- Auskunftsrecht nach Art. 15 DSGVO: Antwort innerhalb 1 Monat (Verlängerung auf 3 Monate möglich, mit Begründung)
- 5 Schritte: Identität prüfen → Fachbereiche einbinden & Fristen überwachen → VVT prüfen → Antwortschreiben erstellen (Datenkopie, Zweck, Kategorien, Empfänger, Speicherdauer) → Antwort sicher übermitteln (verschlüsselt oder geschützter Datenraum statt E-Mail)
- Vorher Grundlagen schaffen: zentrale E-Mail-Adresse, Webformular, Schulungen, dokumentierte Prozesse
- Anfrage erst abgeschlossen, wenn Antwort sicher angekommen ist – nicht nur formuliert
- Fristversäumnis kann Bußgelder/aufsichtsbehördliche Maßnahmen nach sich ziehen
In diesem Artikel
- Betroffenenrechte und die DSGVO: die rechtliche Grundlage
- Was ist eine Betroffenenanfrage nach DSGVO?
- Welche Pflichten haben Unternehmen bei Betroffenenanfragen?
- Welche Betroffenenrechte regelt die DSGVO?
- Wie können Betroffene eine Anfrage stellen?
- Anleitung in 5 leichten Schritten
- Fazit: Warum ist professionelles Betroffenenanfragen-Management gute Geschäftspraxis?
- FAQ - Häufig gestellte Fragen
Betroffenenrechte und die DSGVO: die rechtliche Grundlage
Der Sinn und Zweck der DSGVO ist nicht primär der Schutz personenbezogener Daten, sondern die Wahrung der Grundrechte natürlicher Personen. Das ist der entscheidende Ausgangspunkt, wenn es um Betroffenenanfragen geht.
Gemäß Art. 15 DSGVO hat jede natürliche Person das Recht, jederzeit bei einer Organisation anzufragen, ob, welche und wie ihre personenbezogenen Daten verarbeitet werden. Dieses Auskunftsrecht ist nicht auf gespeicherte Datensätze beschränkt: Es umfasst jeden Vorgang der Datenverarbeitung, der die betreffende Person betrifft.
Was ist eine Betroffenenanfrage nach DSGVO?
Eine Betroffenenanfrage ist das formlose Ersuchen einer natürlichen Person an eine datenverarbeitende Organisation, ihr Auskunftsrecht nach Art. 15 DSGVO oder weitere Rechte nach Art. 16–22 DSGVO geltend zu machen. Sie kann schriftlich, per E-Mail oder mündlich eingehen, ein bestimmtes Format ist gesetzlich nicht vorgeschrieben.
Das macht Betroffenenanfragen zu einer anspruchsvollen, stets individuell zu lösenden Aufgabe. Vielen Organisationen ist dabei nicht klar, wie sie rechtssicher mit einer eingegangenen Betroffenenanfrage rechtssicher umgehen.
Welche Pflichten haben Unternehmen bei Betroffenenanfragen?
Ein strukturierter, dokumentierter Prozess ist die Voraussetzung dafür, Betroffenenanfragen rechtssicher und effizient zu bearbeiten. Wer von Art. 15 DSGVO Gebrauch macht, hat Anspruch auf eine schnelle und vollständige Antwort. Dafür braucht es eine klare interne Wissensbasis und transparente Datenschutzprozesse.
Ein gut aufgesetzter Prozess schützt außerdem vor behördlichen Sanktionen: Datenschutzaufsichtsbehörden prüfen zunehmend, ob Organisationen dem Auskunftsrecht tatsächlich in der Praxis Folge leisten.
Gut zu wissen: Der Europäische Datenschutzausschuss (EDSA) führte 2024 eine europaweite Kontrollaktion des Auskunftsrechts nach Art. 15 DSGVO durch. Die dabei veröffentlichte Fragenliste eignet sich gut, um interne Prozesse zu überprüfen und sich auf künftige behördliche Kontrollen vorzubereiten. Der Fragebogen ist hier kostenlos erhältlich: Coordinated Enforcement Framework Action 2024: implementation of the right of access by controllers.
Welche Betroffenenrechte regelt die DSGVO?
Neben dem Auskunftsrecht kennt die Europäische Datenschutz-Grundverordnung noch weitere Betroffenenrechte. Diese bilden einen Rechtekatalog, der sich von Art. 15 bis Art. 22 DSGVO erstreckt:
- Art. 15 – Auskunftsrecht der Betroffenen
- Art. 16 – Recht auf Berichtigung
- Art. 17 – Recht auf Löschung (das sogenannte „Recht auf Vergessenwerden“)
- Art. 18 – Recht auf Einschränkung der Verarbeitung
- Art. 20 – Recht auf Datenübertragbarkeit
- fffArt. 21 – Widerspruchsrecht
- Art. 22 – Recht, nicht ausschließlich von einer automatisierten Entscheidung (im Einzelfall einschließlich Profiling) betroffen zu sein
Art. 19 DSGVO erscheint in dieser Liste nicht, weil es sich dabei nicht um ein Betroffenenrecht im engeren Sinne handelt. Art. 19 verpflichtet Organisationen, Empfänger personenbezogener Daten über Berichtigungen oder Löschungen zu informieren. Im Umkehrschluss ergibt sich daraus allerdings ein entsprechender Auskunftsanspruch für Betroffene.
Wie können Betroffene eine Anfrage stellen?
Betroffene können ihr Auskunftsrecht jederzeit und kostenfrei geltend machen. Ein formloser Antrag per E-Mail oder Brief an die verantwortliche Organisation genügt – theoretisch auch ein mündliches Ersuchen per Telefon. Die Antwort muss prägnant, transparent und für die anfragende Person verständlich sein.
Wer von der Verarbeitung seiner personenbezogenen Daten erfährt, reagiert oft sensibel. Eine transparente, freundliche und vollständige Auskunft ist deshalb zugleich gute Reputationsarbeit. In der Praxis hilft es, wenn Betroffenenanfragen nicht über verschiedene Postfächer, manuelle Weiterleitungen und einzelne Dokumente verteilt sind, sondern direkt in einem zentralen Workflow ankommen. Genau dafür bieten Datenschutzmanagementsysteme wie caralegal Webformulare, Fristensteuerung und eine strukturierte Bearbeitung in einem Tool.
Wie bearbeite ich Betroffenenanfragen? Anleitung in 5 leichten Schritten.
Eine Betroffenenanfrage formal korrekt, kompetent und ausführlich zu beantworten, ist leichter als gedacht - vorausgesetzt, man beachtet einige wichtige Schritte. Unsere Anleitung gibt einen strukturierten Überblick, wie Datenschutzexpert:innen Anfragenden Auskunft erteilen und dabei auf der (rechts-)sicheren Seite bleiben können. Wichtig: Dieser Vorgang ist als Ergänzung bestehender Richtlinien zu verstehen und sollte sich wie viele andere Prozesse in die gelebte Datenschutzpraxis von Unternehmen integrieren.
Schritt 0: Die Grundlagenarbeit
Bevor eine einzelne Betroffenenanfrage bearbeitet werden kann, müssen die richtigen Strukturen vorhanden sein. Datenschutzverantwortliche sind in der Regel nicht die erste Anlaufstelle. Damit jede Anfrage den zuständigen Datenschutzbeauftragten zuverlässig erreicht, braucht es:
- eine zentrale E-Mail-Adresse für alle Betroffenenanfragen, die regelmäßig geprüft wird
- ein Formular auf der Website, über das Betroffene direkt anfragen können und das Anfragen automatisch ins Datenschutzmanagementsystem überträgt
- regelmäßige Schulungen für alle Mitarbeitenden, damit Betroffenenanfragen erkannt und korrekt weitergeleitet werden
- dokumentierte interne Prozesse und klare Richtlinien im Prozessleitfaden oder internen Handbuch
- ein automatisiertes Ticketsystem zur sofortigen Weiterleitung ans Datenschutzteam
Besonders hilfreich ist ein Webformular, das Anfragen direkt in das Datenschutzmanagementsystem überträgt. So wird aus einer eingehenden Anfrage automatisch ein dokumentierter Vorgang mit Zuständigkeiten, Fristen und Bearbeitungsschritten. Auf unserer Seite zu Betroffenenanfragen in caralegal zeigen wir, wie dieser Prozess vom Eingang bis zur sicheren Antwort softwaregestützt abgebildet werden kann.
Wichtig zur Frist: Betroffenenanfragen sind unverzüglich zu beantworten. Gemäß Art. 12 Abs. 3 DSGVO gilt eine Frist von einem Monat ab Eingang der Anfrage. Bei komplexen oder besonders zahlreichen Anfragen kann diese Frist auf maximal drei Monate verlängert werden – die betroffene Person ist dann innerhalb des ersten Monats über die Verlängerung und deren Gründe zu informieren. Die anfragende Person sollte zudem unverzüglich eine Eingangsbestätigung erhalten.
Schritt 1: Identifikation der betroffenen Person
Bevor personenbezogene Daten herausgegeben werden, ist die Identität der anfragenden Person zu verifizieren. Wie das geschieht, hängt vom Umfang und der Sensibilität der angefragten Daten ab:
- Anforderung einer Kopie eines amtlichen Ausweisdokuments oder einer aktuellen Rechnung
- Sicherheitsfragen, deren Antworten nur die betroffene Person kennen sollte
- Zwei-Faktor-Authentifizierung für den Zugang zu persönlichen Daten
- bei hochsensiblen Daten: persönliche Vorsprache oder notarielle Beglaubigung
Die gewählte Methode muss verhältnismäßig sein: Sie darf die Ausübung des Auskunftsrechts nicht unnötig erschweren. Der Datenschutzbeauftragte sollte in die Auswahl einbezogen werden, um sicherzustellen, dass die Methode datenschutzrechtlich korrekt und benutzerfreundlich ist.
Schritt 2: Einbindung der Fachbereiche und Einhaltung der Fristen
Um sicherzustellen, dass die Fachbereiche effektiv eingebunden sind und die gesetzlichen Fristen eingehalten werden, sollten klare Zuständigkeiten und Verantwortlichkeiten definiert werden. Jeder Bereich sollte genau wissen, welche Informationen und Daten er liefern muss. Dokumentierte Prozesse und klare Workflows, die den Ablauf von Betroffenenanfragen von der Erfassung bis zur Antwort beschreiben, sind hierbei unerlässlich. Regelmäßige Meetings oder Updates mit den beteiligten Fachbereichen helfen, den Status der Anfragen zu überwachen und mögliche Engpässe zu identifizieren. Ein Monitoring- und Reporting-System unterstützt zusätzlich bei der Überwachung der Fristeneinhaltung.
Schritt 3: Verarbeitungstätigkeiten prüfen
Sind die eben beschriebenen Aufgaben erledigt, muss herausgefunden werden, inwiefern personenbezogene Informationen des Antragstellers oder der Antragstellerin in die Verarbeitungstätigkeiten der Organisation eingebunden sind. Hierbei empfehlen wir, einen genauen Blick in das idealerweise gründlich gepflegte Verzeichnis von Verarbeitungstätigkeiten (VVT) zu werfen. Besonders effizient gelingt dies, wenn Betroffenenanfragen direkt mit dem VVT verknüpft sind. Dadurch lassen sich relevante Datenbestände und zuständige Fachbereiche deutlich schneller identifizieren. Je nach Einzelfall wird zusätzlich die für die Verarbeitungstätigkeit zuständige Abteilung und deren Mitarbeiter:innen bei der Recherche hinzugezogen. Zunächst jedoch ist die betroffene Person innerhalb der existierenden Datenbestände eindeutig zu identifizieren.
Schritt 4: Formulierung eines Antwortschreibens
Wurden alle Verarbeitungstätigkeiten sowie Datenbestände, die im Zusammenhang mit der antragstellenden Person stehen, ermittelt, wird eine übersichtliche Liste für den:die Anfragende:n erstellt. Gemäß Art. 15 Absatz 3 DSGVO muss eine Kopie der betroffenen personenbezogenen Daten bereitgestellt werden. Je nach Anfrage können zudem folgende Informationen relevant sein:
- Art und Zweck der Verarbeitung
- Kategorien der personenbezogenen Daten
- Empfänger:innen, gegenüber denen die personenbezogenen Daten oder deren Kategorien offengelegt wurden
- Dauer der Datenspeicherung
Außerdem müssen Antragstellende über ihr Recht auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten aufgeklärt werden. Je nach Umfang kann es dabei passieren, dass Änderungen am Datenbestand vorgenommen werden müssen, die unverzüglich zu erledigen sind.
Sobald das Antwortschreiben erstellt wurde, wird die Antwort zum Abschluss idealerweise zeitnah im Anschluss versendet. Der gesamte Vorgang sollte abschließend sorgfältig dokumentiert werden.
Schritt 5: Sichere Übersendung des Antwortschreibens
Beim Versand von Antwortschreiben sollten Datenschutz und Datensicherheit oberste Priorität haben. Der Versand per E-Mail ist gängig, jedoch sollte sichergestellt werden, dass die E-Mails verschlüsselt sind. Das BSI veröffentlicht hierzu regelmäßig aktuelle Empfehlungen. Gängige Verfahren wie PGP (Pretty Good Privacy) oder S/MIME (Secure/Multipurpose Internet Mail Extensions) bieten einen Basisschutz. Ist eine E-Mail-Verschlüsselung nicht möglich, können Dokumente passwortgeschützt versendet und das Passwort über einen separaten Kommunikationskanal (z. B. Telefon oder SMS) übermittelt werden. Für besonders sensible Informationen kommen auch der Versand per Einschreiben oder die Bereitstellung über ein sicheres Online-Portal infrage.
Noch sicherer ist es, die Antwort über einen geschützten Datenraum bereitzustellen. Anstatt die Antwort per E-Mail zu versenden, stellen Unternehmen sie der anfragenden Person in einem geschützten Bereich bereit. Auf diesen kann sie mit einer Ticket-ID und einem selbst gewählten Passwort zugreifen. So gelangen sensible personenbezogene Daten nicht in ein E-Mail-Postfach und das Risiko eines Fehlversands an die falsche Adresse wird deutlich reduziert.
Der geschützte Datenraum für Betroffenenanfragen in caralegal läuft vollständig in der eigenen Infrastruktur des Unternehmens. Antragsteller:innen und Datenschutzteam kommunizieren im selben Vorgang, Rückfragen und Dateien bleiben zentral an einem Ort. Jede Nachricht und jeder Dateiaustausch wird prüfungssicher protokolliert, sodass der gesamte Bearbeitungsprozess jederzeit nachvollziehbar dokumentiert werden kann.
Fazit: Warum ist professionelles Betroffenenanfragen-Management gute Geschäftspraxis?
Eine Betroffenenanfrage ist erst dann erledigt, wenn die Antwort sicher bei der anfragenden Person angekommen ist. Genau diese letzte Etappe deckt der geschützte Datenraum für Betroffenenanfragen in caralegal ab: Sie bearbeiten die Anfrage vom Eingang über die Recherche in den Datenbeständen bis zur Antwort in einem Tool. Die Übergabe erfolgt im geschützten Datenraum, ohne dass sensible Daten in einem E-Mail-Postfach landen. Jeder Schritt bleibt prüfungssicher dokumentiert.
Mehr dazu erfahren Sie auf unserer Seite zu Betroffenenanfragen in caralegal.


en_US



