:

• gesetzliche Aufbewahrungspflichten bestehen
• die Anfrage offensichtlich unbegründet oder exzessiv ist

Aber Achtung:
Auch eine Ablehnung muss begründet und dokumentiert werden.

Häufige Fehler – und wie Sie sie vermeiden

• Anfragen werden nicht als solche erkannt: Schulungen und klare Meldewege schaffen Sicherheit.

• Fristen werden übersehen: Ein zentraler Prozess verhindert Zeitdruck.

• Daten werden unvollständig herausgegeben: Alle Systeme sowie Abteilungen müssen geprüft werden.

• Antworten sind zu technisch oder unverständlich: Die DSGVO verlangt klare und verständliche Kommunikation.

Fazit: Betroffenenanfragen brauchen klare Prozesse

Betroffenenanfragen sind kein Ausnahmefall, sondern Teil des Datenschutzalltags.
Unternehmen, die klare Zuständigkeiten, feste Abläufe sowie dokumentierte Prozesse haben, reagieren souverän und rechtssicher.

So vermeiden Sie Beschwerden, Bußgelder sowie unnötigen Stress – und stärken gleichzeitig das Vertrauen der betroffenen Personen.

Ausblick: Sie entscheiden, wie es weitergeht

Welche Frage sollen wir in der nächsten Woche beantworten?
Am Montag stellen wir Ihnen wieder drei Datenschutzthemen zur Auswahl – Sie stimmen ab, welches Thema wir im nächsten Blogbeitrag ausführlich erklären.

Folgen Sie uns auf Instagram, um mitzuentscheiden und kein Thema der Serie zu verpassen.

Noch mehr Praxiswissen?
Erfahren Sie in unserem Blogbeitrag, wie Unsere Vorgehensmethodik zur Datenschutz-Grundverordnung (DSGVO) ist – In diesem Blogbeitrag erläutern wir unsere simple Vorgehensmethodik zur Datenschutz-Grundverordnung in drei Phasen: Analysephase, Umsetzungsphase und Integrationsphase.