Betroffenenrechte sind das Herzstück des individuellen Datenschutzes in der DSGVO. Sie geben jeder natürlichen Person Kontrolle über die sie betreffenden Daten und verpflichten Unternehmen, diese Kontrolle praktisch zu ermöglichen. Die Rechte sind in den Artikeln 15 bis 22 der DSGVO geregelt und gelten unabhängig davon, auf welcher Rechtsgrundlage die Verarbeitung beruht. Für Unternehmen bedeuten sie eine konkrete operative Verpflichtung: Sie müssen Prozesse vorhalten, mit denen sie Anfragen betroffener Personen fristgerecht und vollständig bearbeiten können.
Das Recht auf Auskunft
Das Auskunftsrecht nach Artikel 15 ist das grundlegendste Betroffenenrecht. Jede Person kann von einem Unternehmen erfahren, ob und welche Daten über sie verarbeitet werden, zu welchen Zwecken, an welche Empfänger sie weitergegeben werden, wie lange sie gespeichert werden und woher sie stammen. Auf Wunsch ist eine Kopie der Daten bereitzustellen. Das Auskunftsrecht schafft Transparenz und ist oft der erste Schritt, bevor eine Person weitere Rechte wie Berichtigung oder Löschung geltend macht. Für Unternehmen ist es zugleich das am häufigsten ausgeübte Recht, weshalb ein effizienter Auskunftsprozess besonders wichtig ist.
Das Recht auf Berichtigung
Nach Artikel 16 hat jede Person das Recht, die Berichtigung unrichtiger und die Vervollständigung unvollständiger Daten zu verlangen. Dieses Recht ist eng mit dem Grundsatz der Richtigkeit verbunden, wonach personenbezogene Daten sachlich richtig und auf dem neuesten Stand sein müssen. In der Praxis ist die Berichtigung oft unkompliziert, etwa die Korrektur einer falschen Adresse, kann aber komplexer werden, wenn die Richtigkeit strittig ist. Unternehmen sollten einen klaren Weg vorsehen, über den Betroffene Korrekturen anstossen können, und die berichtigten Daten gegebenenfalls auch an Empfänger weitergeben, an die die ursprünglichen Daten übermittelt wurden.
Das Recht auf Löschung
Das Recht auf Löschung nach Artikel 17, oft als Recht auf Vergessenwerden bezeichnet, erlaubt es Betroffenen, unter bestimmten Voraussetzungen die Löschung ihrer Daten zu verlangen — etwa wenn die Daten für den ursprünglichen Zweck nicht mehr nötig sind, eine Einwilligung widerrufen wurde oder die Verarbeitung unrechtmässig war. Das Recht ist nicht absolut: Es bestehen Ausnahmen, etwa wenn gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen oder die Daten zur Rechtsverteidigung benötigt werden. Für Unternehmen ist die technische Umsetzung anspruchsvoll, weil Daten oft über mehrere Systeme verteilt sind und vollständig entfernt werden müssen, einschliesslich Backups, soweit rechtlich geboten.
Das Recht auf Einschränkung
Artikel 18 gewährt das Recht, die Verarbeitung einschränken zu lassen. In bestimmten Situationen — etwa wenn die Richtigkeit der Daten bestritten wird oder ein Widerspruch geprüft wird — dürfen die Daten zwar weiter gespeichert, aber nicht weiter verarbeitet werden. Die Einschränkung ist eine Art Zwischenzustand, der die Daten gewissermassen einfriert, bis eine offene Frage geklärt ist. Technisch wird dies oft durch eine Markierung umgesetzt, die verhindert, dass die betroffenen Daten in laufende Verarbeitungen einfliessen, ohne sie zu löschen. Auch dieses Recht erfordert, dass das Unternehmen in der Lage ist, einzelne Datensätze gezielt von der weiteren Verarbeitung auszunehmen.
Das Recht auf Datenübertragbarkeit
Das Recht auf Datenübertragbarkeit nach Artikel 20 erlaubt es Betroffenen, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Anbieter zu übertragen. Es gilt für Daten, die die Person selbst bereitgestellt hat und die auf Einwilligung oder Vertrag beruhen und automatisiert verarbeitet werden. Dieses Recht soll den Wechsel zwischen Anbietern erleichtern und Lock-in-Effekte verringern. Für SaaS-Anbieter bedeutet es, dass ein Datenexport in einem offenen Format wie JSON oder CSV bereitstehen sollte. Ein durchdachter Export erfüllt nicht nur die rechtliche Pflicht, sondern ist auch ein Zeichen von Fairness gegenüber den Nutzern.
Das Recht auf Widerspruch
Nach Artikel 21 kann eine Person der Verarbeitung ihrer Daten widersprechen, wenn diese auf einem berechtigten Interesse oder einer öffentlichen Aufgabe beruht. Das Unternehmen muss die Verarbeitung dann einstellen, es sei denn, es kann zwingende schutzwürdige Gründe nachweisen, die die Interessen der betroffenen Person überwiegen. Beim Widerspruch gegen Direktwerbung gilt das Recht absolut: Hier muss die Verarbeitung zu Werbezwecken in jedem Fall enden. Der Widerspruch ist damit ein scharfes Instrument, das Betroffenen erlaubt, bestimmte Verarbeitungen zu beenden, und Unternehmen verpflichtet, einen einfachen Weg zum Widerspruch anzubieten, insbesondere bei Marketing.
Automatisierte Entscheidungen und Profiling
Artikel 22 schützt Betroffene vor Entscheidungen, die ausschliesslich auf einer automatisierten Verarbeitung einschliesslich Profiling beruhen und ihnen gegenüber rechtliche Wirkung entfalten oder sie erheblich beeinträchtigen. Solche Entscheidungen sind grundsätzlich nur unter engen Voraussetzungen zulässig, etwa mit ausdrücklicher Einwilligung oder wenn sie für einen Vertrag erforderlich sind, und auch dann müssen Schutzmassnahmen bestehen, darunter das Recht auf menschliches Eingreifen. Dieses Recht gewinnt im Zeitalter der KI an Bedeutung, weil automatisierte Bewertungen — etwa bei Kreditentscheidungen oder im Recruiting — zunehmen. Es verbindet den Datenschutz unmittelbar mit den Anforderungen des EU AI Act an die menschliche Aufsicht.
Fristen und Pflichten der Unternehmen
Unternehmen müssen Anfragen betroffener Personen grundsätzlich unverzüglich, spätestens aber innerhalb eines Monats beantworten; bei komplexen Anfragen kann die Frist um zwei Monate verlängert werden. Die Auskunft und die meisten Massnahmen sind unentgeltlich. Das Unternehmen muss die Identität des Antragstellers prüfen, um zu verhindern, dass Daten an Unbefugte gelangen, darf dabei aber nicht unnötig viele Nachweise verlangen. Diese Fristen und Pflichten erfordern vorbereitete Prozesse: Wer erst bei der ersten Anfrage überlegt, wie er reagiert, gerät schnell in Verzug. Ein definierter Ablauf mit klaren Zuständigkeiten ist daher unerlässlich.
Umsetzung in SaaS-Produkten
Für SaaS-Anbieter sind die Betroffenenrechte ein zentrales Architekturthema. Die effizienteste Lösung ist ein Self-Service, über den Nutzer ihre Daten einsehen, exportieren und ihr Konto löschen können, ohne dass jede Anfrage manuell bearbeitet werden muss. Ein solcher Self-Service erfüllt die Rechte auf Auskunft, Datenübertragbarkeit und Löschung weitgehend automatisch und in Sekunden statt in Wochen. Innopulse baut diese Funktionen in seine eigenen Produkte ein — bei Penday etwa lassen sich Datenexport und Kontolöschung in unter 30 Sekunden durchführen — und setzt sie auch in Kundenprojekten als Standard um. So werden die Betroffenenrechte von einer Belastung zu einem eingebauten Qualitätsmerkmal.
Fazit
Identitätsprüfung ohne Übermass
Bei der Erfüllung von Betroffenenrechten müssen Unternehmen die Identität des Antragstellers prüfen, um zu verhindern, dass Daten an Unbefugte gelangen. Diese Prüfung darf jedoch nicht zum Vorwand werden, um Rechte zu erschweren: Es dürfen nur so viele Nachweise verlangt werden, wie zur Identifizierung wirklich nötig sind. Bei eingeloggten Nutzern eines SaaS-Dienstes ist die Identität bereits durch die Authentifizierung belegt, sodass ein Self-Service die Identitätsfrage elegant löst. Diese Balance zwischen Sicherheit und Zugänglichkeit ist ein gutes Beispiel dafür, dass Datenschutz nicht im Widerspruch zur Nutzerfreundlichkeit stehen muss, sondern bei guter Gestaltung beides zugleich erreicht.
Die Betroffenenrechte sind das Instrument, mit dem die DSGVO den Menschen die Kontrolle über ihre Daten zurückgibt. Für Unternehmen sind sie eine konkrete operative Pflicht, die vorbereitete Prozesse und oft technische Unterstützung erfordert. Wer diese Rechte ernst nimmt und ihre Erfüllung — idealerweise per Self-Service — in seine Produkte einbaut, erfüllt nicht nur die gesetzliche Anforderung fristgerecht, sondern signalisiert seinen Nutzern Respekt und Vertrauenswürdigkeit. Im DACH-Raum, wo Datenschutz hohen Stellenwert hat, ist die saubere Umsetzung der Betroffenenrechte damit zugleich ein Wettbewerbsvorteil.