Betroffenenanfragen (DSAR) — Leitfaden für externe DSBs

Betroffenenanfragen (Data Subject Access Requests) gehören zum Alltag jedes DSB. Auskunft, Löschung, Berichtigung, Datenübertragbarkeit — die DSGVO gibt Betroffenen umfangreiche Rechte. Als externer DSB müssen Sie sicherstellen, dass Ihre Mandanten jede Anfrage fristgerecht und korrekt bearbeiten.

Welche Rechte haben Betroffene?

Die DSGVO gewährt Betroffenen acht zentrale Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21), Recht auf menschliche Entscheidung (Art. 22) und Widerruf der Einwilligung (Art. 7 Abs. 3). Das häufigste Recht in der Praxis ist das Auskunftsrecht nach Art. 15. Betroffene wollen wissen, welche Daten über sie gespeichert sind, zu welchem Zweck und an wen sie weitergegeben wurden. Die Antwort muss vollständig, verständlich und fristgerecht erfolgen.

Fristen und Fristverlängerung

Die Grundfrist beträgt einen Monat ab Eingang der Anfrage (Art. 12 Abs. 3 DSGVO). Diese Frist kann um zwei weitere Monate verlängert werden, wenn die Anfrage komplex ist oder viele Anfragen gleichzeitig eingehen — aber nur, wenn der Betroffene innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert wird. In der Praxis bedeutet das: Sie haben maximal drei Monate, müssen aber nach spätestens einem Monat reagieren. Keine Reaktion innerhalb der Frist ist ein Verstoß — und kann zu Beschwerden bei der Aufsichtsbehörde führen. Mit 15 Mandanten und je 3 Anfragen pro Jahr sind das 45 Fristen, die Sie im Blick behalten müssen.

Identitätsprüfung und Missbrauch

Bevor Sie personenbezogene Daten herausgeben, müssen Sie die Identität des Anfragenden prüfen. Geben Sie Daten an die falsche Person heraus, ist das selbst ein Datenschutzverstoß. Die DSGVO erlaubt es, zusätzliche Informationen zur Identifizierung anzufordern. In der Praxis hat sich bewährt: Bei E-Mail-Anfragen prüfen, ob die Absenderadresse mit den gespeicherten Daten übereinstimmt. Bei Zweifeln eine Kopie des Ausweises anfordern — wobei Sie irrelevante Daten (z. B. Ausweisnummer) schwärzen lassen sollten. Offensichtlich missbräuchliche Anfragen dürfen abgelehnt werden, aber die Beweislast liegt beim Verantwortlichen.

DSAR-Prozess für externe DSBs

Als externer DSB sollten Sie für jeden Mandanten einen standardisierten DSAR-Prozess einrichten: Eingangserfassung (Datum, Art der Anfrage, Fristberechnung), Identitätsprüfung, Zuständigkeitsklärung, Datenrecherche, Antwort-Entwurf, Freigabe und Versand. Jeder Schritt muss dokumentiert werden. Ein Tool wie Trustee.eu automatisiert die Fristberechnung, erinnert an bevorstehende Fristen und dokumentiert den gesamten Workflow. So stellen Sie sicher, dass keine der 45+ Anfragen pro Jahr durchs Raster fällt — und haben jederzeit einen Nachweis für die Aufsichtsbehörde.

Praxis-Tipp

Erstellen Sie für jeden Mandanten Antwortvorlagen für die häufigsten Anfragetypen (Auskunft, Löschung, Widerspruch). Das spart 30-60 Minuten pro Anfrage. Passen Sie die Vorlagen an die jeweilige Branche an — ein Online-Shop hat andere Verarbeitungen als eine Arztpraxis.

DSAR-Management mit Trustee.eu
Betroffenenanfragen — Fristgerechte Bearbeitung nach Art. 15 DSGVO Was ist ein Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO? AVV-Checkliste — Auftragsverarbeitungsvertrag nach Art. 28 DSGVO