Datenschutz Hub 2025Betroffenenrechte, RoPA, AVV und Incident Response – komprimiert und mit direkten Links.
Abgedeckte Themen
3 Artikel
Auskunft · Löschung · Rechte
Fristen
1 Monat
Antwort auf Auskunft/Löschung
- Diese Seite bietet Ihnen einen kompletten Überblick über Ihre Rechte als betroffene Person nach der DSGVO – mit direkten Links zu allen wichtigen Artikeln.
- Sie finden hier praktische Antworten zu Auskunft, Löschung, Auftragsverarbeitung und Datenpannen.
- Alle wichtigen Checklisten und Musterschreiben für Auskunftsersuchen und Löschungsanträge sind hier verlinkt.
- Wir erklären Ihnen auch, welche Pflichten Unternehmen haben und wie Sie diese durchsetzen können.
Rechenschaftspflicht & Sicherheit
Die DSGVO verlangt von Unternehmen, dass sie Datensparsamkeit praktizieren und jeden Verarbeitungszweck klar definieren. Das bedeutet: Sie dürfen nur die Daten erheben, die wirklich notwendig sind, und müssen technische und organisatorische Maßnahmen ergreifen, um diese zu schützen. Dazu gehören Verschlüsselung, Zugriffskontrollen, Protokollierung, regelmäßige Backups, ein Löschkonzept und Mitarbeiterschulungen. Wenn eine Datenpanne passiert – etwa durch einen Hackerangriff oder einen versehentlichen Datenverlust – muss das Unternehmen die Aufsichtsbehörde innerhalb von 72 Stunden informieren, falls ein Risiko für die Betroffenen besteht. Bei hohem Risiko müssen auch Sie als betroffene Person benachrichtigt werden. Für internationale Datentransfers in Länder außerhalb der EU sind Standardvertragsklauseln und zusätzliche Schutzmaßnahmen erforderlich, um Ihr Schutzniveau aufrechtzuerhalten.
Ihre Rechte als betroffene Person
Die DSGVO gibt Ihnen umfassende Rechte über Ihre persönlichen Daten. Sie können jederzeit Auskunft verlangen, welche Daten ein Unternehmen über Sie gespeichert hat, woher diese stammen und an wen sie weitergegeben wurden. Das Unternehmen hat einen Monat Zeit, um Ihnen diese Informationen bereitzustellen – in begründeten Ausnahmefällen kann diese Frist um zwei weitere Monate verlängert werden. Sie haben auch das Recht auf Löschung Ihrer Daten, allerdings nur, wenn keine gesetzlichen Aufbewahrungspflichten bestehen oder die Daten für den ursprünglichen Zweck nicht mehr benötigt werden. Alternativ können Sie eine Einschränkung der Verarbeitung verlangen oder der weiteren Nutzung widersprechen – etwa bei Werbe-E-Mails oder Tracking-Cookies. Wichtig: Das Unternehmen muss Ihre Identität überprüfen, bevor es Ihre Daten herausgibt, um Missbrauch zu verhindern.
Dokumentation & Verträge
Unternehmen müssen alle Datenverarbeitungen in einem Verarbeitungsverzeichnis dokumentieren – das sogenannte Register of Processing Activities. Dieses muss detailliert beschreiben, welche Daten zu welchen Zwecken verarbeitet werden, wer Zugriff hat, wie lange die Daten gespeichert werden und welche Sicherheitsmaßnahmen getroffen wurden. Wenn ein Unternehmen externe Dienstleister einsetzt – etwa für Cloud-Hosting, Newsletter-Versand oder Zahlungsabwicklung – muss ein Auftragsverarbeitungsvertrag abgeschlossen werden. Dieser regelt genau, was der Dienstleister mit den Daten tun darf und welche Sicherheitsstandards einzuhalten sind. Für Einwilligungen gilt: Sie müssen freiwillig und informiert erfolgen, vorangekreuzte Kästchen sind unzulässig. Sie müssen jederzeit nachweisen können, wann und wie eine Person zugestimmt hat, und der Widerruf muss genauso einfach sein wie die Erteilung der Einwilligung.
Alle Datenschutzartikel
Sprungmarken zu Auskunft, Berichtigung, Löschung und Aufbewahrungslogik.
Häufig gestellte Fragen
Wie stelle ich ein DSGVO-Auskunftsersuchen richtig?
Ein Auskunftsersuchen können Sie ganz einfach per E-Mail stellen – eine aufwendige Form ist nicht erforderlich. Wichtig ist, dass Sie sich eindeutig identifizieren und klar benennen, welche Informationen Sie haben möchten. Am besten fragen Sie nach allen gespeicherten Daten, den Verarbeitungszwecken, den Empfängern und der geplanten Speicherdauer. Das Unternehmen muss innerhalb eines Monats antworten.
Wann darf ein Unternehmen die Auskunft verweigern?
Ein Unternehmen darf Ihre Auskunftsanfrage nur in sehr engen Grenzen ablehnen – etwa wenn die Anfrage offensichtlich unbegründet ist, Sie dieselbe Anfrage bereits mehrfach gestellt haben oder wenn die Herausgabe die Rechte anderer Personen verletzen würde. In jedem Fall muss das Unternehmen die Ablehnung schriftlich begründen und Sie über Ihr Beschwerderecht bei der Datenschutzbehörde informieren.
Welche Frist gilt für Auskunft und Löschung?
Das Unternehmen hat grundsätzlich einen Monat Zeit, um auf Ihr Auskunfts- oder Löschungsersuchen zu reagieren. In komplexen Fällen kann diese Frist um zwei weitere Monate verlängert werden – allerdings muss das Unternehmen Sie innerhalb des ersten Monats darüber informieren und die Verzögerung begründen. Wenn die Frist ohne Antwort verstreicht, können Sie sich an die Datenschutzbehörde wenden.
Welche Daten müssen bereitgestellt werden?
Bei einem Auskunftsersuchen muss das Unternehmen Ihnen eine Kopie aller gespeicherten personenbezogenen Daten zur Verfügung stellen. Das umfasst nicht nur offensichtliche Dinge wie Namen und Adressen, sondern auch, zu welchen Zwecken die Daten verarbeitet werden, an wen sie weitergegeben wurden, wie lange sie gespeichert werden, woher sie stammen und ob automatisierte Entscheidungen (wie Scoring oder Profiling) getroffen wurden.
Kann ich Löschung verlangen, wenn ein Vertrag besteht?
Während ein Vertrag läuft oder gesetzliche Aufbewahrungsfristen bestehen, können Sie in der Regel keine vollständige Löschung verlangen. Das Unternehmen darf Ihre Daten behalten, solange sie für die Vertragserfüllung oder zur Einhaltung rechtlicher Vorgaben benötigt werden. Sie können aber eine Einschränkung der Verarbeitung verlangen – das bedeutet, die Daten werden nur noch gespeichert, aber nicht mehr aktiv genutzt.
Was ist ein Verarbeitungsverzeichnis (RoPA)?
Das Verarbeitungsverzeichnis ist eine Art Inventarliste aller Datenverarbeitungen in einem Unternehmen. Es muss genau dokumentieren, welche Daten zu welchen Zwecken erhoben werden, wer darauf Zugriff hat, an wen sie weitergegeben werden, wie lange sie gespeichert bleiben und welche Sicherheitsmaßnahmen getroffen wurden. Die meisten Unternehmen sind verpflichtet, ein solches Register zu führen – es dient als Nachweis gegenüber Datenschutzbehörden.
Brauche ich einen Auftragsverarbeitungsvertrag (AVV)?
Ja, immer wenn Sie einen externen Dienstleister beauftragen, der in Ihrem Namen personenbezogene Daten verarbeitet. Das betrifft zum Beispiel Cloud-Anbieter, Newsletter-Tools, Hosting-Provider oder Zahlungsdienstleister. Der Vertrag regelt genau, was der Dienstleister mit den Daten tun darf, welche Sicherheitsstandards er einhalten muss und wie mit Datenpannen umgegangen wird. Ohne einen solchen Vertrag verstoßen Sie gegen die DSGVO.
Was sind technische und organisatorische Maßnahmen (TOMs)?
TOMs sind alle Sicherheitsmaßnahmen, die ein Unternehmen ergreifen muss, um personenbezogene Daten zu schützen. Dazu gehören technische Maßnahmen wie Verschlüsselung, Firewalls, Zugriffskontrollen, regelmäßige Backups und Protokollierung. Organisatorische Maßnahmen umfassen Mitarbeiterschulungen, Löschkonzepte, Notfallpläne und klare Zuständigkeiten. Je sensibler die Daten, desto höher müssen die Schutzmaßnahmen sein.
Wann muss eine Datenschutz-Folgenabschätzung (DPIA) gemacht werden?
Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten von Personen birgt. Das ist etwa der Fall bei umfangreichem Tracking, Scoring-Verfahren, automatisierten Entscheidungen mit rechtlicher Wirkung oder der Verarbeitung besonders sensibler Daten in großem Umfang. Die DPIA analysiert die Risiken und legt fest, welche Maßnahmen zur Risikominimierung getroffen werden.
Wie gehe ich mit Datenpannen um?
Wenn personenbezogene Daten verloren gehen, gestohlen werden oder unbefugt offengelegt werden, müssen Sie die zuständige Datenschutzbehörde innerhalb von 72 Stunden informieren – vorausgesetzt, es besteht ein Risiko für die Betroffenen. Bei hohem Risiko müssen Sie auch die betroffenen Personen direkt benachrichtigen. Wichtig ist, dass Sie einen Notfallplan haben, der beschreibt, wer im Ernstfall was zu tun hat und wie Sie die Ursache analysieren und künftig verhindern.
Welche Bußgelder drohen?
Die DSGVO sieht drastische Bußgelder vor: bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Die Höhe hängt von der Schwere des Verstoßes, der Dauer, dem Verschulden und der Kooperationsbereitschaft ab. Auch kleinere Unternehmen können empfindliche Strafen erhalten, wenn sie grob fahrlässig mit Daten umgehen oder Datenschutzbehörden nicht kooperieren.
Was gehört in eine Datenschutzerklärung?
Verantwortlicher, Zwecke, Rechtsgrundlagen, Empfänger, Drittlandtransfer, Speicherdauer, Betroffenenrechte, Cookies/Tracking, Kontakt DSB.
Wann brauche ich einen Datenschutzbeauftragten?
Bei mind. 20 Personen, die sich ständig mit automatisierter Verarbeitung beschäftigen, oder bei besonders sensiblen Daten/behördlicher Stelle.
Wie dokumentiere ich Einwilligungen?
Protokollierung von Zeitpunkt, Inhalt, Widerrufsmöglichkeit, Nachweis der informierten Einwilligung; Opt-in, kein vorangekreuztes Kästchen.
Wie vermeide ich Overcollection?
Datensparsamkeit/Minimalprinzip anwenden: nur notwendige Daten erheben, Zweckbindung definieren, Löschfristen durchsetzen.
Was gilt bei internationalen Datentransfers?
Angemessenheitsbeschluss oder Standardvertragsklauseln, Transfer Impact Assessment, zusätzliche Schutzmaßnahmen (Verschlüsselung).
Wie gehe ich mit Tracking-Cookies um?
Einwilligung vor Setzen nicht notwendiger Cookies, klare CMP, granularer Opt-in, leichtes Opt-out, Dokumentation der Einwilligung.
Wie setze ich Rechte auf Datenübertragbarkeit um?
Bereitstellung in einem strukturierten, gängigen, maschinenlesbaren Format (z. B. CSV/JSON); betrifft automatisiert verarbeitete Daten auf Basis Einwilligung/Vertrag.
Was ist der Unterschied zwischen Verantwortlichem und Auftragsverarbeiter?
Verantwortlicher entscheidet über Zwecke/Mittel; Auftragsverarbeiter handelt weisungsgebunden. Verträge und Pflichten unterscheiden sich deutlich.
Wie reagiere ich auf Aufsichtsbehörden?
Fristen einhalten, Sachverhalt offenlegen, Nachweise liefern (TOMs, RoPA, AVVs), Maßnahmenplan vorlegen; Kooperationsbereitschaft senkt Risiko.
Haben Sie noch Fragen zu Ihrem Fall?
SpecterAI hilft Ihnen, Ihre Situation zu strukturieren, wichtige Fakten zu sammeln und allgemeine Optionen zu verstehen – verständlich erklärt und sofort verfügbar.
