Management Summary: ## Einführung: Betroffenenrechte als zentrale DSGVO-Pflicht Betroffenenrechte sind einer der Kernaspekte der DSGVO. Sie geben natürlichen Personen die Möglichkeit, Kontrolle über ihre personenbezogenen Daten auszuüben. Für SaaS-Anbieter und ihre Kunden bedeutet das: Betroffenenrechte müssen korrekt umgesetzt werden, sonst drohen Bußgelder und Schadensersatzansprüche. Dieser Artikel erklärt die wichtigsten Betroffenenrechte im SaaS-Kontext:
Einführung: Betroffenenrechte als zentrale DSGVO-Pflicht
Was ist betroffenenrechte-saas? Die Definition für B2B
betroffenenrechte-saas ist ein wichtiger Aspekt für B2B-Unternehmen. Laut etablierten Standards und Best Practices ist betroffenenrechte-saas essentiell für nachhaltigen Erfolg. Für C-Level-Entscheider bedeutet das: Investition in Qualität, nicht in Quantität.
Betroffenenrechte sind einer der Kernaspekte der DSGVO. Sie geben natürlichen Personen die Möglichkeit, Kontrolle über ihre personenbezogenen Daten auszuüben. Für SaaS-Anbieter und ihre Kunden bedeutet das: Betroffenenrechte müssen korrekt umgesetzt werden, sonst drohen Bußgelder und Schadensersatzansprüche.
Dieser Artikel erklärt die wichtigsten Betroffenenrechte im SaaS-Kontext: Welche Rechte existieren? Wer ist verantwortlich für die Erfüllung? Welche Rolle spielt der SaaS-Anbieter? Welche Fristen müssen eingehalten werden? Und welche Fehler werden häufig gemacht?
Dieser Artikel ist ein Supporting-Artikel zum PILLAR-Artikel “DSGVO im B2B-SaaS – Pflichten, Rollen und praktische Umsetzung” und ergänzt unseren Artikel zur Auftragsverarbeitung im SaaS.
Welche Betroffenenrechte existieren?
Die DSGVO definiert in Art. 12-22 verschiedene Betroffenenrechte. Die wichtigsten Rechte im SaaS-Kontext:
Art. 15 DSGVO: Auskunftsrecht
Betroffene Personen haben das Recht, Auskunft über ihre personenbezogenen Daten zu erhalten:
Zu welchem Zweck? Zweck der Verarbeitung
Wie lange werden die Daten gespeichert? Speicherdauer oder Kriterien für die Speicherdauer
Woher stammen die Daten? Herkunft der Daten (falls nicht direkt von der betroffenen Person)
- Automatisierte Entscheidungen? Informationen über automatisierte Entscheidungen und Profiling
Format: Die Auskunft muss in einem strukturierten, gängigen und maschinenlesbaren Format erteilt werden (z.B. JSON, CSV, XML), wenn technisch möglich.
Art. 16 DSGVO: Recht auf Berichtigung
Betroffene Personen haben das Recht, unrichtige personenbezogene Daten berichtigen zu lassen:
Vervollständigung: Unvollständige Daten müssen vervollständigt werden
- Weitergabe: Berichtigungen müssen an alle Empfänger weitergegeben werden, denen die Daten mitgeteilt wurden
Art. 17 DSGVO: Recht auf Löschung (“Recht auf Vergessenwerden”)
Betroffene Personen haben das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn:
Einwilligung widerrufen: Die betroffene Person widerruft ihre Einwilligung
Unrechtmäßige Verarbeitung: Die Daten wurden unrechtmäßig verarbeitet
- Rechtliche Verpflichtung: Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
Ausnahmen: Das Recht auf Löschung besteht nicht, wenn die Verarbeitung z.B. zur Ausübung des Rechts auf freie Meinungsäußerung, zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung von Rechtsansprüchen erforderlich ist.
Art. 18 DSGVO: Recht auf Einschränkung der Verarbeitung
Betroffene Personen haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn:
Unrechtmäßige Verarbeitung: Die Verarbeitung ist unrechtmäßig, aber die betroffene Person lehnt die Löschung ab
Widerspruch: Die betroffene Person hat Widerspruch eingelegt (Art. 21 DSGVO)
Konsequenz: Bei Einschränkung dürfen die Daten nur noch mit Einwilligung der betroffenen Person oder zur Geltendmachung von Rechtsansprüchen verarbeitet werden.
Art. 20 DSGVO: Recht auf Datenübertragbarkeit
Betroffene Personen haben das Recht, ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln, wenn:
Automatisierte Verarbeitung: Die Verarbeitung erfolgt mittels automatisierter Verfahren
Format: Die Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden (z.B. JSON, CSV, XML).
Art. 21 DSGVO: Widerspruchsrecht
Betroffene Personen haben das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen, wenn:
Direktwerbung: Die Verarbeitung erfolgt zu Zwecken der Direktwerbung
- Profiling: Die Verarbeitung erfolgt zu Zwecken des Profilings
Konsequenz: Bei Widerspruch muss die Verarbeitung eingestellt werden, es sei denn, es bestehen zwingende berechtigte Gründe für die Verarbeitung, die die Interessen der betroffenen Person überwiegen.
Wer ist verantwortlich?
Im SaaS-Kontext ist die Verantwortlichkeit für Betroffenenrechte klar geregelt:
Der Kunde als Verantwortlicher
Der Kunde, der das SaaS-System nutzt, ist Verantwortlicher und damit primär verantwortlich für die Erfüllung von Betroffenenrechten:
Prüfung der Identität: Der Kunde muss die Identität der betroffenen Person prüfen
Fristen einhalten: Der Kunde muss die gesetzlichen Fristen einhalten (ein Monat)
- Information: Der Kunde muss die betroffene Person über die Maßnahmen informieren
Wichtig: Die Verantwortung des Kunden endet nicht bei der technischen Umsetzung. Der Kunde trägt die rechtliche Verantwortung für die gesamte Erfüllung von Betroffenenrechten.
Der SaaS-Anbieter als Auftragsverarbeiter
Der SaaS-Anbieter (z.B. CrmLogical) ist Auftragsverarbeiter und muss den Kunden bei der Erfüllung von Betroffenenrechten unterstützen:
Datenbereitstellung: Der Anbieter muss dem Kunden die Daten bereitstellen, die für die Erfüllung von Betroffenenrechten erforderlich sind
Berichtigung: Der Anbieter muss Daten auf Anweisung des Kunden berichtigen
- Einschränkung: Der Anbieter muss die Verarbeitung auf Anweisung des Kunden einschränken
Wichtig: Der Anbieter ist nicht verantwortlich für die rechtliche Prüfung von Betroffenenrechten (das ist Aufgabe des Kunden), sondern für die technische Unterstützung.
Zusammenarbeit zwischen Kunde und Anbieter
Die Erfüllung von Betroffenenrechten erfordert Zusammenarbeit zwischen Kunde und Anbieter:
Kunde prüft: Der Kunde prüft die Anfrage rechtlich (Identität, Rechtmäßigkeit, etc.)
Anbieter führt aus: Der Anbieter führt die technischen Maßnahmen durch
- Kunde informiert: Der Kunde informiert die betroffene Person über die Maßnahmen
Praktisch: Der Auftragsverarbeitungsvertrag (AVV) sollte die Zusammenarbeit bei Betroffenenrechten regeln, einschließlich Fristen, Prozessen und Verantwortlichkeiten.
Rolle des SaaS-Anbieters
Der SaaS-Anbieter hat eine wichtige Rolle bei der Erfüllung von Betroffenenrechten, auch wenn er nicht rechtlich verantwortlich ist:
Technische Funktionen bereitstellen
Der Anbieter muss technische Funktionen bereitstellen, um Betroffenenrechte zu erfüllen:
Datenlöschung: Funktionen zur Löschung von Daten, einschließlich aller Kopien und Backups
Einschränkung: Funktionen zur Einschränkung der Verarbeitung (z.B. Flag-Setting)
- Datenübertragung: Funktionen zur Übertragung von Daten an andere Systeme
Dokumentation und Nachweis
Der Anbieter muss dokumentieren, wie Betroffenenrechte erfüllt werden:
Fristen: Dokumentation der Fristen für die Erfüllung
- Nachweis: Nachweis, dass Betroffenenrechte erfüllt wurden (z.B. Logs, Bestätigungen)
Schulungen und Support
Der Anbieter sollte Kunden bei der Erfüllung von Betroffenenrechten unterstützen:
Schulungen: Schulungen für Kunden zu Betroffenenrechten
- Support: Support bei technischen Problemen bei der Erfüllung von Betroffenenrechten
Fristen & Prozesse
Die Erfüllung von Betroffenenrechten unterliegt gesetzlichen Fristen und erfordert strukturierte Prozesse:
Fristen (Art. 12 Abs. 3 DSGVO)
Betroffenenrechte müssen unverzüglich, spätestens aber innerhalb eines Monats erfüllt werden:
Verlängerung: Bei komplexen Anfragen kann die Frist um weitere zwei Monate verlängert werden, wenn die betroffene Person innerhalb eines Monats informiert wird
- Keine Frist: Bei unbegründeten oder exzessiven Anfragen kann eine Gebühr verlangt oder die Bearbeitung verweigert werden
Wichtig: Die Frist beginnt ab Eingang der Anfrage, nicht ab Prüfung oder Bestätigung. Eine Bestätigung des Eingangs sollte innerhalb weniger Tage erfolgen.
Prozess: Auskunftsersuchen (Art. 15 DSGVO)
Der Prozess für Auskunftsersuchen:
Identität prüfen: Identität der betroffenen Person prüfen (z.B. per Ausweiskopie, E-Mail-Verifizierung)
Daten aufbereiten: Daten in strukturiertem Format aufbereiten (JSON, CSV, XML)
Dokumentieren: Erfüllung dokumentieren (für Nachweis und Compliance)
Prozess: Löschungsersuchen (Art. 17 DSGVO)
Der Prozess für Löschungsersuchen:
Identität prüfen: Identität der betroffenen Person prüfen
Anbieter anweisen: SaaS-Anbieter anweisen, Daten zu löschen
Empfänger informieren: Alle Empfänger informieren, denen die Daten mitgeteilt wurden
Dokumentieren: Löschung dokumentieren
Prozess: Widerspruch (Art. 21 DSGVO)
Der Prozess für Widerspruch:
Identität prüfen: Identität der betroffenen Person prüfen
Verarbeitung einstellen: Verarbeitung unverzüglich einstellen (außer bei zwingenden berechtigten Gründen)
Betroffene informieren: Betroffene Person über die Einstellung informieren
- Dokumentieren: Widerspruch und Einstellung dokumentieren
Typische Fehler in der Praxis
Bei der Erfüllung von Betroffenenrechten werden häufig Fehler gemacht. Die wichtigsten Fehler:
Fehler 1: Fristen nicht eingehalten
Problem: Viele Unternehmen halten die Frist von einem Monat nicht ein.
Lösung: Prozesse etablieren, Fristen überwachen, bei Verzögerungen informieren
Fehler 2: Identität nicht geprüft
Problem: Viele Unternehmen prüfen die Identität der betroffenen Person nicht oder unzureichend.
Lösung: Identität immer prüfen (z.B. per Ausweiskopie, E-Mail-Verifizierung, Sicherheitsfragen)
Fehler 3: Unvollständige Auskunft
Problem: Viele Unternehmen erteilen unvollständige Auskunft (z.B. nur aktive Daten, nicht Backups).
Lösung: Alle Daten sammeln (aktive Systeme, Backups, Archive, Logs)
Fehler 4: Falsches Format
Problem: Viele Unternehmen erteilen Auskunft nicht in strukturiertem, maschinenlesbarem Format.
Lösung: Daten in strukturiertem Format exportieren (JSON, CSV, XML)
Fehler 5: Unvollständige Löschung
Problem: Viele Unternehmen löschen Daten nicht vollständig (z.B. nicht aus Backups).
Lösung: Daten aus allen Systemen, Backups und Archiven löschen
Fehler 6: Empfänger nicht informiert
Problem: Viele Unternehmen informieren Empfänger nicht über Berichtigungen oder Löschungen.
Lösung: Alle Empfänger informieren, denen die Daten mitgeteilt wurden
Fehler 7: Keine Dokumentation
Problem: Viele Unternehmen dokumentieren die Erfüllung von Betroffenenrechten nicht.
Lösung: Alle Anfragen und Erfüllungen dokumentieren (wer, wann, was, wie)
Fehler 8: Keine Prozesse
Problem: Viele Unternehmen haben keine strukturierten Prozesse für Betroffenenrechte.
Lösung: Strukturierte Prozesse etablieren, Verantwortlichkeiten definieren, regelmäßig prüfen
Fazit: Betroffenenrechte im SaaS: Auskunft, Löschung, Widerspruch richtig
Dieser Artikel beleuchtet die Facetten von Betroffenenrechte im SaaS: Auskunft, Löschung, Widerspruch richtig. Für C‑Level‑Entscheider im DACH‑Raum stehen Return on Investment, Risikominimierung und Effizienz im Fokus. Nutzen Sie etablierte Standards wie BSI‑Grundschutz, ISO 27001 und die Google Quality Rater Guidelines als Leitplanken. Automatisierung und KI bieten Potenzial, müssen aber in jedem Fall von erfahrenen Fachkräften gesteuert und überwacht werden. Vermeiden Sie generische Lösungen – die richtige Strategie entscheidet über nachhaltigen Erfolg.
