Mit Betroffenenanfragen richtig umgehen: der 7-Schritte-Prozess

Was ist eine Betroffenenanfrage – und wer darf anfragen?

Eine betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren Daten Sie verarbeiten. Anfragen dürfen daher etwa Kundinnen und Kunden, Beschäftigte, Bewerberinnen und Bewerber, Kontaktpersonen auf Lieferantenseite sowie Nutzerinnen und Nutzer Ihrer Website oder App stellen – unabhängig von Staatsangehörigkeit oder Wohnsitz.

Juristische Personen wie eine GmbH sind dagegen nicht selbst betroffenenfähig; die jeweiligen Ansprechpartnerinnen und Ansprechpartner dieser Unternehmen hingegen schon.

Ebenso können Dritte mit nachweisbarer Vollmacht – etwa Rechtsanwältinnen und Rechtsanwälte oder Verbraucherportale – Anfragen stellvertretend einreichen. Bei Minderjährigen übernehmen das je nach nationalem Recht die Eltern oder ein Vormund.

Automatisierte Anfragen als Geschäftsmodell

Aktuell ist zu beobachten, dass einige Anbieter Portale zur Verfügung stellen, über die Betroffene ihre Anfragen einfach per Eingabemaske und Auswahl des Unternehmens automatisch verschicken können. Dabei kann eine beliebige Anzahl an Unternehmen ausgewählt werden, sodass Betroffene theoretisch hunderte Anfragen auf einmal verschicken können.

Wir haben bereits bei einigen unserer Kunden dadurch ein erhöhtes Aufkommen an Auskunftsersuchen beobachten. Sie sollten sich entsprechend darauf vorbereiten.

Welche Pflichten & Fristen gibt es bei Betroffenenanfragen?

Reagieren Sie ohne Verzögerung – das heißt, bestätigen Sie unverzüglich den Eingang der Anfrage. Spätestens einen Monat nach Eingang der Anfrage muss Ihre Antwort in Bezug auf Auskunft, Löschung etc. vorliegen. Ist der Fall besonders komplex oder gehen mehrere Anträge gleichzeitig ein, können Sie die Frist einmalig um bis zu zwei Monate verlängern – die Verlängerung müssen Sie jedoch innerhalb des ersten Monats begründet mitteilen.

Grundsätzlich ist die Bearbeitung kostenlos; nur bei offensichtlich unbegründeten oder exzessiven Anträgen dürfen Sie eine angemessene Gebühr erheben oder den Antrag ablehnen. Die Beweislast dafür liegt bei Ihnen.

Antworten Sie idealerweise über denselben Kanal, über den die Anfrage eingegangen ist (sofern die betroffene Person nichts anderes wünscht), und stellen Sie eine sichere Übermittlung sicher (z. B. verschlüsselter Anhang, Ende-zu-Ende-Verschlüsselung etc.).

Welche Rechte können betroffene Personen geltend machen?

Zur Orientierung: Die DSGVO kennt mehrere Kernrechte, mit denen betroffene Personen ihre Daten prüfen, korrigieren, löschen lassen oder die Verarbeitung begrenzen können – die wichtigsten im Überblick:

• Art. 15 Auskunft: Informationen über die Verarbeitung personenbezogener Daten + Datenkopie (was eine vollständige Auskunft beinhalten muss, lesen Sie weiter unten).
• Art. 16 Berichtigung: Unrichtige Daten korrigieren, unvollständige ergänzen; Empfänger informieren.
• Art. 17 Löschung: Löschen bei Zweckfortfall, Widerruf, Unrechtmäßigkeit oder erfolgreichem Widerspruch; Grenzen durch Aufbewahrungspflichten, Meinungs-/Informationsfreiheit, Rechtsansprüche, Archiv/Zwecke im öffentlichen Interesse.
• Art. 18 Einschränkung: Verarbeitung „parken“ (grundsätzlich nur Speichern), z. B. bei bestrittenen Richtigkeiten, Unrechtmäßigkeit (statt Löschung), Nichtbedarf bei fortbestehendem Interesse der betroffenen Person, schwebendem Widerspruch; Aufhebung vorher ankündigen.
• Art. 20 Datenübertragbarkeit: Bereitgestellte/„beobachtete“ Daten in strukturiertem, gängigem, maschinenlesbarem Format bereitstellen; direkte Übermittlung auf Wunsch, soweit technisch machbar; gilt bei automatisierter Verarbeitung auf Basis Einwilligung/Vertrag, nicht für interne Ableitungen/Scorings.
• Art. 21 Widerspruch: Gegen Verarbeitung auf berechtigter Interessen- oder öffentlicher-Aufgaben-Grundlage kann aus situationsbezogenen Gründen widersprochen werden; Fortführung nur bei zwingenden schutzwürdigen Gründen. Bei Direktmarketing immer stoppen (inkl. dazugehörigem Profiling).
• Art. 22 Keine ausschließlich automatisierte Entscheidung: Schutz vor ausschließlich automatisierten Entscheidungen mit rechtlichen/ähnlich erheblichen Wirkungen; Ausnahmen nur mit Schutzmaßnahmen (menschliches Eingreifen, Standpunkt darlegen, Anfechtung).

Der 7-Schritte-Prozess zur Bearbeitung von Betroffenenanfragen

So behalten Sie den Überblick: Die folgenden sieben Schritte führen Sie vom Eingang der Anfrage bis zur sicheren Zustellung – strukturiert, fristsicher und nachvollziehbar.

1. Eingang der Anfrage

• Definieren Sie einen klaren Eingangskanal (zum Beispiel datenschutz@…, Webformular) und kommunizieren Sie ihn sichtbar in Datenschutzhinweisen und auf der Website.
• Protokollieren Sie Datum und Uhrzeit des Zugangs sowie den Kommunikationskanal, damit die Monatsfrist zuverlässig berechnet werden kann.
• Bestätigen Sie den Eingang kurzfristig und nennen Sie die voraussichtliche Frist sowie die nächsten Schritte.

2. Identität prüfen

• Fordern Sie zusätzliche Nachweise nur an, wenn vernünftige Zweifel an der Identität bestehen, und wählen Sie dazu den geringstmöglichen Eingriff.
• Nutzen Sie bevorzugt vorhandene Informationen, etwa eine Bestätigung über das Kundenkonto, einen Rückruf an hinterlegte Nummern oder eine Ticket- bzw. Kundennummer. Häufig sind drei verschiedene Datenpunkte bereits ausreichend für eine Identifikation. Je sensibler die betroffenen Daten, desto stärker sollte die Authentifizierungs-Maßnahme sein.
• Prüfen Sie bei Vertretungen eine geeignete Vollmacht und dokumentieren Sie die Prüfung nachvollziehbar.

3. Einordnung der Anfrage

• Ordnen Sie die Anfrage einem oder mehreren Rechten zu (Art. 15, 16, 17, 18, 20, 21, 22) und leiten Sie daraus die konkreten Anforderungen ab.
• Bitten Sie bei sehr großen Datenmengen um eine sachgerechte Eingrenzung nach Zeitraum, Systemen oder Themen, ohne die Rechtsausübung zu vereiteln.
• Halten Sie die Einordnung und alle Absprachen mit der betroffenen Person transparent im Ticket fest.

4. Discovery (Datenlokalisierung)

• Identifizieren Sie alle relevanten Systeme und Auftragsverarbeiter und legen Sie Zuständigkeiten sowie interne Fristen fest.
• Suchen Sie mithilfe eindeutiger Schlüssel (zum Beispiel E-Mail, Kundennummer, Mitarbeiter-ID, Telefonnummer, Cookie-/Online-ID) und dokumentieren Sie sämtliche Treffer.
• Klären Sie frühzeitig, ob Sondermedien betroffen sind (zum Beispiel Audio/Video, Chat-Verläufe, Backups) und wie diese effizient exportiert, gelöscht, berichtigt etc. werden können.

5. Review & Redaction

• Prüfen Sie die Relevanz der Funde und bewerten Sie, ob z. B. Rechte und Freiheiten Dritter oder Geschäftsgeheimnisse berührt sind.
• Prüfen Sie ggf., ob richtig gelöscht wurde oder ob Aufbewahrungsfristen eingehalten wurden. Alles zum Thema Löschen im datenschutzrechtlichen Sinne können Sie sich in unserem Artikel „Löschkonzept richtig erstellen“ durchlesen.

6. Antwortpaket

• Setzen Sie die beantragten Maßnahmen um (zum Beispiel Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder Widerspruch) und erläutern Sie diese kurz und verständlich.
• Stellen Sie bei Auskünften alle Pflichtangaben bereit und fügen Sie eine verständliche Kopie der personenbezogenen Daten in geeigneten Formaten bei.
• Informieren Sie rechtzeitig über eine erforderliche Fristverlängerung und begründen Sie diese nachvollziehbar.

7. Zustellung & Dokumentation

• Übermitteln Sie die Antwort sicher, zum Beispiel über einen geschützten Download-Link, und übermitteln Sie das Passwort getrennt.
• Begrenzen Sie die Verfügbarkeit der Daten (beispielsweise durch ein Ablaufdatum) und stellen Sie die Nachvollziehbarkeit der Zustellung sicher.
• Dokumentieren Sie alle Schritte einschließlich Suchorten, Abwägungen, Inhalten der Antwort und Nachweise über Versand, Löschung, Berichtigung etc. als Teil Ihrer Accountability.
• Bewahren Sie die Korrespondenz mit der betroffenen Person für drei Jahre auf, um den Nachweispflichten gem. Art. 5 Abs. 2 DSGVO nachkommen zu können.

Was muss eine vollständige Auskunft beinhalten

Der Pflichtumfang einer Auskunft ergibt sich aus Art. 15 DSGVO und umfasst folgende Punkte:

• Zwecke der Verarbeitung pro Prozess erklären (z. B. Vertrag, Betrugsprävention, Marketing).
• Kategorien personenbezogener Daten benennen (Stammdaten, Vertrags-/Bestelldaten, Nutzungs-/Trackingdaten, Support-Kommunikation etc.).
• Empfänger möglichst namentlich aufführen (insb. bei Nachfrage); Drittländer mit Transfergrundlagen (z. B. SCC) angeben.
• Speicherdauer oder Kriterien dafür darstellen (konkrete Fristen/Aufbewahrung oder nachvollziehbare Kriterien).
• Betroffenenrechte und den Weg zur Ausübung kurz beschreiben.
• Beschwerderecht mit zuständiger Behörde nennen.
• Herkunft der Daten erläutern, wenn nicht direkt erhoben (Partner, öffentlich zugängliche Quellen).
• Automatisierte Entscheidungen/Profiling verständlich beschreiben: Logik in Grundzügen, Tragweite, beabsichtigte Auswirkungen (kein Quellcode, aber echte Nachvollziehbarkeit).
• Kopie der personenbezogenen Daten liefern (getreue, verständliche Reproduktion; bei E-Mails z. B. Inhalte mit Schwärzungen Dritter). Muss nicht maschinenlesbar sein. Screenshots o. ä. sind auch zulässig.

Hinweis: Teilweise wird die Ansicht vertreten, dass auch die Rechtsgrundlage bei einem Auskunftsersuchen anzugeben ist, obwohl diese nicht ausdrücklich unter Art. 15 DSGVO genannt ist. Dies ist allerdings umstritten.

Mini-Beispiel (E-Commerce):

• Zwecke: Bestellung (Vertrag), Betrugsprävention (berechtigtes Interesse), Newsletter (Einwilligung).
• Datenkategorien: Stammdaten, Bestellhistorie, Logins/IP/Browser, Support-Kommunikation.
• Empfänger: Zahlungsdienstleister (EU), Versanddienstleister (EU), Newsletter-Provider (EU), Cloud-Hoster (USA; SCC + TOM).
• Speicherdauer: Steuer-/Vertragsdaten 10 Jahre; Support 3 Jahre nach letztem Kontakt; Marketing bis Widerruf.
• Automatisierung: Fraud-Score mit Schwellenwerten; Recht auf menschliche Überprüfung.
• Kopie: CSV/JSON-Exports + geschwärzte E-Mail-Auszüge.

Kann ich eine Betroffenenanfrage ablehnen?

Ja – aber nur in eng begrenzten Fällen und nach sorgfältiger Abwägung. Erstens kann die Herausgabe eingeschränkt oder in Teilen verweigert werden, wenn dadurch Rechte und Freiheiten anderer beeinträchtigt würden (Art. 15 Abs. 4 DSGVO). In der Praxis bedeutet das: Sie liefern so viel wie möglich und schützen Dritte durch Schwärzungen oder Anonymisierung; eine vollständige Verweigerung kommt nur ausnahmsweise in Betracht und muss begründet werden.

Zweitens dürfen offensichtlich unbegründete oder exzessive Anträge nach Art. 12 Abs. 5 DSGVO abgelehnt oder gegen eine angemessene Gebühr bearbeitet werden. Diese Ausnahme ist eng auszulegen; die Beweislast liegt bei Ihnen, und eine Ablehnung oder Gebühr ist innerhalb der Monatsfrist nachvollziehbar zu begründen.

Drittens gibt es deutsche Besonderheiten in §§ 34 und 35 BDSG: Bei rein der Aufbewahrung oder Datensicherung dienenden Beständen kann die Auskunft eingeschränkt werden, und bei nicht-automatisierten Altbeständen kann statt einer Löschung eine Einschränkung genügen – vorausgesetzt, die Verarbeitung ist nicht rechtswidrig.

Unabhängig vom Grund gilt: Dokumentieren Sie Ihre Prüfung, nennen Sie die Rechtsgrundlage und die Abwägung, erklären Sie die Gründe in der Antwort und weisen Sie auf die Beschwerdemöglichkeit bei der Aufsichtsbehörde hin.

Fazit

Mit klaren Rollen und festen SLAs – kombiniert mit einer schlanken Identitätsprüfung, guter Datenlokalisierung (Discovery) und sauberer Redaction – bearbeiten Sie Betroffenenanfragen sicher, schnell und nachvollziehbar. So schützen Sie die Rechte der Betroffenen und senken zugleich das Risiko von Beschwerden und Sanktionen.

Wie ISiCO Sie unterstützen kann

Ob als externer Datenschutzbeauftragter (DSB) oder projektbezogen – wir prüfen Ihre Prozesse im Rahmen eines kompakten Datenschutzaudits, gestalten mit Ihnen einen praxistauglichen Plan für Betroffenenanfragen und stellen einsatzfertige Vorlagen (Antwortbausteine, Checklisten, Redaction-Guidelines) bereit.

Zudem schulen wir Ihre Teams, begleiten die technische Umsetzung (Exports, sichere Zustellung, Rollen-/Rechtekonzept) und koordinieren bei Bedarf Auftragsverarbeiter.

Wenden Sie sich mit Ihren Datenschutz-Herausforderungen an unsere zertifizierten Expert:innen.