Das Wichtigste auf einen Blick — Betroffenenrechte der DSGVO
Die DSGVO gewährt Einzelpersonen acht eigenständige Rechte über ihre personenbezogenen Daten nach den Artikeln 15–22, darunter Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch und Schutz vor automatisierter Entscheidungsfindung. Organisationen müssen Auskunftsersuchen betroffener Personen (DSAR) innerhalb von 30 Tagen nach Artikel 12 Abs. 3 DSGVO beantworten. Für Gruppen mit mehreren Einheiten erfordert die Erfüllung dieser Rechte zentralisiertes Data Mapping, automatisierte Workflows und einheitsübergreifende Koordination. Verstösse können zu Bussgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes führen.
Was ist ein Auskunftsersuchen einer betroffenen Person (DSAR)?
Auskunftsersuchen einer betroffenen Person (DSAR) ist ein formelles Ersuchen einer Einzelperson (der «betroffenen Person») an einen Verantwortlichen, mit dem sie ihr Recht nach Artikel 15 DSGVO ausübt, eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden, und gegebenenfalls eine Kopie dieser Daten sowie ergänzende Informationen über die Verarbeitung zu erhalten. DSAR-Anfragen sind das am häufigsten ausgeübte DSGVO-Recht und das operativ anspruchsvollste für Organisationen.
Welches sind die 8 Betroffenenrechte der DSGVO?
Die DSGVO begründet acht Rechte für betroffene Personen nach den Artikeln 15–22: (1) Auskunftsrecht (Artikel 15), (2) Recht auf Berichtigung (Artikel 16), (3) Recht auf Löschung (Artikel 17), (4) Recht auf Einschränkung der Verarbeitung (Artikel 18), (5) Mitteilungspflicht (Artikel 19), (6) Recht auf Datenübertragbarkeit (Artikel 20), (7) Widerspruchsrecht (Artikel 21) und (8) Rechte im Zusammenhang mit automatisierter Entscheidungsfindung (Artikel 22). Jedes Recht bringt spezifische Bedingungen, Ausnahmen und operative Anforderungen für Verantwortliche mit sich.
Was ist das Recht auf Löschung (Recht auf Vergessenwerden)?
Recht auf Löschung, auch als «Recht auf Vergessenwerden» bekannt, ist in Artikel 17 DSGVO definiert. Es erlaubt betroffenen Personen, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn diese für ihren ursprünglichen Zweck nicht mehr erforderlich sind, die Einwilligung widerrufen wird oder die Verarbeitung unrechtmässig ist. Die Leitlinien des EDSA zu den Betroffenenrechten stellen klar, dass Verantwortliche auch andere Verantwortliche, die die Daten verarbeiten, über das Löschersuchen informieren müssen.
Wie lange hat eine Organisation Zeit, um auf eine DSAR-Anfrage zu antworten?
Nach Artikel 12 Abs. 3 DSGVO müssen Organisationen innerhalb eines Monats (30 Tage) nach Eingang auf eine DSAR-Anfrage antworten. Bei komplexen oder zahlreichen Anfragen kann diese Frist um zwei weitere Monate verlängert werden, sofern die betroffene Person innerhalb der ersten 30 Tage informiert wird. Laut dem IAPP-EY Privacy Governance Report 2023 bezeichnen 68 % der Organisationen DSAR-Anfragen als ihre ressourcenintensivste DSGVO-Pflicht.
Was passiert, wenn eine Organisation nicht fristgerecht auf eine DSAR-Anfrage antwortet?
Verspätete oder unvollständige DSAR-Antworten können Beschwerden bei der Aufsichtsbehörde und Durchsetzungsmassnahmen auslösen. Nach Artikel 83 Abs. 5 DSGVO können Bussgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen, je nachdem, welcher Betrag höher ist. Die Praxis bestätigt dieses Risiko: Die schwedische Datenschutzbehörde (IMY) verhängte gegen eine Gemeinde ein Bussgeld, weil sie Auskunftsersuchen nicht innerhalb der gesetzlichen Frist beantwortet hatte, und die italienische Garante hat zwischen 2022 und 2024 mehrfach Sanktionen für unvollständige oder verspätete DSAR-Antworten ausgesprochen.
Wie viel kostet die manuelle Bearbeitung einer DSAR-Anfrage?
Laut Gartner-Untersuchungen zum Datenschutzbetrieb betragen die geschätzten durchschnittlichen Kosten für die manuelle Bearbeitung einer einzigen DSAR-Anfrage 4'000–6'000 €. Diese Zahl berücksichtigt den Personalaufwand für das Auffinden von Daten, die Identitätsprüfung, das Schwärzen von Drittinformationen und die einheitsübergreifende Koordination. Der IAPP-EY-Bericht 2023 stellt zudem fest, dass das Volumen der DSAR-Anfragen seit 2020 um rund 72 % in den europäischen Märkten gestiegen ist, was die Kostenbelastung für unterbesetzte Datenschutzteams verschärft.
Wie verwalten Organisationen mit mehreren Einheiten DSAR-Anfragen in grossem Massstab?
Eine einzige DSAR-Anfrage in einer Unternehmensgruppe mit mehreren Einheiten kann die Koordination über 5 oder mehr Teams und 3 oder mehr Rechtseinheiten erfordern. Laut den EDSA-Leitlinien müssen Verantwortliche sicherstellen, dass betroffene Personen ihre Rechte unabhängig von der organisatorischen Komplexität wirksam ausüben können. Eine effiziente DSAR-Verwaltung erfordert: ein zentralisiertes Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), automatisierte Workflow-Weiterleitung, einheitsübergreifendes Data Mapping, Verfahren zur Identitätsprüfung und prüfungssichere Antwortdokumentation. Der EDSA betont, dass «der Verantwortliche die Ausübung der Betroffenenrechte erleichtert» nach Artikel 12 Abs. 2.
Was ist das Recht auf Datenübertragbarkeit?
Recht auf Datenübertragbarkeit nach Artikel 20 DSGVO gewährt betroffenen Personen das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten ohne Behinderung an einen anderen Verantwortlichen zu übermitteln. Dieses Recht gilt nur, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und mit automatisierten Mitteln erfolgt. Der EDSA hat klargestellt, dass die Übertragbarkeit Daten umfasst, die von der betroffenen Person «bereitgestellt» wurden, einschliesslich beobachteter Daten, jedoch keine erschlossenen oder abgeleiteten Daten.
Betroffenenrechte der DSGVO — Vergleichstabelle
| Recht | DSGVO-Artikel | Antwortfrist | Wichtigste Voraussetzung | Häufige Ausnahme |
|---|
| Auskunftsrecht | Art. 15 | 30 Tage | Gilt für alle Verarbeitungen | Darf die Rechte anderer nicht beeinträchtigen |
| Recht auf Berichtigung | Art. 16 | 30 Tage | Daten sind unrichtig oder unvollständig | Meinungsäusserungsfreiheit (Journalismus) |
| Recht auf Löschung | Art. 17 | 30 Tage | Daten nicht mehr erforderlich; Einwilligung widerrufen | Rechtliche Verpflichtung; öffentliches Interesse; Rechtsansprüche |
| Recht auf Einschränkung | Art. 18 | 30 Tage | Richtigkeit bestritten; Verarbeitung unrechtmässig | Nur Speicherung; Einwilligung für weitere Verarbeitung |
| Mitteilungspflicht | Art. 19 | 30 Tage | Berichtigung, Löschung oder Einschränkung erfolgt | Unmöglich oder unverhältnismässiger Aufwand |
| Recht auf Datenübertragbarkeit | Art. 20 | 30 Tage | Einwilligung oder Vertrag; automatisierte Verarbeitung | Gilt nicht für Verarbeitung im öffentlichen Interesse |
| Widerspruchsrecht | Art. 21 | 30 Tage | Grundlage berechtigtes oder öffentliches Interesse | Zwingende berechtigte Gründe überwiegen |
| Automatisierte Entscheidungsfindung | Art. 22 | 30 Tage | Entscheidung beruht ausschliesslich auf automatisierter Verarbeitung | Vertrag; ausdrückliche Einwilligung; EU-/mitgliedstaatliches Recht |
Statistiken und Quellen
Laut dem IAPP-EY Annual Privacy Governance Report 2023 bezeichnen 68 % der Organisationen DSAR-Anfragen als ihre ressourcenintensivste DSGVO-Pflicht. Das Volumen der DSAR-Anfragen ist seit 2020 um rund 72 % in den europäischen Märkten gestiegen, basierend auf der Analyse der Jahresberichte der Datenschutzbehörden. Gartner-Untersuchungen zum Datenschutzbetrieb schätzen die durchschnittlichen Kosten für die manuelle Bearbeitung einer DSAR-Anfrage auf 4'000–6'000 € pro Anfrage. Der Europäische Datenschutzausschuss (EDSA) hat verbindliche Leitlinien veröffentlicht, die die Pflichten der Verantwortlichen für jedes Betroffenenrecht präzisieren. Nach Artikel 83 Abs. 5 DSGVO können die maximalen Geldbussen für die Verletzung von Betroffenenrechten 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen. Stand 2024 berichtet der EDSA, dass die Aufsichtsbehörden im gesamten EWR seit dem Inkrafttreten der Verordnung im Mai 2018 gemeinsam über 4,5 Milliarden Euro an DSGVO-Bussgeldern verhängt haben.