Wann lohnt sich Software für die Bearbeitung von Betroffenenanfragen? Kurzantwort: Sobald Auskunfts-, Löschungs- und Berichtigungsersuchen nach Art. 15-22 DSGVO regelmäßig eintreffen oder mehrere Abteilungen betreffen. Die Ein-Monats-Frist läuft ab Eingang, die Auskunft muss vollständig sein, und die Identität des Antragstellers muss geprüft werden — genau an diesen drei Punkten scheitert die manuelle Bearbeitung. Betroffenenanfragen-Software (englisch DSAR-Software, für Data Subject Access Request) macht daraus einen fristgesteuerten, dokumentierten Prozess. Dieser Beitrag zeigt, was solche Tools leisten müssen und warum unvollständige Auskünfte in Deutschland zum teuersten Fehler werden.
Key Takeaways
- Die Frist für Betroffenenanfragen beträgt nach Art. 12 Abs. 3 DSGVO einen Monat ab Eingang, verlängerbar um zwei Monate bei Komplexität.
- Der häufigste Fehler ist die unvollständige Auskunft — in Deutschland eine der Hauptquellen für Schadensersatzklagen nach Art. 82 DSGVO.
- Kernfunktionen: Fristenzähler, Identitätsprüfung, strukturierte Datensammlung über Abteilungen, Vollständigkeitskontrolle und Nachweisdokumentation.
- Der Vergleichsmaßstab ist die Handarbeit: Eine komplexe Auskunft manuell zu erstellen, kostet leicht mehrere Personentage.
Welche Rechte die Software abbilden muss
Betroffenenanfragen sind nicht nur Auskunftsersuchen. Die Software muss das gesamte Bündel der Art. 15-22 DSGVO abdecken:
- Auskunft (Art. 15) — die häufigste und komplexeste Anfrage, weil sie eine vollständige Kopie aller verarbeiteten Daten plus Metainformationen verlangt.
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten.
- Löschung (Recht auf Vergessenwerden, Art. 17) — mit Prüfung entgegenstehender Aufbewahrungspflichten.
- Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21).
Jeder Anfragetyp hat eigene Prüfschritte und Fristen. Gute Software stellt pro Typ eine geführte Vorlage bereit — statt dass jede Anfrage von Grund auf bearbeitet wird. Die Grundlagen erklärt unser Beitrag zum Auskunftsrecht nach DSGVO.
Warum die Vollständigkeit über Bußgeld und Klage entscheidet
Der teuerste Fehler bei Betroffenenanfragen ist nicht die Fristüberschreitung, sondern die unvollständige Auskunft. Deutsche Gerichte haben in zahlreichen Verfahren Schadensersatz nach Art. 82 DSGVO zugesprochen, weil eine Auskunft Datenkategorien ausließ — etwa interne Vermerke, E-Mail-Korrespondenz oder Daten aus Nebensystemen. Der Bundesgerichtshof und der EuGH haben den Auskunftsanspruch weit ausgelegt: Er umfasst grundsätzlich alle personenbezogenen Daten, nicht nur die im Hauptsystem.
Das ist die eigentliche Begründung für Software. Eine vollständige Auskunft erfordert, dass alle Systeme abgefragt werden, in denen personenbezogene Daten liegen — CRM, ERP, E-Mail, Ticketsystem, Personalakte. Ein manueller Prozess vergisst regelmäßig eines davon. Software, die an das Verzeichnis der Verarbeitungstätigkeiten angebunden ist, weiß, welche Systeme zu durchsuchen sind — und dokumentiert, dass es geschah.
Was Betroffenenanfragen-Software leisten muss
| Funktion | Warum entscheidend |
|---|---|
| Fristenzähler | Monatsfrist ab Eingang, automatische Warnung |
| Identitätsprüfung | Auskunft nur an den echten Betroffenen |
| System-Checkliste | alle datenführenden Systeme abfragen |
| Vollständigkeitskontrolle | Schutz vor Schadensersatz nach Art. 82 |
| Schwärzung Dritter | Rechte anderer Personen wahren (Art. 15 Abs. 4) |
| Vorlagen pro Anfragetyp | Auskunft, Löschung, Berichtigung getrennt |
| Nachweisdokumentation | Beleg für die Aufsichtsbehörde |
| Fristverlängerung | begründete Verlängerung um zwei Monate |
Die Identitätsprüfung verdient Beachtung: Software darf die Hürde nicht zu hoch legen (unzulässige Erschwerung des Rechts), muss aber verhindern, dass Daten an Unbefugte herausgegeben werden. Ein strukturierter Prozess trifft diese Balance besser als Einzelfallentscheidungen. Ein bewährter Ablauf steht in unserem Muster für den Auskunftsersuchen-Prozess.
Der Sonderfall: Anfragen ehemaliger Mitarbeiter
Die schwierigsten Auskunftsersuchen kommen selten von Kunden, sondern von ehemaligen Beschäftigten — oft im Kontext eines Kündigungsstreits. Sie verlangen eine vollständige Kopie aller über sie verarbeiteten Daten: Personalakte, E-Mail-Korrespondenz, Leistungsbeurteilungen, Zeiterfassung, interne Vermerke. Genau hier entstehen die teuren Fehler, weil Daten über viele Systeme und Postfächer verstreut liegen.
Der EuGH hat in mehreren Entscheidungen klargestellt, dass der Auskunftsanspruch grundsätzlich weit reicht und auch interne Vermerke umfassen kann, soweit sie personenbezogen sind. Zugleich sind die Rechte Dritter zu wahren: Nennt eine E-Mail andere Personen, ist deren Bezug zu schwärzen (Art. 15 Abs. 4). Diese Gratwanderung — vollständig, aber Dritte geschützt — ist manuell kaum fehlerfrei zu bewältigen. Der Europäische Datenschutzausschuss (EDPB) hat zu den Grenzen des Auskunftsrechts eigene Leitlinien veröffentlicht, die den Umfang präzisieren.
Software adressiert diesen Fall über eine systemübergreifende Checkliste: Sie zwingt dazu, jedes datenführende System abzufragen, und dokumentiert die Schwärzung. Der Nachweis, dass systematisch und vollständig gesucht wurde, ist im Streitfall die beste Verteidigung gegen einen Schadensersatzanspruch.
Handarbeit gegen Software: die Rechnung
Eine einfache Auskunft — ein Kunde, ein System — ist in einer Stunde erledigt. Eine komplexe Auskunft eines ehemaligen Mitarbeiters, der Daten aus HR, E-Mail, Zeiterfassung und mehreren Fachsystemen verlangt, bindet leicht ein bis drei Personentage: Daten sammeln, Dritte schwärzen, auf Vollständigkeit prüfen, fristgerecht versenden. Kommen solche Anfragen mehrmals im Quartal, summiert sich das schnell.
Software senkt diesen Aufwand nicht auf null, aber deutlich — und, wichtiger, sie senkt das Risiko. Der teure Posten ist nicht die aufgewendete Stunde, sondern die vergessene Datenkategorie, die später eine Klage auslöst. Der breitere Marktüberblick mit Anbietern und Preisen steht in unserem DSGVO-Software-Vergleich; für ein KMU liegt eine Plattform mit DSAR-Modul im Rahmen von 2.000 bis 12.000 € pro Jahr.
Ein oft übersehener Effekt: Software macht die Anfragen planbar. Statt dass jede Auskunft ein Feueralarm ist, der eine Sachbearbeiterin für einen Tag bindet, läuft ein definierter Prozess mit klaren Zuständigkeiten und Fristen. Das entlastet nicht nur die Fachabteilung, sondern liefert dem DSB einen Überblick: Wie viele Anfragen kommen, welcher Typ, wie schnell werden sie beantwortet. Diese Kennzahlen sind selbst ein Compliance-Nachweis — sie belegen gegenüber der Aufsichtsbehörde, dass Betroffenenrechte systematisch und fristgerecht bearbeitet werden.
Nicht zu unterschätzen ist der psychologische Effekt gegenüber dem Antragsteller: Eine schnelle, vollständige und professionell aufbereitete Auskunft signalisiert, dass das Unternehmen seine Pflichten ernst nimmt — und nimmt vielen Streitfällen von vornherein die Spitze. Eine verspätete oder erkennbar lückenhafte Antwort dagegen lädt geradezu zur Beschwerde und zur Klage ein.
Für die Missbrauchsgrenze gilt: Bei offenkundig unbegründeten oder exzessiven Anfragen — etwa der wiederholten Wiederholung derselben Auskunft in kurzen Abständen — erlaubt Art. 12 Abs. 5 ein angemessenes Entgelt oder die Ablehnung. Diese Ausnahme ist eng und muss begründet dokumentiert werden; Software mit Anfragehistorie liefert die Grundlage, um eine solche Entscheidung zu belegen, ohne den Regelfall zu erschweren.
Der DSAR-Prozess Schritt für Schritt
Ein belastbarer Ablauf für jede Betroffenenanfrage folgt sieben Schritten — Software gießt genau diese Kette in einen fristgesteuerten Workflow.
- Eingang erfassen und Frist starten. Die Ein-Monats-Frist nach Art. 12 Abs. 3 DSGVO läuft ab dem Tag des Eingangs, unabhängig vom Kanal — E-Mail, Brief, Kontaktformular oder mündlich zu Protokoll. Der Fristenzähler startet automatisch; das Eingangsdatum ist zu dokumentieren.
- Anfragetyp klassifizieren. Auskunft (Art. 15), Löschung (Art. 17), Berichtigung, Einschränkung oder Widerspruch — jeder Typ hat eigene Prüfschritte. Die Klassifizierung entscheidet über die weitere Vorlage.
- Identität prüfen. Bei begründeten Zweifeln zusätzliche Nachweise anfordern (Art. 12 Abs. 6) — aber nur so viel wie nötig, um das Recht nicht unzulässig zu erschweren. Die Frist läuft während der Identitätsklärung grundsätzlich weiter.
- Datenführende Systeme abfragen. Anhand der System-Checkliste jedes relevante System durchsuchen: CRM, ERP, E-Mail, Ticketsystem, Personalakte, Backups. Die Anbindung an das Verzeichnis liefert die vollständige Liste.
- Dritte schwärzen und Vollständigkeit prüfen. Bezüge zu anderen Personen unkenntlich machen (Art. 15 Abs. 4), dann gegen die Systemliste kontrollieren, dass keine Datenkategorie fehlt.
- Über eine Verlängerung entscheiden. Ist die Anfrage komplex oder betrifft sie viele Datensätze, kann die Frist um zwei Monate verlängert werden — aber nur mit begründeter Mitteilung an den Betroffenen innerhalb des ersten Monats. Diese Mitteilung ist selbst dokumentationspflichtig.
- Auskunft versenden und Nachweis ablegen. Die Antwort fristgerecht, vollständig und in gängigem Format übermitteln; den gesamten Vorgang mit Zeitstempeln archivieren. Dieser Nachweis ist im Streitfall die Verteidigung gegen einen Schadensersatzanspruch.
Der kritische Punkt ist Schritt 6: Die Verlängerung ist zulässig, aber die Mitteilung muss im ersten Monat erfolgen — wer sie vergisst, verliert die Verlängerungsoption und läuft in eine Fristverletzung. Genau diese Weiche automatisiert gute Software, indem sie rechtzeitig vor Fristablauf zur Entscheidung über eine Verlängerung auffordert.
FAQ
Wie lange habe ich Zeit, eine Betroffenenanfrage zu beantworten?
Einen Monat ab Eingang der Anfrage (Art. 12 Abs. 3 DSGVO). Bei besonders komplexen oder zahlreichen Anfragen darf die Frist um zwei weitere Monate verlängert werden — aber nur mit begründeter Mitteilung an den Betroffenen innerhalb des ersten Monats. Software mit Fristenzähler verhindert, dass diese Frist unbemerkt verstreicht.
Was passiert bei einer unvollständigen Auskunft?
Eine unvollständige Auskunft gilt als Verletzung des Auskunftsrechts. In Deutschland führt das regelmäßig zu Schadensersatzansprüchen nach Art. 82 DSGVO und kann von der Aufsichtsbehörde beanstandet werden. Der Auskunftsanspruch umfasst grundsätzlich alle personenbezogenen Daten in allen Systemen — das Übersehen einer Datenkategorie ist der häufigste Grund für Klagen.
Muss ich die Identität des Antragstellers prüfen?
Ja, in angemessenem Umfang. Sie dürfen bei begründeten Zweifeln zusätzliche Informationen zur Identitätsbestätigung anfordern (Art. 12 Abs. 6). Die Prüfung darf das Recht aber nicht unzulässig erschweren. Software mit einem definierten Identitätsprozess trifft diese Balance zuverlässiger als Einzelfallentscheidungen.
Lohnt sich DSAR-Software für kleine Unternehmen?
Wenn nur wenige einfache Anfragen im Jahr eingehen, reicht ein gutes Vorlagen-Set. Sobald Anfragen regelmäßig eintreffen, mehrere Systeme betreffen oder von ehemaligen Mitarbeitern kommen, senkt Software Aufwand und Haftungsrisiko spürbar — vor allem durch die Vollständigkeitskontrolle über alle datenführenden Systeme.
Fazit
Betroffenenanfragen sind der Punkt, an dem Datenschutz für den Einzelnen sichtbar wird — und für das Unternehmen zum Haftungsrisiko. Die Frist ist knapp, die Vollständigkeit entscheidend, und deutsche Gerichte sind bei Art. 82 großzügig. Software macht aus einem fehleranfälligen Ad-hoc-Prozess einen fristgesteuerten, dokumentierten Ablauf, der alle Systeme erfasst. Kaufen Sie nicht für den Komfort, sondern für die vollständige Auskunft, die vor Gericht Bestand hat.
See Legiscope in action
AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.
Request a demo