Wann Auskunftsersuchen von Betroffenen greifen und was Sie dann tun sollten

Auskunftsersuchen greifen, sobald eine Person wissen möchte, ob Ihr Unternehmen personenbezogene Daten über sie verarbeitet, Zugriff auf diese Daten verlangt oder die ergänzenden Informationen zum Auskunftsrecht haben will. Praktisch taucht die Frage deshalb früher und an mehr Stellen auf, als viele SaaS-Teams erwarten. Sie beginnt oft in Support, Account Management, Sales oder einem Trust-Postfach, lange bevor Legal formell eingebunden ist.

Der nächste Schritt ist nicht nur zu prüfen, ob die Nachricht die richtigen juristischen Begriffe enthält. Der nächste Schritt ist zu klären, ob die Person tatsächlich ihre personenbezogenen Daten verlangt, welche Systeme im Scope liegen, wer den Fall besitzt und wie die Anfrage in einen wiederholbaren Ablauf überführt wird.

Wenn Sie zuerst das größere Betriebsmodell wollen, starten Sie mit Auskunftsersuchen von Betroffenen: Praxisleitfaden für SaaS-Teams, Wie man Auskunftsersuchen von Betroffenen operativ umsetzt, ohne die Produktentwicklung zu bremsen, Checkliste für Auskunftsersuchen von Betroffenen und häufige Fehler bei Auskunftsersuchen.

Wann DSAR-Handling greift

Das Auskunftsrecht greift, wenn eine Person wissen will, ob Daten über sie verarbeitet werden und, falls ja, Zugang zu diesen Daten sowie zu den Informationen aus Artikel 15 DSGVO verlangt. Die ICO formuliert den praktischen Kern sehr klar: Betroffene haben Anspruch auf Bestätigung, eine Kopie ihrer personenbezogenen Daten und ergänzende Informationen.

Das betrifft unter anderem:

• Kunden oder Nutzer, die alle Daten zu ihrem Konto sehen wollen;
• ehemalige Prospects, die nach verbleibenden CRM- oder Marketingdaten fragen;
• Support-Anfragende, die ihre Historie oder Interaktionen einsehen wollen;
• Mitarbeiter oder Auftragnehmer, die Zugriff auf geschäftlich verarbeitete Daten verlangen;
• Kundenmitarbeiter in einem Controller-Processor-Setup, bei dem der Vendor den richtigen Supportpfad klären muss.

Wann die Anfrage auch ohne formales Muster gilt

Das ist operativ besonders wichtig. Eine DSAR muss nicht formal aussehen, um wirksam zu sein. Die ICO sagt ausdrücklich, dass es keine formalen Voraussetzungen für eine gültige Anfrage gibt. Sie kann mündlich, schriftlich oder über Social Media bei jedem Teil der Organisation eingehen.

Darum wird das Auskunftsrecht oft zuerst zum Frontline-Thema. Häufige Formulierungen klingen unspektakulär:

• "Schicken Sie mir bitte alles, was Sie über mich haben."
• "Welche Daten aus unserem Trial speichern Sie noch?"
• "Ich möchte meine Kontohistorie und Supportdaten sehen."

Die Sprache ist alltäglich. Die Auswirkung auf den Ablauf ist es nicht.

Wann nicht jeder Fall dieselbe Suche auslöst

Dass das Auskunftsrecht greift, heißt nicht, dass jede Anfrage denselben Suchumfang braucht. Das Unternehmen muss immer noch bestimmen, welche Systeme relevant sind, welche Rolle es für die betreffenden Daten spielt und welche zusätzlichen Informationen in die Antwort gehören.

Gerade für SaaS-Teams ist das wichtig, weil Daten oft verteilt liegen:

• Produktdatenbank und Identitäts-Tooling;
• Support-Tickets, Chats und Anhänge;
• Billing- und Finanzsysteme;
• CRM- und Marketing-Automation;
• Analytics oder Telemetrie, soweit die Daten personenbezogen und relevant sind;
• Datensätze bei Processorn.

Die ICO fordert hier eine angemessene und verhältnismäßige Suche. Also weder nur das bequemste System prüfen noch blind alles durchsuchen.

Wann Teams pausieren und eskalieren sollten

Nicht jede Anfrage ist gleich einfach. Teams sollten anhalten und eskalieren, wenn:

• die Identität unklar ist und verhältnismäßige Verifikation nötig wird;
• die Anfrage so weit gefasst ist, dass Klarstellung erforderlich ist;
• Drittdaten in den Unterlagen stecken könnten;
• die Controller-Processor-Rollen nicht eindeutig sind;
• jemand auf "manifestly unfounded or excessive" verweisen will.

Gerade der letzte Punkt verlangt Vorsicht, weil die ICO die Schwelle dafür als hoch beschreibt.

Was als Nächstes zu tun ist

1. Anfrage erkennen und protokollieren

Dokumentieren Sie Eingangskanal, Erkennungszeitpunkt und Fall-Owner. Das ist der Startpunkt für Fristen, Koordination und Nachweise.

2. Identität und Scope verhältnismäßig klären

Fordern Sie nicht reflexhaft zu viele Nachweise an, wenn die Identität schon klar ist. Geben Sie aber auch nicht leichtfertig Daten heraus, wenn der Kanal unsicher ist.

3. Die Suche an relevanten Systemen ausrichten

Nutzen Sie eine Suchkarte, die zu den realen Workflows passt. Vermeiden Sie die Extreme "nur das Einfachste" und "alles ohne Begründung".

4. Sammlung und Review trennen

Das Einsammeln von Daten ist nicht dasselbe wie die Entscheidung, was ohne Beeinträchtigung der Rechte Dritter offengelegt werden kann.

5. Mit nutzbaren Informationen antworten

Artikel 15 verlangt nicht nur Dateiversand. Die Antwort sollte so aufgebaut sein, dass die Person die Daten und den Verarbeitungskontext verstehen kann.

6. Nachweise aufbewahren

Sinnvoll sind meist Intake-Pfad, Identitätsentscheidung, durchsuchte Systeme, Review-Notizen, einbezogene Processor und Versanddatum.

Praktische Szenarien

Support-Anfrage eines aktiven Nutzers

Ein eingeloggter Nutzer verlangt alle personenbezogenen Daten zum Konto. Das Auskunftsrecht greift eindeutig. Der nächste Schritt ist, die Anfrage in den DSAR-Ablauf zu routen und die relevanten Systeme jenseits der Haupttabelle zu prüfen.

Ehemaliger Prospect fragt nach verbleibenden Daten

Hier greift das Recht ebenfalls, wenn CRM, Marketing-Automation, Eventlisten oder Enrichment-Tools noch Daten halten.

Kundenmitarbeiter schreibt direkt an den SaaS-Vendor

In diesem Fall muss die Anfrage strukturiert behandelt werden, zugleich aber die Rollenzuordnung und der richtige Supportpfad geklärt werden.

Praktisches Fazit

Auskunftsersuchen greifen immer dann, wenn eine Person klar nach Bestätigung, Zugriff auf ihre Daten oder den ergänzenden Informationen des Auskunftsrechts fragt. Der nächste Schritt ist operativ: erkennen, Identität und Scope klären, relevante Systeme durchsuchen, das Ergebnis sauber prüfen und in verständlicher Form antworten.

FAQ

Was sollten Teams über Auskunftsersuchen verstehen?

Sie sollten verstehen, wann Auskunftsersuchen greifen, welche operativen Änderungen sie verlangen und welcher Nachweis zeigt, dass der Ablauf tatsächlich funktioniert.

Warum ist das in der Praxis wichtig?

Weil es beeinflusst, wie Teams Risiken eingrenzen, Ownership festlegen, Entscheidungen dokumentieren und Kunden-, Behörden- oder Auditfragen belastbarer beantworten.

Was ist der größte Fehler?

Der größte Fehler ist, Auskunftsersuchen als einmalige Rechtsfrage statt als wiederholbaren Workflow mit Ownern, Triggern, Nachweisen und Eskalationspfaden zu behandeln.