Loading…
Eine Auskunftsanfrage betroffener Personen (DSAR) ist eine Anfrage einer Person, einzusehen, welche personenbezogenen Daten Sie über sie speichern. Jedes wichtige Datenschutzregime (GDPR, UK GDPR, CCPA/CPRA, DPDPA, LGPD, PDPA, APPI) gewährt betroffenen Personen eine Variante dieses Rechts. Die kürzeste gesetzliche Frist — die von Kalifornien — beträgt 45 Tage. Die längste mit Verlängerungen — die GDPR — beträgt drei Monate.
Bauen Sie eine Pipeline, die die kürzeste anwendbare Frist erfüllt. Fünf Stufen: Annahme → Identitätsprüfung → Datenerhebung → Prüfen & schwärzen → Bereitstellen & protokollieren. Verfolgen Sie jeden Schritt. Behandeln Sie den Prüfpfad als ein erstklassiges Artefakt, nicht als Nebeneffekt.
Die Versuchung ist groß, rahmenspezifische Workflows zu bauen: einen für GDPR, einen für CCPA. Tun Sie es nicht. Eine einzige Pipeline mit rahmenbewussten Metadaten ist:
Das obige Diagramm zeigt den vollständigen Ablauf. Die nächsten fünf Abschnitte behandeln jede Stufe in operativer Detailtiefe.
Stellen Sie mehrere Annahmekanäle bereit — ein Self-Service-Webformular, eine eigene E-Mail-Adresse (typischerweise privacy@ oder dpo@), eine Postanschrift und (in einigen Rechtsräumen) eine Telefonnummer. Die GDPR ist technologieneutral, aber Aufsichtsbehörden erwarten Gleichwertigkeit über alle Kanäle hinweg.
Jedes Annahmeereignis sollte mindestens Folgendes erfassen:
Vergeben Sie eine Fall-ID. Bestätigen Sie den Eingang innerhalb von 10 Werktagen (die CCPA-Frist) — gilt aus Konsistenzgründen für alle Anfragen.
GDPR Art. 12 Abs. 6 erlaubt es Ihnen, zusätzliche Informationen anzufordern, „die zur Bestätigung der Identität der betroffenen Person erforderlich sind“, Sie dürfen jedoch nicht mehr verlangen, als verhältnismäßig ist. CCPA §1798.130(a)(2) verlangt „angemessene Schritte“ zur Identitätsprüfung, wobei der Maßstab mit der Sensibilität skaliert.
Ein pragmatisches dreistufiges Modell:
Halten Sie die Frist während der Prüfung nur im angemessenen Umfang an. Die CCPA erlaubt ausdrücklich, die Antwortzeit während der Prüfung zu hemmen (Verlängerung um 15 Tage); die GDPR tut dies nicht, sodass eine überzogene Identitätsprüfung unter der GDPR selbst ein Risiko darstellt.
Operativ der schwierigste Schritt. Bauen Sie ein Systeminventar auf, das jedes System abbildet, das personenbezogene Daten speichert oder durchleitet, einschließlich:
Halten Sie für jedes System ein dokumentiertes Extraktionsverfahren bereit, das an Ihren Standard-Identifiern (user_id, email, phone) ausgerichtet ist. Nutzen Sie das Verzeichnis von Verarbeitungstätigkeiten nach GDPR Artikel 30 als Gerüst — jeder Eintrag dort sollte einer DSAR-Extraktionsroutine zugeordnet sein.
Sobald die Daten erhoben sind, prüfen Sie sie auf:
Setzen Sie nach Möglichkeit einen Schwärzungs-Prüfer ein, der vom Datenerheber getrennt ist — eine Funktionstrennung reduziert Fehler.
Stellen Sie über denselben sicheren Kanal bereit, den die betroffene Person genutzt hat, oder über einen anderen von ihr gewählten Kanal. Verschlüsseln Sie das Paket. Liefern Sie ein Begleitschreiben, das den Inhalt, die Datenkategorien, die Verarbeitungszwecke, die Empfänger, die Aufbewahrungsdauer, die Datenquelle, die Rechte und das Recht erläutert, eine Beschwerde bei der Aufsichtsbehörde einzureichen.
Protokollieren Sie: die Anfrage, die Prüfschritte, die abgefragten Systeme, die vorgenommenen Schwärzungen (mit Begründungen), den Bereitstellungskanal und die Zeitstempel. Dieses Protokoll ist Ihre Verteidigung bei jedem Audit oder jeder Beschwerde.
| Regime | Eingangsbestätigung | Inhaltliche Antwort | Verlängerung |
|---|---|---|---|
| GDPR / UK GDPR | Keine bestimmte Frist — „ohne unangemessene Verzögerung“ | 1 Monat | +2 Monate bei komplexen/mehreren Anfragen |
| CCPA / CPRA | 10 Werktage | 45 Kalendertage | +45 Tage, wenn vernünftigerweise erforderlich |
| DPDPA (Indien) | Keine bestimmte Frist | Wie in den Rules vorgeschrieben; standardmäßig angemessener Zeitrahmen | Nicht spezifiziert |
| LGPD (Brasilien) | Keine bestimmte Frist | 15 Tage für Auskunft; 30 Tage für die Bestätigung des Bestehens | Möglich mit begründeter Rechtfertigung |
| APPI (Japan) | Keine bestimmte Frist | „Ohne Verzögerung“ — typischerweise 2 Wochen | Angemessene Verlängerungen zulässig |
| PDPA (Singapur) | Keine bestimmte Frist | So bald wie vernünftigerweise möglich, ≤30 Tage | Bei längerer Dauer mit neuem geschätzten Datum benachrichtigen |
Richten Sie sich standardmäßig nach der kürzesten anwendbaren Frist. Wenn Sie GDPR + CCPA abdecken, planen Sie durchgängig 45 Tage ein; bei nur GDPR planen Sie die Basisfrist von 1 Monat ein.
Sie dürfen eine Anfrage ganz oder teilweise ablehnen, wenn:
Dokumentieren Sie die Grundlage für die Ablehnung. Die betroffene Person hat ein Recht zu erfahren, warum, und sich bei der Aufsichtsbehörde zu beschweren.
Ein reales und wachsendes Risiko. Bedrohungsakteure nutzen DSARs, um (a) Wettbewerberdaten zu extrahieren, (b) kleine Datenschutzteams zu überlasten, (c) nach Sicherheitsschwächen zu suchen. Der Maßstab „offenkundig unbegründet oder exzessiv“ nach Artikel 12 Abs. 5 GDPR ist bewusst eng gefasst — Sie dürfen eine angemessene Gebühr erheben oder ablehnen, doch die Dokumentation der Gründe muss gründlich sein.
Operative Leitplanken: Begrenzen Sie die Rate anonymer Webformular-Annahmen; verlangen Sie eine Identitätsprüfung der Stufe 3 vor der Offenlegung sensibler Daten; begrenzen Sie das Volumen automatisierter Übermittlungen von einer einzelnen IP/E-Mail; und kennzeichnen Sie Muster (z. B. serielle DSARs von Wettbewerber-E-Mail-Domains) zur Prüfung durch das Management.
Unter der GDPR grundsätzlich nicht — Artikel 12 Abs. 5 macht Antworten kostenlos, sofern Anfragen nicht offenkundig unbegründet oder exzessiv sind. Die CCPA verbietet ebenso Gebühren für die ersten beiden Anfragen innerhalb eines Zeitraums von 12 Monaten. Die PDPA in Singapur erlaubt eine angemessene Gebühr.
Technisch ja, wenn Backups vernünftigerweise abrufbar sind, aber Aufsichtsbehörden akzeptieren, dass Backups nicht live durchsucht werden müssen, wenn Ihre Aufbewahrungsrichtlinie dokumentiert ist und Sie sich verpflichten, die Daten aus Backups zu löschen, wenn diese rotieren. Dokumentieren Sie diesen Ansatz.
Dasselbe Recht, aber oft höheres Volumen und sensibler (Leistungsbeurteilungen, Notizen von Vorgesetzten, Überwachungsprotokolle). Das deutsche BDSG §26 sieht eine besondere Sensibilität von Beschäftigtendaten vor. Halten Sie HR-spezifische Extraktionsroutinen bereit und ziehen Sie bei DSARs im Beschwerdekontext einen arbeitsrechtlichen Beistand hinzu.
Ja — und Artikel 22 GDPR ergänzt das Recht auf aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen automatisierter Entscheidungsfindung. Der EU AI Act verstärkt dies für Hochrisiko-KI nach Artikel 26 Abs. 11.
RegulatoryBridge liefert eine schlüsselfertige DSAR-Pipeline — Annahmeformulare, Prüfablauf, Systemextraktor-Bibliothek, Schwärzungs-Prüfer, Bereitstellungsverschlüsselung, Prüfprotokoll — die jedes relevante Datenschutzregime abdeckt.