Alle Betroffenenrechte der DSGVO in einer Übersicht

Artikel von Dr. Datenschutz·10. März 2026

Die Betroffenenrechte gelten als Grundpfeiler im Datenschutz und sind in der DSGVO verankert. Dieser Artikel beleuchtet die einzelnen Rechte, vom Auskunftsersuchen bis zum Widerspruchsrecht, und erläutert die damit verbundenen Pflichten der Verantwortlichen sowie die verschiedenen Möglichkeiten zur Durchsetzung.

Der Inhalt im Überblick

Was sind Betroffenenrechte im Sinne der DSGVO?
Welche Betroffenenrechte gibt es nach der DSGVO?
Welche Fristen gelten bei einem Auskunftsersuchen laut DSGVO?
Wie erfolgt die Identitätsprüfung bei Betroffenenanfragen?
Gibt es Ausnahmen beim Widerspruchsrecht und anderen Rechten?
Wer hilft mir dabei, meine Betroffenenrechte durchzusetzen?
Die zentrale Bedeutung der Betroffenenrechte in der unternehmerischen Praxis

Was sind Betroffenenrechte im Sinne der DSGVO?

Die Betroffenenrechte sind fundamental für das Recht auf Schutz personenbezogener Daten und die informationelle Selbstbestimmung. Jede Person hat das Recht, darüber zu entscheiden, wem er seine personenbezogenen Daten preisgibt und wie diese Daten verarbeitet werden. Die in den Art. 12 ff. DSGVO festgelegten Rechte dienen als Steuerungs- und Kontrollelement, um eine Balance zwischen dem Datenschutz und anderen Grundrechten, wie der unternehmerischen Freiheit, herzustellen. Dies wird unter anderem durch das Recht auf transparente Information und Kommunikation mit der datenverarbeitenden Stelle umgesetzt. Kompakt lassen sich die Betroffenenrechte definieren als:

„Rechte, die dem Betroffenen Mitwirkungsmöglichkeiten und Einwirkungsmöglichkeiten auf die Verarbeitung ihn betreffender personenbezogener Daten gewähren.“

Welche Betroffenenrechte gibt es nach der DSGVO?

Die Datenschutz-Grundverordnung normiert in den Art. 12 ff. DSGVO konkrete Rechte, die betroffenen Personen im Rahmen der Datenverarbeitung zustehen. Auf die folgenden Rechte können sich die betroffenen Personen nach der DSGVO berufen:

Recht auf Auskunft (Art. 15 DSGVO)
Recht auf Berichtigung (Art. 16 DSGVO)
Recht auf Löschung (Art. 17 DSGVO)
Recht auf Einschränkung (Art. 18 DSGVO)
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Recht auf Widerspruch (Art. 21 DSGVO)
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
Recht, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO)
Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO i.V.m. § 19 BDSG)

Welche Fristen gelten bei einem Auskunftsersuchen laut DSGVO?

Wenn eine betroffene Person ihre Rechte geltend macht, müssen Verantwortliche formale Voraussetzungen einhalten. Eine mangelhafte Bearbeitung, etwa bei einem Auskunftsersuchen, kann zu hohen Bußgeldern führen. Hinsichtlich der Formerfordernisse muss der Verantwortliche Art. 12 Abs. 1 DSGVO beachten. Die eingeforderten Informationen müssen in präziser, transparenter und leicht verständlicher Form übermittelt werden, was schriftlich oder elektronisch geschehen kann.

Die Beantwortung muss unverzüglich, spätestens aber innerhalb eines Monats erfolgen. Eine Fristverlängerung um zwei Monate ist unter bestimmten Umständen möglich, worüber die betroffene Person rechtzeitig informiert werden muss. Art. 12 Abs. 3 DSGVO beschreibt die Modalitäten genau:

„Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung. Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt.“

Wie erfolgt die Identitätsprüfung bei Betroffenenanfragen?

Bei der Bearbeitung von Anfragen zur Ausübung von Betroffenenrechten ist die Identitätsprüfung von großer Praxisrelevanz. Bestehen Zweifel an der Identität des Antragstellers, kann der Verantwortliche einen Nachweis verlangen. Dabei bewegt er sich in einem Spannungsfeld zwischen dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Pflicht, unberechtigte Zugriffe zu verhindern (Art. 32 DSGVO). Verweigert der Betroffene den Nachweis komplett, kann der Verantwortliche die Bearbeitung nach Art. 12 Abs. 2 S. 2 DSGVO ablehnen.

Die Anforderung einer Personalausweiskopie sollte nicht die erste Wahl sein und ist nur in Einzelfällen, etwa zur Vermeidung missbräuchlicher Auskunftsbegehren, zulässig. Werden Ausweiskopien angefordert, müssen alle Daten bis auf Name, Anschrift, Geburtsdatum und Gültigkeitsdauer geschwärzt werden. Nach der Identifizierung sind die Kopien unverzüglich zu löschen. Alternative Identifikationsmethoden wie die Abfrage zusätzlicher Informationen, die Nutzung eines bestehenden Kundenkontos oder Post- und Video-Ident-Verfahren sollten bevorzugt werden.

Gibt es Ausnahmen beim Widerspruchsrecht und anderen Rechten?

Die Betroffenenrechte, einschließlich des Widerspruchsrechts, gelten nicht uneingeschränkt. Aufgrund unionsrechtlicher oder nationaler Vorschriften der Mitgliedstaaten können Betroffenenrechte eingeschränkt werden. Aus Art. 23 DSGVO sind Gründe zu entnehmen, die im Einzelfall eine Beschränkung der Betroffenenrechte im Anschluss einer Interessensabwägung rechtfertigen können:

die nationale oder öffentliche Sicherheit,
Schutz der betroffenen Person oder
Rechte und Freiheiten anderer Personen oder
Ausnahmen zur Durchsetzung zivilrechtlicher Ansprüche

Eine solche Beschränkung darf dem Wesensgehalt der Grundrechte und Grundfreiheiten nicht entgegenstehen und muss als notwendige und verhältnismäßige Maßnahme innerhalb einer demokratischen Gesellschaft angesehen werden.

Wer hilft mir dabei, meine Betroffenenrechte durchzusetzen?

Betroffenen stehen mehrere Anlaufstellen zur Verfügung. Gemeinnützige Vereine und Informationsportale bieten hilfreiche Muster, um Rechte wie das Widerrufsrecht gegenüber Verantwortlichen geltend zu machen. Auch die Verbraucherzentrale stellt auf ihrer Webseite Musterbriefe für ein Auskunftsersuchen zur Verfügung.

Darüber hinaus steht jedem Betroffenen das Recht zu, sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 Abs. 1 DSGVO), wenn er eine Verletzung seiner Rechte vermutet.

Zusätzlich regelt Art. 79 DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf. Betroffene können ihre Rechte mithilfe eines Anwalts vor Gericht einklagen oder Schadensersatz fordern.

Die zentrale Bedeutung der Betroffenenrechte in der unternehmerischen Praxis

Für die unternehmerische Praxis haben die Betroffenenrechte eine hohe Relevanz. Sie stärken nicht nur die Position des Einzelnen, sondern formulieren klare, operative Verpflichtungen für Verantwortliche im täglichen Umgang mit Betroffenenanfragen.

Die DSGVO unterstreicht diese zentrale Bedeutung durch ein eigenes Kapitel. Ein professioneller und strukturierter Prozess im Umgang mit diesen Rechten ist für Unternehmen daher unerlässlich, um das Vertrauen der Betroffenen zu sichern und hohe Bußgelder zu vermeiden.

- Auskunft
  DSGVO-Auskunft: Was muss geschwärzt werden?Urteil·19. Februar 2026
- Klage auf Auskunft über Unterlagen von OpenAI teils erfolgreichUrteil·10. Februar 2026
- Urteil VG Wiesbaden: Mehr Infos zur Schufa-Score-Bildung nötigUrteil·28. Januar 2026
Mehr zum Thema
- Beschwerde
  Aufsichtsbehörde: Verantwortlicher muss DSB unterstützenNews·27. Juni 2024
- Datenschutzbeschwerde per Deal vermeidenFachbeitrag·6. November 2023
- Best of Datenpannen aus dem Alltag des LfDI Rheinland-PfalzNews·14. September 2023
Mehr zum Thema
- Betroffenenrechte
  DSGVO-Auskunft: Was muss geschwärzt werden?Urteil·19. Februar 2026
- Datenschutz beim Assekuradeur und White Label LösungenFachbeitrag·8. Januar 2026
- Datenschutz – Jahresrückblick 2025 – Teil 3Fachbeitrag·18. Dezember 2025
Mehr zum Thema
- Datenspeicherung
  Talentpool: Datenschutzkonforme Aufnahme von BewerbungenFachbeitrag·11. November 2025
- Gültigkeitsdauer der Einwilligung und SpeicherbegrenzungFachbeitrag·8. Oktober 2025
- Bisherige Speicherdauer von Auskunfteien vs. DSGVOUrteil·24. April 2025
Mehr zum Thema
- Identität
  Die EU Digital Identity Wallet wird 2026 PflichtprogrammFachbeitrag·15. Januar 2026
- Wie KI das Identity and Access Management (IAM) verändertFachbeitrag·27. September 2024
- Was umfasst ein Identitätsmanagement (IdM)?Fachbeitrag·16. Juni 2023
Mehr zum Thema
- informationelle Selbstbestimmung
  Was ist Datenschutz? Begriff und GeschichteFachbeitrag·2. Dezember 2025
- Das Führungszeugnis – Was müssen Arbeitgeber beachten?Fachbeitrag·7. Oktober 2025
- Software Palantir: Datenschutzrechtliche Bedenken im FokusNews·14. August 2025
Mehr zum Thema
- Löschung
  Talentpool: Datenschutzkonforme Aufnahme von BewerbungenFachbeitrag·11. November 2025
- Löschung, Unterlassen und Schadensersatz: Neues vom EuGHUrteil·18. September 2025
- Aufgedrängte DatenverarbeitungFachbeitrag·3. Juni 2024
Mehr zum Thema
- Löschungsanspruch
  Löschung, Unterlassen und Schadensersatz: Neues vom EuGHUrteil·18. September 2025
- Dr. Datenschutz Shortnews im September 2025 – KW36News·3. September 2025
- Dr. Datenschutz Shortnews im Juli 2025 – KW 28News·9. Juli 2025
Mehr zum Thema
- Recht auf informationelle Selbstbestimmung
  „Paradigmenwechsel in der Datennutzung“Fachbeitrag·29. März 2023
- VG Neustadt: Datenerhebung beim Zensus 2022 rechtmäßigUrteil·17. November 2022
- „Superschutz für Superdaten“ – das DatentransparenzverfahrenFachbeitrag·26. Oktober 2022
Mehr zum Thema
- Widerspruch
  Automatisierter Abfallgebührenbescheid: Ein DSGVO-Verstoß?Urteil·30. Oktober 2025
- Vertretung DSGVO-Betroffener gegen Unternehmen möglich?Fachbeitrag·25. Juli 2025
- Darf meine Adresse für Wahlwerbung genutzt werden?Fachbeitrag·8. Januar 2025
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Sehr guter Beitrag! Vielen Dank.

Manfred Pirner am 3. Februar 2022, 22:18 Uhr

Antworten
Die Post-/Video-Ident-Identifizierung ist m. E. nicht mit dem Gebot der Datenminimierung kompatibel, da zumindest bei PostIdent-Verfahren eine vollständige und ungeschwärzte Kopie erstellt und übermittelt wird.

Michael am 7. Februar 2022, 13:44 Uhr

Antworten
- Es ist richtig, dass bei der sog. Post-Ident-Identifizierung eine Kopie des Ausweise ohne Schwärzung angefertigt wird.
  Um dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit c DSGVO gerecht zu werden, sollten grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, die dem Zweck angemessen und erheblich sind und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. D.h. Angaben, die für die Identifizierung nicht notwendig sind, wie bspw. Seriennummer, Größe, Augenfarbe etc. sollten geschwärzt werden.
  
  Allerdings wird das Post-Ident-Identifizierungsverfahren im Bericht des LfDI BaWü als eine der sichersten Identifizierungsmethoden aufgeführt, um Missbrauch zu vermeiden. Hinsichtlich der Datenschutzkonformität schließt diese Methode jedoch auch im Bericht der Aufsichtsbehörde aus genannten Gründen nur mangelhaft ab.
  
  Letztendlich ist das Post-Ident-Identifizierungsverfahren aufgrund seiner Durchführungsweise durchaus sehr effektiv, um „falsche“ Anfragen herauszufiltern. Aus datenschutzrechtlicher Sicht sollte es jedoch erst angewendet werden, wenn die anderen Identifizierungsmethoden die vorliegenden Zweifel an der Identität des Betroffenen nicht ausräumen können.
  
  Dr. Datenschutz am 14. Februar 2022, 11:11 Uhr
  
  Antworten
[Gelöscht. Off-Topic.]

Junior am 8. März 2022, 16:21 Uhr

Antworten