Skip to content
Rechte & Anfragen calendar_today Aktualisiert: 11. April 2026 schedule 6 Min. Lesezeit

Wie Richten Sie einen Prozess fuer Betroffenenanfragen Ein?

Eine Schritt-fuer-Schritt-Anleitung zum Aufbau eines zuverlaessigen Prozesses fuer die Bearbeitung von Betroffenenanfragen nach der DSGVO. Von der Benennung einer Kontaktstelle bis zur Dokumentation jedes Schritts.

summarize Kernaussagen
  • check_circle Benennen Sie eine klare Kontaktstelle fuer alle Betroffenenanfragen
  • check_circle Jede Form von Anfrage zaehlt - E-Mail, Telefon, muendlich oder Social Media
  • check_circle Registrieren Sie jede Anfrage sofort und setzen Sie Fristerinnerungen
  • check_circle Dokumentieren Sie alles als Nachweis fuer die Aufsichtsbehoerde

Warum Sie einen Prozess brauchen

Die meisten KMU bearbeiten ihre erste Betroffenenanfrage in Panik. Jemand schreibt eine E-Mail mit “Welche Daten haben Sie ueber mich?” und niemand weiss, wer antworten soll, was geprueft werden muss oder wann die Frist ablaeuft. So entstehen Fehler, und Fehler fuehren zu Beschwerden und Bussgeldern.

Ein klarer, schriftlicher Prozess verhindert das. Er muss nicht kompliziert sein. Neun Schritte, ein gemeinsames Register und einige Vorlagen genuegen.

Schritt 1: Benennen Sie eine Kontaktstelle

Waehlen Sie eine Person oder eine E-Mail-Adresse, die alle Betroffenenanfragen empfaengt. Das kann datenschutz@ihrunternehmen.de sein, Ihr Office-Manager oder Sie selbst, wenn Sie ein kleines Team haben.

Die wichtigste Regel: Anfragen duerfen nicht in einem allgemeinen Postfach landen, wo sie untergehen. Jeder in Ihrer Organisation muss wissen, wohin eine Anfrage sofort weitergeleitet wird.

Sorgen Sie fuer eine Vertretung. Wenn die Kontaktperson im Urlaub ist, muss jemand anderes die eingehenden Anfragen pruefen.

Schritt 2: Erkennen Sie eine Anfrage

Eine Betroffenenanfrage kommt nicht auf einem speziellen Formular. Sie kann ueber jeden Kanal eingehen:

  • E-Mail - “Bitte senden Sie mir alle Daten, die Sie ueber mich haben”
  • Telefon - “Ich moechte, dass mein Konto geloescht wird”
  • Social Media - eine Direktnachricht mit der Bitte, die Verarbeitung zu stoppen
  • Brief - ein formelles schriftliches Ersuchen
  • Muendlich - waehrend eines Meetings oder am Empfang

Jede Variante von “Welche Daten haben Sie?”, “Loeschen Sie meine Daten”, “Stoppen Sie die Verarbeitung meiner Daten” oder “Korrigieren Sie meine Angaben” gilt als formelle Anfrage nach der DSGVO. Schulen Sie Ihr Team, diese zu erkennen und sofort weiterzuleiten.

Schritt 3: Sofort registrieren

Sobald eine Anfrage eingeht, tragen Sie sie in Ihr Anfragenregister ein. Notieren Sie:

  • Wer die Anfrage stellt (Name, Kontaktdaten)
  • Wann Sie sie erhalten haben (ab hier laeuft die Frist)
  • Ueber welchen Kanal sie eingegangen ist
  • Welche Art von Anfrage es ist (Auskunft, Loeschung, Berichtigung, Einschraenkung, Datenportabilitaet, Widerspruch)
  • Frist (ein Monat ab Eingang)
description

Vorlage: Anfragenregister

Verfolgen Sie jede Anfrage in einem zentralen Register: wer, wann, welche Art, Frist und Ergebnis.

Zur Vorlage arrow_forward

Schritt 4: Identitaet ueberpruefen

Bevor Sie auf eine Anfrage reagieren, muessen Sie sicherstellen, dass Sie mit der richtigen Person kommunizieren. Daten an die falsche Person herauszugeben ist eine Datenschutzverletzung.

Wenden Sie verhaeltnismaessige Verifizierung an:

SituationVerifizierungsmethode
Bekannter Kunde mit KontoBestaetigung ueber das Konto oder die bekannte E-Mail-Adresse
Bekannter Mitarbeiter oder KontaktBestaetigung ueber die bekannte E-Mail-Adresse genuegt
Unbekannte PersonKopie des Ausweises anfordern, Foto und Ausweisnummer geschwaerzt

Fordern Sie nie mehr Identifikation als noetig. Eine vollstaendige Reisepasskopie fuer eine Newsletter-Abmeldung ist unverhaeltnismaessig.

description

Vorlage: Identitaetsverifizierung

Ein Standardschreiben, mit dem Sie den Anfragenden bitten, seine Identitaet auf verhaeltnismaessige Weise zu bestaetigen.

Zur Vorlage arrow_forward

Schritt 5: Anfrage bewerten

Bestimmen Sie, welches Recht geltend gemacht wird und ob Sie dem nachkommen koennen:

  • Welches Recht? Auskunft, Loeschung, Berichtigung, Einschraenkung, Datenportabilitaet oder Widerspruch?
  • Koennen Sie vollstaendig nachkommen? In den meisten Faellen ja.
  • Gibt es Gruende fuer eine (teilweise) Ablehnung? Gesetzliche Aufbewahrungspflichten, Rechte Dritter, offensichtlich unbegrundete Anfragen?
  • Teilweise Erfuellung? Moeglicherweise muessen Sie einige Daten loeschen, waehrend Sie andere Daten behalten, die Sie gesetzlich aufbewahren muessen.

Wenn Sie ablehnen muessen, muessen Sie erklaeren warum und den Anfragenden ueber sein Recht informieren, Beschwerde bei der Aufsichtsbehoerde einzulegen.

Schritt 6: Fristerinnerungen setzen

Sie haben einen Monat ab dem Eingangsdatum. Nicht ab der Verifizierung, nicht ab dem Zeitpunkt, an dem Sie mit der Bearbeitung begonnen haben - ab Eingang.

Setzen Sie zwei Erinnerungen:

  • Nach zwei Wochen - Fortschritt pruefen. Ist die Identitaet verifiziert? Haben Sie mit der Datensammlung begonnen?
  • Nach drei Wochen - die Antwort sollte fast fertig sein. Falls nicht, erwaegen Sie eine Verlaengerung.

Bei komplexen Anfragen koennen Sie die Frist um zwei Monate verlaengern. Sie muessen den Anfragenden jedoch innerhalb des ersten Monats darueber informieren und erklaeren, warum.

Schritt 7: Antworten

Antworten Sie immer schriftlich, auch wenn die Anfrage telefonisch kam. Ihre Antwort muss klar erklaeren:

  • Was Sie getan haben - welche Daten Sie bereitgestellt, berichtigt oder geloescht haben
  • Warum - die Rechtsgrundlage fuer Ihr Handeln (oder Ihr Ablehnungsgrund)
  • Deren Rechte - das Recht, Beschwerde bei der Aufsichtsbehoerde einzulegen

Verwenden Sie Antwortvorlagen, um sicherzustellen, dass Sie alle Pflichtelemente abdecken:

description

Vorlage: Bestaetigung Auskunftsanfrage

Eine fertige Antwortvorlage fuer Auskunftsanfragen mit allen vorgeschriebenen Informationselementen.

Zur Vorlage arrow_forward

Fuer andere Anfragetypen verwenden Sie die entsprechende Vorlage: Loeschungsbestaetigung, Ablehnung der Loeschung oder Berichtigungsbestaetigung. Jede Vorlage stellt sicher, dass Sie die gesetzlich vorgeschriebenen Informationen enthalten.

Schritt 8: Alles dokumentieren

Ihre Akte pro Anfrage sollte enthalten:

  • Die urspruengliche Anfrage (oder eine Zusammenfassung, wenn sie muendlich war)
  • Identitaetsverifizierungsunterlagen
  • Ihre internen Notizen darueber, welche Systeme durchsucht wurden
  • Die Antwort, die Sie gesendet haben
  • Daten jedes Schritts

Dies ist Ihr Nachweis, falls die betroffene Person eine Beschwerde bei der Aufsichtsbehoerde einreicht. Ohne Dokumentation steht Ihre Aussage gegen deren Aussage.

Schritt 9: Eskalationspfad einrichten

Nicht jede Anfrage ist unkompliziert. Legen Sie im Voraus fest:

  • Wer entscheidet ueber Ablehnungen? Die Kontaktperson sollte Anfragen nicht allein ablehnen.
  • Wann konsultieren Sie einen Anwalt? Bei komplexen gesetzlichen Aufbewahrungspflichten, kollidierenden Rechten oder moeglichen Rechtsstreitigkeiten.
  • Wann kontaktieren Sie Ihren DSB? Wenn Sie einen Datenschutzbeauftragten haben, sollte dieser bei nicht routinemaessigen Faellen einbezogen werden.
  • Was tun, wenn Sie sich ueber den Anfragetyp unsicher sind? Behandeln Sie sie im Zweifelsfall als gueltige Anfrage und holen Sie Rat ein.

Halten Sie diesen Eskalationspfad schriftlich fest. Wenn eine schwierige Anfrage um 16 Uhr an einem Freitag eingeht, moechten Sie das nicht unter Druck herausfinden.

Der gesamte Prozess

Ihr Prozess passt auf eine Seite:

  1. Anfrage geht ein - an die Kontaktstelle weiterleiten
  2. Im Anfragenregister registrieren
  3. Identitaet ueberpruefen
  4. Anfrage bewerten
  5. Daten sammeln oder Massnahme ergreifen
  6. Antwort mit Vorlage vorbereiten
  7. Antwort innerhalb eines Monats senden
  8. Alles dokumentieren
  9. Vorgang im Register abschliessen

Drucken Sie das aus, teilen Sie es mit Ihrem Team und gehen Sie es einmal durch. Die erste echte Anfrage wird dann reibungslos verlaufen.

auto_awesome Seien Sie vorbereitet auf Anfragen

GDPRWise hilft Ihnen beim Aufbau Ihres Anfragenprozesses und erstellt die Vorlagen, die Sie fuer korrekte Antworten benoetigen.

GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.