- DSGVO Art. 15: Personen haben das Recht, ihre personenbezogenen Daten kostenlos zuzugreifen
- Sie haben 30 Kalendertage, um zu reagieren; erweiterbar um zwei Monate für komplexe Anfragen
- Sie müssen alle Systeme suchen — CRM, E-Mail, Dateien, Backups — nicht nur die offensichtlichen
- Veröffentlichen Sie keine personenbezogenen Daten von Drittanbietern in Ihrer Antwort; Schreiben Sie es sorgfältig
Eine Datenbetreff-Anfrage (DSAR) ist eine formale Anfrage einer Person, um eine Kopie aller persönlichen Daten, die Ihre Organisation über sie hält, zu erhalten, zusammen mit Informationen darüber, wie sie verarbeitet wird. Jede Person, deren Daten Sie speichern können, kann einen — einschließlich aktueller und ehemaliger Mitarbeiter, Kunden, Perspektiven und Mitglieder der Öffentlichkeit.
Das Recht auf Zugang gemäß Art. 15 DSGVO ist eines der am häufigsten ausgeübten Betroffenenrechte und eines der funktionstüchtigsten Ansprüche, die ordnungsgemäß erfüllt werden müssen. Aufsichtsbehörden in ganz Europa erhalten regelmäßig Beschwerden über Organisationen, die verspätet, unvollständig reagierten oder Daten von Drittanbietern offengelegt haben, ohne diese zu umgehen.
Verwandter HubSecure-Kaufpfad
Compliance-CRM-Leitfaden Compliance-CRM für wachsende Unternehmen CRM-Modul HubSpot-Vergleich Compliance-CRM-Leitfaden Leitfaden-Bibliothek Buchen Sie eine Workflow-Demo
Zugehörige Ressourcen zu Sicherheit, Datenschutz und Governance
Weiter mit HubSecure Sicherheits- und Trustcenter, Datenverarbeitungsvereinbarung, Unterauftragsverarbeiter, Compliance-Workflows, geregelter KI-Betreiber.
Verwandter Anwendungsfall
Dieser Leitfaden gehört zum Cluster Workspace Alternatives and Tool Consolidation Guides. Fahren Sie mit dem Produkt-Hub für Arbeitsplatzalternativen und Werkzeugkonsolidierung fort.
Was ein DSAR muss die Antwort enthalten
Wenn Sie auf eine DSAR antworten, müssen Sie Folgendes angeben:
- Bestätigung, ob Sie personenbezogene Daten über die betroffene Person verarbeiten
- Eine Kopie der personenbezogenen Daten selbst
- Die Zwecke der Verarbeitung
- Die betroffenen Datenkategorien
- Empfänger oder Kategorien von Empfängern, gegenüber denen Daten offengelegt wurden
- Der Aufbewahrungszeitraum oder Kriterien, anhand derer er bestimmt wird
- Die Rechte des Einzelnen auf Berichtigung, Löschung, Einschränkung und Widerspruch
- Das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen
- Sofern die Daten nicht bei der Person erhoben wurden: Angaben zur Quelle
- Bei automatisierter Entscheidungsfindung: aussagekräftige Informationen über die involvierte Logik
Die 30-Tage-Uhr
Die Frist beträgt 30 Kalendertage ab Eingang des Antrags – nicht 30 Arbeitstage. Wenn der Antrag komplex ist oder Sie viele gleichzeitige Anträge erhalten, können Sie die Frist um weitere zwei Monate verlängern. Sie müssen die Person jedoch innerhalb der ersten 30 Tage über die Inanspruchnahme einer Verlängerung informieren und den Grund dafür erläutern.
Die Uhr beginnt, wenn Sie die Anfrage erhalten, nicht, wenn Sie sie bestätigen oder mit der Bearbeitung beginnen. Eine mündliche, über soziale Medien oder eine formlose E-Mail gestellte Anfrage zählt.
Wo zu suchen
Eine DSAR-Antwort muss umfassend sein. Sie können die Suche nicht auf Ihr primäres CRM oder ein E-Mail-Konto beschränken. Jedes System, das möglicherweise personenbezogene Daten über die Person enthält, muss durchsucht werden:
- CRM- und Kundenverwaltungssysteme
- E-Mail-Konten (einschließlich freigegebener Postfächer und archivierter E-Mails)
- Dateiserver und Dokumentenmanagementsysteme
- HR- und Gehaltsabrechnungssysteme (für Mitarbeiter-DSARs)
- Buchhaltungs- und Abrechnungssysteme
- Anrufaufzeichnungssysteme
- CCTV (falls identifizierbares Filmmaterial vorhanden ist)
- Drittverarbeiter – überprüfen Sie Ihre DPAs auf Daten, die von Anbietern gespeichert werden
- Backup-Archive (falls die Daten sonst enthalten wären)
Praxistipp: Das Führen einer Datenkarte (Aufzeichnung der Verarbeitungsaktivitäten) verkürzt die DSAR-Reaktionszeit erheblich. Wenn Sie genau wissen, welche Systeme welche Datenkategorien enthalten, können Sie systematisch statt ad hoc suchen.
Daten von Drittanbietern
Einer der häufigsten DSAR-Fehler ist die Offenlegung von Dokumenten, die personenbezogene Daten anderer Personen enthalten. Eine Kundenakte kann beispielsweise Angaben zu Kontrahenten, Referenzen oder Mitarbeitern enthalten. Diese Drittpersonen haben den Antrag nicht gestellt und die Offenlegung ihrer Daten könnte bereits einen Verstoß gegen die DSGVO darstellen.
Bevor Sie ein Dokument senden, überprüfen Sie es auf personenbezogene Daten Dritter und redigieren Sie es entsprechend. Wenn die Schwärzung so umfassend ist, dass das Dokument jegliche Bedeutung verliert, können Sie überlegen, ob die Bereitstellung in geschwärzter Form dem Zweck des Zugangsrechts dient. Dokumentieren Sie Ihre Redaktionsentscheidungen.
Wenn Sie einen DSAR ablehnen oder einschränken können
DSARs können unter bestimmten Umständen abgelehnt oder eingeschränkt werden:
- Offensichtlich unbegründete oder übermäßige Anfragen – insbesondere wiederholte Anfragen, die eindeutig auf Belästigung abzielen; Sie müssen dies nachweisen können
- Schweigepflicht des Anwalts – Rechtsberatungsdokumente können gegebenenfalls aus Gründen der Schweigepflicht verweigert werden
- Verhütung und Aufdeckung von Straftaten – einige Informationen, die für Betrug oder strafrechtliche Ermittlungen relevant sind, können zurückgehalten werden
- AML-Hinweis – Informationen, die eine SAR-Einreichung oder eine laufende Untersuchung im Rahmen der AML-Gesetzgebung offenlegen würden
Wenn Sie einen Antrag ablehnen, müssen Sie die Person über die Gründe und ihr Recht informieren, sich bei der Aufsichtsbehörde zu beschweren und Rechtsbehelfe einzulegen.
Können wir für DSARs eine Gebühr erheben?
Nein, in den meisten Fällen. Die Antworten müssen kostenfrei erfolgen. Eine Ausnahme gilt für offensichtlich unbegründete oder überzogene Anträge. Sie können eine angemessene Gebühr verlangen oder sich weigern, tätig zu werden, Sie müssen die Einstufung jedoch begründen können.
Was ist, wenn wir die Person nicht identifizieren können?
Wenn Sie die Identität des Antragstellers nicht mit hinreichender Sicherheit überprüfen können, können Sie zusätzliche Informationen anfordern, um ihn zu identifizieren. Sie sollten nicht mehr Informationen als nötig anfordern. Wenn die Identität weiterhin nicht überprüfbar ist, können Sie den Anforderungen möglicherweise nicht nachkommen – dokumentieren Sie dies sorgfältig.
Haben Mitarbeiter die gleichen Rechte wie Kunden?
Ja. Mitarbeiter (und ehemalige Mitarbeiter) haben gemäß DSGVO die vollen DSAR-Rechte. Mitarbeiter-DSARs sind oft die komplexesten – sie umfassen HR-Systeme, E-Mail, Leistungsbeurteilungen, Disziplinarunterlagen und mehr.
Strukturierte Daten = schnellere DSAR-Antworten
HubSecure CRM und Vault speichern alle persönlichen Kundendaten in einem verwalteten Arbeitsbereich – so wissen Sie bei Eintreffen eines DSAR genau, wo Sie suchen müssen.
Buchen Sie eine DemoÜberprüft für regulierte Teams
Gefertigt durch das redaktionelle Team HubSecure für Operatoren, Compliance-Führer und IT-Bewerter, die eine sichere Client-Betriebssoftware bewerten.
Autoren · Reviewer · Redaktion