Jetzt Mitglied werden!
eRecht24.de

Betroffenenanfrage

Wenn Kunden ihre Daten einfordern: So meistern Unternehmen Betroffenenanfragen gemäß DSGVO

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(1 Bewertung, 5.00 von 5)

Das Wichtigste in Kürze

  • Unternehmen haben einen Monat Zeit, Betroffenenanfragen zu beantworten.
  • Bei Missachtung droht ein Bußgeld von bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes (je nachdem, was höher ist).
  • Nehmen Sie den Datenschutz in Ihrem Unternehmen ernst und dokumentieren Sie Ihre Datenschutzprozesse mit unserem Datenschutzmanagementsystem DatenschutzPro auf eRecht24 Premium.
Ich möchte mich umfassend informieren Ich möchte mein Business absichern

Worum geht's?

Unternehmen stehen zunehmend im Fokus, wenn es um den verantwortungsvollen Umgang mit personenbezogenen Daten geht. Betroffenenanfragen nach der DSGVO sind keine Seltenheit, sie gehören zum Alltag jedes datenschutzkonformen Unternehmens. Ob Auskunft, Löschung oder Datenübertragbarkeit: Betroffene haben ein Recht zu wissen, wie ihre Daten verarbeitet werden. Wer hier nicht vorbereitet ist, riskiert nicht nur Bußgelder, sondern auch Vertrauensverluste. In diesem Beitrag erfahren Sie, welche Pflichten Ihr Unternehmen hat, wie Sie Betroffenenanfragen korrekt bearbeiten und welche Fristen Sie unbedingt einhalten müssen.

 

1. Was sind Betroffenenanfragen?

Im Rahmen einer Betroffenenanfrage können Personen erfragen, ob und inwiefern ihre personenbezogenen Daten in Ihrem Unternehmen gespeichert und verarbeitet werden. Sie stehen als Unternehmen laut der Datenschutz-Grundverordnung (DS-GVO) in der Pflicht, aktiv über die Verarbeitung von personenbezogenen Daten zu informieren, wenn eine betroffene Person dies bei Ihnen anfragt. Dies muss unentgeltlich passieren.

Die Pflicht basiert auf Art. 15 der DSGVO, dem sogenannten Auskunftsrecht. Auch wenn die betroffenen Personen ihre Daten freiwillig, beispielsweise für Bewerbungszwecke oder eine Newsletteranmeldung zur Verfügung gestellt haben, müssen Sie jederzeit in der Lage sein, eine detaillierte Übersicht über die verarbeiteten personenbezogenen Daten und deren Zweck bereitstellen zu können. Verlangen die Betroffenen eine Einschränkung der Verarbeitung, müssen Sie dem nachkommen.

2. Wann müssen Unternehmen Auskunft über die Daten einer Person geben?

Gemäß der Datenschutzgrundverordnung haben betroffene Personen umfangreiche Informationsrechte im Hinblick auf Ihre personenbezogenen Daten. Die Betroffenenrechte umfassen

sowie das bereits genannte Auskunftsrecht nach Art. 15 DSGVO). Weiterführende Informationen zu den jeweiligen Betroffenenrechten lesen Sie in unseren verlinkten Artikeln und Gesetzestexten.

Aber wer darf eine Betroffenenanfrage stellen? Grundsätzlich können alle Betroffenen, deren personenbezogene Daten im Unternehmen verarbeitet werden, eine Betroffenenanfrage stellen. Auch Betroffene, die sich nicht sicher sind, ob ihre personenbezogenen Daten von Ihrem Unternehmen verarbeitet werden, haben das Recht, eine Betroffenenanfrage zu stellen.

PRAXIS-TIPP

Verarbeiten Sie die Daten einer betroffenen Person, stehen Sie laut DSGVO in der aktiven Informationspflicht. Das bedeutet, dass Sie die Betroffenen über die Datenverarbeitung in Ihrem Unternehmen informieren müssen. Das gilt im Übrigen auch, wenn Sie keine personenbezogenen Daten der Betroffenen verarbeiten. Dann müssen Sie eine sogenannte Negativauskunft ausstellen.

Die Anfrage von Betroffenen muss innerhalb eines Monats beantwortet werden. Reagieren Sie nicht oder verspätet sich die Auskunftserteilung, kann die Missachtung der Auskunftspflicht eine Verwarnung oder sogar ein DSGVO-Bußgeld nach sich ziehen. Sollte die Zusammenstellung der Daten aufwändig sein und Sie können dies begründen, müssen Sie dem Betroffenen mitteilen, dass sich der Prozess verzögert.

3. Wie muss die Auskunft erfolgen?

In der Regel erfolgt die Auskunft über die Verarbeitung der personenbezogenen Daten einer betroffenen Person schriftlich oder elektronisch. Eine telefonische oder mündliche Antwort auf die Betroffenenanfrage ist zwar möglich, kann aber nicht immer dokumentiert werden. Da Sie als Unternehmen allerdings eine Rechenschaftspflicht gemäß Art. 5 II DSGVO haben, sollten Sie von der mündlichen Auskunft absehen.

AUFGEPASST!

Bevor Sie eine Betroffenenanfrage beantworten, müssen Sie zunächst zweifelsfrei die Identität des Betroffenen feststellen. So sollen die Daten vor unbefugter Einsichtnahme oder Löschung durch Dritte geschützt werden.

Für die Bestätigung der Identität kann das einfachste Identifizierungsverfahren gewählt werden, welches allerdings gleichzeitig ein hinreichendes Schutzniveau bietet. Zu beachten sind in jedem Fall die Sensibilität der personenbezogenen Daten sowie die Art und Weise der Anfrage (per Mail, Brief, Telefon etc.). Folgendermaßen kann eine Identifizierung beispielsweise erfolgen:

  1. Nutzerkonto: Die betroffene Person hat ein Nutzerkonto bei Ihnen. Sie können direkt im Nutzerkonto die Betroffenenanfrage beantworten, sodass nur die jeweilige Person Zugriff auf die Daten hat.
  2. E-Mail oder Brief: Die Adresse oder E-Mail-Adresse ist Ihnen bekannt und kann einer betroffenen Person zugeordnet werden. Je nach Schutzbedarf der Daten kann dies ausreichend sein. Bei einer unbekannten E-Mail-Adresse oder Postadresse ist eine weitere Identifikation nötig.
  3. Telefon: Verlangt der Betroffene ein mündliches Auskunftsersuchen per Telefon, können Sie sich die Adresse nennen lassen. Hier ist allerdings Vorsicht geboten. Um nicht fälschlicherweise einer dritten Person (beispielsweise einem Verwandten) Auskunft zu geben, können Sie weitere Informationen abfragen.
  4. eIDAS: Identifizierung über elektronische Identifizierungs- und Vertrauensdienste.
  5. Ausweis: Kopie des Ausweises oder Identifizierung per Video-Ident-Verfahren.

Achten Sie im Umgang mit personenbezogenen Daten immer darauf, dass die Antwort auf die Auskunftsanfrage verschlüsselt erfolgt und Dritte keinen Zugriff darauf haben. Sobald die Daten in der Beantwortung der Betroffenenanfrage Rückschlüsse auf andere Personen zulassen, müssen Sie die entsprechenden Stellen schwärzen oder unkenntlich machen.

PRAXIS-TIPP

Achten Sie darauf, dass die Antwort auf das Auskunftsersuchen in klarer und verständlicher Sprache erfolgt und dokumentieren Sie - wie bereits erwähnt - die Auskunft intern gemäß Ihrer Rechenschaftspflicht.

4. Was passiert, wenn die Auskunft zu spät oder gar nicht erfolgt?

In der Regel sollten Sie unverzüglich, aber spätestens innerhalb eines Monats auf eine Betroffenenanfrage reagieren. Tun Sie dies nicht und melden Sie sich nicht, dass die Anfrage ggf. mehr Zeit in Anspruch nimmt, können Betroffene die zuständige Aufsichtsbehörde über den Datenschutzverstoß informieren.

Die Aufsichtsbehörde verlangt dann meistens Einsicht in das Verzeichnis für Verarbeitungstätigkeiten und lässt sich Ihren Prozess zur Beantwortung von Betroffenenanfragen vorlegen. Können Sie beides nicht vorweisen, kann eine Datenschutzprüfung und ein DSGVO-Bußgeld die Folge sein.

ACHTUNG!

Das Bußgeld kann bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes (je nachdem, was höher ist) betragen.

5. Wie reagieren Sie auf offensichtlich unbegründete, exzessive und missbräuchliche Anträge?

Es kann leider immer auch zu missbräuchlichen oder exzessiven Betroffenenanfragen kommen. In diesem Fall sollten Sie immer Ihren Datenschutzbeauftragten einschalten. Denn für offensichtlich unbegründete Anträge können Sie ein angemessenes Entgelt verlangen oder die Bearbeitung verweigern.

ABER ACHTUNG!

Die Beweislast über die Unbegründetheit oder den exzessiven Charakter liegt bei Ihnen als Verantwortlichem.

Offensichtlich unbegründet sind beispielsweise Anträge von einer nicht berechtigten Person oder Anfragen auf Löschung der personenbezogenen Daten, obwohl Sie der betroffenen Person bereits mitgeteilt haben, dass Sie keine Daten von ihm gespeichert haben.

Exzessive Anträge liegen bei häufig wiederholten Anfragen mit gleichen Forderungen vor oder aber bei Anträgen, die einen rechtsmissbräuchlichen Charakter haben. Ein Beispiel dafür ist die Einsicht in eine Patientenakte unter Berufung der DSGVO, um die Gebühr zu umgehen, die laut Krankenhausgesetz dafür fällig wird.

6. So managen Sie souverän Auskunftsanfragen gemäß DSGVO in 5 Schritten

Damit Sie im Rahmen der Beantwortung einer Betroffenenanfrage nichts vergessen, sollten Sie Schritt für Schritt vorgehen. Auf Anfragen von Betroffenen müssen Sie innerhalb eines Monats reagieren. Erstellen Sie dazu einen Prozess für Betroffenenanfragen, um den Anforderungen der DSGVO zur Datenverarbeitung gerecht zu werden. Strukturieren und dokumentieren Sie einen Ablauf für den Umgang mit Betroffenenanfragen und stellen Sie einen Verantwortlichen dafür ab. Unsere Schritt-für-Schritt-Anleitung kann Ihnen dabei helfen.

Schritt 1: Verantwortlichkeiten benennen

Meistens landet die Betroffenenanfrage nicht direkt auf dem Tisch des Datenschutzverantwortlichen. Der Mitarbeiter, der die Anfrage erhält, muss die Betroffenenanfrage weiterleiten. In der Regel kümmert sich der interne oder externe Datenschutzbeauftragte um die Beantwortung von Betroffenenanfragen.

LEGALTRUST KONTAKTIEREN

LEGALTRUST

Unser Partnerunternehmen Legaltrust identifiziert datenschutzrechtliche Schwachstellen, konzipiert Lösungen, begleitet Sie bei der praktischen Umsetzung und sorgt für nachhaltigen Datenschutz in Ihrem Unternehmen – kompetent, praxisnah und verständlich.
LEGALTRUST KONTAKTIEREN

Es kann aber auch jeder andere Mitarbeiter des Unternehmens die Anfragen beantworten. Schulen Sie die Mitarbeiter, die mit Betroffenenanfragen zu tun haben, regelmäßig. Sie sollten immer wissen, wie eine Anfrage aussieht, an wen sie ggf. weitergeleitet werden muss und wie schnell und in welcher Form sie beantwortet werden muss.

Schritt 2: Identifikation

In Kapitel 3 haben wir bereits über die Identifikation der betroffenen Person informiert. Diese spielt jetzt in Schritt 2 wiederum eine entscheidende Rolle. Prüfen Sie, ob die Anfrage legitim ist und stellen Sie die Identität beispielsweise mittels E-Mail-Adresse, Kopie des Ausweises oder der Vorlage einer aktuellen Rechnung sicher.

Zusätzlichen Schutz kann eine doppelte Bestätigung per Mail und SMS liefern. Ein klarer Prozess zum Umgang mit Betroffenenanfragen kann auch hier Aufschluss über die richtigen Identifizierungsmaßnahmen liefern. Im Zweifelsfall sollte der Datenschutzbeauftragte kontaktiert werden.

LEGALTRUST KONTAKTIEREN

LEGALTRUST

Unser Partnerunternehmen Legaltrust identifiziert datenschutzrechtliche Schwachstellen, konzipiert Lösungen, begleitet Sie bei der praktischen Umsetzung und sorgt für nachhaltigen Datenschutz in Ihrem Unternehmen – kompetent, praxisnah und verständlich.
LEGALTRUST KONTAKTIEREN

Schritt 3: Zusammentragung der Daten und Fristenwahrung

Beachten Sie die Einhaltung der einmonatigen Frist. Bedenken Sie auch, dass Sie für die Auskunftserteilung ggf. andere Fachbereiche kontaktieren und deren Antwort abwarten müssen. Sammeln Sie alle notwendigen Daten zusammen. Prüfen Sie im Anschluss, wie die personenbezogenen Daten in die Verarbeitungstätigkeiten Ihres Unternehmens eingebunden sind. Hierbei hilft ein gründlich gepflegtes Verzeichnis für Verarbeitungstätigkeiten (VVT).

Ein Verzeichnis für Verarbeitungstätigkeiten können Sie mit unserem Datenschutz-Management-System DatenschutzPro auf eRecht24 Premium erstellen und verwalten. Probieren Sie es aus!

JETZT DATENSCHUTZ ABSICHERN

DatenschutzPro

Verwalten Sie Ihren Datenschutz mit unserer Datenschutz-Managementlösung DatenschutzPro:
  • Behalten Sie den Überblick über den Datenschutz in Ihrem Unternehmen
  • Erstellen Sie die wichtigsten Datenschutzdokumente an einem Ort
  • Intuitive und zeitsparende Bedienung
  • Datenschutzbeauftragter auf Wunsch zubuchbar
JETZT DATENSCHUTZ ABSICHERN

Schritt 4: Antwortschreiben formulieren

Erstellen Sie aus den Daten eine Liste für die betroffene Person. Gemäß Art. 15 Abs. 3 DSGVO müssen Sie auch eine Kopie der betroffenen personenbezogenen Daten bereitstellen. Das Antwortschreiben sollte folgende Informationen enthalten:

  • Art und Zweck der Verarbeitung
  • Kategorien der personenbezogenen Daten
  • Empfänger, gegenüber denen die personenbezogenen Daten oder die Kategorien offengelegt wurden
  • Dauer der Datenspeicherung

Informieren Sie betroffene Personen auch über ihr Recht auf Berichtigung oder Löschung ihrer personenbezogenen Daten.

Schritt 5: Antwortschreiben versenden

Grundsätzlich sollten Datenschutz und Datensicherheit beim Versenden des Antwortschreibens höchste Priorität haben. Achten Sie darauf, dass die E-Mail verschlüsselt ist, wenn Sie per Mail versenden. Auch der Versand per Brief an die hinterlegte Adresse sowie der Zugriff aufs Antwortschreiben über ein Nutzerkonto stellt eine sichere Möglichkeit dar. Dokumentieren Sie den gesamten Vorgang sorgfältig.

7. Fazit zur Betroffenenanfrage

Als Unternehmen stehen Sie in der Pflicht, Anfragen zur Verarbeitung personenbezogener Daten von Betroffenen innerhalb einer einmonatigen Frist zu beantworten. Das sogenannte Auskunftsrecht ergibt sich aus Art. 15 DSGVO. Kommen Sie den sogenannten Betroffenenanfragen nicht rechtzeitig oder gar nicht nach, kann ein hohes DSGVO-Bußgeld drohen.

Sind Sie fit in Sachen Datenschutz in Ihrem Unternehmen? Mit unserem Datenschutz-Management-System DatenschutzPro auf eRecht24 Premium können Sie nicht nur technisch-organisatorische Maßnahmen erstellen und verwalten, sondern auch ein Verzeichnis für Verarbeitungstätigkeiten anlegen und Dienstleisterverträge hinterlegen. Zudem können Sie im Notfall eine Datenschutzpanne melden und sich zeitnah von unseren Kollegen der Legaltrust beraten lassen.

JETZT DATENSCHUTZ ABSICHERN

DatenschutzPro

Verwalten Sie Ihren Datenschutz mit unserer Datenschutz-Managementlösung DatenschutzPro:
  • Behalten Sie den Überblick über den Datenschutz in Ihrem Unternehmen
  • Erstellen Sie die wichtigsten Datenschutzdokumente an einem Ort
  • Intuitive und zeitsparende Bedienung
  • Datenschutzbeauftragter auf Wunsch zubuchbar
JETZT DATENSCHUTZ ABSICHERN

8. Häufige Fragen zur Betroffenenanfrage

Wer kümmert sich im Unternehmen um Anfragen bezüglich der Betroffenenrechte?

In den meisten Unternehmen kümmert sich der Datenschutzbeauftragte um Betroffenenanfragen. Hierzu kann entweder intern oder extern eine bestimmte Person benannt werden. Aber auch geschulte Mitarbeiter können Betroffenenanfragen beantworten. Wichtig ist, dass die jeweilige Betroffenenanfrage rechtzeitig und ordnungsgemäß bearbeitet wird.

Wie kann ich Auskunft über meine Daten anfordern?

Eine betroffene Person kann Auskunft über ihre gespeicherten Daten verlangen, indem sie eine formlose Anfrage an das Unternehmen oder die Organisation stellt, die ihre Daten verarbeitet. Diese Anfrage kann schriftlich, per E-Mail, telefonisch oder online über ein Benutzerkonto erfolgen und sollte den Namen sowie gegebenenfalls weitere Identifikationsmerkmale enthalten, um die Daten eindeutig zuordnen zu können.

Wann muss eine Anfrage eines Betroffenen beantwortet werden?

Eine Anfrage eines Betroffenen nach DSGVO, beispielsweise auf Auskunft, Berichtigung oder Löschung, muss grundsätzlich innerhalb eines Monats beantwortet werden. In Ausnahmefällen kann die Frist um zwei weitere Monate verlängert werden, wenn die Anfrage komplex ist. Der Betroffene muss dann aber über die Verlängerung und deren Gründe informiert werden.

 

Caroline Schmidt
Caroline Schmidt, B.A.
SEO-/SEA-Managerin (IHK) & Online-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über fünf Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details