Datenschutz Informationssicherheit KI-Compliance Unternehmens-Compliance

Betroffenenanfragen professionell bearbeiten.

Auskunft, Löschung, Widerspruch: Wir strukturieren Ihre Prozesse zur Bearbeitung von Betroffenenrechten. Fristgerecht, dokumentiert und DSGVO-konform.

Art. 12–22 DSGVO DSGVO Externer DSB
1 Monat
Reaktionsfrist auf Betroffenenanfragen nach Art. 12 DSGVO, verlängerbar auf bis zu 3 Monate bei Komplexität
Art. 82
Schadensersatzrisiko auch ohne konkreten materiellen Schaden: Ärger und Kontrollverlust reichen nach EuGH-Rechtsprechung aus
Kostenlos
Betroffenenanfragen sind grundsätzlich unentgeltlich zu beantworten. Prozesseffizienz ist entscheidend
Unser Ansatz

Betroffenenrechte als geregelter Prozess.

Betroffenenanfragen kommen unangekündigt. Ein Auskunftsersuchen, das nicht fristgerecht beantwortet wird, kann Beschwerden bei der Aufsichtsbehörde auslösen und Schadensersatzansprüche nach Art. 82 DSGVO begründen. Dass dabei kein konkreter materieller Schaden nachgewiesen werden muss, hat der EuGH ausdrücklich klargestellt.

Wir richten standardisierte Prozesse für jede Anfrageart ein, mit klaren Verantwortlichkeiten, Antwortvorlagen, Fristentracking und einer Dokumentation, die auch bei einer Aufsichtsbehördenkontrolle standhält.

Aktuelle Rechtsprechung

EuGH, C-526/24, 19.03.2026: Missbräuchliche Auskunftsanfragen nach Art. 15 DSGVO

Ein Auskunftsantrag nach Art. 15 DSGVO kann bereits beim ersten Antrag als exzessiv abgelehnt werden, wenn erkennbar kein echtes Informationsinteresse besteht und stattdessen eine künstliche Grundlage für Schadensersatzansprüche nach Art. 82 DSGVO geschaffen werden soll. Die Beweislast liegt vollständig beim Unternehmen. Eine vorschnelle Ablehnung ohne ausreichende Dokumentation begründet ihrerseits Haftungsrisiken.

Fristen und Pflichten

  • 1 Monat Grundfrist nach Art. 12 Abs. 3 DSGVO
  • Verlängerung auf bis zu 3 Monate bei nachweislicher Komplexität
  • Bearbeitung grundsätzlich kostenlos nach Art. 12 Abs. 5 DSGVO
  • Ablehnung nur bei nachweislich missbräuchlichen oder exzessiven Anfragen möglich
Betroffenenrechte im Überblick

Was Betroffene verlangen dürfen und was das für Sie bedeutet.

Art. 7 Abs. 3

Widerruf der Einwilligung

Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden, ohne Angabe von Gründen.

Art. 15 Abs. 1

Auskunftsrecht

Betroffene haben das Recht zu erfahren, welche Daten Sie über sie verarbeiten, zu welchem Zweck und an wen sie weitergegeben werden.

Art. 15 Abs. 3

Recht auf Kopie

Betroffene können eine Kopie der sie betreffenden personenbezogenen Daten verlangen. Weitere Kopien können mit angemessenen Kosten belegt werden.

Art. 16

Berichtigungsrecht

Unrichtige oder unvollständige personenbezogene Daten müssen auf Verlangen unverzüglich korrigiert werden.

Art. 17

Löschung

Das Recht auf Vergessenwerden: Betroffene können die Löschung ihrer Daten verlangen, wenn kein Verarbeitungsgrund mehr besteht.

Art. 18

Einschränkung

In bestimmten Fällen können Betroffene verlangen, dass die Verarbeitung ihrer Daten eingeschränkt wird, auch wenn keine Löschung erfolgt.

Art. 20

Datenübertragbarkeit

Betroffene können ihre Daten in einem strukturierten, maschinenlesbaren Format erhalten und an andere Verantwortliche übertragen lassen.

Art. 21

Widerspruchsrecht

Gegen Verarbeitungen auf Basis von Art. 6 Abs. 1 lit. e/f oder für Direktwerbung kann jederzeit Widerspruch eingelegt werden.

Art. 22

Automatisierte Entscheidungen

Betroffene haben das Recht, nicht ausschließlich einer automatisierten Entscheidung (einschließlich Profiling) unterworfen zu werden, die rechtliche Wirkung entfaltet.

Leistungen

Was wir für Sie tun.

Prozessaufbau

  • Standardprozesse für jede Anfrageart (Auskunft, Löschung, Widerspruch etc.)
  • Identitätsverifizierung und Eingangsbestätigung
  • Klare Verantwortlichkeiten und Eskalationswege
  • Integration in bestehende IT-Systeme und Abläufe

Vorlagen & Antwortschreiben

  • Strukturierte Musterantworten für alle Anfragekategorien
  • Bausteine für Auskunftsbriefe nach Art. 15 DSGVO
  • Begründungsvorlagen bei Ablehnung oder Fristverlängerung
  • Dokumentation der erteilten Auskünfte

Fristenmanagement

  • Tracking aller eingehenden Betroffenenanfragen
  • Automatische Erinnerungen vor Fristablauf
  • Eskalation bei drohender Fristüberschreitung
  • Nachweis fristgerechter Bearbeitung für Aufsichtsbehörden

Schulung & Awareness

  • Mitarbeitende erkennen Betroffenenanfragen zuverlässig
  • Klare Regelung, wer intern zuständig ist
  • Abwehr missbräuchlicher Anfragen, auch beim ersten Antrag möglich (EuGH C-526/24)
  • Regelmäßige Auffrischung und Prozessüberprüfung
Vorgehen

Von der ersten Anfrage zum geregelten Prozess.

01

Bestandsaufnahme

Analyse bestehender Prozesse und häufiger Anfragen in Ihrem Unternehmen.

02

Prozessdesign

Standardprozesse und Verantwortlichkeiten für jede Anfrageart festlegen.

03

Vorlagen & Tools

Antwortvorlagen erstellen, Fristen-Tracking einrichten und dokumentieren.

04

Schulung & Betrieb

Mitarbeitende schulen, Prozess testen und laufend begleiten.

FAQ

Häufige Fragen zur Betroffenenkommunikation und Betroffenenrechten.

Verwandte Themen

Ja. Der EuGH hat klargestellt, dass ein immaterieller Schaden, also Ärger, Sorge oder Kontrollverlust über eigene Daten, für einen Schadensersatzanspruch nach Art. 82 DSGVO ausreichen kann. Eine Bagatellgrenze kennt die DSGVO nicht. Unternehmen sollten Betroffenenrechte deshalb nicht nur fristgerecht, sondern auch sorgfältig dokumentiert wahrnehmen, da die Beweislast für eine rechtmäßige Verarbeitung beim Verantwortlichen liegt.

Die DSGVO sieht eine Frist von einem Monat vor. Diese kann bei komplexen oder umfangreichen Anfragen um weitere zwei Monate verlängert werden, wenn der Betroffene über die Verlängerung und den Grund informiert wird. Bei Untätigkeit drohen Bußgelder und Beschwerden bei der Aufsichtsbehörde.

Grundsätzlich ja. Nur bei offensichtlich unbegründeten oder exzessiven Anfragen kann ein angemessenes Entgelt verlangt oder die Bearbeitung verweigert werden. Die Beweislast für die Unbegründetheit oder Exzessivität liegt beim Verantwortlichen.

Wenn gesetzliche Aufbewahrungspflichten bestehen, muss nicht sofort gelöscht werden. In diesem Fall kann die Verarbeitung eingeschränkt werden: Die Daten bleiben vorhanden, werden aber nur noch für die Erfüllung der Aufbewahrungspflicht genutzt. Nach Ablauf der Frist erfolgt die Löschung.

Jede Anfrage sollte mit Eingangsdatum, Identitätsverifizierung, ergriffenen Maßnahmen und Antwortdatum dokumentiert werden. Diese Dokumentation ist wichtiger Bestandteil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Betroffene können bei Untätigkeit Beschwerde bei der Datenschutz-Aufsichtsbehörde einlegen, die dann ein Verfahren gegen das Unternehmen einleiten kann. Zusätzlich können Betroffene Schadensersatz nach Art. 82 DSGVO geltend machen. Bußgelder wegen Verletzung der Betroffenenrechte sind möglich, auch wenn kein tatsächlicher Schaden entstanden ist. Gerade häufig anfragende Branchen wie E-Commerce oder HR-Dienstleister sollten deshalb einen strukturierten Prozess etablieren.

Ja, und das ist seit dem EuGH-Urteil C-526/24 vom 19. März 2026 bereits beim ersten Antrag möglich. Das Gericht hat klargestellt, dass ein Auskunftsantrag nach Art. 15 DSGVO als exzessiv abgewiesen werden kann, wenn das Unternehmen zwei Kriterien nachweist: Der Antragsteller verfolgt erkennbar keinen echten Informationszweck und beabsichtigt, eine künstliche Grundlage für Schadensersatzansprüche zu schaffen. Die Beweislast liegt vollständig beim Unternehmen. Wer vorschnell ablehnt, riskiert seinerseits Ansprüche nach Art. 82 DSGVO. Eine sorgfältige Dokumentation ist deshalb in jedem Fall erforderlich.

Betroffenenanfragen souverän bearbeiten.

Wir richten Ihre Prozesse ein, bevor die nächste Anfrage kommt und begleiten Sie bei der Bearbeitung, wenn sie eintrifft.

Erstgespräch buchen