DSGVO Betroffenenrechte: Auskunft, Löschung, Berichtigung (30-Tage-Frist)
What you need to know: DSGVO Betroffenenrechte: Auskunft, Löschung, Berichtigung (30-Tage-Frist)
Betroffene Personen haben das Recht, Auskunft über ihre personenbezogenen Daten zu verlangen, Berichtigung zu fordern oder Löschung zu beantragen — und Sie müssen innerhalb von 30 Kalendertagen antworten. Dieser Leitfaden erläutert jedes Recht, was Ihre Pflicht auslöst und wie Sie fristgerecht reagieren.
Betroffene Personen haben das Recht, Auskunft über ihre personenbezogenen Daten zu verlangen, Berichtigung zu fordern oder Löschung zu beantragen — und Sie müssen innerhalb von 30 Kalendertagen antworten. Diese sogenannten Betroffenenrechte sind in den Artikeln 15 bis 22 DSGVO geregelt. Wer auf derartige Anfragen nicht oder nicht rechtzeitig reagiert, riskiert Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes sowie förmliche Durchsetzungsmaßnahmen der zuständigen Aufsichtsbehörde.
Dieser Leitfaden erklärt jedes Recht, erläutert, welche Handlungen Ihre Pflicht auslösen, und beschreibt das Verfahren zur fristgerechten Beantwortung von Anfragen.
Die Rechtsgrundlage: Artikel 12 DSGVO (Antwortfrist)
„Der Verantwortliche teilt der betroffenen Person unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags die Maßnahmen mit, die aufgrund eines Antrags nach den Artikeln 15 bis 22 getroffen wurden."
Ihre Frist beträgt 30 Kalendertage ab Eingang des Antrags — nicht 30 Werktage. Ein am 3. Juni eingehender Antrag muss bis spätestens 3. Juli beantwortet sein.
Verlängerungsregel (Artikel 12 Abs. 3 DSGVO)
Bei komplexen Anträgen oder einer Vielzahl gleichzeitig eingehender Anträge können Sie die Frist um zwei weitere Monate (insgesamt 60 Tage) verlängern. Sie müssen die betroffene Person jedoch innerhalb der ersten 30 Tage über die Verlängerung und deren Gründe informieren. Versäumen Sie diese Mitteilung, verlieren Sie das Recht auf Verlängerung.
Die fünf zentralen Betroffenenrechte
Artikel 15: Auskunftsrecht
„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden, und wenn dies der Fall ist, Auskunft über diese personenbezogenen Daten zu erhalten."
Das Auskunftsrecht gibt einer Person das Recht, von Ihnen zu erfahren, ob Sie ihre personenbezogenen Daten verarbeiten, und wenn ja, eine Kopie dieser Daten zu erhalten.
Was Sie mitteilen müssen:
- Bestätigung, ob Sie personenbezogene Daten der betroffenen Person speichern (oder nicht)
- Eine Kopie aller von Ihnen verarbeiteten personenbezogenen Daten in einem gängigen, maschinenlesbaren Format (CSV, JSON oder PDF)
- Die Zwecke der Verarbeitung
- Die Kategorien der Empfänger (mit wem Sie die Daten teilen)
- Die geplante Speicherdauer
- Hinweise auf die weiteren Rechte der betroffenen Person (Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit)
- Sofern die Daten nicht direkt bei der betroffenen Person erhoben wurden, Informationen über die Herkunft der Daten
Kosten: Die erste Kopie ist kostenlos zur Verfügung zu stellen. Für weitere Anfragen, die offensichtlich unbegründet oder exzessiv sind, darf eine angemessene Gebühr erhoben werden.
Beispiel: Ein Kunde schreibt Ihnen per E-Mail: „Bitte teilen Sie mir mit, welche personenbezogenen Daten Sie über mich gespeichert haben." Dies ist ein gültiges Auskunftsersuchen nach Artikel 15 DSGVO. Antworten Sie innerhalb von 30 Tagen mit einer herunterladbaren Datei seiner Daten sowie einem Begleitschreiben, das Ihre Verarbeitung erläutert.
Artikel 16: Recht auf Berichtigung
„Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen."
Betroffene Personen können die Korrektur sachlich unrichtiger personenbezogener Daten verlangen.
Was als unrichtig gilt:
- Falsche E-Mail-Adresse, Telefonnummer oder Postanschrift
- Falsch geschriebener Name
- Falsches Geburtsdatum
- Veraltete Berufsbezeichnung, die in Ihrem System gespeichert geblieben ist, obwohl die betroffene Person Sie über die Änderung informiert hat
Was nicht als unrichtig gilt:
- Meinungsbasierte Einschätzungen (z. B. eine Kreditrisikobewertung ist Ihr Urteil, kein Sachfehler — auch wenn die betroffene Person anderer Ansicht ist)
- Daten, die zum Zeitpunkt der Erhebung korrekt waren, inzwischen aber veraltet sind (die betroffene Person kann jedoch die Vervollständigung unvollständiger Daten nach Artikel 16 Satz 2 DSGVO verlangen)
Ihre Pflicht: Berichtigen Sie die Daten, bestätigen Sie die Berichtigung gegenüber der betroffenen Person und informieren Sie alle Dritten, denen Sie die unrichtigen Daten weitergegeben haben.
Artikel 17: Recht auf Löschung („Recht auf Vergessenwerden")
„Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden."
Betroffene Personen können die Löschung ihrer personenbezogenen Daten verlangen. Dieses Recht greift in bestimmten Konstellationen.
Sie müssen löschen, wenn:
- Die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich sind
- Die betroffene Person ihre Einwilligung widerruft und Einwilligung die einzige Rechtsgrundlage für die Verarbeitung ist
- Die betroffene Person nach Artikel 21 DSGVO Widerspruch einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung bestehen
- Die Daten unrechtmäßig verarbeitet wurden
- Die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach EU-Recht oder dem Recht eines Mitgliedstaats erforderlich ist
Sie dürfen die Löschung verweigern, wenn:
- Sie einer gesetzlichen Aufbewahrungspflicht unterliegen (z. B. Aufbewahrung von Steuerdokumenten für 7 Jahre nach den Vorgaben des EU-Mehrwertsteuerrechts oder nationalem Handelsrecht)
- Sie die Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen
- Die Verarbeitung im öffentlichen Interesse im Bereich der öffentlichen Gesundheit erforderlich ist (Artikel 9 Abs. 2 lit. i DSGVO)
- Die Verarbeitung zu Archivzwecken im öffentlichen Interesse, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erforderlich ist und die Löschung die Verwirklichung dieser Ziele ernsthaft beeinträchtigen würde
Bei Ablehnung müssen Sie die Rechtsgrundlage für die Verweigerung ausdrücklich benennen. Die Anfrage darf nicht einfach ignoriert werden.
Beispiel für eine vollständige Löschpflicht: Ein Kunde kündigt sein Konto und beantragt die Löschung aller seiner Daten. Besteht keine gesetzliche Aufbewahrungspflicht (keine laufenden Bestellungen, keine steuerrechtlichen Anforderungen), müssen Sie die Daten innerhalb von 30 Tagen löschen und die Löschung bestätigen.
Beispiel für eine Teilverweigerung: Derselbe Kunde hat noch ausstehende Rechnungsunterlagen, die Sie nach steuerrechtlichen Vorschriften 7 Jahre lang aufbewahren müssen. Sie löschen alles übrige und erklären: „Wir haben Ihre Profildaten gelöscht. Rechnungsunterlagen werden für 7 Jahre gemäß der EU-Mehrwertsteuersystemrichtlinie 2006/112/EG aufbewahrt."
Artikel 18: Recht auf Einschränkung der Verarbeitung
„Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen."
Einschränkung bedeutet, dass Sie die Daten aufbewahren, aber nicht mehr aktiv nutzen dürfen — bis die Einschränkung aufgehoben wird.
Voraussetzungen für das Recht auf Einschränkung:
- Die betroffene Person bestreitet die Richtigkeit der Daten (Einschränkung für die Dauer der Überprüfung)
- Die Verarbeitung ist unrechtmäßig, die betroffene Person lehnt jedoch die Löschung ab und verlangt stattdessen die Einschränkung
- Sie benötigen die Daten nicht mehr, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- Die betroffene Person hat nach Artikel 21 DSGVO Widerspruch eingelegt, und es wird noch geprüft, ob Ihre berechtigten Gründe die Interessen der betroffenen Person überwiegen
Einschränkung in der Praxis bedeutet:
- Kennzeichnung der Daten als gesperrt in Ihrem System
- Keine Nutzung für andere Zwecke als die bloße Speicherung
- Keine Weitergabe an Dritte oder Verwendung für Analysen
- Verarbeitung bleibt zulässig, wenn die betroffene Person einwilligt, zur Geltendmachung von Rechtsansprüchen, zum Schutz von Rechten anderer Personen oder aus wichtigen Gründen des öffentlichen Interesses
Artikel 20: Recht auf Datenübertragbarkeit
„Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten."
Das Recht auf Datenübertragbarkeit gilt nur für Daten, die automatisiert auf Grundlage einer Einwilligung oder zur Durchführung eines Vertrags verarbeitet werden. Es ermöglicht Betroffenen, ihre Daten zu einem anderen Dienst mitzunehmen.
Was Sie bereitstellen müssen:
- Personenbezogene Daten, die die betroffene Person selbst bereitgestellt hat (keine von Ihnen abgeleiteten oder generierten Daten)
- In einem strukturierten, maschinenlesbaren Format — CSV oder JSON, keine PDF-Ausdrucke
- Auf Anfrage, soweit technisch machbar, direkte Übertragung an einen anderen Verantwortlichen
Was Sie nicht bereitstellen müssen:
- Von Ihnen generierte oder aus den Daten der betroffenen Person abgeleitete Informationen (z. B. ein Risikowert auf Basis von Transaktionsdaten)
- Daten anderer Personen, die zufällig mit den Daten der betroffenen Person verknüpft sind
- Urheberrechtlich geschützte Inhalte oder Betriebs- und Geschäftsgeheimnisse
Erkennen eines Auskunftsersuchens
Ein Auskunftsersuchen muss weder DSGVO-Terminologie verwenden noch eine bestimmte Form einhalten. Die Pflicht entsteht durch den Inhalt der Anfrage, nicht durch ihre rechtliche Formulierung.
Folgende Anfragen lösen Ihre 30-Tage-Frist aus:
- E-Mail: „Welche Daten haben Sie über mich gespeichert?"
- Chat-Nachricht: „Bitte löschen Sie meinen Account."
- Kontaktformular: „Ich möchte wissen, welche Informationen Sie über mich haben."
- Formelles Schreiben mit Bezugnahme auf Artikel 15 bis 22 DSGVO
- Mündliche Anfrage (für die Sie eine schriftliche Bestätigung einholen sollten)
- Antrag eines bevollmächtigten Vertreters, der im Namen der betroffenen Person handelt
Auch informelle Anfragen sind rechtlich bindend. „Löschen Sie meinen Account" per Chat-Fenster ist ein gültiges Ersuchen nach Artikel 17 DSGVO.
Schritt-für-Schritt-Antwortprozess
Schritt 1 — Eingang erfassen (Tag 0)
Erfassen Sie den Antrag mit: Datum und Uhrzeit des Eingangs, Identität und Kontaktdaten der antragstellenden Person, Art des Antrags (Auskunft, Löschung, Berichtigung, Einschränkung, Datenübertragbarkeit) sowie die Antwortfrist.
Schritt 2 — Identität verifizieren (Tag 0–3)
Bestätigen Sie, dass die antragstellende Person tatsächlich diejenige ist, die sie vorgibt zu sein. Bei sensiblen Datenkategorien (Gesundheitsdaten, Finanzdaten) verlangen Sie einen Identitätsnachweis. Bei weniger sensiblen Daten ist eine E-Mail-Bestätigung in der Regel ausreichend. Für die Identitätsverifizierung selbst darf keine Gebühr erhoben werden — Gebühren sind nur bei offensichtlich unbegründeten oder exzessiven Anträgen zulässig.
Schritt 3 — Zulässigkeit prüfen (Tag 0–7)
Handelt es sich um ein gültiges Betroffenenrecht nach Artikel 15 bis 22 DSGVO? Verarbeiten Sie tatsächlich personenbezogene Daten der betroffenen Person? Besteht ein Grund für eine (Teil-)Ablehnung (gesetzliche Aufbewahrungspflicht, laufender Vertrag)? Handelt es sich möglicherweise um einen offensichtlich unbegründeten oder wiederholten Antrag?
Schritt 4 — Antwort vorbereiten (Tag 7–28)
Rufen Sie alle relevanten personenbezogenen Daten aus sämtlichen Systemen ab: primäre Datenbanken, Backups, E-Mail-Archive, Marketing-Plattformen, Analyse-Tools, externe Auftragsverarbeiter. Formatieren Sie die Daten entsprechend dem Antragstyp. Bei Auskunftsersuchen: herunterladbare Datei und Begleitschreiben. Bei Löschungsanträgen: Löschbestätigung. Bei Berichtigungsanträgen: Änderungsbestätigung. Lassen Sie die Antwort gegebenenfalls von Ihrer Rechtsabteilung oder Ihrem Datenschutzbeauftragten prüfen, bevor Sie sie versenden.
Schritt 5 — Versand und Bestätigung (spätestens Tag 29)
Antworten Sie per E-Mail oder über einen sicheren Kanal. Fügen Sie die angeforderten Daten, die Bestätigung oder die Begründung für eine Ablehnung bei. Bewahren Sie den Versandnachweis auf. Bei einer (teilweisen) Ablehnung benennen Sie die Rechtsgrundlage klar und eindeutig. Dokumentieren Sie die ergriffene Maßnahme.
Schritt 6 — Dokumentation für Compliance-Zwecke
Bewahren Sie Unterlagen über den Antrag, die Identitätsverifizierung, die ergriffenen Maßnahmen und die eingehaltenen Fristen für mindestens drei Jahre auf. Diese Dokumentation ist Ihr Nachweis der Compliance, falls die Aufsichtsbehörde eine Prüfung einleitet.
Vorlage: Antwort auf Löschungsantrag nach Artikel 17 DSGVO — Vollständige Stattgabe
Betreff: Ihr DSGVO-Löschungsantrag — Erledigt
Sehr geehrte/r [Name],
vielen Dank für Ihren Antrag vom [Datum] auf Löschung Ihrer personenbezogenen Daten. Wir haben diesen Antrag vollständig ausgeführt.
Gelöschte Daten: Kontoprofil, E-Mail-Adresse, Kontaktdaten, Bestellhistorie, Support-Verlauf.
Aufbewahrte Daten (gesetzliche Aufbewahrungspflicht): Rechnungsunterlagen werden für 7 Jahre gemäß der EU-Mehrwertsteuersystemrichtlinie 2006/112/EG aufbewahrt. Diese Daten werden ausschließlich für steuerrechtliche Compliance-Zwecke gespeichert.
Wir haben zudem unsere Auftragsverarbeiter angewiesen, Ihre Daten aus ihren Systemen zu löschen.
Bei Rückfragen wenden Sie sich bitte an unseren Datenschutzbeauftragten unter [[email protected]].
Mit freundlichen Grüßen [Name / Unternehmen]
Vorlage: Antwort auf Löschungsantrag nach Artikel 17 DSGVO — Teilverweigerung
Betreff: Ihr DSGVO-Löschungsantrag — Teilweise Bearbeitung
Sehr geehrte/r [Name],
vielen Dank für Ihren Antrag vom [Datum]. Wir haben Ihren Antrag teilweise ausgeführt.
Gelöschte Daten: [Auflistung der gelöschten Daten].
Aufbewahrte Daten: Rechnungs- und Transaktionsunterlagen (gesetzliche Aufbewahrungspflicht: EU-Mehrwertsteuersystemrichtlinie, Artikel [X], 7-jährige Aufbewahrungspflicht). Vertragsunterlagen (gesetzliche Aufbewahrungspflicht: [anzuwendendes nationales Vertragsrecht]).
Rechtsgrundlage für die Aufbewahrung: Artikel 17 Abs. 3 lit. b DSGVO — die Aufbewahrung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
Sie haben das Recht, Beschwerde bei der für Sie zuständigen Datenschutzbehörde einzulegen, wenn Sie diese Ablehnung für unberechtigt halten.
Mit freundlichen Grüßen [Name / Unternehmen]
Häufige Fehler beim Umgang mit Betroffenenrechten
Informelle Anfragen ignorieren. „Löschen Sie meinen Account" per Chat ist ein rechtswirksames Löschungsersuchen. Antworten Sie innerhalb von 30 Tagen oder riskieren Sie aufsichtsbehördliche Maßnahmen.
Gebühren für die Identitätsverifizierung erheben. Sie dürfen einen Identitätsnachweis verlangen, dürfen aber nicht für die Verifikation selbst eine Gebühr berechnen. Gebühren sind nur bei offensichtlich unbegründeten oder wiederholten Anträgen zulässig.
Stillschweigendes Löschen ohne Bestätigung. Betroffene Personen haben Anspruch darauf, zu erfahren, dass ihr Antrag bearbeitet wurde. Versenden Sie stets eine schriftliche Bestätigung.
Versand sensibler Daten über unverschlüsselte E-Mail. Verwenden Sie für umfangreiche oder sensible Datensätze einen verschlüsselten E-Mail-Dienst, ein sicheres Portal oder passwortgeschützte Dateien.
Fristversäumnis ohne vorherige Mitteilung. Wenn Sie mehr Zeit benötigen, informieren Sie die betroffene Person innerhalb der ersten 30 Tage und geben Sie den Grund für die Verzögerung an. Versäumen Sie diese Mitteilung, verwirken Sie das Recht auf die zweimonatige Verlängerung.
Ablehnung ohne Begründung. Jede Ablehnung muss die konkrete Rechtsgrundlage benennen. „Wir können Ihre Daten nicht löschen" genügt nicht; korrekt wäre: „Wir bewahren Ihre Rechnungsunterlagen für 7 Jahre gemäß Artikel 242 der EU-Mehrwertsteuersystemrichtlinie 2006/112/EG auf."
Systembereitschaft für die Bearbeitung von Betroffenenanfragen
Um fristgerecht antworten zu können, benötigt Ihre Organisation:
- Ein Datenverzeichnis, das alle personenbezogenen Daten ihrem jeweiligen Speicherort zuordnet
- Ein Abrufverfahren, das es ermöglicht, alle Daten zu einer bestimmten Person aus sämtlichen Systemen innerhalb Ihrer Antwortfrist zu extrahieren
- Eine Exportfunktion, die Daten in einem maschinenlesbaren Format (CSV oder JSON) für Auskunfts- und Datenübertragbarkeitsanträge generiert
- Ein Löschverfahren, das Daten aus primären Datenbanken, Backups, Archiven und bei Auftragsverarbeitern entfernt
- Vorbereitete Antwortvorlagen für alle Antragstypen (Stattgabe, Ablehnung, Fristverlängerungshinweis)
- Ein Anfrageprotokoll mit Fristbenachrichtigungen
- Ein definiertes Verfahren zur Identitätsverifizierung für unterschiedliche Datensensitivitätsstufen
Wichtigste Erkenntnisse
- 30 Kalendertage ab Eingang — Ihre Frist. Eine Verlängerung auf 60 Tage ist nur möglich, wenn Sie die betroffene Person innerhalb der ersten 30 Tage darüber informieren.
- Fünf zentrale Rechte — Auskunft (Artikel 15), Berichtigung (Artikel 16), Löschung (Artikel 17), Einschränkung der Verarbeitung (Artikel 18), Datenübertragbarkeit (Artikel 20).
- Informelle Anfragen sind rechtlich bindend — „Löschen Sie meinen Account" per Chat ist ein rechtswirksames Ersuchen nach Artikel 17 DSGVO.
- Identität angemessen verifizieren — jedoch keine Gebühr für die Verifikation erheben.
- Ablehnung erfordert Begründung — benennen Sie die konkrete Rechtsgrundlage (z. B. Artikel 17 Abs. 3 lit. b DSGVO für gesetzliche Aufbewahrungspflichten).
- Erste Antwort ist kostenlos — Gebühren sind nur bei offensichtlich unbegründeten oder wiederholten Anträgen zulässig.
- Alles dokumentieren — Bewahren Sie Unterlagen zu Antrag, Verifizierung, ergriffenen Maßnahmen und eingehaltenen Fristen für mindestens drei Jahre auf.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Für eine auf Ihre Organisation zugeschnittene Beratung wenden Sie sich bitte an Ihren Datenschutzbeauftragten, Ihre Rechtsabteilung oder einen spezialisierten Datenschutzjuristen.
Key takeaways: DSGVO Betroffenenrechte: Auskunft, Löschung, Berichtigung (30-Tage-Frist)
This article covers: Die Rechtsgrundlage: Artikel 12 DSGVO (Antwortfrist), Die fünf zentralen Betroffenenrechte, Erkennen eines Auskunftsersuchens.
- Die Rechtsgrundlage: Artikel 12 DSGVO (Antwortfrist)
- Die fünf zentralen Betroffenenrechte
- Erkennen eines Auskunftsersuchens
- Schritt-für-Schritt-Antwortprozess
- Vorlage: Antwort auf Löschungsantrag nach Artikel 17 DSGVO — Vollständige Stattgabe
EuroComply Editorial Team
EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.
For informational purposes only. Consult qualified legal counsel.
Get the weekly EU compliance briefing — 2 minutes, every Thursday.