KIProf. Dr. SchanbacherKI für den Mittelstand
DSGVO

Modul 3 von 4

Betroffenenrechte & Meldepflichten

Die DSGVO gibt den Menschen weitreichende Rechte über ihre Daten – und Unternehmen klare Pflichten, darauf zu reagieren. Dieses Modul behandelt Rechte, Fristen und das Verhalten bei Datenpannen.

Die Rechte der Betroffenen

  • Auskunft: Welche Daten werden über mich verarbeitet?
  • Berichtigung falscher Daten
  • Löschung („Recht auf Vergessenwerden“)
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit in einem maschinenlesbaren Format
  • Widerspruch (z. B. gegen Direktwerbung)
  • Recht gegen automatisierte Einzelentscheidungen (Art. 22): Schutz vor Entscheidungen, die ausschließlich durch KI oder andere automatisierte Systeme getroffen werden – besonders relevant bei automatischer Kreditvergabe oder KI-gestützter Bewerberauswahl.

Fristen ernst nehmen

Auf einen Antrag (z. B. Auskunft) muss grundsätzlich innerhalb eines Monats reagiert werden. Bei komplexen oder zahlreichen Anfragen kann die Frist um weitere zwei Monate verlängert werden – die betroffene Person muss dann jedoch innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert werden (Art. 12 Abs. 3). Im Alltag heißt das: Eingehende Betroffenenanfragen nicht liegen lassen, sondern sofort die zuständige Stelle bzw. den Datenschutzbeauftragten informieren und das Verfahren anstoßen.

Beispiel: Die Auskunftsanfrage per E-Mail

Eine Kundin schreibt: „Bitte teilen Sie mir mit, welche Daten Sie über mich gespeichert haben.“ Das ist ein Auskunftsersuchen nach Art. 15 – die Uhr läuft (ein Monat). Richtig: sofort an den Datenschutzbeauftragten weiterleiten, Identität der Anfragenden prüfen, dann vollständig und fristgerecht antworten. Falsch: die Mail als „unwichtig“ einordnen und liegen lassen.

Datenpannen melden

Bei einer Verletzung des Schutzes personenbezogener Daten (z. B. Fehlversand, Hackerangriff, verlorenes Notebook) ist die Aufsichtsbehörde grundsätzlich binnen 72 Stunden zu informieren (Art. 33); bei hohem Risiko auch die Betroffenen. Für Mitarbeitende gilt: jeden Verdacht sofort intern melden – „lieber melden statt vertuschen“.

1 Vorfall bemerkt 2 Intern sofort melden (DSB) 3 Risiko bewerten 4 ≤ 72 h: Behörde Art. 33 5 Ggf. Betroffene bei hohem Risiko · Art. 34
Die Meldekette bei einer Datenpanne – die 72-Stunden-Frist beginnt mit dem Bekanntwerden.

Was in eine Meldung gehört

Eine Meldung an die Aufsichtsbehörde muss bestimmte Mindestangaben enthalten. Auch wenn diese Aufgabe beim Datenschutzbeauftragten oder der Geschäftsführung liegt – jede Mitarbeiterin und jeder Mitarbeiter sollte wissen, welche Informationen dafür wichtig sind und daher beim internen Melden gleich mitgeliefert werden sollten:

  • Art der Verletzung: Was ist passiert (Fehlversand, Diebstahl, Hackerangriff)?
  • Betroffene Daten und ungefähre Zahl der betroffenen Personen.
  • Wahrscheinliche Folgen der Verletzung für die Betroffenen.
  • Bereits ergriffene oder geplante Gegenmaßnahmen.
  • Zeitpunkt des Bekanntwerdens – denn ab hier läuft die 72-Stunden-Frist.

Konsequenzen von Verstößen

  • Für Betroffene: z. B. Identitätsdiebstahl, Vertrauensverlust.
  • Für Unternehmen: Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes, Schadensersatz, Imageschaden.

Das Wichtigste in Kürze

  • Sieben Kernrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, Schutz vor automatisierten Einzelentscheidungen (Art. 22).
  • Auskunft & Co.: grundsätzlich innerhalb eines Monats beantworten.
  • Datenpannen: 72-Stunden-Meldung an die Aufsichtsbehörde (Art. 33).
  • Bußgelder bis 20 Mio. € / 4 % – intern sofort melden, nicht vertuschen.

?Wissens-Check

Beantworten Sie die Fragen, um Ihr Verständnis zu prüfen. Sie erhalten sofort eine Rückmeldung.

Frage 1.Innerhalb welcher Frist muss eine Auskunft an Betroffene grundsätzlich erfolgen?

Frage 2.Innerhalb welcher Frist ist eine meldepflichtige Datenpanne der Aufsichtsbehörde zu melden?

Frage 3.Wie hoch können DSGVO-Bußgelder maximal ausfallen?

← Vorheriges Modul