Datenschutz & Compliance

Betroffenenanfrage korrekt beantworten: Fristen und Inhalt

6 Min. Lesezeit
Kurze Antwort

Betroffenenanfragen müssen innerhalb von einem Monat beantwortet werden. Inhalt, Fristen und Prozess sind gesetzlich geregelt – Fehler kosten Zeit, Geld und Vertrauen.

Art. 12 DSGVO gibt Ihnen einen Monat Zeit – die Frist läuft ab Eingang der Anfrage, nicht ab Prüfung der Identität. Wer zu spät antwortet oder inhaltlich unvollständig bleibt, riskiert Bußgelder und Beschwerden bei der Aufsichtsbehörde.

Was unter Betroffenenanfragen fällt

Was Sie vor der Bearbeitung klären müssen

  • Identität des Antragstellers verifizieren – nur soviel Daten abfragen, wie nötig (kein unverhältnismäßiger Nachweis verlangen)
  • Art des Rechts bestimmen: Auskunft, Löschung, Berichtigung, Widerspruch oder Kombination
  • Liegt eine Ausnahme vor? Z. B. gesetzliche Aufbewahrungspflicht bei Löschanfragen
  • Alle betroffenen Systeme identifizieren: CRM, ERP, Buchhaltung, E-Mail-Archiv, Backups
  • Zuständigkeit intern klären: Wer bearbeitet, wer zeichnet ab
  • Eingang und Fristlauf dokumentieren

Schritt-für-Schritt: Betroffenenanfrage bearbeiten

  1. Eingang bestätigen und Frist notieren

    Sobald eine Anfrage eingeht – egal auf welchem Kanal – schicken Sie eine kurze Eingangsbestätigung. Notieren Sie das genaue Eingangsdatum. Die Monatsfrist beginnt ab diesem Tag, nicht ab Ihrer internen Prüfung.

  2. Identität prüfen

    Sie dürfen die Identität des Antragstellers prüfen, aber nicht übermäßig. Bei Zweifeln kann ein Ausweisdokument (geschwärzt bis auf Name und Geburtsdatum) oder eine gleichwertige Verifikation verlangt werden. Unverhältnismäßige Anforderungen können selbst als DSGVO-Verstoß gewertet werden.

  3. Alle relevanten Daten recherchieren

    Prüfen Sie alle Systeme, in denen personenbezogene Daten des Antragstellers verarbeitet werden könnten: Kundendatenbank, CRM, Newsletter-Tool, Buchhaltungssystem, Bewerberdatenbank, Backups, E-Mail-Archiv. Fehlende oder vergessene Systeme sind das häufigste Problem bei Auskunftsanfragen.

  4. Antwort zusammenstellen

    Bei Auskunftsanfragen (Art. 15) müssen Sie mitteilen: welche Kategorien von Daten verarbeitet werden, zu welchem Zweck, wie lange, wer Empfänger ist, ob Drittlandübermittlungen stattfinden und ob automatisierte Entscheidungen eingesetzt werden. Die Kopie der Daten selbst muss mitgeliefert werden.

  5. Antwort fristgerecht versenden

    Die Antwort muss spätestens nach einem Monat beim Betroffenen eingehen – nicht nur abgesendet sein. Wenn Sie die Frist um bis zu zwei weitere Monate verlängern, müssen Sie dies dem Betroffenen vor Ablauf des ersten Monats mitteilen und begründen (Art. 12 Abs. 3 DSGVO).

  6. Dokumentation abschließen

    Halten Sie intern fest: Eingang, Art der Anfrage, durchsuchte Systeme, Antwort-Datum und Inhalt der Antwort. Diese Dokumentation ist Ihr Nachweis bei einer behördlichen Prüfung. Bewahren Sie sie mindestens 3 Jahre auf.

  7. Löschung oder Berichtigung umsetzen

    Bei Lösch- oder Berichtigungsanfragen ist die Bearbeitung damit nicht abgeschlossen, dass Sie antworten – Sie müssen die Maßnahme auch tatsächlich durchführen und prüfen, ob Dritte informiert werden müssen, denen Sie die Daten zuvor übermittelt haben (Art. 19 DSGVO).

Fristversäumnis ist kein Kavaliersdelikt: Die deutschen Aufsichtsbehörden verhängen bei Nichtbeantwortung regelmäßig Bußgelder im vier- bis fünfstelligen Bereich – selbst bei kleinen Unternehmen. Beschwerden von Betroffenen werden priorisiert bearbeitet.
Erstellen Sie eine interne Checkliste und benennen Sie eine feste Zuständigkeit für Betroffenenanfragen. Ohne klaren Prozess geht die Anfrage im Tagesgeschäft unter – und die Frist läuft trotzdem.

Wenn die Anfrage missbräuchlich erscheint

Haben Sie einen funktionierenden Prozess für Betroffenenanfragen? INREMA hilft Ihnen, eine rechtssichere und effiziente Bearbeitungsroutine aufzubauen.

Jetzt beraten lassen

Häufige Fragen

Muss ich auch auf Anfragen per Social Media reagieren?
Ja. Es gibt keine Formvorschrift für Betroffenenanfragen. Auch eine Nachricht über Instagram oder Facebook löst die Bearbeitungspflicht aus.
Darf ich eine Gebühr für die Auskunft verlangen?
Grundsätzlich nein – die erste Kopie ist kostenlos. Bei weiteren Kopien oder offenkundig exzessiven Anfragen darf eine angemessene Gebühr berechnet werden.
Was passiert, wenn ich die Anfrage nicht vollständig beantworte?
Der Betroffene kann Beschwerde bei der zuständigen Aufsichtsbehörde einlegen. Diese hat das Recht zu prüfen und Bußgelder zu verhängen.
Muss ich Daten aus Backups ebenfalls löschen?
Grundsätzlich ja, soweit technisch möglich und zumutbar. Backups müssen im regulären Backup-Zyklus gelöscht werden. Ausnahmen gelten bei gesetzlichen Aufbewahrungspflichten.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Datenpanne melden: Meldepflicht, Fristen und was im Ernstfall zu tun ist
8 Min. Lesezeit
Datenschutz & Compliance
Datenschutzbeauftragter: intern oder extern bestellen – was passt für Ihr Unternehmen?
8 Min. Lesezeit
Datenschutz & Compliance
Datenschutzbehörde kündigt Prüfung an: Wie der Ablauf wirklich ist
7 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen