Mit den sogenannten Betroffenenrechten ermöglicht die DSGVO der Person, Einfluss auf die Verarbeitung ihrer Daten zu nehmen.

Zu den Betroffenenrechten gehören die Rechte auf Löschung, Berichtigung, Einschränkung, Widerruf, Widerspruch, Auskunft und Datenkopie, Datenübertragbarkeit und das Recht, nicht einer rein automatisierten Einzelentscheidung unterworfen zu werden. Darüber hinaus hat der Betroffene das Recht, sich jederzeit mit einer Beschwerde an eine Datenschutzaufsichtsbehörde zu wenden. Diese ist dann wiederum verpflichtet, der Beschwerde nachzugehen.

Jedes Recht hat eine eigene Funktion und beeinflusst ggf. die Ausübung anderer Rechte. So ermöglicht das Auskunftsrecht der Person, Kenntnis über die zu ihr gespeicherten Daten zu erlangen. Diese Kenntnis ist die Grundlage dafür, eine Datenlöschung und/ oder Berichtigung bestimmter Daten zu verlangen. Ist eine Löschung nicht möglich, etwa weil die Daten Aufbewahrungspflichten unterliegen, so besteht u.U. ein Recht auf Einschränkung der Verarbeitung, also die unternehmensinterne Sperrung des Zugriffs auf die Daten.

Mit den Rechten auf Widerruf und Widerspruch kann der Betroffene in bestimmten Fällen (z.B. beim Marketing) einzelne Datenverarbeitungen „stoppen“. Das Unternehmen ist dann u.U. auch verpflichtet, die Daten zu löschen.

Sämtliche Rechte dürfen von der Person kostenfrei ausgeübt werden und können ihr nicht entzogen werden. Es ist auch nicht möglich, die Person in einen Verzicht ihrer Rechte einwilligen zu lassen. Für die Beantwortung der Rechte gilt eine Frist von einem Monat ab Zugang der Anfrage.

In der DSGVO reihen sich die einzelnen Rechte transparent aneinander: von Artikel 11 bis zu Artikel 22 DSGVO. Zusätzlich zu diesen Artikeln der DSGVO enthält das deutsche Bundesdatenschutzgesetz (BDSG) Spezifizierungen des Umfangs und der Ausübung einzelner Rechte. Auf noch granularer Ebene finden sich in einzelnen branchenspezifischen Gesetzen Ausprägungen der einzelnen Rechte.

Das Unternehmen muss sicherstellen, dass es in der Lage ist, sämtliche Rechte fristgerecht beantworten zu können. Hierzu sind entsprechende technische und organisatorische Vorkehrungen zu treffen. So sollten alle datenverarbeitenden Mitarbeiter (z.B. anhand von Richtlinien und Datenschutzschulungen) darüber informiert werden, durch wen, wie und wann Betroffenenrechte zu erfüllen sind.