Betroffenenanfragen richtig bearbeiten: der Praxisleitfaden für Unternehmen

Eine Betroffenenanfrage ist das formlose Ersuchen einer natürlichen Person, Auskunft über die Verarbeitung ihrer personenbezogenen Daten zu erhalten. Unternehmen sind gemäß Art. 12 Abs. 3 DSGVO dazu verpflichtet, innerhalb eines Monats zu antworten.

Gerade die sichere Übermittlung der Antwort wird in der Praxis häufig unterschätzt. Denn eine Betroffenenanfrage ist erst dann abgeschlossen, wenn die Auskunft datenschutzkonform bei der betroffenen Person angekommen ist. Dieser Leitfaden zeigt den gesamten Prozess – vom Eingang der Anfrage bis zur sicheren Übergabe der Antwort an die betroffene Person

Team bespricht einen Praxisleitfaden zu Betroffenenanfragen im Arbeitsumfeld.
    • Auskunftsrecht nach Art. 15 DSGVO: Antwort innerhalb 1 Monat (Verlängerung auf 3 Monate möglich, mit Begründung)
    • 5 Schritte: Identität prüfen → Fachbereiche einbinden & Fristen überwachen → VVT prüfen → Antwortschreiben erstellen (Datenkopie, Zweck, Kategorien, Empfänger, Speicherdauer) → Antwort sicher übermitteln (verschlüsselt oder geschützter Datenraum statt E-Mail)
    • Vorher Grundlagen schaffen: zentrale E-Mail-Adresse, Webformular, Schulungen, dokumentierte Prozesse
    • Anfrage erst abgeschlossen, wenn Antwort sicher angekommen ist – nicht nur formuliert
    • Fristversäumnis kann Bußgelder/aufsichtsbehördliche Maßnahmen nach sich ziehen

Betroffenenrechte und die DSGVO: die rechtliche Grundlage

Der Sinn und Zweck der DSGVO ist nicht primär der Schutz personenbezogener Daten, sondern die Wahrung der Grundrechte natürlicher Personen. Das ist der entscheidende Ausgangspunkt, wenn es um Betroffenenanfragen geht.

Gemäß Art. 15 DSGVO hat jede natürliche Person das Recht, jederzeit bei einer Organisation anzufragen, ob, welche und wie ihre personenbezogenen Daten verarbeitet werden. Dieses Auskunftsrecht ist nicht auf gespeicherte Datensätze beschränkt: Es umfasst jeden Vorgang der Datenverarbeitung, der die betreffende Person betrifft.

Was ist eine Betroffenenanfrage nach DSGVO?

Eine Betroffenenanfrage ist das formlose Ersuchen einer natürlichen Person an eine datenverarbeitende Organisation, ihr Auskunftsrecht nach Art. 15 DSGVO oder weitere Rechte nach Art. 16–22 DSGVO geltend zu machen. Sie kann schriftlich, per E-Mail oder mündlich eingehen, ein bestimmtes Format ist gesetzlich nicht vorgeschrieben.

Das macht Betroffenenanfragen zu einer anspruchsvollen, stets individuell zu lösenden Aufgabe. Vielen Organisationen ist dabei nicht klar, wie sie rechtssicher mit einer eingegangenen Betroffenenanfrage rechtssicher umgehen.

Welche Pflichten haben Unternehmen bei Betroffenenanfragen?

Ein strukturierter, dokumentierter Prozess ist die Voraussetzung dafür, Betroffenenanfragen rechtssicher und effizient zu bearbeiten. Wer von Art. 15 DSGVO Gebrauch macht, hat Anspruch auf eine schnelle und vollständige Antwort. Dafür braucht es eine klare interne Wissensbasis und transparente Datenschutzprozesse.

Ein gut aufgesetzter Prozess schützt außerdem vor behördlichen Sanktionen: Datenschutzaufsichtsbehörden prüfen zunehmend, ob Organisationen dem Auskunftsrecht tatsächlich in der Praxis Folge leisten.

Gut zu wissen: Der Europäische Datenschutzausschuss (EDSA) führte 2024 eine europaweite Kontrollaktion des Auskunftsrechts nach Art. 15 DSGVO durch. Die dabei veröffentlichte Fragenliste eignet sich gut, um interne Prozesse zu überprüfen und sich auf künftige behördliche Kontrollen vorzubereiten. Der Fragebogen ist hier kostenlos erhältlich: Coordinated Enforcement Framework Action 2024: implementation of the right of access by controllers.

Welche Betroffenenrechte regelt die DSGVO?

Neben dem Auskunftsrecht kennt die Europäische Datenschutz-Grundverordnung noch weitere Betroffenenrechte. Diese bilden einen Rechtekatalog, der sich von Art. 15 bis Art. 22 DSGVO erstreckt:

Art. 19 DSGVO erscheint in dieser Liste nicht, weil es sich dabei nicht um ein Betroffenenrecht im engeren Sinne handelt. Art. 19 verpflichtet Organisationen, Empfänger personenbezogener Daten über Berichtigungen oder Löschungen zu informieren. Im Umkehrschluss ergibt sich daraus allerdings ein entsprechender Auskunftsanspruch für Betroffene.

Wie können Betroffene eine Anfrage stellen?

Betroffene können ihr Auskunftsrecht jederzeit und kostenfrei geltend machen. Ein formloser Antrag per E-Mail oder Brief an die verantwortliche Organisation genügt – theoretisch auch ein mündliches Ersuchen per Telefon. Die Antwort muss prägnant, transparent und für die anfragende Person verständlich sein.

Wer von der Verarbeitung seiner personenbezogenen Daten erfährt, reagiert oft sensibel. Eine transparente, freundliche und vollständige Auskunft ist deshalb zugleich gute Reputationsarbeit. In der Praxis hilft es, wenn Betroffenenanfragen nicht über verschiedene Postfächer, manuelle Weiterleitungen und einzelne Dokumente verteilt sind, sondern direkt in einem zentralen Workflow ankommen. Genau dafür bieten Datenschutzmanagementsysteme wie caralegal Webformulare, Fristensteuerung und eine strukturierte Bearbeitung in einem Tool.

Wie bearbeite ich Betroffenenanfragen? Anleitung in 5 leichten Schritten.

Eine Betroffenenanfrage formal korrekt, kompetent und ausführlich zu beantworten, ist leichter als gedacht - vorausgesetzt, man beachtet einige wichtige Schritte. Unsere Anleitung gibt einen strukturierten Überblick, wie Datenschutzexpert:innen Anfragenden Auskunft erteilen und dabei auf der (rechts-)sicheren Seite bleiben können. Wichtig: Dieser Vorgang ist als Ergänzung bestehender Richtlinien zu verstehen und sollte sich wie viele andere Prozesse in die gelebte Datenschutzpraxis von Unternehmen integrieren.

  1. Schritt 0: Die Grundlagenarbeit

    Bevor eine einzelne Betroffenenanfrage bearbeitet werden kann, müssen die richtigen Strukturen vorhanden sein. Datenschutzverantwortliche sind in der Regel nicht die erste Anlaufstelle. Damit jede Anfrage den zuständigen Datenschutzbeauftragten zuverlässig erreicht, braucht es:

    • eine zentrale E-Mail-Adresse für alle Betroffenenanfragen, die regelmäßig geprüft wird
    • ein Formular auf der Website, über das Betroffene direkt anfragen können und das Anfragen automatisch ins Datenschutzmanagementsystem überträgt
    • regelmäßige Schulungen für alle Mitarbeitenden, damit Betroffenenanfragen erkannt und korrekt weitergeleitet werden
    • dokumentierte interne Prozesse und klare Richtlinien im Prozessleitfaden oder internen Handbuch
    • ein automatisiertes Ticketsystem zur sofortigen Weiterleitung ans Datenschutzteam

    Besonders hilfreich ist ein Webformular, das Anfragen direkt in das Datenschutzmanagementsystem überträgt. So wird aus einer eingehenden Anfrage automatisch ein dokumentierter Vorgang mit Zuständigkeiten, Fristen und Bearbeitungsschritten. Auf unserer Seite zu Betroffenenanfragen in caralegal⁠ zeigen wir, wie dieser Prozess vom Eingang bis zur sicheren Antwort softwaregestützt abgebildet werden kann.

    Wichtig zur Frist: Betroffenenanfragen sind unverzüglich zu beantworten. Gemäß Art. 12 Abs. 3 DSGVO gilt eine Frist von einem Monat ab Eingang der Anfrage. Bei komplexen oder besonders zahlreichen Anfragen kann diese Frist auf maximal drei Monate verlängert werden – die betroffene Person ist dann innerhalb des ersten Monats über die Verlängerung und deren Gründe zu informieren. Die anfragende Person sollte zudem unverzüglich eine Eingangsbestätigung erhalten.

  2. Schritt 1: Identifikation der betroffenen Person

    Bevor personenbezogene Daten herausgegeben werden, ist die Identität der anfragenden Person zu verifizieren. Wie das geschieht, hängt vom Umfang und der Sensibilität der angefragten Daten ab:

    • Anforderung einer Kopie eines amtlichen Ausweisdokuments oder einer aktuellen Rechnung
    • Sicherheitsfragen, deren Antworten nur die betroffene Person kennen sollte
    • Zwei-Faktor-Authentifizierung für den Zugang zu persönlichen Daten
    • bei hochsensiblen Daten: persönliche Vorsprache oder notarielle Beglaubigung

    Die gewählte Methode muss verhältnismäßig sein: Sie darf die Ausübung des Auskunftsrechts nicht unnötig erschweren. Der Datenschutzbeauftragte sollte in die Auswahl einbezogen werden, um sicherzustellen, dass die Methode datenschutzrechtlich korrekt und benutzerfreundlich ist.

  3. Schritt 2: Einbindung der Fachbereiche und Einhaltung der Fristen

    Um sicherzustellen, dass die Fachbereiche effektiv eingebunden sind und die gesetzlichen Fristen eingehalten werden, sollten klare Zuständigkeiten und Verantwortlichkeiten definiert werden. Jeder Bereich sollte genau wissen, welche Informationen und Daten er liefern muss. Dokumentierte Prozesse und klare Workflows, die den Ablauf von Betroffenenanfragen von der Erfassung bis zur Antwort beschreiben, sind hierbei unerlässlich. Regelmäßige Meetings oder Updates mit den beteiligten Fachbereichen helfen, den Status der Anfragen zu überwachen und mögliche Engpässe zu identifizieren. Ein Monitoring- und Reporting-System unterstützt zusätzlich bei der Überwachung der Fristeneinhaltung.

  4. Schritt 3: Verarbeitungstätigkeiten prüfen

    Sind die eben beschriebenen Aufgaben erledigt, muss herausgefunden werden, inwiefern personenbezogene Informationen des Antragstellers oder der Antragstellerin in die Verarbeitungstätigkeiten der Organisation eingebunden sind. Hierbei empfehlen wir, einen genauen Blick in das idealerweise gründlich gepflegte Verzeichnis von Verarbeitungstätigkeiten (VVT) zu werfen. Besonders effizient gelingt dies, wenn Betroffenenanfragen direkt mit dem VVT verknüpft sind. Dadurch lassen sich relevante Datenbestände und zuständige Fachbereiche deutlich schneller identifizieren. Je nach Einzelfall wird zusätzlich die für die Verarbeitungstätigkeit zuständige Abteilung und deren Mitarbeiter:innen bei der Recherche hinzugezogen. Zunächst jedoch ist die betroffene Person innerhalb der existierenden Datenbestände eindeutig zu identifizieren.

  5. Schritt 4: Formulierung eines Antwortschreibens

    Wurden alle Verarbeitungstätigkeiten sowie Datenbestände, die im Zusammenhang mit der antragstellenden Person stehen, ermittelt, wird eine übersichtliche Liste für den:die Anfragende:n erstellt. Gemäß Art. 15 Absatz 3 DSGVO muss eine Kopie der betroffenen personenbezogenen Daten bereitgestellt werden. Je nach Anfrage können zudem folgende Informationen relevant sein:

    • Art und Zweck der Verarbeitung
    • Kategorien der personenbezogenen Daten
    • Empfänger:innen, gegenüber denen die personenbezogenen Daten oder deren Kategorien offengelegt wurden
    • Dauer der Datenspeicherung

    Außerdem müssen Antragstellende über ihr Recht auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten aufgeklärt werden. Je nach Umfang kann es dabei passieren, dass Änderungen am Datenbestand vorgenommen werden müssen, die unverzüglich zu erledigen sind.

    Sobald das Antwortschreiben erstellt wurde, wird die Antwort zum Abschluss idealerweise zeitnah im Anschluss versendet. Der gesamte Vorgang sollte abschließend sorgfältig dokumentiert werden.

  6. Schritt 5: Sichere Übersendung des Antwortschreibens

    Beim Versand von Antwortschreiben sollten Datenschutz und Datensicherheit oberste Priorität haben. Der Versand per E-Mail ist gängig, jedoch sollte sichergestellt werden, dass die E-Mails verschlüsselt sind. Das BSI veröffentlicht hierzu regelmäßig aktuelle Empfehlungen. Gängige Verfahren wie PGP (Pretty Good Privacy) oder S/MIME (Secure/Multipurpose Internet Mail Extensions) bieten einen Basisschutz. Ist eine E-Mail-Verschlüsselung nicht möglich, können Dokumente passwortgeschützt versendet und das Passwort über einen separaten Kommunikationskanal (z. B. Telefon oder SMS) übermittelt werden. Für besonders sensible Informationen kommen auch der Versand per Einschreiben oder die Bereitstellung über ein sicheres Online-Portal infrage.

    Noch sicherer ist es, die Antwort über einen geschützten Datenraum bereitzustellen. Anstatt die Antwort per E-Mail zu versenden, stellen Unternehmen sie der anfragenden Person in einem geschützten Bereich bereit. Auf diesen kann sie mit einer Ticket-ID und einem selbst gewählten Passwort zugreifen. So gelangen sensible personenbezogene Daten nicht in ein E-Mail-Postfach und das Risiko eines Fehlversands an die falsche Adresse wird deutlich reduziert.

    Der geschützte Datenraum für Betroffenenanfragen in caralegal läuft vollständig in der eigenen Infrastruktur des Unternehmens. Antragsteller:innen und Datenschutzteam kommunizieren im selben Vorgang, Rückfragen und Dateien bleiben zentral an einem Ort. Jede Nachricht und jeder Dateiaustausch wird prüfungssicher protokolliert, sodass der gesamte Bearbeitungsprozess jederzeit nachvollziehbar dokumentiert werden kann.

Fazit: Warum ist professionelles Betroffenenanfragen-Management gute Geschäftspraxis?

Eine Betroffenenanfrage ist erst dann erledigt, wenn die Antwort sicher bei der anfragenden Person angekommen ist. Genau diese letzte Etappe deckt der geschützte Datenraum für Betroffenenanfragen in caralegal ab: Sie bearbeiten die Anfrage vom Eingang über die Recherche in den Datenbeständen bis zur Antwort in einem Tool. Die Übergabe erfolgt im geschützten Datenraum, ohne dass sensible Daten in einem E-Mail-Postfach landen. Jeder Schritt bleibt prüfungssicher dokumentiert.

Mehr dazu erfahren Sie auf unserer Seite zu Betroffenenanfragen in caralegal⁠.

Zum Newsletter anmelden

  • Nur relevante News
  • Monatlich
  • 2.000+ Abonnent:innen lesen ihn bereits
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

FAQ – Häufig gestellte Fragen

  • Unternehmen müssen Betroffenenanfragen grundsätzlich innerhalb eines Monats nach Eingang beantworten (Art. 12 Abs. 3 DSGVO). Ist die Anfrage besonders komplex oder liegen mehrere Anfragen gleichzeitig vor, kann die Frist auf bis zu drei Monate verlängert werden. Die betroffene Person muss jedoch innerhalb des ersten Monats über die Verlängerung und deren Gründe informiert werden.

  • Werden Betroffenenanfragen verspätet oder unvollständig beantwortet, können sich Betroffene an die zuständige Datenschutzaufsichtsbehörde wenden. Verstöße gegen die DSGVO können aufsichtsbehördliche Maßnahmen oder Bußgelder nach sich ziehen. Ein strukturierter Bearbeitungsprozess hilft dabei, dieses Risiko zu reduzieren.

  • Ein rechtssicherer Prozess umfasst in der Regel fünf Schritte:

    • Eingang der Anfrage dokumentieren
    • Identität der betroffenen Person prüfen
    • Relevante Daten und Fachbereiche einbinden
    • Vollständige Auskunft erstellen
    • Antwort sicher an die betroffene Person übermitteln und den Vorgang dokumentieren

    Ein dokumentierter Workflow hilft dabei, Fristen einzuhalten und die Rechenschaftspflicht nach der DSGVO nachzuweisen.

  • Unternehmen sollten bereits vor Eingang einer Anfrage klare Zuständigkeiten, dokumentierte Prozesse und zentrale Kommunikationswege etablieren. Hilfreich sind ein gepflegtes Verzeichnis von Verarbeitungstätigkeiten (VVT), definierte Workflows, regelmäßige Mitarbeiterschulungen sowie ein System zur Fristenüberwachung. So lassen sich Betroffenenanfragen effizient und rechtssicher bearbeiten.

  • Die DSGVO gewährt betroffenen Personen unter anderem folgende Rechte:

    • Auskunft (Art. 15 DSGVO)
    • Berichtigung (Art. 16 DSGVO)
    • Löschung (Art. 17 DSGVO)
    • Einschränkung der Verarbeitung (Art. 18 DSGVO)
    • Datenübertragbarkeit (Art. 20 DSGVO)
    • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
    • Schutz vor ausschließlich automatisierten Entscheidungen (Art. 22 DSGVO)
  • Grundsätzlich ja. Unternehmen müssen jede Betroffenenanfrage prüfen und innerhalb der gesetzlichen Fristen beantworten. Nur in gesetzlich geregelten Ausnahmefällen darf eine Anfrage ganz oder teilweise abgelehnt werden, etwa wenn Rechte Dritter betroffen wären oder die Anfrage offensichtlich unbegründet oder exzessiv ist. Auch eine Ablehnung muss nachvollziehbar begründet werden.

  • Viele Unternehmen setzen Datenschutzmanagement-Software ein, um Betroffenenanfragen effizient zu bearbeiten. Automatisierte Workflows unterstützen unter anderem bei der Erfassung der Anfrage, der Fristenüberwachung, der Einbindung der Fachbereiche, der Dokumentation und der sicheren Kommunikation mit der betroffenen Person. Dadurch sinkt das Risiko von Fristversäumnissen und manuellen Fehlern.

  • Spezialisierte Datenschutzmanagement-Platformen unterstützen Unternehmen dabei, Betroffenenanfragen zentral zu verwalten. Wichtig sind Funktionen wie Webformulare, Ticket- und Workflowmanagement, automatische Fristenüberwachung, revisionssichere Dokumentation sowie eine sichere Bereitstellung der Auskunft. Bei caralegal können Betroffenenanfragen beispielsweise vollständig innerhalb eines dokumentierten Workflows bearbeitet werden: vom Eingang bis zur sicheren Übergabe der Antwort.

  • Bevor personenbezogene Daten herausgegeben werden, muss die Identität der anfragenden Person angemessen überprüft werden. Welche Nachweise erforderlich sind, hängt vom Risiko und der Sensibilität der angefragten Daten ab. Die Identitätsprüfung darf das Auskunftsrecht jedoch nicht unnötig erschweren.

Artikel verfasst von

Dennis Kurpierz, Mitgründer und COO von caralegal, Portrait im Büro, an einer Wand lehnend.
Dennis Kurpierz Co-Founder & COO

Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.

Dafür fehlt mir die Zeit caralegal

In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung