DSGVO-Auskunftsersuchen (DSAR): Vollständiger Leitfaden

Ein Auskunftsersuchen betroffener Personen ist eine der greifbarsten Auswirkungen der DSGVO auf Ihren täglichen Betrieb. Wenn jemand eine E-Mail sendet mit dem Inhalt „Ich möchte eine Kopie aller Daten, die Sie über mich haben”, beginnt die Uhr zu ticken — und Sie haben genau einen Kalendermonat Zeit, um eine vollständige, korrekte Antwort zu liefern.

Für SaaS-Unternehmen sind DSARs besonders komplex, weil personenbezogene Daten selten an einem einzigen Ort gespeichert sind. Sie verteilen sich über Ihre Anwendungsdatenbank, Ihr CRM, Ihr Support-Ticketing-System, Ihre E-Mail-Marketing-Plattform, Ihre Analysetools und möglicherweise die E-Mail-Postfächer Ihrer Mitarbeiter. All das innerhalb der gesetzlichen Frist zusammenzutragen, erfordert einen klar definierten Prozess.

Dieser Leitfaden führt durch alles, was SaaS-Teams über die Bearbeitung von DSARs wissen müssen — von der Rechtsgrundlage über den schrittweisen Prozess bis hin zu den Fehlern, die zu Durchsetzungsmaßnahmen führen.

Was ist ein DSAR?

Ein Auskunftsersuchen betroffener Personen (Data Subject Access Request, DSAR) ist die formelle Ausübung des Auskunftsrechts nach Artikel 15 der DSGVO. Jede natürliche Person, deren personenbezogene Daten Sie verarbeiten — ob Kunde, Endnutzer, Website-Besucher, Mitarbeiter oder Bewerber — kann Folgendes verlangen:

Bestätigung, ob Sie ihre personenbezogenen Daten verarbeiten
Eine Kopie dieser personenbezogenen Daten
Ergänzende Informationen über Ihre Verarbeitung: die Zwecke, die Datenkategorien, die Empfänger, die Aufbewahrungsfristen, die Datenquelle und ob eine automatisierte Entscheidungsfindung stattfindet

Ein DSAR muss keine bestimmte Rechtssprache verwenden. Eine E-Mail mit dem Inhalt „Können Sie mir sagen, welche Daten Sie über mich haben?” qualifiziert sich. Ebenso eine Nachricht über Ihren Support-Chat, eine mündliche Anfrage in einem Meeting oder sogar eine Social-Media-Nachricht. Es gibt kein vorgeschriebenes Format.

Deshalb ist es so wichtig, Ihr Team zu schulen. Wenn ein Support-Mitarbeiter ein effektives DSAR erhält, es aber nicht als solches erkennt, beginnt Ihre Antwortfrist herunterzulaufen, ohne dass es jemand bemerkt.

Wann gilt ein DSAR für Ihr SaaS?

B2B-SaaS-Szenarien

Wenn Sie ein B2B-SaaS-Unternehmen sind, denken Sie vielleicht, dass DSARs hauptsächlich ein B2C-Thema sind. Das sind sie nicht. Betrachten Sie die personenbezogenen Daten, die Ihre Plattform verarbeitet:

Endnutzerdaten: Wenn die Mitarbeiter Ihrer Kunden Ihre Plattform nutzen, können deren Kontodetails, Aktivitätsprotokolle und alle Inhalte, die sie erstellen, personenbezogene Daten darstellen.
Kundenkontaktdaten: Namen, E-Mail-Adressen, Telefonnummern und Berufsbezeichnungen der Personen, mit denen Sie in Kundenorganisationen zusammenarbeiten.
Support-Interaktionen: Ticket-Verläufe, Chat-Protokolle und Gesprächsaufzeichnungen enthalten häufig personenbezogene Daten.
Analysedaten: Wenn Sie das Nutzerverhalten mit Identifikatoren verfolgen (auch pseudonymisierten, die Sie re-identifizieren können), handelt es sich um personenbezogene Daten.
Mitarbeiter- und Bewerberdaten: Ihre eigenen HR-Aufzeichnungen und Rekrutierungsdaten.

Verantwortlicher vs. Auftragsverarbeiter

Ihre Antwortpflichten hängen von Ihrer Rolle ab:

Als Verantwortlicher (Sie entscheiden über Zweck und Mittel der Verarbeitung): Sie bearbeiten das DSAR direkt und stellen die Daten bereit.
Als Auftragsverarbeiter (Sie verarbeiten Daten im Auftrag Ihres Kunden): Sie leiten das Ersuchen typischerweise an Ihren Kunden (den Verantwortlichen) weiter und unterstützen ihn bei der Erfüllung. Ihr Auftragsverarbeitungsvertrag sollte festlegen, wie dies funktioniert.

In der Praxis sind die meisten SaaS-Unternehmen für einige Daten Verantwortliche (ihre eigenen Kundenbeziehungen, Mitarbeiterdaten, Website-Besucherdaten) und für andere Daten Auftragsverarbeiter (die Daten, die ihre Kunden auf der Plattform speichern und verarbeiten). Diese Doppelrolle bedeutet, dass Sie Prozesse für beide Szenarien benötigen.

Der DSAR-Antwortprozess: Schritt für Schritt

Schritt 1: Das Ersuchen erfassen und die Uhr starten

Sobald Sie ein DSAR erhalten, erfassen Sie es mit einem Zeitstempel. Ihre 30-Tage-Antwortfrist beginnt ab dem Tag des Eingangs — nicht ab dem Zeitpunkt, an dem Sie es jemandem zuweisen oder die Identität des Antragstellers verifizieren.

Erfassen Sie:

Datum und Uhrzeit des Eingangs
Kanal, über den es eingegangen ist
Die Identität des Antragstellers (wie angegeben)
Den spezifischen Umfang des Ersuchens (falls angegeben)
Den zugewiesenen Bearbeiter

Schritt 2: Die Identität des Antragstellers verifizieren

Sie sind verpflichtet zu bestätigen, dass die Person, die das Ersuchen stellt, diejenige ist, die sie vorgibt zu sein. Die Beantwortung eines betrügerischen DSAR durch Offenlegung der Daten einer anderen Person wäre selbst eine Datenschutzverletzung.

Die Verifizierung sollte verhältnismäßig sein. Wenn jemand ein Ersuchen über sein authentifiziertes Konto in Ihrer Plattform stellt, ist das in der Regel ausreichend. Wenn das Ersuchen per E-Mail eingeht, könnten Sie eine zusätzliche Verifizierung verlangen — aber machen Sie den Prozess nicht so aufwendig, dass er die Personen effektiv davon abhält, ihre Rechte auszuüben.

Angemessene Verifizierungsmethoden:

Abgleich des Ersuchens mit einem bestehenden Konto
Bitte an den Antragsteller, Details zu bestätigen, die nur er kennen kann
Anforderung einer Kopie eines amtlichen Ausweises (nur in Hochrisikofällen)

Die Uhr tickt während der Verifizierung weiter. Wenn Sie zusätzliche Informationen zur Identitätsverifizierung benötigen, sollten Sie zeitnah danach fragen.

Schritt 3: Den Umfang bestimmen

Einige DSARs sind breit gefasst („alle Daten, die Sie über mich haben”), und einige sind spezifisch („die Daten, die Sie über Ihre Analyseplattform erhoben haben”). In jedem Fall müssen Sie jedes System identifizieren, in dem personenbezogene Daten des Antragstellers vorhanden sein könnten.

Für ein typisches SaaS-Unternehmen umfasst dies:

Ihre Anwendungsdatenbank (Benutzerprofile, Aktivitätsdaten, nutzergenerierte Inhalte)
Ihr CRM (Kontaktdatensätze, Deal-Verlauf, Notizen)
Ihr Support-System (Tickets, Chat-Protokolle)
Ihre E-Mail-Marketing-Plattform (Abonnentendaten, Engagement-Verlauf)
Ihre Analysetools (Verhaltensdaten, Event-Protokolle)
Ihr HR-System (falls der Antragsteller ein Mitarbeiter ist)
E-Mail-Konten (jede Korrespondenz, die den Antragsteller erwähnt)
Physische Aufzeichnungen (falls vorhanden)

Schritt 4: Die Daten sammeln

Sammeln Sie personenbezogene Daten aus allen identifizierten Systemen. Dies ist typischerweise der zeitaufwendigste Schritt, insbesondere wenn Ihre Daten über mehrere Plattformen ohne eine einheitliche Suchfunktion verteilt sind.

Für jedes System extrahieren Sie:

Die personenbezogenen Daten selbst
Die Kategorien der Daten (z. B. Identitätsdaten, Kontaktdaten, Verhaltensdaten)
Die Zwecke der Verarbeitung
Alle Empfänger, mit denen die Daten geteilt wurden
Die Aufbewahrungsfrist oder die Kriterien für deren Bestimmung
Die Quelle der Daten, falls nicht direkt bei der Person erhoben

Schritt 5: Prüfung auf Ausnahmen und Daten Dritter

Bevor Sie die gesammelten Daten übergeben, prüfen Sie sie auf:

Personenbezogene Daten Dritter: Wenn Ihre Aufzeichnungen personenbezogene Daten anderer Personen enthalten (z. B. ein Support-Ticket, das eine andere Person namentlich erwähnt), müssen Sie diese Informationen möglicherweise schwärzen, um die Rechte des Dritten zu schützen.
Geschäftsgeheimnisse oder geistiges Eigentum: Sie können Daten zurückhalten, wenn die Offenlegung die Rechte und Freiheiten anderer, einschließlich Geschäftsgeheimnisse, nachteilig beeinflussen würde — diese Ausnahme wird jedoch eng ausgelegt.
Anwaltsprivileg: Kommunikation, die unter das anwaltliche Berufsgeheimnis fällt, kann zurückgehalten werden.
Wiederholte Ersuchen: Wenn dieselbe Person identische Ersuchen wiederholt stellt, können Sie das Ersuchen möglicherweise ablehnen oder eine angemessene Gebühr erheben — aber nur, wenn die Ersuchen „offensichtlich unbegründet oder übermäßig” sind.

Schritt 6: Die Antwort vorbereiten und liefern

Stellen Sie die Daten in einem strukturierten, allgemein gebräuchlichen, maschinenlesbaren Format zusammen. PDF ist weit verbreitet, aber CSV oder JSON können für technische Daten angemessener sein. Die Antwort sollte enthalten:

Bestätigung, dass Sie ihre personenbezogenen Daten verarbeiten (oder dass Sie es nicht tun)
Eine Kopie der personenbezogenen Daten
Die ergänzenden Informationen gemäß Artikel 15(1): Zwecke, Kategorien, Empfänger, Aufbewahrungsfristen, Informationen über Rechte, Datenquelle und Details zur automatisierten Entscheidungsfindung

Liefern Sie die Antwort über einen sicheren Kanal. E-Mail mit einem verschlüsselten Anhang ist üblich. Ein sicheres Download-Portal ist besser.

Schritt 7: Alles dokumentieren

Zeichnen Sie den gesamten Prozess auf: was angefragt wurde, welche Schritte Sie unternommen haben, welche Daten Sie gesammelt haben, was (falls überhaupt) Sie geschwärzt haben und warum, wie Sie die Antwort geliefert haben und das Datum der Lieferung.

Diese Dokumentation dient einem doppelten Zweck. Erstens demonstriert sie die Einhaltung des Rechenschaftsgrundsatzes, falls Sie jemals auditiert werden. Zweitens hilft sie Ihnen, Prozessverbesserungen zu identifizieren — wenn ein DSAR 25 Tage gedauert hat, weil die Datenerfassung aus einem System langsam war, wissen Sie, wo Sie ansetzen müssen.

Fristen und Ausnahmen

Die 30-Tage-Regel

Sie müssen auf ein DSAR innerhalb eines Kalendermonats nach Eingang antworten. Dies ist eine verbindliche Frist, kein Zielwert.

Wenn das Ersuchen komplex ist oder wenn Sie eine große Anzahl von Ersuchen derselben Person erhalten haben, können Sie die Frist um zwei weitere Monate verlängern — aber Sie müssen den Antragsteller innerhalb des ersten Monats benachrichtigen, den Grund für die Verzögerung erläutern und ihn über sein Recht informieren, sich bei einer Aufsichtsbehörde zu beschweren.

Wann Sie ablehnen können

Die DSGVO erlaubt es Ihnen, DSARs abzulehnen oder eine Gebühr zu erheben, die „offensichtlich unbegründet oder übermäßig” sind. Die Hürde ist hoch:

Offensichtlich unbegründet: Der Antragsteller hat nicht die Absicht, sein Auskunftsrecht auszuüben — zum Beispiel gibt er ausdrücklich an, dass er das Ersuchen stellt, um Störungen zu verursachen.
Übermäßig: Der Antragsteller stellt dasselbe Ersuchen wiederholt ohne angemessenen Zeitabstand zwischen den Ersuchen. Hinweis: Ein zweites Ersuchen, nachdem Sie neue Daten über die Person erlangt haben, ist nicht übermäßig.

Die Beweislast dafür, dass ein Ersuchen unbegründet oder übermäßig ist, liegt bei Ihnen. Im Zweifelsfall erfüllen Sie das Ersuchen.

Keine Gebühr für die erste Kopie

Die erste Kopie ihrer Daten muss kostenlos bereitgestellt werden. Sie können eine „angemessene Gebühr auf Basis der Verwaltungskosten” für zusätzliche Kopien oder für offensichtlich übermäßige Ersuchen erheben.

DSAR-Fehler, die zu Durchsetzungsmaßnahmen führen

Frist versäumt. Der häufigste und am leichtesten vermeidbare Fehler. Wenn Ihr interner Prozess nicht definiert ist, bevor das erste DSAR eintrifft, verschwenden Sie Tage damit herauszufinden, wer es bearbeitet, wo die Daten zu finden sind und wie man antwortet. Bis dahin haben Sie bereits die Hälfte Ihrer Frist verbraucht.

Unvollständige Datenerfassung. Aufsichtsbehörden haben Bußgelder verhängt, wenn Organisationen einen Teil der Daten des Antragstellers bereitgestellt, aber Daten in Sekundärsystemen übersehen haben — Alt-Datenbanken, E-Mail-Archive oder Drittanbieter-Plattformen. Eine DSAR-Antwort, die Daten auslässt, ist nicht konform.

Keine Identitätsverifizierung. Personenbezogene Daten an jemanden herauszugeben, der nicht ordnungsgemäß verifiziert wurde, ist eine Datenschutzverletzung. Aber übermäßig aggressive Verifizierung — die Forderung nach notariell beglaubigten Dokumenten für ein einfaches Ersuchen — kann als Behinderung des Auskunftsrechts angesehen werden.

Daten ohne ergänzende Informationen bereitstellen. Artikel 15 verlangt mehr als nur einen Daten-Dump. Sie müssen auch die Zwecke der Verarbeitung, die Kategorien der Daten, die Empfänger, die Aufbewahrungsfristen und die Rechte des Antragstellers erläutern. Viele Organisationen liefern die Rohdaten, vergessen aber den Kontext.

Kein Audit-Trail. Wenn Sie nicht nachweisen können, wie Sie ein DSAR bearbeitet haben — wann Sie es erhalten haben, welche Schritte Sie unternommen haben, wann Sie geantwortet haben —, haben Sie den Rechenschaftstest nicht bestanden, unabhängig davon, ob Ihre Antwort inhaltlich korrekt war. Unser Leitfaden zu DSGVO-Bußgeldern und Sanktionen behandelt, was auf dem Spiel steht.

Wie GRCTrail DSARs automatisiert

Die manuelle Bearbeitung von DSARs funktioniert, wenn Sie ein oder zwei pro Jahr erhalten. Bei größerem Volumen bricht sie schnell zusammen — oder sogar bei moderatem Volumen, wenn Ihre Daten über mehrere Systeme verteilt sind.

GRCTrail bietet einen strukturierten DSAR-Workflow:

Eingang und Verfolgung. Empfangen Sie Ersuchen über ein dediziertes Portal oder erfassen Sie sie manuell. Jedes Ersuchen wird mit Zeitstempel und automatischer Fristberechnung und Fortschrittsverfolgung versehen.

Automatisierte Datenerfassung. Verbinden Sie Ihre Datenquellen und GRCTrail zieht relevante personenbezogene Daten systemübergreifend zusammen, wodurch die Stunden manueller Erfassung reduziert werden.

Prüfung und Schwärzung. Überprüfen Sie gesammelte Daten in einer einzigen Oberfläche. Markieren Sie Elemente zur Schwärzung mit dokumentierter Begründung.

Antwortlieferung. Generieren Sie strukturierte Antworten und liefern Sie sie über sichere Kanäle. Jeder Schritt wird für die Rechenschaftspflicht protokolliert.

Fristenwarnungen. Lassen Sie sich benachrichtigen, wenn Fristen näher rücken. Verpassen Sie nie ein 30-Tage-Fenster, weil ein Ersuchen in jemandes Posteingang lag.

Bearbeiten Sie DSARs in Minuten, nicht Tagen →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours