Auskunftsersuchen von Betroffenen: Praxisleitfaden für SaaS-Teams
Kurzantwort
Das praktische Ziel von Auskunftsersuchen ist nicht nur, eine Anforderung auszulegen. Es geht darum, daraus einen wiederholbaren Workflow mit klaren Verantwortlichen, dokumentierten Entscheidungen und belastbaren Nachweisen zu machen.
Wen das betrifft: Gründerinnen und Gründer, Compliance-Leads, Rechtsteams, Operations-Verantwortliche und Führungskräfte
Was jetzt zu tun ist
- Listen Sie die Workflows, Systeme oder Lieferantenbeziehungen auf, in denen Auskunftsersuchen die tägliche Arbeit bereits beeinflussen.
- Definieren Sie Verantwortliche, Auslöser, Entscheidungspunkt und den minimalen Nachweis, damit der Workflow konsistent läuft.
- Dokumentieren Sie die erste praktische Änderung, die vor dem nächsten Audit, der nächsten Kundenprüfung oder dem nächsten Produktlaunch Unklarheit reduziert.
Auskunftsersuchen von Betroffenen: Praxisleitfaden für SaaS-Teams
Auskunftsersuchen nach Artikel 15 GDPR sind für SaaS-Unternehmen ein echter Praxistest. Betroffene können eine Bestätigung der Verarbeitung, Zugang zu ihren personenbezogenen Daten und ergänzende Informationen verlangen. Operativ bedeutet das: Ein DSAR ist nicht nur eine Nachricht an Legal, sondern ein Workflow über Produktdaten, Support-Systeme, CRM, Security-Logs, Analytics, Dokumentenablagen und Auftragsverarbeiter hinweg.
Für die meisten Teams ist das Ziel nicht, jede Rechtsnuance auswendig zu kennen. Wichtiger ist ein wiederholbarer Ablauf, der Anfragen schnell erkennt, Identität und Umfang sauber prüft, relevante Daten ohne Chaos zusammenführt, Drittbezug und Ausnahmen bewertet und fristgerecht in verständlicher Form antwortet.
Was ein Auskunftsersuchen wirklich verlangt
Ein DSAR ist mehr als ein einfacher Datenexport. Artikel 15 umfasst nicht nur eine Kopie personenbezogener Daten, sondern auch Informationen zu Zwecken, Kategorien, Empfängern, Aufbewahrung und bestimmten weiteren Umständen der Verarbeitung. Artikel 12 verlangt zudem eine knappe, transparente und verständliche Antwort.
Deshalb besteht ein belastbarer DSAR-Prozess aus drei zusammenhängenden Aufgaben:
- die Anfrage zuverlässig als DSAR erkennen;
- die relevanten Daten und Kontextinformationen finden und prüfen;
- so antworten, dass die Rechte der anfragenden Person erfüllt werden, ohne unnötig Daten anderer Personen offenzulegen.
Warum SaaS-Teams damit in der Praxis kämpfen
Schwierig werden DSARs meist dann, wenn das Unternehmen schneller gewachsen ist als seine Datenlandkarte. Personenbezogene Daten liegen oft verteilt über Anwendungsdatenbank, Identity-Provider, Billing, Support, CRM, E-Mail-Systeme, Analytics, Security-Tools und externe Dienstleister. Wenn dann eine Anfrage eintrifft, improvisiert jede Funktion aus ihrer eigenen Sicht. Genau dort entstehen Verzögerungen, Lücken und widersprüchliche Antworten.
Ein praktischer Workflow
1. Erkennung vereinfachen
Frontline-Teams müssen wissen, dass ein DSAR per Support-Ticket, E-Mail, Kontaktformular oder anderen Kanälen eingehen kann. Es braucht klare Eskalationswege und einen eindeutigen Owner.
2. Identität und Umfang verhältnismäßig prüfen
Das Team sollte sicher sein, der richtigen Person zu antworten, aber nicht reflexhaft übermäßige Nachweise verlangen. Ebenso wichtig ist zu klären, ob die Anfrage breit oder spezifisch ist.
3. Systemlandkarte vorab aufbauen
Warten Sie nicht bis zur Frist, um erst zu entdecken, wo Daten liegen. Halten Sie fest, welche Systeme für Kontoinhaber, Testnutzer, Billing-Kontakte, Support-Anfragende, Leads oder vom Kunden hochgeladene Mitarbeiterdaten relevant sind.
4. Angemessen und verhältnismäßig suchen
Praktisch hilfreich ist ein dokumentierter Suchansatz für Kerndaten, Support-Anhänge, CRM-Notizen, Identitätsdaten, relevante Telemetrie und Daten bei Auftragsverarbeitern.
5. Drittbezug, Ausnahmen und Qualität prüfen
Manche Unterlagen betreffen sowohl die anfragende Person als auch andere. Manche Teile erfordern Schwärzungen. Entscheidungen zu Ausnahmen oder zu offensichtlich unbegründeten oder exzessiven Anfragen sollten klar zugewiesen und sauber dokumentiert sein.
6. Verständlich antworten und Belege sichern
Eine gute Antwort kombiniert erläuternden Text, die erforderlichen Zusatzinformationen, die personenbezogenen Daten in nutzbarer Form und kurze Hinweise zu Schwärzungen oder Ausschlüssen. Zusätzlich sollte das Team Intake, Prüfung, durchsuchte Systeme und Antwortpaket dokumentieren.
Typische Fehler
Häufige Fehler sind die Annahme, ein einzelner Produkt-Export reiche aus, unklare Ownership, zu enge oder zu bequeme Suchen, ein zu lockerer Umgang mit der Schwelle "manifestly unfounded or excessive" und fehlende Verbindung zur allgemeinen Daten-Governance.
Das praktische Fazit
Auskunftsersuchen sind ein Reifegradtest für die Compliance-Operations eines SaaS-Unternehmens. Wer Anfragen schnell erkennt, die richtigen Systeme durchsucht, sauber prüft und verständlich antwortet, stärkt damit nicht nur DSAR-Compliance, sondern das gesamte Datenschutz-Betriebsmodell.
Wichtige Begriffe in diesem Artikel
Primärquellen
- Article 12 GDPREuropean Union · Abgerufen 24. Apr. 2026
- Article 15 GDPREuropean Union · Abgerufen 24. Apr. 2026
- Guidelines 01/2022 on data subject rights - Right of accessEuropean Data Protection Board · Abgerufen 24. Apr. 2026
- What is the right of access?Information Commissioner's Office · Abgerufen 24. Apr. 2026
- How do we recognise a subject access request (SAR)?Information Commissioner's Office · Abgerufen 24. Apr. 2026
- How do we find and retrieve the relevant information?Information Commissioner's Office · Abgerufen 24. Apr. 2026
- When can we consider a SAR to be manifestly unfounded or excessive?Information Commissioner's Office · Abgerufen 24. Apr. 2026
Verwandte Hubs entdecken
Ähnliche Artikel
Verwandte Glossarbegriffe
Bereit, Ihre Compliance sicherzustellen?
Warten Sie nicht, bis Verstöße Ihr Unternehmen lahmlegen. Holen Sie sich in wenigen Minuten Ihren umfassenden Compliance-Bericht.
Website jetzt kostenlos scannen