Skip to content
Rechte & Anfragen calendar_today Aktualisiert: 11. April 2026 schedule 6 Min. Lesezeit

Wie Richten Sie einen Prozess für Betroffenenanfragen Ein?

verified Zuletzt überprüft 11. April 2026 · das GDPRWise Rechtsteam

Eine Schritt-für-Schritt-Anleitung zum Aufbau eines zuverlässigen Prozesses für die Bearbeitung von Betroffenenanfragen nach der DSGVO. Von der Benennung einer Kontaktstelle bis zur Dokumentation jedes Schritts.

summarize Kernaussagen
  • check_circle Benennen Sie eine klare Kontaktstelle für alle Betroffenenanfragen
  • check_circle Jede Form von Anfrage zählt - E-Mail, Telefon, mündlich oder Social Media
  • check_circle Registrieren Sie jede Anfrage sofort und setzen Sie Fristerinnerungen
  • check_circle Dokumentieren Sie alles als Nachweis für die Aufsichtsbehörde

Warum Sie einen Prozess brauchen

Die meisten KMU bearbeiten ihre erste Betroffenenanfrage in Panik. Jemand schreibt eine E-Mail mit “Welche Daten haben Sie über mich?” und niemand weiß, wer antworten soll, was geprüft werden muss oder wann die Frist abläuft. So entstehen Fehler, und Fehler führen zu Beschwerden und Bußgeldern.

Ein klarer, schriftlicher Prozess verhindert das. Er muss nicht kompliziert sein. Neun Schritte, ein gemeinsames Register und einige Vorlagen genügen.

Schritt 1: Benennen Sie eine Kontaktstelle

Wählen Sie eine Person oder eine E-Mail-Adresse, die alle Betroffenenanfragen empfängt. Das kann datenschutz@ihrunternehmen.de sein, Ihr Office-Manager oder Sie selbst, wenn Sie ein kleines Team haben.

Die wichtigste Regel: Anfragen dürfen nicht in einem allgemeinen Postfach landen, wo sie untergehen. Jeder in Ihrer Organisation muss wissen, wohin eine Anfrage sofort weitergeleitet wird.

Sorgen Sie für eine Vertretung. Wenn die Kontaktperson im Urlaub ist, muss jemand anderes die eingehenden Anfragen prüfen.

Schritt 2: Erkennen Sie eine Anfrage

Eine Betroffenenanfrage kommt nicht auf einem speziellen Formular. Sie kann über jeden Kanal eingehen:

  • E-Mail - “Bitte senden Sie mir alle Daten, die Sie über mich haben”
  • Telefon - “Ich möchte, dass mein Konto gelöscht wird”
  • Social Media - eine Direktnachricht mit der Bitte, die Verarbeitung zu stoppen
  • Brief - ein formelles schriftliches Ersuchen
  • Mündlich - während eines Meetings oder am Empfang

Jede Variante von “Welche Daten haben Sie?”, “Löschen Sie meine Daten”, “Stoppen Sie die Verarbeitung meiner Daten” oder “Korrigieren Sie meine Angaben” gilt als formelle Anfrage nach der DSGVO. Schulen Sie Ihr Team, diese zu erkennen und sofort weiterzuleiten.

Schritt 3: Sofort registrieren

Sobald eine Anfrage eingeht, tragen Sie sie in Ihr Anfragenregister ein. Notieren Sie:

  • Wer die Anfrage stellt (Name, Kontaktdaten)
  • Wann Sie sie erhalten haben (ab hier läuft die Frist)
  • Über welchen Kanal sie eingegangen ist
  • Welche Art von Anfrage es ist (Auskunft, Löschung, Berichtigung, Einschränkung, Datenportabilität, Widerspruch)
  • Frist (ein Monat ab Eingang)
description

Vorlage: Anfragenregister

Verfolgen Sie jede Anfrage in einem zentralen Register: wer, wann, welche Art, Frist und Ergebnis.

Zur Vorlage arrow_forward

Schritt 4: Identität überprüfen

Bevor Sie auf eine Anfrage reagieren, müssen Sie sicherstellen, dass Sie mit der richtigen Person kommunizieren. Daten an die falsche Person herauszugeben ist eine Datenschutzverletzung.

Wenden Sie verhältnismäßige Verifizierung an:

SituationVerifizierungsmethode
Bekannter Kunde mit KontoBestätigung über das Konto oder die bekannte E-Mail-Adresse
Bekannter Mitarbeiter oder KontaktBestätigung über die bekannte E-Mail-Adresse genügt
Unbekannte PersonKopie des Ausweises anfordern, Foto und Ausweisnummer geschwärzt

Fordern Sie nie mehr Identifikation als nötig. Eine vollständige Reisepasskopie für eine Newsletter-Abmeldung ist unverhältnismäßig.

description

Vorlage: Identitätsverifizierung

Ein Standardschreiben, mit dem Sie den Anfragenden bitten, seine Identität auf verhältnismäßige Weise zu bestätigen.

Zur Vorlage arrow_forward

Schritt 5: Anfrage bewerten

Bestimmen Sie, welches Recht geltend gemacht wird und ob Sie dem nachkommen können:

  • Welches Recht? Auskunft, Löschung, Berichtigung, Einschränkung, Datenportabilität oder Widerspruch?
  • Können Sie vollständig nachkommen? In den meisten Fällen ja.
  • Gibt es Gründe für eine (teilweise) Ablehnung? Gesetzliche Aufbewahrungspflichten, Rechte Dritter, offensichtlich unbegründete Anfragen?
  • Teilweise Erfüllung? Möglicherweise müssen Sie einige Daten löschen, während Sie andere Daten behalten, die Sie gesetzlich aufbewahren müssen.

Wenn Sie ablehnen müssen, müssen Sie erklären warum und den Anfragenden über sein Recht informieren, Beschwerde bei der Aufsichtsbehörde einzulegen.

Schritt 6: Fristerinnerungen setzen

Sie haben einen Monat ab dem Eingangsdatum. Nicht ab der Verifizierung, nicht ab dem Zeitpunkt, an dem Sie mit der Bearbeitung begonnen haben - ab Eingang.

Setzen Sie zwei Erinnerungen:

  • Nach zwei Wochen - Fortschritt prüfen. Ist die Identität verifiziert? Haben Sie mit der Datensammlung begonnen?
  • Nach drei Wochen - die Antwort sollte fast fertig sein. Falls nicht, erwägen Sie eine Verlängerung.

Bei komplexen Anfragen können Sie die Frist um zwei Monate verlängern. Sie müssen den Anfragenden jedoch innerhalb des ersten Monats darüber informieren und erklären, warum.

Schritt 7: Antworten

Antworten Sie immer schriftlich, auch wenn die Anfrage telefonisch kam. Ihre Antwort muss klar erklären:

  • Was Sie getan haben - welche Daten Sie bereitgestellt, berichtigt oder gelöscht haben
  • Warum - die Rechtsgrundlage für Ihr Handeln (oder Ihr Ablehnungsgrund)
  • Deren Rechte - das Recht, Beschwerde bei der Aufsichtsbehörde einzulegen

Verwenden Sie Antwortvorlagen, um sicherzustellen, dass Sie alle Pflichtelemente abdecken:

description

Vorlage: Bestätigung Auskunftsanfrage

Eine fertige Antwortvorlage für Auskunftsanfragen mit allen vorgeschriebenen Informationselementen.

Zur Vorlage arrow_forward

Für andere Anfragetypen verwenden Sie die entsprechende Vorlage: Löschungsbestätigung, Ablehnung der Löschung oder Berichtigungsbestätigung. Jede Vorlage stellt sicher, dass Sie die gesetzlich vorgeschriebenen Informationen enthalten.

Schritt 8: Alles dokumentieren

Ihre Akte pro Anfrage sollte enthalten:

  • Die ursprüngliche Anfrage (oder eine Zusammenfassung, wenn sie mündlich war)
  • Identitätsverifizierungsunterlagen
  • Ihre internen Notizen darüber, welche Systeme durchsucht wurden
  • Die Antwort, die Sie gesendet haben
  • Daten jedes Schritts

Dies ist Ihr Nachweis, falls die betroffene Person eine Beschwerde bei der Aufsichtsbehörde einreicht. Ohne Dokumentation steht Ihre Aussage gegen deren Aussage.

Schritt 9: Eskalationspfad einrichten

Nicht jede Anfrage ist unkompliziert. Legen Sie im Voraus fest:

  • Wer entscheidet über Ablehnungen? Die Kontaktperson sollte Anfragen nicht allein ablehnen.
  • Wann konsultieren Sie einen Anwalt? Bei komplexen gesetzlichen Aufbewahrungspflichten, kollidierenden Rechten oder möglichen Rechtsstreitigkeiten.
  • Wann kontaktieren Sie Ihren DSB? Wenn Sie einen Datenschutzbeauftragten haben, sollte dieser bei nicht routinemäßigen Fällen einbezogen werden.
  • Was tun, wenn Sie sich über den Anfragetyp unsicher sind? Behandeln Sie sie im Zweifelsfall als gültige Anfrage und holen Sie Rat ein.

Halten Sie diesen Eskalationspfad schriftlich fest. Wenn eine schwierige Anfrage um 16 Uhr an einem Freitag eingeht, möchten Sie das nicht unter Druck herausfinden.

Der gesamte Prozess

Ihr Prozess passt auf eine Seite:

  1. Anfrage geht ein - an die Kontaktstelle weiterleiten
  2. Im Anfragenregister registrieren
  3. Identität überprüfen
  4. Anfrage bewerten
  5. Daten sammeln oder Maßnahme ergreifen
  6. Antwort mit Vorlage vorbereiten
  7. Antwort innerhalb eines Monats senden
  8. Alles dokumentieren
  9. Vorgang im Register abschließen

Drucken Sie das aus, teilen Sie es mit Ihrem Team und gehen Sie es einmal durch. Die erste echte Anfrage wird dann reibungslos verlaufen.

auto_awesome Seien Sie vorbereitet auf Anfragen

GDPRWise hilft Ihnen beim Aufbau Ihres Anfragenprozesses und erstellt die Vorlagen, die Sie für korrekte Antworten benötigen.

Teilen share LinkedIn mail E-Mail
GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.