Zuletzt aktualisiert am 7. April 2026

Die DSGVO stattet betroffene Personen mit einer Reihe an datenschutzrechtlichen Rechten aus, die eine Reaktion des jeweiligen Unternehmens erfordern. Doch wie schnell müssen Sie als Unternehmen auf eine Anfrage eines Betroffenen eigentlich antworten?

Welche Betroffenenrechte gibt es?

Die sogenannten Betroffenenrechte sind in Art. 15 bis 22 DSGVO geregelt. Danach hat jede natürliche Person, deren Daten verarbeitet wurden, ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Hinzu kommt das Recht, einer nicht ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden.

Die Betroffenenrechte kann der Betroffene gegenüber dem Verantwortlichen einfordern.

Welche Frist gilt?

Der Verantwortliche, gegenüber dem der Betroffene diese Rechte geltend machen kann, muss laut Art. 12 III DSGVO „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“ auf eine Anfrage reagieren.

„Unverzüglich“ bedeutet unter Juristen „ohne schuldhaftes Zögern“ (§ 121 I BGB). Das bedeutet, dass der Verantwortliche nicht in jedem Fall einen ganzen Monat Zeit hat zu reagieren. Die Frist von einem Monat ist vielmehr eine Höchstfrist. Wenn eine Reaktion innerhalb einer kürzeren Frist möglich ist, muss sie auch dann erfolgen. Das ist in der Praxis natürlich schwierig nachzuweisen. Deshalb läuft es in der Praxis meist auf die Frist von einem Monat hinaus.

Eine Ausnahme gilt nur im Fall von Art. 12 III DSGVO. Wenn es unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist, kann die Frist verlängert werden. Darüber muss der Verantwortliche die betroffene Person aber auch unterrichten und die Gründe dafür nennen.

Wann beginnt die Frist zu laufen?

Die Frist beginnt zu laufen, wenn der Antrag der betroffenen Person beim Verantwortlichen eingeht. Dafür muss die betroffene Person einen offiziellen Kanal des Verantwortlichen benutzen, damit dieser auch die Möglichkeit hat, direkt von der Anfrage Kenntnis zu erlangen. Doch auch wenn der Verantwortliche einmal nicht direkt Kenntnis von einer eingegangenen Anfrage erlangt, läuft die Frist ab Eingang.

Als Verantwortlicher ist es also wichtig, die entsprechenden Kanäle immer im Blick zu behalten.

Wer darf Informationen erhalten?

Die Betroffenenrechte der DSGVO sind höchstpersönliche Rechte. Deshalb dürfen Informationen auch nur an den Betroffenen selbst ausgegeben werden.

Unter strengeren Voraussetzungen kann auch eine bevollmächtigte Person berechtigt sein.

Der Verantwortliche ist immer verpflichtet, die betroffene Person zu identifizieren, bevor er ihr Informationen zur Verfügung stellt. Wenn der Verantwortliche für die Identifizierung erst noch weiter nachfragen muss, weil die in der Anfrage gemachten Informationen dafür nicht ausreichen, beginnt die Frist erst dann, wenn der Verantwortliche die Person sicher identifiziert hat. Die betroffene Person hat dabei keine gesetzliche Frist, innerhalb der sie auf eine Identifikationsfrage antworten muss. Lässt eine Antwort auf sich warten, empfiehlt es sich als Verantwortlicher, eine Erinnerung hinterher zu schicken.

Inzwischen ist es fast zu einem Geschäftsmodell geworden, dass Anfragen gestellt werden, die gar nicht auf die Informationen an sich abzielen. Vielmehr hoffen die Personen, dass der Verantwortliche bei der Bearbeitung einen Fehler macht, um dann auf Schadensersatz klagen zu können. Für Verantwortliche ist es daher umso wichtiger, die gesetzeskonforme Ausgestaltung der Beantwortung von Betroffenenanfragen nachweisen zu können.

Häufige Fehler bei der Bearbeitung von Betroffenenanfragen

In der Praxis treten bei der Bearbeitung von Betroffenenanfragen immer wieder typische Fehler auf, die zu Beschwerden bei Aufsichtsbehörden oder sogar zu Schadensersatzklagen führen können. Die folgenden Fehlerquellen sollten Sie unbedingt vermeiden.

Unvollständige Auskunft nach Art. 15 DSGVO

Einer der häufigsten Fehler ist eine unvollständige Auskunft. Art. 15 DSGVO verlangt nicht nur die Mitteilung, ob personenbezogene Daten verarbeitet werden, sondern auch vollständige Informationen über die Verarbeitungszwecke, Kategorien der Daten, Empfänger, Speicherdauer, Herkunft der Daten und das Bestehen automatisierter Entscheidungsfindung. Eine Auskunft, die nur einzelne Punkte abdeckt, genügt den gesetzlichen Anforderungen nicht.

Mangelnde oder überzogene Identitätsprüfung

Die Identitätsprüfung stellt Verantwortliche vor ein Dilemma: Einerseits dürfen personenbezogene Daten nicht an Unbefugte herausgegeben werden. Andererseits darf die Identitätsprüfung nicht unverhältnismäßig sein und dadurch die Wahrnehmung der Betroffenenrechte faktisch verhindern. Eine Kopie des Personalausweises zu verlangen ist in den meisten Fällen unverhältnismäßig. Stattdessen sollten Sie verhältnismäßige Mittel wählen, etwa die Verifikation über die E-Mail-Adresse, die im System hinterlegt ist.

Fehlende Dokumentation des Prozesses

Die DSGVO verlangt die Einhaltung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Das bedeutet, dass Sie nicht nur die Betroffenenrechte wahren, sondern dies auch nachweisen können müssen. Dokumentieren Sie daher jeden Schritt der Bearbeitung: Eingang der Anfrage, durchgeführte Identitätsprüfung, inhaltliche Bearbeitung und Versand der Antwort. Nutzen Sie dafür ein standardisiertes Verfahren, das in Ihrem Verarbeitungsverzeichnis dokumentiert ist.

Fristverlängerung: Wann und wie ist sie zulässig?

Art. 12 Abs. 3 DSGVO erlaubt eine Verlängerung der Antwortfrist um weitere zwei Monate. Diese Verlängerung ist jedoch an strenge Voraussetzungen geknüpft und darf nicht routinemäßig in Anspruch genommen werden.

Die Verlängerung ist nur zulässig, wenn die Komplexität der Anfrage oder die Anzahl der gleichzeitig eingegangenen Anfragen dies erforderlich macht. Beispiele hierfür sind: Der Betroffene hat Daten bei zahlreichen verschiedenen Abteilungen, die koordiniert werden müssen. Oder es gehen innerhalb kurzer Zeit hunderte Anfragen ein, etwa nach einem Datenschutzvorfall.

Wichtig: Auch wenn Sie die Frist verlängern, müssen Sie den Betroffenen innerhalb des ersten Monats über die Verlängerung und deren Gründe informieren. Eine stillschweigende Verlängerung ist nicht zulässig und stellt einen Verstoß gegen die DSGVO dar.

Kosten und Form der Auskunft

Grundsätzlich ist die erste Kopie der personenbezogenen Daten nach Art. 15 Abs. 3 DSGVO kostenlos zur Verfügung zu stellen. Für weitere Kopien darf der Verantwortliche ein angemessenes Entgelt verlangen. Bei offenkundig unbegründeten oder exzessiven Anträgen kann der Verantwortliche ebenfalls ein Entgelt verlangen oder die Bearbeitung verweigern. Die Beweislast für die Unbegründetheit liegt jedoch beim Verantwortlichen.

Die Auskunft sollte in einem gängigen elektronischen Format erfolgen, wenn der Betroffene den Antrag elektronisch gestellt hat. Der EuGH hat in seiner Rechtsprechung klargestellt, dass die Kopie der Daten vollständig und verständlich sein muss, also nicht nur eine Auflistung von Datenkategorien, sondern die tatsächlichen Daten umfassen muss.

Bußgelder und Schadensersatz bei Verstößen

Verstöße gegen die Betroffenenrechte können empfindliche Konsequenzen haben. Art. 83 Abs. 5 DSGVO sieht für Verstöße gegen die Betroffenenrechte Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor. In der Praxis haben deutsche Aufsichtsbehörden bereits Bußgelder in Höhe von mehreren Tausend bis Hunderttausend Euro für verspätete oder unvollständige Auskünfte verhängt.

Zusätzlich können Betroffene nach Art. 82 DSGVO Schadensersatz geltend machen. Der EuGH hat in der Rechtssache C-300/21 (Österreichische Post) klargestellt, dass bereits ein immaterieller Schaden wie das Gefühl des Kontrollverlusts über die eigenen Daten zum Schadensersatz berechtigen kann. Dies macht die korrekte und fristgerechte Bearbeitung von Betroffenenanfragen noch wichtiger.

Empfehlungen für ein effizientes Anfragen-Management

Um Betroffenenanfragen zuverlässig und fristgerecht zu bearbeiten, empfehlen wir folgende Maßnahmen:

• Benennen Sie klare Zuständigkeiten im Unternehmen für die Bearbeitung von Betroffenenanfragen
• Erstellen Sie standardisierte Prozesse und Vorlagen für die verschiedenen Anfrage-Typen
• Implementieren Sie ein Fristenkontrollsystem mit automatischen Erinnerungen
• Schulen Sie alle Mitarbeiter, die Anfragen entgegennehmen könnten, über die korrekte Weiterleitung
• Lassen Sie Ihre Prozesse regelmäßig durch einen externen Datenschutzbeauftragten überprüfen

Betroffenenanfragen per E-Mail, Telefon oder Post?

Die DSGVO schreibt keine bestimmte Form für Betroffenenanfragen vor. Das bedeutet, dass Anfragen per E-Mail, Brief, Telefon, Fax oder sogar über Social-Media-Kanäle gestellt werden können. Für Verantwortliche ergibt sich daraus die Herausforderung, alle Kommunikationskanäle im Blick zu behalten und eingehende Anfragen zeitnah zu erkennen und an die zuständige Stelle weiterzuleiten.

Es empfiehlt sich, einen zentralen Eingangskanal für Betroffenenanfragen einzurichten und diesen in der Datenschutzerklärung prominent zu kommunizieren. Dies kann eine dedizierte E-Mail-Adresse wie datenschutz@unternehmen.de sein oder ein Kontaktformular auf der Website. Dennoch müssen auch Anfragen, die über andere Kanäle eingehen, bearbeitet werden. Der Verantwortliche darf eine Anfrage nicht allein deshalb ablehnen, weil sie nicht über den bevorzugten Kanal gestellt wurde.

Recht auf Löschung und Einschränkung der Verarbeitung

Neben dem Auskunftsrecht nach Art. 15 DSGVO sind das Recht auf Löschung (Art. 17 DSGVO) und das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) besonders praxisrelevant. Beim Löschungsanspruch muss der Verantwortliche prüfen, ob einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt und ob eine Ausnahme nach Art. 17 Abs. 3 DSGVO greift. Typische Ausnahmen sind gesetzliche Aufbewahrungspflichten nach der Abgabenordnung oder dem Handelsgesetzbuch.

Das Recht auf Einschränkung ist besonders bei streitigen Fällen relevant. Wenn der Betroffene die Richtigkeit seiner Daten bestreitet, muss der Verantwortliche die Verarbeitung einschränken, bis die Richtigkeit geprüft wurde. Die eingeschränkten Daten dürfen dann nur noch gespeichert, aber nicht mehr aktiv verarbeitet werden. Dies erfordert technische Möglichkeiten zur Markierung und Einschränkung von Datensätzen, die in der Datenbankarchitektur eingeplant werden sollten.

Die korrekte Handhabung aller Betroffenenrechte erfordert ein durchdachtes Zusammenspiel von Prozessen, Technik und geschultem Personal. Eine professionelle DSGVO-Beratung hilft Ihnen, alle notwendigen Strukturen aufzubauen und Ihre Mitarbeiter entsprechend zu schulen.

Ein besonders wichtiger Aspekt in der Praxis ist die interne Abstimmung zwischen den Abteilungen. Häufig sind personenbezogene Daten über verschiedene Systeme und Abteilungen verteilt, etwa in der Personalabteilung, im Vertrieb, im Marketing und in der IT. Eine vollständige Auskunft erfordert daher die Abfrage aller relevanten Systeme. Unternehmen sollten einen internen Prozess etablieren, der sicherstellt, dass alle betroffenen Abteilungen zeitnah eingebunden werden und die Ergebnisse zentral zusammengeführt werden können.

Sie haben Fragen zu datenschutzrechtlichen Themen wie Betroffenenrechten oder brauchen Hilfe bei der Umsetzung von datenschutzrechtlichen Vorgaben? Unser Team an Experten hilft Ihnen gerne weiter. Kontaktieren Sie uns hier!