"Welche Daten haben Sie über mich?" -- bist du vorbereitet?
Stell dir vor, du bekommst eine E-Mail: "Gemäß Art. 15 DSGVO bitte ich um Auskunft über alle personenbezogenen Daten, die Sie über mich verarbeiten." Was machst du? Panik? Google? Oder hast du einen Prozess, den du einfach abarbeiten kannst?
Betroffenenrechte sind keine abstrakte Theorie. Seit Inkrafttreten der DSGVO nutzen immer mehr Menschen ihre Rechte -- aus Neugierde, aus Misstrauen, zur Vorbereitung einer Beschwerde oder einfach, weil sie es können. Für dein Startup bedeutet das: Du musst vorbereitet sein. Denn du hast nur einen Monat Zeit, um zu reagieren. Und wenn du nicht oder zu spät reagierst, kann sich die Person direkt an die DSB wenden -- und dann hast du ein formelles Verfahren am Hals.
Bei Startup Burgenland empfehlen wir, die Prozesse für Betroffenenrechte frühzeitig einzurichten -- nicht erst, wenn die erste Anfrage kommt. In diesem Post zeige ich dir, welche Rechte es gibt, wie du sie praktisch umsetzt, worauf du bei der Identitätsprüfung achten musst und welche Vorlagen dir helfen.
Die Betroffenenrechte im Überblick -- Art. 15 bis 22 DSGVO
Die DSGVO gibt betroffenen Personen ein ganzes Bündel an Rechten. Nicht alle sind für Startups gleich relevant, aber du musst alle kennen und bedienen können.
| Recht | Artikel | Was die Person verlangen kann | Frist |
|---|---|---|---|
| Auskunft | Art. 15 | Kopie aller gespeicherten Daten + Infos zur Verarbeitung | 1 Monat |
| Berichtigung | Art. 16 | Korrektur unrichtiger oder unvollständiger Daten | Unverzüglich |
| Löschung ("Vergessenwerden") | Art. 17 | Löschung aller Daten unter bestimmten Voraussetzungen | Unverzüglich |
| Einschränkung | Art. 18 | Daten nicht löschen, aber vorübergehend nicht verarbeiten | Unverzüglich |
| Datenportabilität | Art. 20 | Daten in maschinenlesbarem Format erhalten oder übertragen lassen | 1 Monat |
| Widerspruch | Art. 21 | Verarbeitung auf Basis von Art. 6 Abs. 1 lit. e/f widersprechen | Unverzüglich |
| Automatisierte Einzelentscheidung | Art. 22 | Nicht einer rein automatisierten Entscheidung unterworfen werden | Unverzüglich |
Die Frist: 1 Monat -- und sie tickt ab Eingang
Ab Eingang der Anfrage hast du einen Monat Zeit. Diese Frist kann in komplexen Fällen um zwei weitere Monate verlängert werden -- aber du musst die Person innerhalb des ersten Monats über die Verlängerung und die Gründe informieren. Die Verlängerung ist nur zulässig bei besonderer Komplexität oder einer großen Zahl gleichzeitiger Anfragen, nicht als generelle Taktik zur Zeitgewinnung.
Tipp: Setze dir sofort eine Kalendererinnerung, wenn eine Anfrage eingeht. Ein Monat klingt lang, aber wenn du erst herausfinden musst, wo überall Daten gespeichert sind, wird es knapp. Bestätige den Eingang der Anfrage innerhalb von 24 Stunden -- das ist zwar nicht vorgeschrieben, zeigt aber Professionalität und kauft dir Goodwill.
Kosten: grundsätzlich kostenlos
Die Auskunft und alle anderen Betroffenenrechte sind für die anfragende Person grundsätzlich kostenlos. Nur bei offenkundig unbegründeten oder exzessiven Anfragen (z. B. die gleiche Person fragt zum fünften Mal in drei Monaten) darfst du ein angemessenes Entgelt verlangen oder die Anfrage ablehnen. In der Praxis kommt das bei Startups quasi nie vor.
Art. 15 -- Das Auskunftsrecht im Detail
Das Auskunftsrecht ist das am häufigsten genutzte Betroffenenrecht und gleichzeitig das aufwändigste in der Umsetzung. Die Person darf eine vollständige Kopie aller über sie gespeicherten Daten verlangen -- plus umfangreiche Informationen zur Verarbeitung.
Was du konkret liefern musst
- Bestätigung, ob du personenbezogene Daten der Person verarbeitest
- Kopie aller personenbezogenen Daten (nicht nur eine Zusammenfassung)
- Verarbeitungszwecke -- warum verarbeitest du die Daten?
- Kategorien der verarbeiteten Daten
- Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben wurden oder werden
- Speicherdauer oder die Kriterien für die Festlegung der Dauer
- Hinweis auf Betroffenenrechte (Berichtigung, Löschung, Einschränkung, Widerspruch)
- Beschwerderecht bei der DSB (Barichgasse 40-42, 1030 Wien)
- Herkunft der Daten, wenn sie nicht bei der Person selbst erhoben wurden
- Automatisierte Entscheidungsfindung/Profiling, falls vorhanden -- inklusive Logik und Tragweite
Der Praxis-Prozess für Auskunftsanfragen
Schritt 1 -- Eingangsbestätigung senden: Bestätige den Empfang der Anfrage innerhalb von 24 Stunden. Nenne die Frist (1 Monat) und deine Kontaktdaten für Rückfragen.
Schritt 2 -- Identität verifizieren: Du musst sicherstellen, dass die anfragende Person wirklich die betroffene Person ist. Sonst gibst du Daten an Unbefugte heraus -- und hast eine Datenpanne statt einer Auskunft. Zur Identitätsprüfung gleich mehr im nächsten Abschnitt.
Schritt 3 -- Daten zusammentragen: Durchsuche systematisch alle Systeme, in denen du personenbezogene Daten speicherst. Hier zeigt sich der Wert eines gepflegten Verarbeitungsverzeichnisses -- du weißt sofort, wo du suchen musst. Typische Systeme in einem Startup: CRM, E-Mail-Postfach, Newsletter-Tool, Buchhaltungssoftware, Cloud-Speicher, Projektmanagement-Tools, Chat-Verläufe, Backup-Systeme, handschriftliche Notizen.
Schritt 4 -- Antwort zusammenstellen: Erstelle ein übersichtliches Dokument mit allen gefundenen Daten und den Pflichtinformationen. Strukturiere es nach Verarbeitungszweck oder System -- das macht es für die betroffene Person nachvollziehbar.
Schritt 5 -- Sicher übermitteln: Versende die Auskunft nicht als unverschlüsselten E-Mail-Anhang mit sensiblen Daten. Nutze verschlüsselte E-Mail, ein sicheres Download-Portal oder sende die Daten per Einschreiben. Format: PDF ist der Standard. Bei Datenportabilität (Art. 20): CSV, JSON oder XML.
Schritt 6 -- Dokumentation: Halte fest, wann die Anfrage eingegangen ist, wann und wie du geantwortet hast und welche Daten du übermittelt hast. Diese Dokumentation brauchst du für die Rechenschaftspflicht.
Identitätsverifizierung -- der heikle Balanceakt
Die Identitätsprüfung ist einer der schwierigsten Aspekte der Betroffenenrechte. Du musst zwei Risiken abwägen: Einerseits darfst du keine Daten an Unbefugte herausgeben (das wäre eine Datenpanne). Andererseits darfst du die Hürden nicht zu hoch legen, weil das die Betroffenenrechte aushöhlen würde.
Wenn die Anfrage von einer bekannten E-Mail-Adresse kommt: Wenn die Person dir als Kunde oder Newsletter-Abonnent bekannt ist und die Anfrage von der bei dir hinterlegten E-Mail-Adresse kommt, ist das in der Regel ausreichende Identifizierung. Du kannst zusätzlich die Kundennummer oder andere bei dir gespeicherte Daten abfragen, um sicherzugehen.
Wenn die Anfrage von einer unbekannten Adresse kommt: Frage nach Identifikationsmerkmalen, die dir vorliegen (Kundennummer, Bestellnummer, Adresse). Fordere aber nicht mehr Daten an, als für die Identifizierung nötig sind.
Was du nicht tun solltest: Eine Kopie des Personalausweises verlangen -- es sei denn, du hast keine andere Möglichkeit der Identifizierung. Die Ausweiskopie wäre selbst eine unnötige Datenerhebung und birgt Missbrauchsrisiken. Die DSB sieht das kritisch.
Wenn du die Identität nicht zweifelsfrei feststellen kannst: Du darfst die Auskunft verweigern und die Person darüber informieren. Begründe die Verweigerung und weise auf alternative Identifizierungsmöglichkeiten hin.
Art. 17 -- Löschung ("Recht auf Vergessenwerden")
Die betroffene Person kann die Löschung ihrer Daten verlangen. Aber das Löschrecht ist nicht absolut -- es gibt wichtige Ausnahmen, die du kennen musst.
Wann du löschen musst
- Die Daten sind für den ursprünglichen Zweck nicht mehr erforderlich
- Die Einwilligung wurde widerrufen und es gibt keine andere Rechtsgrundlage
- Die Person hat gemäß Art. 21 Widerspruch eingelegt und es gibt keine vorrangigen berechtigten Gründe
- Die Daten wurden unrechtmäßig verarbeitet
- Eine gesetzliche Löschpflicht besteht
Wann du NICHT löschen musst -- und das ist für Startups wichtig
| Ausnahme | Rechtsgrundlage | Praxis-Beispiel |
|---|---|---|
| Gesetzliche Aufbewahrungspflicht | Paragraph 132 BAO | Rechnungen: 7 Jahre nach Ende des Geschäftsjahres |
| Geltendmachung von Rechtsansprüchen | Art. 17 Abs. 3 lit. e DSGVO | Offene Forderungen, laufende Rechtsstreitigkeiten |
| Öffentliches Interesse | Art. 17 Abs. 3 lit. d DSGVO | Archivzwecke, wissenschaftliche Forschung |
| Meinungs- und Informationsfreiheit | Art. 17 Abs. 3 lit. a DSGVO | Journalistische oder künstlerische Zwecke |
In der Praxis für Startups ist die häufigste Ausnahme die steuerrechtliche Aufbewahrungspflicht nach der Bundesabgabenordnung (BAO). Rechnungen, Belege und buchhalterische Unterlagen musst du 7 Jahre aufbewahren -- auch wenn die Person die Löschung verlangt. In diesem Fall löschst du alle Daten, die nicht aufbewahrungspflichtig sind, und schränkst die Verarbeitung der verbleibenden Daten auf den Aufbewahrungszweck ein. Informiere die betroffene Person transparent über die Teilausnahme.
Löschung technisch umsetzen
Die Löschung klingt einfach, ist aber technisch oft komplexer als gedacht:
- Alle Systeme durchgehen: Daten nicht nur im Hauptsystem (CRM), sondern auch in Backups, E-Mail-Postfächern, Cloud-Speicher, lokalen Kopien und Papierakten löschen
- Auftragsverarbeiter informieren: Wenn du Daten an Dienstleister weitergegeben hast (z. B. Newsletter-Tool, Cloud-Hosting), müssen diese ebenfalls löschen. Die meisten bieten dafür Funktionen im Account
- Backups: Daten in Backups müssen nicht sofort gelöscht werden, wenn das technisch unverhältnismäßig wäre. Aber du musst sicherstellen, dass die Daten nicht aus einem Backup wiederhergestellt werden, und sie beim nächsten regulären Backup-Zyklus entfernen
- Löschung dokumentieren: Halte fest, wann du was in welchem System gelöscht hast
- Bestätigung an die betroffene Person: Informiere die Person, dass die Löschung durchgeführt wurde (und welche Daten ggf. aufgrund gesetzlicher Pflichten noch aufbewahrt werden)
Art. 20 -- Datenportabilität
Die betroffene Person kann verlangen, dass du ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format bereitstellst. Auf Wunsch musst du die Daten auch direkt an einen anderen Verantwortlichen übermitteln, sofern das technisch machbar ist.
Das Recht auf Datenportabilität gilt nur für Daten, die auf Einwilligung (Art. 6 Abs. 1 lit. a) oder Vertragserfüllung (Art. 6 Abs. 1 lit. b) basieren und automatisiert verarbeitet werden. Es gilt nicht für Daten, die du auf Basis des berechtigten Interesses verarbeitest.
Für die meisten Startups bedeutet das praktisch: Exportiere die Kundendaten aus deinem CRM als CSV oder JSON und stelle sie der Person zur Verfügung. Die meisten CRM- und E-Commerce-Systeme haben Export-Funktionen, die das in wenigen Klicks erledigen.
Art. 21 -- Widerspruchsrecht bei berechtigtem Interesse
Wenn du Daten auf Basis des berechtigten Interesses (Art. 6 Abs. 1 lit. f) verarbeitest, kann die betroffene Person jederzeit widersprechen. Du musst die Verarbeitung dann einstellen, es sei denn, du kannst "zwingende schutzwürdige Gründe" nachweisen, die die Interessen der Person überwiegen.
Sonderfall Direktwerbung: Wenn die Person der Verarbeitung zu Werbezwecken widerspricht, musst du die Daten sofort aus der Werbenutzung nehmen -- ohne Abwägung, ohne Ausnahme. Das ist ein absolutes Recht.
Antwort-Vorlagen für dein Startup
Hier zwei Vorlagen, die du direkt verwenden und an dein Unternehmen anpassen kannst:
Vorlage: Eingangsbestätigung
Sehr geehrte/r [Name],
vielen Dank für Ihre Anfrage vom [Datum] gemäß Art. [15/17/20] DSGVO. Wir bestätigen den Eingang und werden Ihnen innerhalb eines Monats die gewünschten Informationen zur Verfügung stellen bzw. die gewünschte Maßnahme umsetzen.
Sollten wir für die Bearbeitung weitere Informationen benötigen, werden wir uns zeitnah bei Ihnen melden.
Mit freundlichen Grüßen, [Dein Unternehmen] [Kontaktdaten]
Vorlage: Auskunftserteilung nach Art. 15
Sehr geehrte/r [Name],
gemäß Ihrer Anfrage vom [Datum] nach Art. 15 DSGVO teilen wir Ihnen Folgendes mit:
1. Gespeicherte Daten: [Tabellarische Auflistung aller Daten nach Kategorie]
2. Verarbeitungszwecke: [Auflistung]
3. Rechtsgrundlage: [Art. 6 Abs. 1 lit. ...]
4. Empfänger: [Auflistung der Dienstleister mit Angabe des Landes]
5. Speicherdauer: [Konkrete Fristen]
6. Ihre Rechte: Sie haben das Recht auf Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Widerspruch (Art. 21) und Datenportabilität (Art. 20). Sie haben zudem das Recht auf Beschwerde bei der Datenschutzbehörde (DSB, Barichgasse 40-42, 1030 Wien, dsb.gv.at).
Mit freundlichen Grüßen, [Dein Unternehmen]
Umgang mit massenhaften oder missbräuchlichen Anfragen
In seltenen Fällen können Betroffenenrechte auch missbräuchlich eingesetzt werden -- etwa wenn ein Konkurrent systematisch Auskunftsanfragen stellt, um dein Team zu beschäftigen, oder wenn eine Person wiederholt identische Anfragen sendet.
Art. 12 Abs. 5 DSGVO gibt dir in solchen Fällen zwei Optionen:
Option 1 -- Angemessenes Entgelt: Du kannst ein "angemessenes Entgelt auf der Grundlage der Verwaltungskosten" verlangen. Es gibt keine festen Beträge -- EUR 20 bis EUR 50 wären typisch.
Option 2 -- Ablehnung der Anfrage: Du kannst die Bearbeitung verweigern, wenn die Anfrage "offenkundig unbegründet oder exzessiv" ist.
Aber Vorsicht: Die Beweislast für die "offenkundige Unbegründetheit" oder den "exzessiven" Charakter liegt bei dir. Im Zweifel bearbeite die Anfrage lieber -- eine zu Unrecht verweigerte Auskunft kann ein Bußgeld nach sich ziehen. Die DSB ist hier eher aufseiten der Betroffenen.
Das Zusammenspiel mit Auftragsverarbeitern
Wenn du Betroffenenrechte umsetzt, musst du auch deine Auftragsverarbeiter einbeziehen. Bei einer Löschung müssen die Daten nicht nur in deinen Systemen gelöscht werden, sondern auch bei allen Dienstleistern, die die Daten in deinem Auftrag verarbeiten.
Was du in deinen AVVs geregelt haben solltest:
- Der Auftragsverarbeiter muss dich bei der Erfüllung von Betroffenenrechten unterstützen (Art. 28 Abs. 3 lit. e DSGVO)
- Klare Prozesse für Löschanfragen: Wie erreichst du den Auftragsverarbeiter? Welche Frist hat er für die Löschung?
- Dokumentation: Der Auftragsverarbeiter bestätigt die Löschung
In der Praxis haben die meisten größeren Anbieter (HubSpot, Mailchimp, Brevo, Stripe) Funktionen zum Löschen einzelner Datensätze. Bei kleineren Dienstleistern musst du die Löschung ggf. per E-Mail anfordern und eine Bestätigung verlangen.
Tipp: Erstelle eine Kontaktliste deiner Auftragsverarbeiter mit Ansprechpartner und bevorzugtem Kontaktweg für Datenschutzanfragen. Im Ernstfall hast du keine Zeit, das erst herauszufinden.
Proaktives Datenmanagement -- Löschkonzept statt Reaktion
Statt nur auf Löschanfragen zu reagieren, solltest du ein proaktives Löschkonzept haben. Das bedeutet: Du definierst für jeden Datentyp eine Löschfrist und löschst die Daten automatisch oder manuell, wenn die Frist abläuft. Das ist nicht nur DSGVO-konform (Grundsatz der Speicherbegrenzung, Art. 5 Abs. 1 lit. e), sondern reduziert auch dein Risiko bei Datenpannen -- weniger Daten bedeuten weniger Schaden.
| Datentyp | Löschfrist | Rechtsgrundlage |
|---|---|---|
| Server-Logfiles | 30 Tage | Berechtigtes Interesse |
| Newsletter-Abonnenten (inaktiv) | 2--3 Jahre ohne Interaktion | Einwilligung |
| Bewerbungsunterlagen (Absage) | 6 Monate nach Absage | Vorvertragliche Maßnahmen |
| Kundendaten (Vertrag beendet) | 7 Jahre nach Vertragsende | BAO-Aufbewahrungspflicht |
| Analytics-Daten | 14 Monate (GA4-Standard) | Einwilligung |
| Support-Anfragen | 3 Jahre nach Abschluss | Berechtigtes Interesse |
Setze Kalendererinnerungen für regelmäßige Löschläufe. Manche Systeme (CRM, Newsletter-Tools) bieten automatische Löschung nach Inaktivität an -- nutze diese Funktionen.
Prozess-Checkliste für Betroffenenrechte
Damit du vorbereitet bist, wenn die erste Anfrage kommt, arbeite diese Checkliste ab:
- Dedizierte E-Mail-Adresse einrichten (z. B. datenschutz@firma.at)
- Prozess dokumentieren: Wer nimmt Anfragen entgegen? Wer bearbeitet sie? Wer gibt die Antwort frei?
- Antwort-Vorlagen vorbereiten (Eingangsbestätigung, Auskunft, Löschbestätigung)
- Liste aller Systeme mit personenbezogenen Daten erstellen (basierend auf dem Verarbeitungsverzeichnis)
- Fristen-Tracking einrichten (Kalender, Ticketsystem)
- Identitätsverifizierungsprozess definieren
- Aufbewahrungspflichten kennen und dokumentieren (BAO: 7 Jahre, UGB: 7 Jahre)
- Kontaktdaten der Auftragsverarbeiter für Löschanfragen bereithalten
- Team schulen: Wer nimmt die Anfrage entgegen und an wen wird sie intern weitergeleitet? (siehe Datenschutz im Team)
- Jährlich testen: Einen internen Test-Durchlauf machen, um den Prozess zu prüfen
Häufige Fehler beim Umgang mit Betroffenenrechten
1. Anfrage ignorieren oder vergessen: Der häufigste und gravierendste Fehler. Die Frist läuft, und wenn du nicht reagierst, wird sich die Person an die DSB wenden. Richte dir ein System ein, das Anfragen nicht untergehen lässt -- auch wenn du gerade im Produkt-Launch-Stress steckst.
2. Zu viel Identitätsnachweis verlangen: Eine Ausweiskopie zu verlangen, wenn die Person dir als Kunde bekannt ist und von der hinterlegten E-Mail schreibt, ist unverhältnismäßig und kann selbst als DSGVO-Verstoß gewertet werden.
3. Nur teilweise löschen: Bei einer Löschanfrage die Daten nur im CRM löschen, aber im Newsletter-Tool, im E-Mail-Postfach und in der Buchhaltungssoftware stehen lassen. Die Löschung muss alle Systeme umfassen (mit Ausnahme aufbewahrungspflichtiger Daten).
4. Die Anfrage als Anlass für Marketing nutzen: "Schade, dass du gehst -- hier ist ein 20%-Rabattcode" als Antwort auf eine Löschanfrage ist nicht nur geschmacklos, sondern auch ein Verstoß gegen den Löschungsgrundsatz.
5. Keine Dokumentation: Wenn die DSB nachfragt, musst du nachweisen können, dass und wann du die Anfrage beantwortet hast. Ohne Dokumentation stehst du im Wort-gegen-Wort-Spiel.
Der nächste Schritt
Richte jetzt eine datenschutz@-E-Mail-Adresse ein, erstelle deine Antwort-Vorlagen und definiere den internen Prozess. Du brauchst es hoffentlich selten -- aber wenn, dann hast du keine Zeit, das erst aufzubauen. Im nächsten Post geht es um den Ernstfall: Was du bei einer Datenpanne innerhalb von 72 Stunden tun musst. Bei Startup Burgenland bekommst du Vorlagen und Unterstützung bei der Einrichtung deiner Datenschutz-Prozesse.
Startup Burgenland macht Gründung leistbar: EUR 10.000 Gründungszuschuss (nicht rückzahlbar, keine Eigenkapitalabgabe), 1:1 Coaching und ein Netzwerk aus Steuerberatern, Notaren und Rechtsanwälten. Flexibler Einstieg jederzeit. Schreib uns ein formloses E-Mail.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.