Betroffenenrechte DSGVO: Auskunft & Löschung durchsetzen
Die DSGVO gibt Ihnen sieben starke Rechte über Ihre personenbezogenen Daten: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Schutz vor automatisierten Entscheidungen. Hier erfahren Sie, welches Recht zu Ihrer Situation passt, welche Fristen gelten und wie Sie Auskunft und Löschung mit Musterbriefen durchsetzen – auch gegen pauschale Ablehnungen.
Sie wollen Ihren konkreten Fall sofort einordnen? Der KI-Rechtsassistent von SpecterAI hilft, das passende Betroffenenrecht zu finden und ein Schreiben zu strukturieren.
Erst das richtige Recht finden, dann durchsetzen.
SpecterAI hilft, Ihre DSGVO-Betroffenenrechte zu strukturieren: passendes Recht, richtiger Adressat, Frist und Nachweise. So vermeiden Sie unklare Anträge, die nur Allgemeinplätze zurückbringen.
Welches Betroffenenrecht brauche ich?
Wählen Sie Ihr Ziel – wir nennen das passende Recht und verlinken den ausführlichen Abschnitt.
Schnellcheck: Ist Ihr Antrag durchsetzbar?
1. Adressat
Sie richten den Antrag an den Verantwortlichen (Unternehmen/Behörde), nicht nur an einen Dienstleister.
2. Konkret
Ihr Begehren ist klar benannt (Auskunft, Berichtigung, Löschung) und – wo nötig – auf bestimmte Daten bezogen.
3. Nachweisbar
Der Antrag ist über einen nachweisbaren Kanal gestellt und eine Frist von einem Monat ist genannt.
Rechtlicher Ausgangspunkt sind Art. 12–22 DSGVO. Der Verantwortliche muss unverzüglich, spätestens innerhalb eines Monats reagieren (Art. 12 Abs. 3 DSGVO). Konkrete Quoten oder Fristverläufe bleiben Einzelfall – dies ist keine Rechtsberatung.
Ihr konkretes Betroffenenrecht
DSGVO-Antrag strukturieren – kostenlos.
Kostenlos starten · DSGVO-konform · Keine Kreditkarte
Übersicht: Die sieben Betroffenenrechte (Art. 12–22 DSGVO)
Die DSGVO bündelt Ihre Rechte in den Artikeln 12 bis 22. Die folgende Tabelle ordnet jedes Recht der typischen Situation zu, in der es greift. Maßgeblich ist immer der konkrete Einzelfall.
Wichtig: Alle Anträge richten sich an den Verantwortlichen – das Unternehmen oder die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Ein Auftragsverarbeiter (z. B. ein Cloud- oder Newsletter-Dienstleister) handelt nur weisungsgebunden und muss den Verantwortlichen unterstützen.
Auskunftsrecht im Detail (Art. 15 DSGVO)
Nach Art. 15 Abs. 1 DSGVO können Sie zunächst eine Bestätigung verlangen, ob Daten zu Ihnen verarbeitet werden. Werden Daten verarbeitet, haben Sie Anspruch auf Auskunft über:
- die Verarbeitungszwecke und die Kategorien der verarbeiteten Daten,
- die Empfänger oder Kategorien von Empfängern (auch in Drittländern, mit Schutzmaßnahmen),
- die geplante Speicherdauer oder die Kriterien zu ihrer Festlegung,
- das Bestehen Ihrer Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch,
- das Beschwerderecht bei einer Aufsichtsbehörde,
- die Herkunft der Daten, wenn sie nicht bei Ihnen erhoben wurden,
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.
Zusätzlich haben Sie nach Art. 15 Abs. 3 DSGVO Anspruch auf eine Kopie der verarbeiteten Daten. Stellen Sie den Antrag elektronisch, ist die Kopie in einem gängigen elektronischen Format bereitzustellen. Für jede weitere Kopie kann ein angemessenes Entgelt auf Basis der Verwaltungskosten verlangt werden – die erste Kopie ist kostenfrei.
Praxis-Hinweis: Formulieren Sie die Auskunft konkret. „Bitte um Auskunft“ liefert oft nur Allgemeinplätze. Fragen Sie ausdrücklich nach Datenkategorien, Zwecken, Empfängern, Speicherdauer, Herkunft und einer Datenkopie.
Berichtigungsrecht (Art. 16 DSGVO)
Nach Art. 16 DSGVO können Sie unverzüglich die Berichtigung unrichtiger Daten verlangen. Außerdem haben Sie das Recht, unvollständige Daten – unter Berücksichtigung der Verarbeitungszwecke und auch mittels einer ergänzenden Erklärung – vervollständigen zu lassen. Typische Anlässe sind ein Umzug, eine Namensänderung oder falsche Bonitäts- und Vertragsangaben.
Praktisch sollten Sie den konkreten Fehler benennen und – soweit möglich – einen Beleg für den korrekten Wert beifügen (z. B. Meldebescheinigung beim Umzug). Das beschleunigt die Bearbeitung und reduziert Rückfragen.
Löschung: Gründe und Ausnahmen (Art. 17 DSGVO)
Eine Löschung kommt nach Art. 17 Abs. 1 DSGVO insbesondere in Betracht, wenn die Daten für ihren Zweck nicht mehr erforderlich sind, Sie die Einwilligung widerrufen haben, die Verarbeitung unrechtmäßig ist, Sie berechtigt widersprochen haben oder die Löschung gesetzlich vorgeschrieben ist. Wurden die Daten öffentlich gemacht, muss der Verantwortliche angemessene Maßnahmen treffen, um andere Empfänger über Ihren Löschwunsch zu informieren.
Ausnahmen: Wann nicht (sofort) gelöscht wird
Art. 17 Abs. 3 DSGVO nennt Ausnahmen vom Löschanspruch. Praktisch wichtig sind:
- Gesetzliche Aufbewahrungspflichten (Art. 17 Abs. 3 lit. b DSGVO): Steuer- und Handelsrecht verlangen Aufbewahrung. Nach § 257 HGB sind etwa Handelsbücher und Jahresabschlüsse zehn Jahre, Handelsbriefe sechs Jahre aufzubewahren. § 35 BDSG bestimmt zudem, dass bei nicht automatisierter Verarbeitung eine Löschung entfallen kann, wenn sie unverhältnismäßig aufwändig ist; an die Stelle der Löschung tritt dann die Einschränkung.
- Rechtsverteidigung (Art. 17 Abs. 3 lit. e DSGVO): Werden Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, kann die Löschung zurückgestellt werden.
- Archiv-, Forschungs- und statistische Zwecke (Art. 17 Abs. 3 lit. d DSGVO), soweit die Löschung diese Ziele ernsthaft beeinträchtigen würde.
Beispiel: Ein altes Kundenkonto wird nicht mehr genutzt. Nach Widerruf der Einwilligung sind die Stammdaten zu löschen – Rechnungsbelege bleiben aber bis zum Ablauf der handels- und steuerrechtlichen Fristen (§ 257 HGB) gesperrt und werden nur eingeschränkt verarbeitet.
Einschränkung statt Löschung (Art. 18 DSGVO)
Wenn eine vollständige Löschung (noch) nicht möglich ist, ist die Einschränkung der Verarbeitung die richtige Zwischenlösung. Nach Art. 18 Abs. 1 DSGVO können Sie sie verlangen, wenn:
- Sie die Richtigkeit der Daten bestreiten – für die Dauer der Prüfung (lit. a),
- die Verarbeitung unrechtmäßig ist, Sie statt Löschung aber die Sperrung wünschen (lit. b),
- der Verantwortliche die Daten nicht mehr benötigt, Sie sie aber zur Rechtsverteidigung brauchen (lit. c),
- Sie nach Art. 21 Abs. 1 DSGVO widersprochen haben – bis die Abwägung der Interessen geklärt ist (lit. d).
Eingeschränkte Daten bleiben gespeichert, dürfen aber nur noch eng begrenzt – etwa zur Rechtsverteidigung oder mit Ihrer Einwilligung – verarbeitet werden.
Fristen, Gebühren und Identitätsprüfung (Art. 12 DSGVO)
Der Verantwortliche muss unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang reagieren (Art. 12 Abs. 3 DSGVO). Bei besonderer Komplexität oder vielen Anträgen kann diese Frist um bis zu zwei weitere Monate verlängert werden – die Gesamtdauer beträgt also höchstens drei Monate. Über die Verlängerung und ihre Gründe muss er innerhalb des ersten Monats informieren.
Die Bearbeitung ist grundsätzlich unentgeltlich (Art. 12 Abs. 5 DSGVO). Nur bei offenkundig unbegründeten oder exzessiven Anträgen – insbesondere bei häufiger Wiederholung – darf ein angemessenes Entgelt verlangt oder die Bearbeitung verweigert werden. Die Beweislast dafür trägt der Verantwortliche.
Identitätsprüfung (Art. 12 Abs. 6 DSGVO): Nur bei begründeten Zweifeln an Ihrer Identität darf der Verantwortliche zusätzliche Informationen verlangen – und auch dann nur das Erforderliche. Häufig genügt ein milderes Mittel wie die Bestätigung über einen E-Mail-Link oder eine Login-Bestätigung; ein vollständiger Ausweis-Scan ist meist überzogen.
Schritt für Schritt: Antrag stellen und durchsetzen
Schritt 1: Verantwortlichen identifizieren
Finden Sie heraus, wer über die Verarbeitung entscheidet (Impressum, Datenschutzerklärung, Datenschutzkontakt). Richten Sie den Antrag an den Verantwortlichen, nicht nur an einen Dienstleister.
Schritt 2: Antrag konkret und nachweisbar stellen
Schriftlich per E-Mail, Webformular oder Brief. Benennen Sie das Begehren klar („Auskunft“, „Berichtigung“, „Löschung“), nennen Sie ggf. Kundennummer und genutzte Kontaktadresse, setzen Sie eine Frist von einem Monat und fordern Sie eine Empfangsbestätigung. So beginnt der Fristlauf und Sie haben später Belege.
Schritt 3: Identität maßvoll verifizieren
Reichen Sie nur so viele Informationen nach, wie zur Verifizierung erforderlich sind. Vermeiden Sie übermäßige Ausweisdaten, wenn mildere Mittel ausreichen (Login-Bestätigung, Transaktions-ID).
Schritt 4: Antwort prüfen und nachbessern lassen
Ist die Auskunft unvollständig oder unverständlich, verlangen Sie Nachbesserung. Bei Löschung prüfen Sie, ob statt einer vollständigen Löschung eine Einschränkung erfolgen muss (Aufbewahrungspflichten).
Schritt 5: Eskalieren
Bei Untätigkeit oder Verweigerung können Sie nach Art. 77 DSGVO Beschwerde bei der zuständigen Aufsichtsbehörde einlegen; parallel sind gerichtliche Schritte möglich. Eine Timeline mit Anfragen, Antworten und Fristen beschleunigt das Verfahren.
Besondere Situationen und Abgrenzungen
Beschäftigtendaten
Im Arbeitsverhältnis gelten besondere Rechtsgrundlagen. Auskunft und Löschung/Einschränkung sind möglich, soweit keine Pflichten (z. B. Lohnsteuer- und Sozialversicherungsunterlagen) entgegenstehen. § 34 BDSG sieht für das Auskunftsrecht zudem nationale Ausnahmen vor – etwa wenn Daten nur wegen gesetzlicher Aufbewahrungspflichten gespeichert sind und eine Auskunft unverhältnismäßigen Aufwand erfordern würde.
Bonitätsdaten und Scoring
Bei Auskunfteien können Sie Auskunft nach Art. 15 DSGVO und Berichtigung nach Art. 16 DSGVO verlangen. Eine Löschung hängt von gesetzlichen Fristen und dem Zweck ab. Erfolgt ein rein automatisiertes Scoring mit erheblicher Wirkung, greifen zusätzlich die Schutzmechanismen aus Art. 22 DSGVO (menschliches Eingreifen, Standpunkt darlegen, Entscheidung anfechten).
Direktwerbung und Widerspruch
Gegen Direktwerbung können Sie nach Art. 21 Abs. 2 DSGVO jederzeit und voraussetzungslos widersprechen. Danach darf die Verarbeitung zu diesem Zweck nicht weitergehen – Sperrlisten sind anzulegen.
Sensible Daten: Für Daten besonderer Kategorien nach Art. 9 DSGVO (Gesundheit, Biometrie, religiöse/politische Überzeugung, Sexualleben u. a.) gilt ein strengerer Schutz. Solche Auskunfts- oder Löschanträge sollten Sie besonders sorgfältig und nachweisbar geltend machen.
Ablehnungsgründe und ihre Abwehr
Eine Ablehnung muss begründet werden. Häufige Gründe – und wie Sie damit umgehen:
Bei einem materiellen oder immateriellen Schaden infolge eines DSGVO-Verstoßes haben Sie nach Art. 82 Abs. 1 DSGVO Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.
Musterbriefe: Auskunft, Löschung, Berichtigung
Drei Vorlagen zum Anpassen. Ersetzen Sie die Platzhalter in eckigen Klammern und versenden Sie über einen nachweisbaren Kanal.
1. Auskunftsantrag nach Art. 15 DSGVO
2. Löschungsantrag nach Art. 17 DSGVO
3. Berichtigungsantrag nach Art. 16 DSGVO
Häufige Fehler vermeiden
❌ Unpräziser Antrag ohne klares Ziel
„Bitte um Auskunft“ führt zu Allgemeinplätzen. Benennen Sie konkret Datenkategorien, Zwecke, Empfänger, Speicherdauer und fordern Sie eine Datenkopie an.
❌ Falscher Adressat
Anträge an reine Auftragsverarbeiter laufen ins Leere. Richten Sie den Antrag immer an den Verantwortlichen.
❌ Kein Nachweis der Anfrage
Ohne Sendeprotokoll oder Ticketnummer ist die Fristdurchsetzung schwer. Nutzen Sie nachweisbare Kanäle.
❌ Vollständige Löschung trotz Aufbewahrungspflichten erwartet
Manche Daten dürfen wegen § 257 HGB noch nicht gelöscht werden. Verlangen Sie dann die Einschränkung nach Art. 18 DSGVO und eine schriftliche Bestätigung.
Orientierung aus Recht und Rechtsprechung
Weiter Umfang des Auskunftsrechts
Der Auskunftsanspruch aus Art. 15 DSGVO ist von den Gerichten grundsätzlich weit verstanden worden: Er umfasst auch eine Kopie der konkret verarbeiteten Daten, nicht nur abstrakte Kategorien. Pauschale Verweigerungen unter Hinweis auf Aufwand sind regelmäßig unzulässig. Die konkrete Reichweite bleibt einzelfallabhängig.
Immaterieller Schadenersatz
Nach Art. 82 DSGVO kann auch ein immaterieller Schaden ersatzfähig sein. Erforderlich ist ein tatsächlich eingetretener Schaden infolge eines Verstoßes – eine bloße Rechtsverletzung allein genügt nicht automatisch. Höhe und Voraussetzungen sind Einzelfallfragen.
Maßvolle Identitätsprüfung
Aufsichtsbehörden betonen, dass eine Identitätsprüfung dem Grundsatz der Datenminimierung folgen muss (Art. 12 Abs. 6 DSGVO). Eine pauschale Ausweiskopie ist häufig nicht erforderlich, wenn mildere Mittel genügen.
Häufige Fragen zu den DSGVO-Betroffenenrechten
Wann zahle ich Kosten für eine Auskunft oder Löschung?
Grundsätzlich sind die Betroffenenrechte unentgeltlich (Art. 12 Abs. 5 DSGVO). Nur bei offenkundig unbegründeten oder – besonders im Wiederholungsfall – exzessiven Anträgen darf der Verantwortliche ein angemessenes Entgelt verlangen oder die Bearbeitung verweigern. Für jede weitere Kopie der Daten kann nach Art. 15 Abs. 3 DSGVO ein angemessenes Entgelt auf Grundlage der Verwaltungskosten verlangt werden.
Was mache ich, wenn das Unternehmen meine Anfrage ablehnt?
Prüfen Sie zuerst die Begründung – der Verantwortliche muss die Gründe für eine Ablehnung mitteilen. Bleibt die Reaktion aus oder ist sie unzureichend, können Sie nach Art. 77 DSGVO Beschwerde bei der zuständigen Aufsichtsbehörde (Datenschutzbehörde) einlegen. Parallel sind gerichtliche Schritte möglich; bei einem materiellen oder immateriellen Schaden kommt zusätzlich Schadenersatz nach Art. 82 DSGVO in Betracht.
Können Auftragsverarbeiter wie Cloud-Dienstleister meinen Antrag direkt beantworten?
Nein. Der Antrag muss an den Verantwortlichen gehen, also an das Unternehmen oder die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Auftragsverarbeiter (z. B. Hosting- oder Newsletter-Dienstleister) handeln nur weisungsgebunden für den Verantwortlichen und müssen diesen bei der Erfüllung der Betroffenenrechte unterstützen.
Was ist der Unterschied zwischen Löschung und Einschränkung?
Löschung nach Art. 17 DSGVO bedeutet, dass die Daten endgültig entfernt werden. Einschränkung nach Art. 18 DSGVO bedeutet, dass die Daten gespeichert bleiben, aber gesperrt sind und nur noch für eng definierte Zwecke (etwa zur Rechtsverteidigung) genutzt werden dürfen. Die Einschränkung ist die richtige Zwischenlösung, wenn eine Löschung wegen gesetzlicher Aufbewahrungspflichten noch nicht möglich ist.
Muss ich meine Identität mit einer Ausweiskopie nachweisen?
Nur bei begründeten Zweifeln an Ihrer Identität darf der Verantwortliche zusätzliche Informationen anfordern (Art. 12 Abs. 6 DSGVO). Verlangt werden darf nur, was zur Verifizierung erforderlich ist – im Sinne der Datenminimierung genügt häufig ein milderes Mittel wie die Bestätigung über einen E-Mail-Link, eine Login-Bestätigung oder eine Transaktions-ID. Ein vollständiger Ausweis-Scan ist oft überzogen.
Wie lange darf das Unternehmen die Frist verlängern?
Die Regelfrist beträgt einen Monat ab Eingang des Antrags (Art. 12 Abs. 3 DSGVO). Bei besonderer Komplexität oder einer großen Zahl von Anträgen kann sie um bis zu zwei weitere Monate verlängert werden – die Gesamtdauer beträgt damit höchstens drei Monate. Über die Verlängerung und ihre Gründe muss der Verantwortliche innerhalb des ersten Monats informieren.
Was bedeutet das „Recht auf Vergessenwerden“?
Das ist der populäre Name für das Recht auf Löschung nach Art. 17 DSGVO. Kernidee ist, dass Daten gelöscht werden müssen, wenn kein Zweck mehr besteht, die Einwilligung widerrufen wurde, die Verarbeitung unrechtmäßig war oder Sie berechtigt widersprochen haben. Wurden die Daten öffentlich gemacht, muss der Verantwortliche angemessene Maßnahmen treffen, um weitere Empfänger über den Löschwunsch zu informieren – es gibt aber Ausnahmen, etwa bei Aufbewahrungspflichten oder zur Rechtsverteidigung (Art. 17 Abs. 3 DSGVO).
Gibt es Besonderheiten bei sensiblen Daten?
Ja. Daten besonderer Kategorien nach Art. 9 DSGVO – etwa Gesundheitsdaten, biometrische Daten, Angaben zur religiösen oder politischen Überzeugung sowie zum Sexualleben – unterliegen einem strengeren Schutz. Ihre Verarbeitung ist grundsätzlich untersagt und nur unter engen Voraussetzungen erlaubt. Eine Auskunft oder Löschung zu solchen Daten sollten Sie besonders sorgfältig und nachweisbar geltend machen.
Fazit
Die DSGVO gibt Ihnen wirksame Werkzeuge, um Transparenz und Kontrolle über Ihre Daten zurückzugewinnen. Entscheidend ist ein geordnetes Vorgehen:
- das passende Recht wählen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch),
- den Verantwortlichen statt einen Dienstleister adressieren,
- konkret und nachweisbar mit Monatsfrist beantragen (Art. 12 Abs. 3 DSGVO),
- bei Aufbewahrungspflichten Einschränkung statt Löschung verlangen,
- bei Ablehnung die Begründung prüfen und nach Art. 77 DSGVO Beschwerde einlegen.
Hinweis: Genannte Fristen und Voraussetzungen sind allgemeine Orientierung und Einzelfall – dies ist keine Rechtsberatung. Bei pauschalen Ablehnungen oder heiklen Konstellationen (Scoring, Beschäftigtendaten) lohnt fachkundiger Rat.
Für Fragen rund um Auskunft, Berichtigung und Löschung steht Ihnen der KI-gestützte Rechtsassistent von SpecterAI kostenlos zur Verfügung.
