Betroffenenrechte nach der DSGVO: Alle acht Rechte im Überblick (2026)

Nach Kapitel III der Verordnung (EU) 2016/679 gewährt die DSGVO Personen in der Europäischen Union acht durchsetzbare Rechte: das Recht auf Information, das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht sowie Rechte im Zusammenhang mit automatisierten Entscheidungen (Art. 13 bis 22). Organisationen müssen auf jeden Antrag innerhalb eines Kalendermonats reagieren.
Die DSGVO gewährt jeder Person in der Europäischen Union durchsetzbare Rechte über ihre eigenen personenbezogenen Daten. Diese Rechte finden sich in Kapitel III der Verordnung (EU) 2016/679 (Art. 12 bis 22). Sie erfassen den gesamten Lebenszyklus der Daten: von dem Moment, in dem eine Organisation sie erstmals erhebt (das Recht auf Information), über den Zugriff, die Berichtigung, die Löschung und die Übertragung bis hin zur Anfechtung ihrer Nutzung.
Das Verständnis dieser Rechte ist in beide Richtungen wichtig. Einzelpersonen müssen wissen, was sie verlangen können und wie. Organisationen müssen wissen, wozu sie verpflichtet sind, innerhalb welcher Fristen und wo Ausnahmen gelten.
Dieser Beitrag erläutert alle acht Rechte im Detail, beschreibt, wie Auskunftsersuchen (DSARs) in der Praxis funktionieren, benennt die wichtigsten Urteile des EuGH, die die Auslegung geprägt haben, und behandelt die bedeutendsten aktuellen Entwicklungen, einschließlich der koordinierten Durchsetzungsberichte des EDSA und des Digital-Omnibus-Vorschlags.
Für den umfassenderen Rechtsrahmen siehe Was ist die DSGVO. Für die Umsetzungsschritte der Compliance siehe die DSGVO-Compliance-Checkliste. Für die Einwilligungsregeln im Detail siehe DSGVO-Einwilligungsanforderungen.
Geltungsbereich: Dieser Beitrag behandelt die Betroffenenrechte nach der EU-Verordnung (EU) 2016/679 (DSGVO). Nicht behandelt werden das UK-GDPR (das sich nach dem Brexit von der EU-DSGVO unterscheidet) oder mitgliedstaatliche Abweichungen, die in einzelnen Branchen gelten können. Für britische Besonderheiten wenden Sie sich an die ICO.
Dieser Beitrag bietet ausschließlich allgemeine rechtliche Informationen. Er stellt keine Rechtsberatung dar. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte Datenschutzanwältin, einen qualifizierten Datenschutzanwalt oder eine Fachperson für Datenschutz.
Die acht Rechte der betroffenen Person auf einen Blick
Kapitel III der DSGVO begründet acht eigenständige Rechte. Art. 12 bildet den übergeordneten verfahrensrechtlichen Rahmen: Antworten müssen (zumindest beim ersten Mal) kostenfrei sein und in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache erfolgen. Die standardmäßige Ein-Monats-Frist gilt für alle Rechte gleichermaßen.
| Recht | Zentraler Artikel | Kerninhalt |
|---|---|---|
| Recht auf Information | Art. 13 und 14 | Erhalt von Datenschutzinformationen zum Zeitpunkt der Datenerhebung |
| Recht auf Auskunft | Art. 15 | Erhalt einer Bestätigung und einer Kopie der gespeicherten personenbezogenen Daten |
| Recht auf Berichtigung | Art. 16 | Berichtigung unrichtiger oder unvollständiger Daten |
| Recht auf Löschung | Art. 17 | Antrag auf Löschung personenbezogener Daten |
| Recht auf Einschränkung der Verarbeitung | Art. 18 | Einschränkung der Nutzung von Daten, ohne sie zu löschen |
| Recht auf Datenübertragbarkeit | Art. 20 | Erhalt der Daten in einem strukturierten, maschinenlesbaren Format |
| Widerspruchsrecht | Art. 21 | Widerspruch gegen eine auf berechtigten Interessen beruhende Verarbeitung oder gegen Direktwerbung |
| Rechte im Zusammenhang mit automatisierten Entscheidungen | Art. 22 | Anfechtung von Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen |

Das Recht auf Information (Art. 13 und 14)
Das Recht auf Information bildet das Fundament, auf dem alle übrigen Rechte der DSGVO aufbauen. Es verpflichtet Organisationen, Einzelpersonen vor oder bei der Erhebung klar darüber zu informieren, welche personenbezogenen Daten erhoben werden und wie sie genutzt werden. Ohne Transparenz können Einzelpersonen keines der übrigen sieben Rechte sinnvoll ausüben.
Art. 13 regelt Fälle, in denen die Organisation personenbezogene Daten direkt bei der betroffenen Person erhebt, etwa über ein Webformular, eine App-Registrierung oder einen schriftlichen Antrag. Art. 14 regelt Fälle, in denen personenbezogene Daten von einem Dritten stammen und nicht von der betroffenen Person selbst.
Welche Angaben Organisationen offenlegen müssen
Sowohl nach Art. 13 als auch nach Art. 14 müssen Organisationen mindestens folgende Angaben machen:
- Identität und Kontaktdaten des Verantwortlichen sowie, sofern benannt, der oder des Datenschutzbeauftragten
- Verarbeitungszwecke und die Rechtsgrundlage für jeden Zweck
- Sofern sich die Verarbeitung auf berechtigte Interessen stützt, die konkret verfolgten Interessen
- Etwaige Empfänger oder Empfängerkategorien
- Angaben zu Übermittlungen in Drittländer und den dabei geltenden Garantien
- Die Speicherdauer oder die zu ihrer Festlegung herangezogenen Kriterien
- Das Bestehen aller anwendbaren Betroffenenrechte und wie sie ausgeübt werden können
- Das Recht auf Widerruf der Einwilligung, sofern diese die Rechtsgrundlage bildet
- Das Recht auf Beschwerde bei einer Aufsichtsbehörde
- Nur nach Art. 14: die Quelle, aus der die personenbezogenen Daten stammen
Zeitliche Vorgaben
Bei direkter Erhebung nach Art. 13 müssen die Datenschutzinformationen zum Zeitpunkt der Erhebung bereitgestellt werden. Bei indirekter Erhebung nach Art. 14 gilt eine Frist von einem Monat nach Erhalt der Daten, bei erstem Kontakt mit der betroffenen Person früher, falls dieser früher erfolgt, oder bei Offenlegung an einen anderen Empfänger, falls diese noch früher erfolgt.
Der Durchsetzungsschwerpunkt CEF 2026
Der EDSA hat die Art. 12, 13 und 14 zum Thema seiner 2026 gestarteten koordinierten Durchsetzungsmaßnahme (Coordinated Enforcement Framework, CEF) gemacht. Fünfundzwanzig Datenschutzbehörden aus der gesamten EU beteiligen sich daran. Der EDSA bezeichnete das Recht auf Information als „einen zentralen Bestandteil der Transparenz, der Einzelpersonen mehr Kontrolle über ihre Daten gibt". Von den Durchsetzungsergebnissen werden Erkenntnisse darüber erwartet, ob Datenschutzhinweise in der Praxis dem Standard der DSGVO entsprechen.
Recht auf Auskunft (Art. 15)
Das Recht auf Auskunft ist das am häufigsten ausgeübte und am häufigsten gerichtlich verhandelte Recht der DSGVO. Art. 15 erlaubt es Einzelpersonen, eine Bestätigung darüber zu erhalten, ob eine Organisation ihre personenbezogenen Daten verarbeitet, und gegebenenfalls eine Kopie dieser Daten zusammen mit den vorgeschriebenen ergänzenden Informationen zu erhalten.
Was das Recht umfasst
Nach Art. 15 Abs. 1 hat die betroffene Person Anspruch auf:
- Bestätigung, dass eine Verarbeitung stattfindet
- Eine Kopie der personenbezogenen Daten selbst
- Die Verarbeitungszwecke
- Die betroffenen Kategorien personenbezogener Daten
- Die Empfänger oder Empfängerkategorien, einschließlich solcher in Drittländern
- Die geplante Speicherdauer oder die zu ihrer Festlegung herangezogenen Kriterien
- Das Bestehen der Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch
- Das Recht auf Beschwerde bei einer Aufsichtsbehörde
- Sofern die Daten nicht bei der betroffenen Person erhoben wurden, Informationen zu deren Herkunft
- Ob eine automatisierte Entscheidungsfindung einschließlich Profiling eingesetzt wird, sowie aussagekräftige Informationen über die involvierte Logik
Rechtsprechung des EuGH zu Art. 15
Der EuGH hat den Ermessensspielraum, den Verantwortliche zuvor bei der Beantwortung von Auskunftsersuchen hatten, erheblich eingeschränkt.
In der Rechtssache C-154/21, RW gegen Österreichische Post AG (Urteil vom 12. Januar 2023), entschied der Gerichtshof, dass Art. 15 Abs. 1 lit. c Verantwortliche verpflichtet, die konkrete Identität der Empfänger offenzulegen, denen personenbezogene Daten offengelegt wurden oder werden. Nur wenn es tatsächlich unmöglich ist, konkrete Empfänger zu identifizieren, darf sich der Verantwortliche auf die Angabe von Empfängerkategorien beschränken. Dieses Urteil beendete die verbreitete Praxis, nur vage allgemeine Kategoriebeschreibungen anzugeben.
In der Rechtssache C-487/21, F.F. gegen Österreichische Datenschutzbehörde und CRIF GmbH (Urteil vom 4. Mai 2023), entschied der Gerichtshof, dass das Recht auf eine „Kopie" nach Art. 15 Abs. 3 bedeutet, dass die betroffene Person eine getreue und verständliche Wiedergabe aller gespeicherten personenbezogenen Daten erhalten muss. Dieses Recht kann sich auf Kopien von Dokumentenauszügen, ganze Dokumente oder Datenbankauszüge erstrecken, soweit dies erforderlich ist, um der betroffenen Person Zugang zu ihren Daten in verständlicher Form zu verschaffen. Verantwortliche dürfen keine kuratierte oder zusammengefasste Auswahl bereitstellen.
Die Leitlinien 01/2022 des EDSA zum Auskunftsrecht (Version 2.0, April 2023) bestätigen zudem, dass Verantwortliche ihre Antworten nicht auf Daten beschränken dürfen, die sie für „relevant" oder „wichtig" halten. Die Auskunft muss alle gespeicherten personenbezogenen Daten erfassen.
Ergebnisse der CEF-2024-Maßnahme zum Auskunftsrecht
Der EDSA veröffentlichte im Januar 2025 seinen CEF-2024-Bericht zum Auskunftsrecht, der auf eine koordinierte Maßnahme mit Beteiligung von 31 Aufsichtsbehörden folgte. Wiederkehrende Herausforderungen waren unter anderem: fehlende interne Verfahren zur Bearbeitung von Anträgen, unvollständige Antworten sowie übermäßig belastende Anforderungen an die Identitätsprüfung, die berechtigte Antragstellerinnen und Antragsteller abschreckten.

Recht auf Berichtigung (Art. 16)
Art. 16 gibt Einzelpersonen das Recht, unrichtige personenbezogene Daten unverzüglich berichtigen zu lassen. Einzelpersonen können zudem verlangen, dass unvollständige Daten vervollständigt werden, unter anderem durch eine ergänzende Erklärung.
Anwendungsbereich und praktische Beispiele
Dieses Recht gilt immer dann, wenn von einer Organisation gespeicherte faktische personenbezogene Daten unrichtig oder unvollständig sind. Typische Beispiele sind falsch geschriebene Namen, unrichtige Adressen, veraltete Telefonnummern und Beschäftigungsunterlagen mit falschen Daten. Das Recht gilt nicht für Bewertungen oder Meinungen (eine Note in einer Leistungsbeurteilung ist eine Meinung, keine faktische Unrichtigkeit), doch können Einzelpersonen verlangen, dass umstrittenen subjektiven Bewertungen eine ergänzende Erklärung beigefügt wird.
Pflicht zur Benachrichtigung Dritter
Berichtigt ein Verantwortlicher Daten, verlangt Art. 19 der DSGVO eine Benachrichtigung jedes Empfängers, dem die Daten zuvor offengelegt wurden, sofern dies nicht unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert. Der Verantwortliche muss die betroffene Person auf Verlangen auch über diese Empfänger informieren.
Recht auf Löschung / Recht auf Vergessenwerden (Art. 17)
Art. 17 erlaubt es Einzelpersonen, die Löschung ihrer personenbezogenen Daten zu verlangen. Das Recht auf Löschung, auch „Recht auf Vergessenwerden" genannt, gehört zu den bekanntesten Bestimmungen der DSGVO. Es gilt nicht absolut: Art. 17 Abs. 3 legt die Fälle fest, in denen das Recht nicht anwendbar ist.
Löschungsgründe
Eine Löschung ist nach Art. 17 Abs. 1 erforderlich, wenn:
- die Daten für den Zweck, für den sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind
- die betroffene Person ihre Einwilligung widerruft und keine andere Rechtsgrundlage vorliegt
- die betroffene Person nach Art. 21 widerspricht und keine vorrangigen berechtigten Gründe des Verantwortlichen vorliegen
- die Daten unrechtmäßig verarbeitet wurden
- die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach dem Recht der Union oder eines Mitgliedstaats erforderlich ist
- die Daten bei einem Kind im Zusammenhang mit Diensten der Informationsgesellschaft erhoben wurden (Art. 8)
Gründe für die Ablehnung einer Löschung
Nach Art. 17 Abs. 3 dürfen Verantwortliche eine Löschung ablehnen, wenn die Verarbeitung erforderlich ist für:
- die Ausübung des Rechts auf freie Meinungsäußerung und Information
- die Erfüllung einer rechtlichen Verpflichtung (etwa gesetzliche Aufbewahrungsfristen im Steuerrecht)
- Zwecke der öffentlichen Gesundheit im öffentlichen Interesse (Art. 9 Abs. 2 lit. h und i)
- Archivzwecke im öffentlichen Interesse, wissenschaftliche Forschung oder statistische Zwecke, sofern eine Löschung die Erreichung dieser Zwecke ernsthaft beeinträchtigen würde
- die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Vorsicht: Die Ausnahme für Rechtsansprüche wird häufig falsch angewandt. Organisationen berufen sich mitunter vorsorglich darauf, um Löschungspflichten zu umgehen. Die Ausnahme setzt voraus, dass ein gerichtliches Verfahren tatsächlich anhängig, angedroht oder ernsthaft zu erwarten ist, nicht dass der Verantwortliche theoretisch irgendwann mit einem Anspruch konfrontiert werden könnte.
Löschung bei Suchmaschinen
Das Recht auf Löschung hat für Suchmaschinen besondere Bedeutung. Im Anschluss an das Google-Spain-Urteil (Rechtssache C-131/12, 2014) können Einzelpersonen verlangen, dass Suchmaschinen sie betreffende Ergebnisse aus der Ergebnisliste entfernen. Die Leitlinien 5/2019 des EDSA legen die Kriterien fest, die Aufsichtsbehörden bei der Prüfung solcher Auslistungsanträge anwenden.
CEF 2025: Herausforderungen bei der Umsetzung des Rechts auf Löschung
Der EDSA veröffentlichte seinen CEF-2025-Bericht zum Recht auf Löschung im Februar 2026. Im Laufe des Jahres 2025 beteiligten sich 32 Aufsichtsbehörden, von denen neun förmliche Untersuchungen einleiteten und 23 Sachverhaltsermittlungen durchführten. Es wurden sieben wiederkehrende Umsetzungsprobleme festgestellt:
- Organisationen setzen auf unwirksame Anonymisierungstechniken als Ersatz für die Löschung
- uneinheitliche Praxis bei der Löschung in Backup-Systemen
- Schwierigkeiten, Speicherfristen festzulegen und anschließend tatsächlich umzusetzen
- Verantwortliche haben Schwierigkeiten bei der Anwendung der Abwägungsprüfung nach Art. 17 Abs. 3
- fehlende interne Verfahren, vergleichbar mit den Feststellungen zum Auskunftsrecht aus dem Jahr 2024
- unzureichende Information der Einzelpersonen über den Ausgang von Löschungsanträgen
- unzureichende Benachrichtigung von Empfängern nach einer Löschung
Recht auf Einschränkung der Verarbeitung (Art. 18)
Art. 18 erlaubt es Einzelpersonen, von einer Organisation zu verlangen, ihre Daten zwar aufzubewahren, aber nicht mehr aktiv zu nutzen. Bei einer Einschränkung darf der Verantwortliche die Daten zwar speichern, sie aber nicht verarbeiten, es sei denn, die betroffene Person willigt ein oder die Verarbeitung ist zur Geltendmachung von Rechtsansprüchen, zum Schutz der Rechte einer anderen Person oder aus wichtigen Gründen des öffentlichen Interesses erforderlich.
Wann eine Einschränkung möglich ist
Einzelpersonen können in vier Fällen eine Einschränkung verlangen:
- Sie bestreiten die Richtigkeit der Daten, und die Einschränkung gilt, solange der Verantwortliche die Richtigkeit überprüft.
- Die Verarbeitung ist unrechtmäßig, doch die betroffene Person zieht eine Einschränkung der Löschung vor.
- Der Verantwortliche benötigt die Daten nicht mehr, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
- Die betroffene Person hat nach Art. 21 widersprochen, und das Ergebnis der Interessenabwägung steht noch aus.
Praktische Wirkung
Die Einschränkung wirkt faktisch wie eine „Pause" der aktiven Verarbeitung. Der Verantwortliche muss die betroffene Person informieren, bevor eine Einschränkung aufgehoben wird. Dieses Recht stellt einen Mittelweg zwischen vollständiger Löschung und uneingeschränkter Verarbeitung dar und ist besonders bei strittigen Sachverhalten oder während eines Rechtsstreits nützlich.
Recht auf Datenübertragbarkeit (Art. 20)
Art. 20 gibt Einzelpersonen das Recht, die personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und, soweit technisch machbar, direkt an einen anderen Verantwortlichen übermitteln zu lassen. Das Recht soll die Bindung an einzelne Anbieter verringern und den Wechsel zwischen konkurrierenden Diensten erleichtern.
Voraussetzungen für die Datenübertragbarkeit
Das Recht auf Datenübertragbarkeit gilt nur, wenn beide folgenden Voraussetzungen erfüllt sind:
- Die Verarbeitung beruht auf einer Einwilligung (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a) oder auf einem Vertrag mit der betroffenen Person (Art. 6 Abs. 1 lit. b).
- Die Verarbeitung erfolgt mithilfe automatisierter Verfahren.
Daten, die auf der Grundlage berechtigter Interessen, einer rechtlichen Verpflichtung oder des öffentlichen Interesses verarbeitet werden, unterliegen nicht dem Recht auf Datenübertragbarkeit.
Welche Daten erfasst sind
Die Datenübertragbarkeit erfasst Daten, die die betroffene Person dem Verantwortlichen „bereitgestellt" hat. Dazu zählen aktiv übermittelte Daten (Formulareingaben, hochgeladene Dokumente, Profilinformationen) sowie durch die Nutzung eines Dienstes erzeugte Daten (Transaktionsverlauf, Nutzungsprotokolle, durch App-Nutzung erzeugte Standortdaten). Nicht erfasst sind abgeleitete oder generierte Daten wie Risiko-Scores, Kundensegmente oder Ergebnisse algorithmischen Profilings, da diese vom Verantwortlichen erzeugt und nicht von der betroffenen Person bereitgestellt werden.
Anforderungen an das Format
Die Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden. CSV, JSON und XML sind weithin akzeptierte Formate. Soweit technisch machbar, muss der Verantwortliche die Daten auf Verlangen der betroffenen Person direkt an einen anderen benannten Verantwortlichen übermitteln.
Widerspruchsrecht (Art. 21)
Art. 21 erlaubt es Einzelpersonen, der Verarbeitung in zwei unterschiedlichen Konstellationen mit deutlich verschiedenen Rechtsfolgen zu widersprechen.
Widerspruch gegen eine auf berechtigtem oder öffentlichem Interesse beruhende Verarbeitung
Beruht die Verarbeitung auf berechtigten Interessen (Art. 6 Abs. 1 lit. f) oder auf öffentlichem Interesse (Art. 6 Abs. 1 lit. e), können Einzelpersonen aus „Gründen, die sich aus ihrer besonderen Situation ergeben", widersprechen. Der Verantwortliche muss die Verarbeitung einstellen, es sei denn, er kann zwingende schutzwürdige Gründe nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung von Rechtsansprüchen.
Die Beweislast liegt beim Verantwortlichen, eine echte, auf die konkret dargelegten Umstände der betroffenen Person bezogene Interessenabwägung vorzunehmen, nicht eine pauschale Behauptung, seine Interessen seien gewichtig.
Absolutes Widerspruchsrecht gegen Direktwerbung
Das Widerspruchsrecht gegen die Verarbeitung zu Zwecken der Direktwerbung gilt uneingeschränkt. Nach Art. 21 Abs. 2 und 3 muss der Verantwortliche die Verarbeitung zu diesem Zweck und jedes damit verbundene Profiling unverzüglich einstellen, sobald die betroffene Person widerspricht. Es findet keine Interessenabwägung statt, und keine berechtigten Gründe können den Widerspruch überwiegen.
Widerspruch gegen die Verarbeitung zu Forschungszwecken
Einzelpersonen können der Verarbeitung zu wissenschaftlichen, historischen oder statistischen Forschungszwecken zudem aus Gründen widersprechen, die sich aus ihrer besonderen Situation ergeben, sofern die Verarbeitung nicht zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich ist.

Rechte im Zusammenhang mit automatisierten Entscheidungen und Profiling (Art. 22)
Art. 22 sieht vor, dass Einzelpersonen das Recht haben, keiner Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
Der Kernschutz
Damit Art. 22 anwendbar ist, müssen alle drei Voraussetzungen vorliegen:
- Die Entscheidung beruht ausschließlich auf automatisierter Verarbeitung (ohne wesentliche menschliche Beteiligung).
- Die Verarbeitung umfasst Profiling (die Analyse persönlicher Aspekte zur Bewertung, Vorhersage oder Kategorisierung der betroffenen Person).
- Die Entscheidung entfaltet eine rechtliche Wirkung (Ablehnung eines Kredits, eines Visums oder einer Beschäftigung) oder eine ähnlich erhebliche Beeinträchtigung (Ablehnung einer Versicherung, Ausschluss von Dienstleistungen, schwerwiegende finanzielle oder soziale Folgen).
Zulässige Ausnahmen
Art. 22 Abs. 2 erlaubt ausschließlich automatisierte Entscheidungen mit rechtlicher oder ähnlich erheblicher Wirkung in drei Fällen:
- Die Entscheidung ist für den Abschluss oder die Erfüllung eines Vertrags mit der betroffenen Person erforderlich.
- Sie ist durch Rechtsvorschriften der Union oder eines Mitgliedstaats mit geeigneten Garantien zulässig.
- Sie beruht auf der ausdrücklichen Einwilligung der betroffenen Person.
Zwingende Schutzmaßnahmen
Greift eine dieser Ausnahmen, muss der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte der betroffenen Person umsetzen. Diese muss mindestens das Recht haben,
- das Eingreifen einer Person zu erwirken,
- ihren Standpunkt vor oder nach der Entscheidung darzulegen,
- die Entscheidung anzufechten.
Der Verantwortliche muss zudem aussagekräftige Informationen über die dem automatisierten System zugrunde liegende Logik sowie über die Tragweite und die angestrebten Auswirkungen der Entscheidung für die betroffene Person bereitstellen.
Zusammenspiel mit der EU-KI-Verordnung
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689, seit August 2024 in Kraft, mit Kernbestimmungen, die ab August 2026 gelten) führt sich überschneidende Pflichten für Hochrisiko-KI-Systeme ein. Hochrisiko-KI-Systeme nach Anhang III, die unter anderem Bonitätsbewertung, Beschäftigungsentscheidungen, Zugang zu wesentlichen Dienstleistungen und Migration betreffen, müssen zusätzlich zu etwaigen Pflichten aus Art. 22 DSGVO die Transparenz-, Aufsichts- und Genauigkeitsanforderungen der KI-Verordnung erfüllen. Gelten beide Regelwerke, müssen beide Pflichtenkataloge erfüllt werden. Der EDSA und das KI-Büro der EU werden voraussichtlich koordinierte Leitlinien zum Zusammenspiel von Art. 22 und der KI-Verordnung veröffentlichen, sobald deren Bestimmungen im Laufe des Jahres 2026 vollständig anwendbar werden.
Wie Auskunftsersuchen (DSARs) in der Praxis funktionieren
Art. 12 bildet den verfahrensrechtlichen Rahmen für die Beantwortung sämtlicher Anträge zur Ausübung von Betroffenenrechten.
Einen Antrag stellen
Einzelpersonen müssen keine bestimmte Rechtssprache verwenden oder einen Artikel der DSGVO zitieren. Jede klare Mitteilung, aus der hervorgeht, was die betroffene Person wünscht, genügt. Anträge können per E-Mail, Webformular, Brief, Telefon oder über jeden anderen vom Verantwortlichen betriebenen Kanal gestellt werden.
Die Ein-Monats-Frist
Verantwortliche müssen innerhalb eines Kalendermonats ab dem auf den Antragseingang folgenden Tag antworten. Der EDSA bestätigt, dass damit ein Kalendermonat gemeint ist (ein am 5. März eingegangener Antrag muss bis zum 5. April beantwortet werden). Fällt der letzte Tag auf ein Wochenende oder einen gesetzlichen Feiertag in der Rechtsordnung des Verantwortlichen, verlängert sich die Frist auf den nächsten Werktag.
Verlängerungen
Bei komplexen Anträgen oder wenn eine Person gleichzeitig zahlreiche Anträge gestellt hat, kann die Frist um zwei weitere Monate verlängert werden (insgesamt drei Monate). Um die Verlängerung in Anspruch zu nehmen, muss der Verantwortliche die betroffene Person innerhalb des ersten Kalendermonats informieren und den Grund für die Verlängerung erläutern. Wird die Verlängerungsmitteilung nicht innerhalb des ersten Monats versandt, kann sich der Verantwortliche nicht auf die Verlängerung berufen.
Gebühren
Die erste Antwort auf jeden Antrag zur Ausübung von Betroffenenrechten muss kostenfrei erfolgen. Eine angemessene Verwaltungsgebühr darf nur bei offenkundig unbegründeten oder exzessiven Anträgen erhoben werden, insbesondere bei wiederkehrenden Anträgen. Die Beweislast dafür, dass ein Antrag diese Schwelle erreicht, liegt beim Verantwortlichen. Die Anforderungen sind hoch; ein gewöhnlicher Antrag einer Person, die zuvor keinen gleichartigen Antrag gestellt hat, ist nicht exzessiv.
Identitätsprüfung
Verantwortliche dürfen Informationen zur Überprüfung der Identität der antragstellenden Person anfordern, jedoch nur, wenn tatsächlich Zweifel bestehen. Die Prüfmaßnahmen müssen verhältnismäßig sein. Verantwortliche dürfen keine unverhältnismäßigen Prüfungshürden als Abschreckung einsetzen. Bei Online-Konten genügt es in der Regel, die Nutzerin oder den Nutzer über die bestehenden Kontodaten zu authentifizieren. Das Verlangen von Reisepasskopien oder amtlichen Ausweisen ist in der Regel unverhältnismäßig, es sei denn, die betroffenen Daten sind besonders sensibel oder die Umstände rechtfertigen dies ausdrücklich.
Wann Anträge abgelehnt werden können
Verantwortliche dürfen die Bearbeitung von Anträgen ablehnen, die offenkundig unbegründet oder exzessiv sind. Bei einer Ablehnung muss der Verantwortliche die betroffene Person informieren über:
- die Gründe für die Ablehnung
- ihr Recht auf Beschwerde bei einer Aufsichtsbehörde
- ihr Recht, gerichtlichen Rechtsschutz zu suchen
Der Verantwortliche darf den Antrag nicht ignorieren. Auch eine Ablehnung muss innerhalb der Ein-Monats-Frist mitgeteilt werden.
Eine Beschwerde einreichen
Jeder EU-Mitgliedstaat verfügt über eine nationale Datenschutzbehörde, bei der Einzelpersonen kostenfrei Beschwerde einlegen können. Der EDSA führt eine vollständige Liste aller nationalen Aufsichtsbehörden mit ihren Kontaktdaten. Zu den bekannten Behörden zählen die CNIL (Frankreich), der BfDI (Deutschland), die DPC (Irland, die zahlreiche US-amerikanische Technologieunternehmen mit EU-Sitz in Irland beaufsichtigt) sowie die APD/GBA (Belgien).
Ausnahmen und Grenzen der Betroffenenrechte
Die Betroffenenrechte gelten nicht unbeschränkt. Erwägungsgrund 73 und mehrere Artikel der DSGVO erlauben es den Mitgliedstaaten, Rechte durch Gesetz einzuschränken, soweit dies erforderlich ist zum Schutz von:
- nationaler Sicherheit, öffentlicher Sicherheit und Verteidigung
- der Verhütung, Ermittlung und Verfolgung von Straftaten
- anderen wichtigen Zielen des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, einschließlich öffentlicher Gesundheit, sozialem Schutz und Besteuerung
- dem Schutz der richterlichen Unabhängigkeit
- der Durchsetzung zivilrechtlicher Ansprüche
- den Rechten und Freiheiten anderer Personen
Organisationen, die in mehreren EU-Mitgliedstaaten tätig sind, müssen prüfen, ob für ihre Verarbeitung in der jeweiligen Rechtsordnung anwendbare mitgliedstaatliche Abweichungen gelten.
Aktuelle Entwicklungen (2024 bis 2026)
Koordinierte Durchsetzung des EDSA: Systemische Lücken bei allen Rechten
Die jährlichen koordinierten Durchsetzungsmaßnahmen des EDSA haben bislang das Auskunftsrecht (2024) und das Recht auf Löschung (2025) erfasst. Beide Berichte stellten dieselben systemischen Mängel fest: fehlende interne Verfahren zur Bearbeitung von Anträgen, unvollständige oder verzögerte Antworten, unverhältnismäßige Anforderungen an die Identitätsprüfung sowie eine uneinheitliche Benachrichtigung von Empfängern über Berichtigungen oder Löschungen.
Die Maßnahme von 2026 konzentriert sich auf die Art. 12 bis 14 (Transparenz und Information). Angesichts des Musters der Vorjahre erwartet der EDSA systemische Lücken bei der Qualität und Zugänglichkeit von Datenschutzhinweisen. Die Durchsetzungsergebnisse der 25 beteiligten Aufsichtsbehörden werden für Ende 2026 erwartet.
EuGH: Einschränkung des Ermessensspielraums der Verantwortlichen
Die Rechtsprechung des EuGH zum Auskunftsrecht hat den Spielraum der Verantwortlichen zur Einschränkung ihrer Compliance kontinuierlich verengt. Die Rechtssache C-154/21 (Januar 2023) verlangt die Offenlegung der tatsächlichen Empfängeridentitäten, sofern diese identifizierbar sind. Die Rechtssache C-487/21 (Mai 2023) verlangt eine vollständige und getreue Kopie aller personenbezogenen Daten. Antwortpraktiken, die bis 2022 üblich waren (zusammenfassende Tabellen, reine Kategoriebeschreibungen, kuratierte Auswahlen), erfüllen die Anforderungen inzwischen nicht mehr.
Der Digital-Omnibus-Vorschlag (November 2025)
Die Europäische Kommission veröffentlichte am 19. November 2025 ihr Digital-Omnibus-Paket, das gezielte Änderungen der DSGVO im Rahmen einer umfassenderen Vereinfachungsinitiative vorschlägt. Die für die Betroffenenrechte relevantesten Vorschläge umfassen:
- einen neuen Ermessensgrund für Verantwortliche, DSARs abzulehnen oder gebührenpflichtig zu machen, wenn festgestellt wird, dass die betroffene Person ihre Rechte „zu anderen Zwecken als dem Schutz ihrer Daten" missbraucht. Dies zielt auf Konstellationen wie arbeitsrechtliche Rechtsstreitigkeiten ab, bei denen DSARs instrumentell statt zum eigentlichen Datenschutz eingesetzt werden.
- eine vorgeschlagene Einschränkung der Transparenzpflichten nach Art. 13 in engen Grenzen: wenn Daten direkt bei der betroffenen Person erhoben werden, vernünftigerweise davon ausgegangen werden kann, dass die betroffene Person die Informationen bereits besitzt, und die Tätigkeit des Verantwortlichen nicht datenintensiv ist. Diese Ausnahme würde nicht gelten, wenn automatisierte Verarbeitung, Profiling oder Datenübermittlungen im Spiel sind.
- ein ausdrückliches, uneingeschränktes Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten zum Training von KI-Systemen.
Hierbei handelt es sich lediglich um Vorschläge. Das Paket befindet sich in den Trilogverhandlungen zwischen Europäischem Parlament, Rat und Kommission. Die in diesem Beitrag beschriebenen aktuellen Rechte der DSGVO bleiben vollständig in Kraft und unverändert, bis eine Änderungsverordnung im Amtsblatt veröffentlicht wird.
Häufig gestellte Fragen
Weitere DSGVO-Leitfäden
- Was ist die DSGVO für einen umfassenden Überblick über die Verordnung und ihre Rechtsgrundlagen
- DSGVO-Einwilligungsanforderungen für die Anforderungen an eine wirksame Einwilligung und deren Zusammenspiel mit den Betroffenenrechten
- DSGVO-Compliance-Checkliste für einen schrittweisen Leitfaden zur Umsetzung der Compliance
- DSGVO-Bußgelder und Sanktionen für Durchsetzungsdaten und die Folgen von Verstößen
- Die 72-Stunden-Regel bei Datenschutzverletzungen für die Meldepflichten bei Datenschutzverletzungen
- EU-Datenschutzrecht für den vollständigen Überblick über den Datenschutz in der EU
Haftungsausschluss
Dieser Beitrag bietet allgemeine rechtliche Informationen zu den Betroffenenrechten nach der Verordnung (EU) 2016/679 (DSGVO). Er behandelt ausschließlich die EU-DSGVO und geht nicht auf das UK-GDPR oder mitgliedstaatliche Abweichungen ein. Die Angaben wurden mit Stand 19. Mai 2026 geprüft. Die DSGVO ist ein lebendiges Regelwerk: Leitlinien der Aufsichtsbehörden, Urteile des EuGH und Durchsetzungsentscheidungen verfeinern fortlaufend die Auslegung ihrer Bestimmungen. Dieser Beitrag ersetzt keine Rechtsberatung. Wenden Sie sich für eine auf Ihre Situation zugeschnittene Beratung an eine qualifizierte, in Ihrer Rechtsordnung zugelassene Datenschutzanwältin, einen zugelassenen Datenschutzanwalt oder eine Fachperson für Datenschutz.
Über die Autorin bzw. den Autor
[PLATZHALTER: Autorenliste ausstehend]
Zitierte Rechtsquellen
- Verordnung (EU) 2016/679 (DSGVO): Vollständiger amtlicher Text. https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Art. 12 DSGVO: Transparente Information, Kommunikation und Modalitäten. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679
- Leitlinien 01/2022 des EDSA zum Auskunftsrecht, Version 2.0 (April 2023). https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf
- Leitlinien 5/2019 des EDSA zum Recht auf Vergessenwerden bei Suchmaschinen. https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201905_rtbfsearchengines_afterpublicconsultation_en.pdf
- EuGH, Rechtssache C-154/21, RW gegen Österreichische Post AG, Urteil vom 12. Januar 2023. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0154
- EuGH, Rechtssache C-487/21, F.F. gegen Österreichische Datenschutzbehörde und CRIF GmbH, Urteil vom 4. Mai 2023. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62021CJ0487
- EDSA: Identifiziert Herausforderungen bei der vollständigen Umsetzung des Rechts auf Löschung (Februar 2026). https://www.edpb.europa.eu/news/news/2026/edpb-identifies-challenges-hindering-full-implementation-right-erasure_en
- CEF-Bericht 2025 des EDSA: Umsetzung des Rechts auf Löschung. https://www.edpb.europa.eu/system/files/2026-02/edpb_cef-report_2025_right-to-erasure_en.pdf
- EDSA: Start der CEF-2026-Maßnahme: koordinierte Durchsetzung zu Transparenz- und Informationspflichten. https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- EDSA: CEF 2024: Herausforderungen bei der vollständigen Umsetzung des Auskunftsrechts (Januar 2025). https://www.edpb.europa.eu/news/news/2025/cef-2024-edpb-identifies-challenges-full-implementation-right-access_en
- Europäische Kommission: Informationen für Einzelpersonen zu den Rechten nach der DSGVO. https://commission.europa.eu/law/law-topic/data-protection/information-individuals_en
- Europäische Kommission: Bearbeitung von Anträgen zur Ausübung von Betroffenenrechten. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/dealing-citizens/how-should-requests-individuals-exercising-their-data-protection-rights-be-dealt_en
- EDSA: Nationale Aufsichtsbehörden (Mitglieder). https://edpb.europa.eu/about-edpb/about-edpb/members_en
Zuletzt aktualisiert: 19.05.2026. Die zitierten Bestimmungen der DSGVO entsprechen der Verordnung (EU) 2016/679 in der am 19.05.2026 geltenden Fassung. Die Digital-Omnibus-Vorschläge (November 2025) befinden sich noch im Trilog und haben die DSGVO zu diesem Zeitpunkt nicht geändert.
Frequently Asked Questions
Was sind die acht Betroffenenrechte nach der DSGVO?
Die acht Rechte nach Kapitel III der DSGVO sind: (1) das Recht auf Information (Art. 13 und 14), (2) das Recht auf Auskunft (Art. 15), (3) das Recht auf Berichtigung (Art. 16), (4) das Recht auf Löschung, auch Recht auf Vergessenwerden genannt (Art. 17), (5) das Recht auf Einschränkung der Verarbeitung (Art. 18), (6) das Recht auf Datenübertragbarkeit (Art. 20), (7) das Widerspruchsrecht (Art. 21) und (8) Rechte im Zusammenhang mit automatisierten Entscheidungen und Profiling (Art. 22). Art. 12 regelt die verfahrensrechtlichen Pflichten, die für alle Rechte gleichermaßen gelten.
Wie stelle ich ein Auskunftsersuchen nach der DSGVO?
Wenden Sie sich über einen beliebigen verfügbaren Kanal an die Organisation, die Ihre Daten speichert: per E-Mail, Brief, Webformular oder Telefon. Erklären Sie klar, dass Sie Auskunft über Ihre personenbezogenen Daten wünschen. Sie müssen weder Art. 15 zitieren noch den Begriff „Auskunftsersuchen" verwenden. Die Organisation muss innerhalb eines Kalendermonats antworten und die erste Kopie kostenfrei bereitstellen. Bewahren Sie einen Nachweis Ihres Antrags und des Versanddatums auf. Antwortet die Organisation nicht innerhalb eines Monats oder lehnt sie ohne ausreichende Begründung ab, legen Sie Beschwerde bei Ihrer nationalen Datenschutzbehörde ein.
Darf eine Organisation für ein DSAR eine Gebühr verlangen?
Die erste Antwort auf ein Auskunftsersuchen muss kostenfrei erfolgen. Eine angemessene Verwaltungsgebühr darf nur bei offenkundig unbegründeten oder exzessiven Anträgen erhoben werden, insbesondere bei wiederkehrenden Anträgen. Der Verantwortliche muss nachweisen, warum der Antrag diese Schwelle erreicht. Die Anforderungen sind hoch; ein gewöhnlicher Antrag einer Person, die zuvor keinen gleichartigen Antrag gestellt hat, ist nicht exzessiv.
Gilt das Recht auf Löschung nach der DSGVO absolut?
Nein. Art. 17 Abs. 3 DSGVO legt sechs Fälle fest, in denen das Recht auf Löschung nicht gilt: wenn die Verarbeitung zur Ausübung der Meinungsfreiheit und Informationsfreiheit erforderlich ist, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen der öffentlichen Gesundheit im öffentlichen Interesse, zu Archivzwecken im öffentlichen Interesse, für wissenschaftliche Forschung oder statistische Zwecke, sofern eine Löschung die Zielerreichung ernsthaft beeinträchtigen würde, oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Organisationen müssen jeden Antrag individuell anhand dieser Ausnahmen prüfen.
Was ist der Unterschied zwischen Löschung und Einschränkung der Verarbeitung?
Das Recht auf Löschung (Art. 17) verpflichtet die Organisation, die personenbezogenen Daten vollständig zu löschen. Das Recht auf Einschränkung der Verarbeitung (Art. 18) verpflichtet die Organisation, die aktive Nutzung der Daten einzustellen, erlaubt jedoch deren fortgesetzte Speicherung. Eine Einschränkung eignet sich als vorläufige Maßnahme, etwa wenn die betroffene Person die Richtigkeit der Daten bestreitet und deren Erhalt wünscht, während der Verantwortliche sie überprüft, oder wenn die betroffene Person die Daten für einen Rechtsanspruch benötigt.
Wie viel Zeit hat eine Organisation zur Beantwortung eines Antrags auf Ausübung von Betroffenenrechten?
Einen Kalendermonat ab dem auf den Antragseingang folgenden Tag. Bei komplexen Anträgen oder wenn dieselbe Person zahlreiche Anträge gestellt hat, kann die Frist um bis zu zwei weitere Monate verlängert werden (insgesamt drei Monate). Die Organisation muss die betroffene Person innerhalb des ersten Kalendermonats über die Verlängerung und deren Grund informieren. Wird innerhalb dieses Zeitraums keine Verlängerungsmitteilung versandt, gilt die Ein-Monats-Frist unverändert.
Gilt das Recht auf Datenübertragbarkeit für alle meine personenbezogenen Daten?
Nein. Das Recht auf Datenübertragbarkeit nach Art. 20 gilt nur, wenn beide Voraussetzungen erfüllt sind: Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag mit der betroffenen Person, und sie erfolgt mithilfe automatisierter Verfahren. Es gilt nicht für Daten, die auf der Grundlage berechtigter Interessen, einer rechtlichen Verpflichtung oder des öffentlichen Interesses verarbeitet werden. Zudem erfasst es nur Daten, die die betroffene Person dem Verantwortlichen bereitgestellt hat, nicht abgeleitete oder generierte Daten wie Risiko-Scores, Kundensegmente oder Ergebnisse von Profiling.
Kann ich eine Entscheidung anfechten, die von einem Algorithmus oder einem KI-System getroffen wurde?
Ja, unter bestimmten Voraussetzungen. Art. 22 DSGVO gibt Einzelpersonen das Recht, keiner Entscheidung unterworfen zu werden, die ausschließlich auf automatisierter Verarbeitung, einschließlich Profiling, beruht, wenn die Entscheidung eine rechtliche Wirkung oder eine ähnlich erhebliche Beeinträchtigung entfaltet. Sind solche Entscheidungen nach einer der Ausnahmen des Art. 22 Abs. 2 zulässig, muss der betroffenen Person das Recht eingeräumt werden, das Eingreifen einer Person zu erwirken, ihren Standpunkt darzulegen und die Entscheidung anzufechten. Für KI-Systeme, die nach der EU-KI-Verordnung als Hochrisiko-Systeme eingestuft sind, gelten zusätzlich Transparenz- und Aufsichtspflichten.
Was passiert, wenn ich Direktwerbung widerspreche?
Das Widerspruchsrecht gegen Direktwerbung nach Art. 21 Abs. 2 und 3 gilt absolut und unmittelbar. Sobald Sie widersprechen, muss die Organisation die Verarbeitung Ihrer Daten zu Zwecken der Direktwerbung, einschließlich jeglichen damit verbundenen Profilings, einstellen. Es findet keine Interessenabwägung statt, und keine berechtigten Gründe können den Widerspruch überwiegen.
Was ist der Digital-Omnibus-Vorschlag, und ändert er meine Rechte nach der DSGVO?
Die Europäische Kommission veröffentlichte im November 2025 das Digital-Omnibus-Paket mit gezielten Änderungsvorschlägen zur DSGVO. Die Vorschläge umfassen einen neuen Ablehnungsgrund für DSARs, wenn festgestellt wird, dass die betroffene Person ihr Recht missbraucht, eine eingeschränkte Transparenzausnahme unter engen Voraussetzungen sowie ein ausdrückliches Widerspruchsrecht gegen die Verarbeitung zum Training von KI-Systemen. Hierbei handelt es sich lediglich um Vorschläge, die noch nicht angenommen wurden. Alle in diesem Beitrag beschriebenen bestehenden Betroffenenrechte der DSGVO bleiben vollständig in Kraft und unverändert, bis eine Änderungsverordnung im Amtsblatt der EU veröffentlicht wird.
Sources and References
- Verordnung (EU) 2016/679 (DSGVO) — Vollständiger amtlicher Text(eur-lex.europa.eu).gov
- Art. 12 DSGVO — Transparente Information und Modalitäten(eur-lex.europa.eu).gov
- Leitlinien 01/2022 des EDSA zum Auskunftsrecht (Version 2.0, April 2023)(edpb.europa.eu).gov
- Leitlinien 5/2019 des EDSA zum Recht auf Vergessenwerden bei Suchmaschinen(edpb.europa.eu).gov
- EuGH, Rechtssache C-154/21, RW gegen Österreichische Post AG, 12. Januar 2023(eur-lex.europa.eu).gov
- EuGH, Rechtssache C-487/21, F.F. gegen Österreichische Datenschutzbehörde und CRIF GmbH, 4. Mai 2023(eur-lex.europa.eu).gov
- EDSA — Herausforderungen bei der vollständigen Umsetzung des Rechts auf Löschung (Februar 2026)(edpb.europa.eu).gov
- CEF-Bericht 2025 des EDSA — Umsetzung des Rechts auf Löschung(edpb.europa.eu).gov
- EDSA — CEF 2026: koordinierte Durchsetzung zu Transparenz- und Informationspflichten(edpb.europa.eu).gov
- EDSA — CEF 2024: Herausforderungen bei der vollständigen Umsetzung des Auskunftsrechts (Januar 2025)(edpb.europa.eu).gov
- Europäische Kommission — Informationen für Einzelpersonen zu den Rechten nach der DSGVO(commission.europa.eu).gov
- Europäische Kommission — Bearbeitung von Anträgen zur Ausübung von Betroffenenrechten(commission.europa.eu).gov
- EDSA — Nationale Aufsichtsbehörden (Mitglieder)(edpb.europa.eu).gov