Wählen Sie Ihre Region: Singapur & Asien-Pazifik Europa Lateinamerika
RESGUARD
solutions

Betroffenenauskunftsersuchen effektiv bearbeiten

 

Eine Schritt-fuer-Schritt-Anleitung zur DSGVO-konformen Bearbeitung von DSARs

Startseite / Blog / Datenschutz
12. November 2025 Datenschutz 8 Min. Lesezeit

Betroffenenauskunftsersuchen (Data Subject Access Requests, DSARs) gehoeren zu den am haeufigsten ausgeuebten Rechten nach der DSGVO und aehnlichen Datenschutzgesetzen weltweit. Wenn eine Person verlangt, die personenbezogenen Daten einzusehen, die Ihre Organisation ueber sie gespeichert hat, muessen Sie genau, vollstaendig und innerhalb strenger Fristen antworten. Ein schlecht bearbeiteter DSAR kann zu Beschwerden bei Aufsichtsbehoerden, Durchsetzungsmassnahmen und Reputationsschaeden fuehren.

Was ist ein DSAR?

Ein DSAR ist ein Antrag einer Person — der sogenannten betroffenen Person — auf Erhalt einer Kopie der personenbezogenen Daten, die eine Organisation ueber sie gespeichert hat. Gemaess Artikel 15 der DSGVO haben Personen auch das Recht, die Zwecke der Verarbeitung, die Kategorien der gespeicherten Daten, die Empfaenger ihrer Daten, die Aufbewahrungsfrist und die Quelle der Daten zu erfahren, sofern diese nicht direkt erhoben wurden.

DSARs koennen in jedem Format eingereicht werden — per E-Mail, Brief, ueber soziale Medien, muendlich oder sogar ueber einen Dritten, der im Namen der betroffenen Person handelt. Organisationen koennen kein bestimmtes Format oder keinen bestimmten Kanal vorschreiben.

DSAR-Fristen und Termine

Gemaess der DSGVO muessen Organisationen innerhalb eines Kalendermonats nach Eingang auf einen DSAR antworten. Diese Frist kann bei komplexen oder umfangreichen Anfragen um weitere zwei Monate verlaengert werden, jedoch muss die betroffene Person innerhalb der anfaenglichen Einmonatsfrist ueber die Verlaengerung und deren Gruende informiert werden.

Unter Singapurs PDPA betraegt die Frist 30 Tage mit einer moeglichen Verlaengerung um 30 Tage. Unabhaengig von der Rechtsordnung ist schnelles Handeln unerlaesslich. Legen Sie interne SLAs fest, die Ihrem Team genuegend Zeit geben, die Daten zu finden, zu pruefen und zusammenzustellen, bevor die externe Frist ablaeuft.

Identitaetspruefung

Bevor personenbezogene Daten offengelegt werden, muessen Sie die Identitaet des Antragstellers verifizieren, um eine unbefugte Offenlegung zu verhindern. Die Verifizierungsmassnahmen sollten jedoch verhaeltnismaessig sein. Bei bestehenden Kunden, die eine Anfrage ueber ihre registrierte E-Mail-Adresse stellen, ist eine zusaetzliche Verifizierung moeglicherweise nicht erforderlich. Bei Anfragen von unbekannten Personen oder Dritten koennen Sie eine Kopie eines amtlichen Ausweises anfordern oder Sicherheitsfragen stellen.

Vermeiden Sie eine uebermaessige Erhebung personenbezogener Daten zu Verifizierungszwecken. Fordern Sie nur die minimal erforderlichen Informationen an, um die Identitaet des Antragstellers zu bestaetigen.

Suche nach und Zusammenstellung von Daten

Eine gruendliche DSAR-Antwort erfordert die Durchsuchung aller Systeme, in denen personenbezogene Daten gespeichert sein koennten. Dazu gehoeren Datenbanken, CRM-Systeme, E-Mail-Postfaecher, gemeinsame Laufwerke, Backup-Systeme, Papierakten und Drittanbieterplattformen. Die Verwendung eines Datenschutz-Managers mit einem umfassenden Dateninventar macht diesen Prozess deutlich effizienter.

Wichtige Schritte im Suchprozess umfassen:

  • Konsultation Ihres Verzeichnisses von Verarbeitungstaetigkeiten (VVT), um alle Systeme mit personenbezogenen Daten zu identifizieren
  • Durchsuchung strukturierter Datenbanken anhand eindeutiger Identifikatoren
  • Durchsuchung unstrukturierter Datenquellen wie E-Mail und gemeinsame Laufwerke
  • Kontaktaufnahme mit Auftragsverarbeitern, die Daten in Ihrem Auftrag speichern koennten
  • Ueberpruefung archivierter und Backup-Daten, sofern sie innerhalb der Aufbewahrungsfristen liegen

Ausnahmen und Schwaerzungen

Nicht alle Daten muessen in einer DSAR-Antwort offengelegt werden. Mehrere Ausnahmen erlauben es Organisationen, bestimmte Informationen zurueckzuhalten:

  • Daten Dritter: Sie duerfen keine personenbezogenen Daten anderer identifizierbarer Personen ohne deren Einwilligung offenlegen, es sei denn, dies ist angemessen
  • Anwaltsprivileg: Durch das Berufsgeheimnis geschuetzte Daten sind ausgenommen
  • Vertrauliche Referenzen: Vertraulich erteilte Referenzen fuer Beschaeftigungszwecke koennen zurueckgehalten werden
  • Managementplanung: Daten im Zusammenhang mit Managementplanung, die durch Offenlegung beeintraechtigt wuerden
  • Kriminalitaet und Besteuerung: Daten, die zu Zwecken der Kriminalitaetsverhuetung oder Steuererhebung verarbeitet werden, sofern die Offenlegung diese Ziele beeintraechtigen wuerde

Dokumentieren Sie bei der Schwaerzung von Informationen Ihre Begruendung klar. Fuehren Sie Aufzeichnungen darueber, was zurueckgehalten wurde und warum, fuer den Fall spaeterer Beschwerden bei der Aufsichtsbehoerde.

Antwort an die betroffene Person

Die Antwort sollte klar, praegnant und in einem zugaenglichen Format sein. Stellen Sie die Daten elektronisch bereit, wenn der Antrag elektronisch gestellt wurde. Fuegen Sie die gemaess Artikel 15 Absatz 1 erforderlichen ergaenzenden Informationen bei, wie die Verarbeitungszwecke, Datenkategorien, Empfaenger, Aufbewahrungsfristen und die Datenquelle.

Die Antwort muss unentgeltlich erfolgen. Allerdings kann eine angemessene Gebuehr erhoben werden, wenn der Antrag offensichtlich unbegruendet oder uebertrieben ist, oder wenn die betroffene Person zusaetzliche Kopien anfordert.

Umgang mit uebertriebenen oder unbegruendeten Anfragen

Die DSGVO erlaubt es Organisationen, Anfragen abzulehnen oder eine Gebuehr zu erheben, die offensichtlich unbegruendet oder uebertrieben sind. Dies kann wiederholte Anfragen derselben Person in unangemessen kurzen Abstaenden oder Anfragen umfassen, die offensichtlich darauf abzielen, Stoerungen zu verursachen. Allerdings liegt die Beweislast dafuer, dass eine Anfrage unbegruendet oder uebertrieben ist, bei der Organisation, daher sollten Sie diese Befugnis vorsichtig ausueben und Ihre Begruendung dokumentieren.

Automatisierung des DSAR-Prozesses

Mit zunehmendem DSAR-Aufkommen wird die manuelle Bearbeitung unhaltbar. Erwaegen Sie die Automatisierung wichtiger Aspekte des Workflows:

  1. Eingang und Nachverfolgung: Verwenden Sie ein zentrales System, um alle DSARs bis zum Abschluss zu protokollieren, zuzuweisen und zu verfolgen
  2. Identitaetspruefung: Implementieren Sie standardisierte Verifizierungsverfahren mit klaren Entscheidungsbaeumen
  3. Datenermittlung: Nutzen Sie Datenmapping- und Inventartools, um die Suche ueber Systeme hinweg zu beschleunigen
  4. Pruefung und Schwaerzung: Verwenden Sie Vorlagen und Schwaerzungstools, um den Pruefprozess zu optimieren
  5. Antwortgenerierung: Automatisieren Sie Antwortschreiben mit vorab genehmigten Vorlagen

Eine umfassende Datenschutzplattform kann den gesamten DSAR-Lebenszyklus vom Eingang bis zur Antwort verwalten und sicherstellen, dass nichts uebersehen wird.

Aufzeichnungen und Audit-Trails

Fuehren Sie detaillierte Aufzeichnungen ueber jeden eingegangenen DSAR, einschliesslich des Eingangsdatums, der unternommenen Schritte zur Identitaetspruefung, der durchsuchten Systeme, der offengelegten Daten, der zurueckgehaltenen Daten mit Begruendung und des Antwortdatums. Dieser Audit-Trail ist wesentlich, um die Compliance gegenueber Aufsichtsbehoerden nachzuweisen und sich gegen Beschwerden zu verteidigen.

Ihr Datenschutzbeauftragter sollte die DSAR-Bearbeitungsverfahren regelmaessig ueberpruefen, um sicherzustellen, dass sie wirksam und konform bleiben. Erwaegen Sie regelmaessige Audits mit DSB-Unterstuetzung, um Verbesserungsmoeglichkeiten zu identifizieren.

Haeufige DSAR-Fallstricke, die es zu vermeiden gilt

  • Verpassen der Antwortfrist — setzen Sie interne Erinnerungen deutlich vor der externen Frist
  • Versaeumnis, alle Datenquellen zu durchsuchen — unvollstaendige Antworten laden zu Beschwerden ein
  • Uebermaessige Schwaerzung von Informationen ohne angemessene Begruendung
  • Offenlegung personenbezogener Daten Dritter ohne angemessene Schutzmassnahmen
  • Beharren auf bestimmten Antragsformaten, wenn das Gesetz dies nicht verlangt
  • Nichterkennnen eines DSARs, wenn er informell formuliert ist

Fazit

Die effektive Bearbeitung von DSARs erfordert eine Kombination aus klaren Verfahren, geschultem Personal und der richtigen Technologie. Durch Investition in einen strukturierten Ansatz koennen Organisationen Auskunftsersuchen effizient beantworten und gleichzeitig das Compliance-Risiko minimieren. Regelmaessige Schulungen, umfassende Dateninventare und automatisierte Workflows sind der Schluessel zur Skalierung Ihres DSAR-Prozesses bei steigendem Aufkommen.

DSAR Datenschutz DSGVO Betroffenenrechte

Weiterlesen

Verwandte Artikel

DSGVO-Compliance-Leitfaden

Vollstaendiger Leitfaden zu DSGVO-Grundsaetzen und Umsetzung.

PDPA-Singapur-Leitfaden

Wesentliches PDPA-Wissen fuer Unternehmen in Singapur.

Privacy by Design

Datenschutz von Grund auf in Systeme und Prozesse einbetten.

Bleiben Sie Informiert

Entdecken Sie Unsere Compliance-Lösungen

Durchstöbern Sie alle unsere Cyber-Compliance-Ressourcen oder erfahren Sie, wie unsere Plattform und Expertendienste Ihrer Organisation helfen können, Compliance zu erreichen und aufrechtzuerhalten.

Alle Artikel Kontakt
Kontaktformular