Betroffenenrechte (DSGVO)

Betroffenenrechte bezeichnen die im Kapitel 3 der Datenschutz-Grundverordnung (DSGVO) verankerten Befugnisse, die natürlichen Personen die Kontrolle über ihre personenbezogenen Daten sichern. Zu den Kernrechten gehören unter anderem das Recht auf Auskunft (Art. 15), Löschung (Art. 17), Berichtigung sowie Datenübertragbarkeit. Unternehmen sind als Verantwortliche gesetzlich verpflichtet, Anfragen von Kunden oder Mitarbeitern innerhalb definierter Fristen meist unentgeltlich umzusetzen. Es handelt sich um eine strikte Compliance-Anforderung, die tief in die IT- und Datenarchitektur eines Unternehmens eingreift und prozessual im operativen Geschäft verankert sein muss.

Für den deutschen Mittelstand stellen diese Rechte eine operative Herausforderung dar, da sie technisch sauber abgebildet werden müssen. Verstöße gegen Auskunftspflichten oder verspätete Löschungen führen regelmäßig zu Bußgeldern durch Aufsichtsbehörden und können Schadensersatzforderungen nach Art. 82 DSGVO nach sich ziehen. In der Praxis nutzen Betroffene diese Rechte zunehmend als Hebel in Rechtsstreitigkeiten, etwa bei Kündigungsschutzklagen. Eine effiziente Verwaltung dieser Anfragen ist daher geschäftskritisch, um Risiken zu minimieren. Zudem fordern SaaS-Kunden heute standardmäßig Nachweise über funktionierende Lösch- und Auskunftskonzepte ein, bevor Verträge geschlossen werden.

Ein konkretes Beispiel ist das Auskunftsersuchen eines ehemaligen Kunden. Die IT-Abteilung muss in diesem Fall sämtliche Datentöpfe – vom CRM über Marketing-Tools bis hin zu Backup-Servern – identifizieren und die Informationen strukturiert aufbereiten. Werden hierbei rein manuelle Prozesse genutzt, entstehen hohe Personalkosten und die Gefahr, die gesetzliche Ein-Monats-Frist zu versäumen. Automatisierte Lösungen, die via API Daten aus verschiedenen Systemen extrahieren und in einem maschinenlesbaren Format ausgeben, sind notwendig, um Fehlerquellen bei der Datenzusammenstellung zu vermeiden und die Compliance sicherzustellen.

Durch den Einsatz von KI-Tools verschärft sich die Lage, da Transparenzpflichten auch für Trainingsdaten und automatisierte Entscheidungen gelten. IT-Leiter müssen sicherstellen, dass bei der Nutzung von LLMs oder algorithmischen Systemen die Rechte auf Widerspruch gewahrt bleiben. Werden personenbezogene Daten einmal in KI-Modelle eingespeist, ist eine spätere Löschung technisch oft unmöglich, was einen direkten Verstoß gegen DSGVO-Prinzipien bedeuten kann. Ein „Privacy by Design“-Ansatz bei der Tool-Auswahl ist daher entscheidend, um technologische Sackgassen zu vermeiden, in denen Betroffenenrechte technisch nicht mehr durchsetzbar sind.