Checkliste für Auskunftsersuchen von Betroffenen für Gründer und Compliance-Leads

Auskunftsersuchen wirken oft überschaubar, bis sie mitten in einem Release eintreffen, mehrere Systeme betreffen und gleichzeitig Support, Privacy, Legal und Engineering einbinden. Dann zeigt sich schnell, dass eine juristische Definition allein nicht genügt. Teams brauchen eine Checkliste, die sie wirklich abarbeiten können.

Genau dafür ist dieser Beitrag gedacht. Artikel 12 und 15 DSGVO setzen den Rahmen für das Auskunftsrecht. EDPB- und ICO-Leitlinien machen die operative Erwartung deutlich: Unternehmen müssen Anfragen erkennen, relevante Daten suchen, Ergebnisse sauber prüfen und verständlich antworten können. Für Gründer und Compliance-Leads ist das praktische Ziel einfach: aus dem Betroffenenrecht einen belastbaren Ablauf machen, bevor der nächste Fall unter Zeitdruck aufschlägt.

Was diese Checkliste verhindern soll

Die meisten DSAR-Probleme entstehen nicht, weil Teams Compliance verweigern. Sie entstehen, weil vorab nicht geklärt ist:

• wie ein Ersuchen erkannt wird;
• welche Systeme typischerweise durchsucht werden;
• wann Identitätsprüfungen ausreichen und wann nicht;
• wer über Review, Schwärzung oder Eskalation entscheidet;
• welcher Nachweis zeigt, dass die Arbeit wirklich erfolgt ist.

Diese Unklarheit führt immer wieder zu denselben Reibungen. Support eskaliert zu spät. Engineering beginnt mit dem falschen System. Legal kann nicht erklären, warum bestimmte Daten ausgeschlossen wurden. Oder die Antwort geht zwar rechtzeitig raus, aber ohne belastbare interne Nachweise.

Die Checkliste

Nutzen Sie die Punkte unten für jedes wesentliche Auskunftsersuchen, besonders wenn Ihr Unternehmen Kontodaten, Support-Verläufe, Logs, CRM-Informationen oder Daten bei Auftragsverarbeitern hält.

1. Sicherstellen, dass das Team ein DSAR schnell erkennt

Die ICO-Guidance ist klar: Es braucht keine besondere Formulierung und kein Spezialformular für ein wirksames Ersuchen. Operativ heißt das, dass Frontline-Teams Absicht erkennen müssen, nicht nur Schlagwörter.

Prüfen Sie, ob:

• Frontline-Teams wissen, wie ein Auskunftsersuchen aussehen kann;
• die Intake-Kanäle dokumentiert sind;
• es einen klaren Eskalationsweg gibt;
• das Ersuchen nach Erkennung sofort erfasst wird.

Wenn alles an einem Privacy-Postfach oder einer Legal-Adresse hängt, ist der Ablauf zu fragil.

2. Zuständigkeiten je Verfahrensschritt festlegen

Der schnellste Weg zu Verzögerungen ist vage Ownership. Ein DSAR darf nicht zwischen Funktionen liegen bleiben, weil jeder annimmt, jemand anderes kümmere sich darum.

Benennen Sie mindestens Zuständigkeiten für:

• Intake und Fallanlage;
• Identitäts- und Scope-Prüfung;
• Koordination der Suche;
• Legal- oder Privacy-Review;
• finale Freigabe der Antwort.

3. Festlegen, wie Identität geprüft wird

Nicht jedes Ersuchen verlangt dieselbe Verifikation. Manche kommen von bereits authentifizierten Nutzern im Produkt, andere per E-Mail mit unklarer Identität. Die Checkliste soll helfen, weder zu leichtfertig zu antworten noch unnötig hohe Nachweislast zu verlangen.

Das Team sollte wissen:

• wann eine bestehende Sitzung genügt;
• wann zusätzliche Informationen gerechtfertigt sind;
• wer Klarstellungen anfordern darf;
• wie diese Entscheidung dokumentiert wird.

4. Eine Suchkarte für relevante Systeme pflegen

Eine DSAR-Antwort ist selten nur ein Produktexport. In vielen SaaS-Unternehmen liegen relevante Daten in Produktdatenbank, Identitäts-Tooling, Support-Plattform, Billing, CRM, Analytics, Dateiablagen und bei Auftragsverarbeitern.

Die Checkliste sollte bestätigen, dass bekannt ist:

• welche Systeme Daten von Account-Nutzern enthalten;
• welche Systeme für Billing- oder Support-Kontakte relevant sind;
• welche Tools Prospect- oder Marketing-Daten speichern;
• welche Auftragsverarbeiter relevante Datensätze im Auftrag halten.

5. Definieren, was eine angemessene Suche ist

Die richtige Antwort ist nicht immer, technisch alles Durchsuchbare zu prüfen. Besser ist es, für typische Anfragendenprofile festzulegen, was eine angemessene und verhältnismäßige Suche bedeutet.

Prüfen Sie daher, ob bereits festgelegt ist:

• was normalerweise im Scope liegt;
• was nur bedingt dazugehört;
• wie mit Archiven oder Backups umgegangen wird;
• wann ein Auftragsverarbeiter eingebunden werden muss.

6. Datensammlung und Review trennen

Sammlung und Review sind zwei verschiedene Aufgaben. Die eine beschafft Informationen. Die andere bewertet, ob Drittdaten, Duplikate, sensible interne Notizen oder Inhalte mit Schwärzungs- oder Ausnahmebedarf enthalten sind.

Die Checkliste sollte sicherstellen, dass:

• System-Owner wissen, wie sie Daten aus ihrem Bereich ziehen;
• Privacy oder Legal bei Bedarf einbezogen werden;
• Entscheidungen zu Schwärzungen oder Ausschlüssen dokumentiert werden;
• es einen klaren Eskalationspfad für Sonderfälle gibt.

7. Sicherstellen, dass die Antwort nutzbar ist

Artikel 12 DSGVO betrifft nicht nur Fristen. Die Kommunikation muss auch präzise, transparent, verständlich und leicht zugänglich sein. Ein DSAR sollte deshalb nicht in einem unstrukturierten Daten-Dump enden.

Prüfen Sie, ob die Antwort typischerweise enthält:

• eine kurze Einordnung;
• die ergänzenden Pflichtinformationen;
• die Daten in einem zugänglichen Format;
• kurze Hinweise zu Ausschlüssen, Schwärzungen oder Klarstellungen.

8. Fristenkontrolle vor dem Ernstfall prüfen

Viele Teams kennen die Frist theoretisch, wissen aber nicht, wie sie im tatsächlichen Workflow überwacht wird.

Bestätigen Sie, dass der Prozess abdeckt:

• wann die Frist startet;
• wo die Deadline verfolgt wird;
• wie Pausen durch Klärung oder Verifikation dokumentiert werden;
• wer gewarnt wird, wenn Verzögerungen drohen.

9. Leichte Nachweise für jeden Fall aufbewahren

Später kann nicht nur gefragt werden, was versendet wurde, sondern auch wie das Unternehmen den Fall bearbeitet hat. Wenn die Antwort nur in Chats und Erinnerung lebt, ist der Prozess weiter schwach.

Nützlich sind meist:

• Eingangsdatum und Kanal;
• Entscheidung zur Identitätsprüfung;
• durchsuchte Systeme;
• kontaktierte Auftragsverarbeiter;
• Review-Notizen zu Ausschlüssen oder Schwärzungen;
• Versanddatum und Zustellweg.

10. Re-Review-Trigger für den Ablauf selbst ergänzen

Die Checkliste sollte nicht nur Einzelfälle steuern, sondern den Prozess mit jedem schwierigen Fall verbessern.

Ein Workflow-Review sollte ausgelöst werden, wenn:

• ein Fall ein fehlendes System in der Suchkarte offenlegt;
• relevante Daten in einem vergessenen Tool gefunden werden;
• Ownership im Ablauf unklar ist;
• ein Auftragsverarbeiter ohne vorbereiteten Pfad kontaktiert werden muss;
• spontane juristische Einzelentscheidungen standardisiert werden sollten.

Praktische Schlussfolgerung

DSAR-Readiness bedeutet nicht in erster Linie, Gesetze auswendig zu kennen. Es bedeutet zu zeigen, dass das Unternehmen erkennen, suchen, prüfen, antworten und dokumentieren kann, ohne jeden Fall in eine Notfalllage zu verwandeln.

Die beste Checkliste für Gründer und Compliance-Leads ist diejenige, die das Team unter Zeitdruck wirklich anwenden kann. Wenn Ihr aktueller Prozess noch davon abhängt, dass eine Person zufällig weiß, wo Daten liegen könnten, ist der nächste Schritt keine längere Policy. Es ist eine funktionierende Checkliste mit klaren Ownern, klarem Suchumfang, klaren Review-Regeln und klaren Nachweisen.