Zum Hauptinhalt springen
HubSecure
Menü

Blog

Der vollständige Leitfaden zu Betroffenenrechten für kleine Unternehmen

Wenn ein Kunde seine Daten einsehen, korrigieren oder löschen möchte, haben Sie rechtliche Pflichten und Fristen. Dieser Leitfaden erklärt jedes Betroffenenrecht, wann es gilt, und wie Sie einen Prozess aufbauen, der Anfragen ohne Betriebsunterbrechung bearbeitet.

· Von HubSecure Compliance

Ein Kunde sendet eine E-Mail und bittet um eine Kopie aller Daten, die Sie über ihn haben. Ein ehemaliger Mitarbeiter beantragt die Löschung seiner Unterlagen. Ein Interessent bittet, das Marketing zu stoppen und seine Daten zu löschen. Ein Bewerber möchte wissen, welche Profiling-Daten bei der Entscheidung verwendet wurden.

Das sind alles Betroffenenanfragen. Unter der DSGVO haben Sie rechtliche Pflichten, wenn sie eintreffen — und eine Einmonatsfrist für die Antwort.

Die sieben Rechte

Auskunftsrecht (Artikel 15 DSGVO)

Was es ist: Eine Person kann eine Kopie aller personenbezogenen Daten anfordern, die Sie über sie haben, zusammen mit Informationen darüber, wie Sie diese verwenden.

Was Sie bereitstellen müssen:

  • Bestätigung, ob Sie personenbezogene Daten über sie verarbeiten
  • Eine Kopie der Daten (in einem gängigen elektronischen Format, wenn gewünscht)
  • Die Zwecke der Verarbeitung
  • Die Kategorien der Daten
  • Die Empfänger oder Empfängerkategorien
  • Die Speicherdauer
  • Informationen über ihre weiteren Rechte
  • Die Herkunft der Daten, wenn nicht direkt von ihnen erhoben

Frist: Ein Monat. Verlängerbar um zwei Monate für komplexe Anfragen, aber Sie müssen innerhalb des ersten Monats über die Verlängerung informieren.

Häufige Fehler: unvollständige Antwort (Daten aus einigen Systemen fehlen), Daten anderer Personen ohne Schwärzung beifügen, die erforderlichen Zusatzinformationen nicht bereitstellen.

Recht auf Berichtigung (Artikel 16 DSGVO)

Was es ist: Eine Person kann die Berichtigung unrichtiger Daten oder die Vervollständigung unvollständiger Daten verlangen.

Was Sie tun müssen: Ohne ungebührliche Verzögerung berichtigen, spätestens innerhalb eines Monats. Haben Sie die unrichtigen Daten mit Auftragsverarbeitern oder anderen Empfängern geteilt, müssen Sie diese über die Berichtigung informieren.

Wann Sie ablehnen können: Sie müssen keine „Berichtigung” akzeptieren, die Ihre Unterlagen unrichtig machen würde — etwa wenn jemand ein Datum ändern möchte, für das Sie zeitgenössische Belege haben.

Recht auf Löschung (Artikel 17 DSGVO)

Wann es gilt:

  • Die Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr notwendig
  • Die betroffene Person widerruft die Einwilligung
  • Die betroffene Person widerspricht und es gibt keine überwiegenden berechtigten Gründe
  • Die Daten wurden unrechtmäßig verarbeitet

Wann es nicht gilt:

  • Sie verarbeiten die Daten aufgrund einer rechtlichen Verpflichtung (Steuerunterlagen müssen eine definierte Frist aufbewahrt werden)
  • Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich

Häufige praktische Situation: Ein ehemaliger Kunde bittet um Löschung. Sie können Marketingdaten und allgemeine Kontaktdaten löschen. Sie können Rechnungen und Zahlungsunterlagen nicht löschen, wenn Sie zur Aufbewahrung von Buchhaltungsunterlagen verpflichtet sind.

Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)

Wann es gilt:

  • Die Richtigkeit der Daten wird bestritten — Verarbeitung während der Überprüfung einschränken
  • Die Verarbeitung ist unrechtmäßig, aber sie bevorzugt Einschränkung vor Löschung
  • Sie benötigen die Daten nicht mehr, aber die Person braucht sie für Rechtsansprüche
  • Sie hat Widerspruch eingelegt und Sie prüfen, ob Ihre Gründe überwiegen

Was Einschränkung in der Praxis bedeutet: Sie behalten die Daten, hören aber auf, sie zu verarbeiten, außer zur Speicherung.

Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)

Was es ist: Eine Person kann eine Kopie ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format anfordern.

Wann es gilt: Nur wenn die Rechtsgrundlage Einwilligung oder Vertrag ist und die Verarbeitung automatisiert erfolgt.

Format: CSV ist in der Regel akzeptabel.

Widerspruchsrecht (Artikel 21 DSGVO)

Absolutes Recht — Direktwerbung: Wenn eine Person der Verarbeitung für Direktwerbezwecke widerspricht, müssen Sie sofort aufhören. Es gibt keine Gründe, die eine Fortsetzung rechtfertigen.

Qualifiziertes Recht — berechtigte Interessen: Wenn Ihre Rechtsgrundlage berechtigte Interessen ist, müssen Sie aufhören, es sei denn, Sie können zwingende schutzwürdige Gründe nachweisen, die überwiegen.

Rechte im Zusammenhang mit automatisierter Entscheidungsfindung (Artikel 22 DSGVO)

Für KMU: Die meisten KMU praktizieren keine rein automatisierte Entscheidungsfindung der Art, die dieses Recht auslöst. Wenn Sie KI-Tools bei kundenorientierten Entscheidungen einsetzen, prüfen Sie, ob die menschliche Aufsicht in Ihrem Prozess bedeutsam oder nur formell ist.

Den Prozess aufbauen

Schritt 1: Dedizierten Anfrage-Kanal einrichten

Richten Sie eine dedizierte E-Mail-Adresse ein (z. B. datenschutz@ihrUnternehmen.de).

Schritt 2: Anfrageprotokoll erstellen

Führen Sie ein Protokoll jeder eingegangenen Anfrage: Eingangsdatum, Art der Anfrage, Name der Person, Frist, Status und Ergebnis.

Schritt 3: Standard-Bestätigungsvorlagen erstellen

Bereiten Sie Musterantworten für jeden Anfragentyp vor, die den Eingang und die Frist bestätigen.

Schritt 4: Ihre Datensysteme kartieren

Für jeden Anfragentyp dokumentieren Sie, welche Systeme überprüft werden müssen: CRM, E-Mail, Cloud-Speicher, Buchhaltungssoftware, HR-System, Marketingplattform.

Schritt 5: Verantwortung zuweisen

Eine benannte Person sollte für Betroffenenanfragen verantwortlich sein.

Schritt 6: Den Prozess testen

Führen Sie vor dem Eintreffen einer echten Anfrage einen Test durch. Nutzen Sie den Namen eines Teammitglieds und arbeiten Sie den Prozess von Anfang bis Ende durch. Die in einem Test aufgedeckten Lücken sind viel günstiger zu beheben als die, die bei einer Beschwerdeinvestigation aufgedeckt werden.

Schwierige Anfragen bearbeiten

Anfragen von nicht identifizierbaren Personen: Sie sind berechtigt, zur Identitätsverifizierung Informationen anzufordern. Eine angemessene Bitte um Name, E-Mail und einen bestätigenden Anhaltspunkt ist akzeptabel.

Anfragen, die Daten Dritter offenbaren würden: Schwärzen Sie Informationen Dritter, bevor Sie antworten.

Offensichtlich unbegründete oder exzessive Anfragen: Sie können eine angemessene Gebühr erheben oder die Bearbeitung verweigern. Diese Ausnahme wird von den Aufsichtsbehörden eng ausgelegt — dokumentieren Sie Ihre Begründung sorgfältig.

Die Dokumentationspflicht

Jede bearbeitete Anfrage, die getroffene Entscheidung und das Ergebnis müssen dokumentiert werden. Diese Dokumentation ist das, was Sie einer Aufsichtsbehörde vorlegen, wenn eine Beschwerde eingeht. Ohne sie läuft die Untersuchung auf der Grundlage der Aussage des Einzelnen, nicht Ihrer.