Unternehmen müssen Anfragen zu Auskunft, Löschung, Widerspruch oder Datenübertragbarkeit fristgerecht, vollständig und nachweisbar beantworten. Fehler in diesen Prozessen kosten Zeit, Geld und Vertrauen.
Dieser Leitfaden zeigt den praxiserprobten Ablauf, die relevanten Fristen & Nachweise, Musterantworten und wie Tools/Workflows die Bearbeitung von Betroffenenanfragen vereinfachen.
Table of Contents
Das Wichtigste in Kürze:
- Frist: i. d. R. 1 Monat; verlängerbar mit Begründung.
- Identitätsprüfung ist Pflicht.
- Dokumentation/Nachweis der Bearbeitung ist erforderlich.
- Standardprozesse & Muster reduzieren das Risiko.
- Tools/Workflows beschleunigen die Bearbeitung und sichern die Qualität.
Warum Betroffenenanfragen wichtig sind
Die korrekte Bearbeitung von Betroffenenanfragen ist essenziell für die Rechtskonformität, stärkt das Vertrauen Ihrer Kunden und hilft, Bußgelder sowie Reputationsschäden zu vermeiden. Die Anforderungen an Unternehmen sind dabei hoch: Transparenz, Vollständigkeit und Nachweisbarkeit der Prozesse sind gefordert. Hierzu gehört auch die klare Einbindung in die Datenschutzorganisation (Rollen, Eskalationen).
Hier können Sie sich einen Überblick über die Betroffenenrechte der DSGVO verschaffen.
Beantwortung von Betroffenenrechten (DSGVO) - Ablauf in 5 Schritten
Ein strukturierter Prozess ist der Schlüssel zur effizienten und rechtssicheren Bearbeitung:
- Eingang & Qualifizierung: Prüfen Sie den Kanal, die Art des geltend gemachten Rechts und die Vollständigkeit der Anfrage. Die Verwendung eines Ticket-Systems kann hier hilfreich sein. Jedenfalls muss zu diesem Zeitpunkt bereits die Monatsfrist berechnet und bestenfalls eine Erinnerung für den Fristablauf angelegt werden.
- Identitätsprüfung: Wählen Sie eine angemessene Verifikation (risikobasiert), um sicherzustellen, dass Sie Daten nicht an Unbefugte herausgeben. Standardisieren Sie Rückfragen zum Identitätsnachweis.
- Datenermittlung: Identifizieren Sie alle betroffenen Systeme und Verarbeiter, die personenbezogene Daten der betroffenen Person enthalten. Nutzen Sie Ihr Systeminventar (z. B. das Verzeichnis von Verarbeitungstätigkeiten – VVT) und definieren Sie klare Suchstrategien und Schnittstellen zu IT, CRM und DMS.
- Antwort erstellen & übermitteln: Formulieren Sie die Antwort verständlich, sicher und fristgerecht. Falls eine Verlängerung der Frist notwendig ist, muss diese sachlich begründet und mitgeteilt werden. Achtung: Verwenden Sie ein Vier-Augen-Prinzip und eine sichere Übermittlung, um Datenpannen durch falsche Adressierung zu vermeiden.
- Dokumentation & Nachweis: Halten Sie die gesamte Bearbeitung (Anfrage, alle Prozessschritte, Ergebnisse, Kommunikation) revisionssicher fest. Dies erfüllt die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Unser Tipp: Eine gute Datenschutzdokumentation im Vorhinein vereinfacht die Beantwortung von Anfragen betroffener Personen erheblich. Das Recht auf Auskunft gem. Art. 15 DSGVO ist wahrscheinlich das am meisten genutzte Recht aus der DSGVO. Um diese Anfragen vollständig bearbeiten zu können ist es gut, wenn Sie alle durchgeführten Verarbeitungstätigkeiten, sowie alle Datenströme und ggf. Empfänger von personenbezogenen Daten zentral und übersichtlich dokumentieren. Dazu dient ein Verzeichnis der Verarbeitungstätigkeiten (VVT). Wie Sie ein übersichtliches VVT erstellen, können Sie hier nachlesen.
Eine Checkliste für die Bearbeitung von Betroffenenanfragen als Download folgt
Fristen, Formate und Nachweise
- Frist: Die Standardfrist zur Beantwortung des Antrags beträgt einen Monat.
- Verlängerung: Bei komplexen oder vielen Anträgen kann die Frist um bis zu zwei weitere Monate verlängert werden, muss aber mit Begründung mitgeteilt werden.
- Formate: Die Antwort muss in einer verständlichen, klaren und einfachen Sprache erfolgen. Sie kann schriftlich oder elektronisch übermittelt werden. Die Bearbeitung ist grundsätzlich kostenfrei (Ausnahmen sind nur bei exzessiven Ersuchen einer Person im Einzelfall möglich).
- Nachweis: Eine vollständige Prozess- und Ergebnisdokumentation, inklusive Identitätsprüfung, Suchwege und übermittelter Antwort, ist für den Nachweis erforderlich.
Musterantworten & Formulierungen
Die Nutzung von Mustertexten ist essenziell für die Standardisierung und Qualitätssicherung.
- Eingangsbestätigung: Bestätigen Sie den Eingang, nennen Sie die Frist und weisen Sie auf die notwendige Identitätsprüfung hin.
- Identitätsnachweis erbeten: Fordern Sie den Nachweis angemessen und datensparsam an.
- Fristverlängerung: Begründen Sie die Fristverlängerung umfangreich.
- Positive Antwort: Bestätigen Sie die Durchführung (z. B. Löschung durchgeführt).
- Teil-/Ablehnung: Lehnen Sie mit klarem Rechtsgrund ab (z. B. Unverhältnismäßigkeit, Rechte Dritter, gesetzliche Pflichten).
Tools, Checklisten & Workflow
Die Beantwortung von Betroffenenanfragen ist ein wiederkehrender und immer gleichartiger Prozess. Deshalb ist eine die Implementierung eines Standartprozesses und die Nutzung von Musterantworten gerade hier zu empfehlen.
Dazu lohnt es sich, zunächst ein Workflow-Template zu erstellen, in welchem die Rollen der Personen geregelt werden, die an der Beantwortung der Anfrage beteiligt sind (bspw. Helpdesk/DSB/IT). Außerdem regelt das Template auch Eskalationen und dient als Ablageort für zentrale Muster.
Eine Betroffenenanfrage muss dokumentiert beantwortet werden. Der Einsatz eines Ticket-Systems kann hier dabei helfen, Fristen zu wahren und den Fortgang der Bearbeitung einer Anfrage nachzuverfolgen und zu dokumentieren.
Bevor eine Anfrage gegenüber der betroffenen Person beantwortet wird, ist im letzten Schritt noch zu prüfen, ob diese inhaltlich korrekt und mit den Vorschriften der DSGVO in Einklang steht. Hierbei ist insbesondere darauf zu achten, dass insbesondere bei Auskunftsersuchen keine Daten Dritter mit an die betroffene Person mit herausgegeben werden.
Wie Sie Die Standartprozesse in Ihrem Unternehmen verankern und dadurch den Workflow bei der Bearbeitung von Anfragen verbessern können, zeigt Ihnen unser Beitrag zur Umsetzung im Unternehmen
Kennen Sie schon den // PRIMA Anonymizer?
Der // PRIMA Anonymizer entfernt personenbezogene Daten automatisiert aus Ihren Dokumenten – damit können Sie Betroffenenanfragen einfach und rechtskonform beantworten.
Häufige Fehler & wie man sie vermeidet
Häufiger Fehler
Vermeidung
Fristversäumnisse | Fristenmanagement einführen und Ticketierung nutzen |
Unzureichende Identitätsprüfung | Risiko-basiertes Schema hinterlegen |
Unvollständige Datensuche | Systeminventar/VVT nutzen und klare Suchwege definieren |
Datenpannen durch falsche Adressierung | Vier-Augen-Prinzip und sichere Übermittlung etablieren. |
Fehlende Dokumentation | Standardisierte Nachweis-Ablage im DMS/CRM nutzen |
Eine häufige und leider auch sehr schwerwiegende Datenpanne liegt vor, wenn die IT-Systeme und Server gehackt werden. Hier können Sie lesen, wie man in diesen Fällen reagiert.
Musterantworten
Hier können Sie Musterantworten für Betroffenenanfragen herunterladen [Download-Link Musterantworten folgt].
Noch einfacher als durch Musterantworten und Templates lassen sich Betroffenenanfragen jedoch mit unserem automatisierten Betroffenenmanagement // PRIMA Request beantworten.
Fazit
Eine gute Vorbereitung auf Betroffenenanfragen, basierend auf klaren Workflows und Mustern, macht die Bearbeitung schneller, rechtssicherer und nachweisbar.
Wie Sie den Datenschutz effektiv in Ihrem Unternehmen verankern können, lesen Sie im Blogbeitrag „Betroffenenrechte im Unternehmen umsetzen“
