Betroffenenrechte / DSAR

Betroffenenrechte-Center für bagso.de

bagso.de Betroffenenrechte-Center: ausbaufähig mit 5 Anfrageart(en), 6 Intake-Feld(ern) und 1 offenen Lücke(n)/Prüfpunkt(en).

Launch-Blueprint für ein Betreiberportal. SaferPage nimmt keine echten Betroffenenanfragen entgegen und speichert keine Anfrageinhalte; Umsetzung muss im System des Betreibers erfolgen.

75 ausbaufähig
Report Trust Center Consent Center Betreiber-Board Risiko-Center Benchmark Änderungen Datenschutz-Center Anbieterregister Betreiber-Guide
90Rechte-Readiness 52Workflow-Score 82Portal-Launch 5Anfragearten 6Intake-Felder 1offene Punkte

Anfragearten

Welche Rechte Besucher einfach ausüben können sollten

Auskunft 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Löschung 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Berichtigung 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Widerspruch / Opt-out 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Datenübertragbarkeit 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Intake

Welche Formularfelder minimal nötig sind

Worum geht es? Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Kontakt für Rückfragen Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Woran erkennen wir Sie? optional/prüfen

Zweck und Datenminimierung dokumentieren.

Welche Bereiche sollen geprüft werden? optional/prüfen

Zweck und Datenminimierung dokumentieren.

Zusätzliche Angaben optional/prüfen

Zweck und Datenminimierung dokumentieren.

Sicherer Antwortweg Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Kontrollen

Was vor Veröffentlichung geprüft werden sollte

Datenschutzerklärung erreichbarbereit

Datenschutzerklärung im Link-/Unterseiten-Audit erkannt.

Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.
Betroffenenrechte beschriebenbereit

Begriffe wie Auskunft, Löschung, Berichtigung, Widerspruch oder Datenübertragbarkeit erkannt.

Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.
Kontaktkanal für Datenschutzanfragenbereit

Kontakt-/DPO-Signal erkannt.

Datenschutzkontakt oder DSB-Kontakt mit sicherem Anfragekanal ergänzen.
Verantwortlicher/Anbieter erkennbarbereit

Impressum/Anbieterkennzeichnung erkannt.

Verantwortlichen, Anschrift und Kontakt klar sichtbar machen.
Formulare mit Datenschutzkontextbereit

Dateneingabe ohne erhöhten Kontextbedarf oder mit Datenschutzhinweis.

Bei Formularen Zweck, Pflichtfelder, Empfänger und Datenschutzlink direkt in Formularnähe erklären.
Datenarten und Systeme ableitbarbereit

3 Datenart(en), 0 Anbieter/Processor im Report ableitbar.

Für Auskunft/Löschung Datenquellen, Dienstleister und Speicherorte in einem Verzeichnis pflegen.
Datenschutzhinweis passt zur Technikbereit

Keine klare Disclosure-Lücke aus dem Abgleich.

Beobachtete Cookies, Anbieter, Zwecke und Speicherorte im Datenschutzhinweis ergänzen.
Sichere Antwort- und Identitätsprüfung definiertoffen

Aus öffentlichem Scan nicht sicher beweisbar.

Identitätsprüfung, Fristenkontrolle, sichere Dateiübermittlung, Lösch-/Sperrlogik und Vier-Augen-Freigabe intern festlegen.

Portal-Launch

Welche Bausteine ein Rechte-Portal startklar machen

Öffentlichen Anfrageweg veröffentlichenbereit

Rights-Score 90/100, Kontaktkanal erkannt.

Datenschutzerklärung, Footer und Cookie-/Preference-Bereich mit einem klaren Betroffenenrechte-Link verbinden.
Datensparsames Formular mit Pflichtfeldernbereit

6 Intake-Feld(er), Intake-Score 80/100.

Formularfelder aus dem Blueprint im Betreiber-System umsetzen und Freitext als optional kennzeichnen.
Rechtsraum- und Fristenlogik aktivierenbereit

4 Rechtsraum-Variante(n), regionale Lokalisierung 95/100.

DE/AT/CH/EU-Anfragevarianten, Sprache, Fristen, lokale Behörde und Beschwerdehinweise abbilden.
Identitätsprüfung und Missbrauchsschutz definierenbereit

DSAR-Score 52/100, 5 Anfrageart(en).

E-Mail-Verifikation, Login-Bezug, risikobasierte Zusatzprüfung, Rate-Limits und Bot-Schutz festlegen.
Owner, SLA und Eskalation je Schritt hinterlegenbereit

5 Routing-Schritt(e), DSAR-Score 52/100.

Intake, Identität, Suche, Review, Antwort und Eskalation mit Owner und Frist im Ticket-System anlegen.
Datenquellen und Vendor-Aufgaben anbindenbereit

Discovery-Score 85/100.

System-Owner, Suchparameter, Vendor-Aufgaben und negative Suchergebnisse als Suchmanifest pflegen.
Sichere Antwortzustellung vorbereitenoffen

DSAR-Score 52/100.

Portal-Download, verschlüsselte Datei, getrennten Passwortkanal, Redaction-Log und Zustellnachweis umsetzen.
Opt-out und Preference Center verbindenoffen

Preference-Center-Score 48/100.

Widerspruch, Marketing-Abmeldung, Tracking-Opt-out, Widerruf und GPC-Status in Portal und CMP verlinken.
Texte, Datenschutzhinweis und Antwortvorlagen synchronisierenbereit

4 Textbaustein(e), Datenschutzhinweis vorhanden.

Formulartexte, Eingangsbestätigung, Fristverlängerung, Abschlussantwort und Datenschutzhinweis versionieren.

Workflow

Wie eine Anfrage intern abgearbeitet werden sollte

1
Öffentlicher Anfrageweg und Intake-Felder vorhanden

Betroffenenrechte-Readiness: 90/100 Punkte, 1 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.

DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.
2
Risikobasierte Identitätsprüfung prüfen

Aus öffentlichem Scan nicht beweisbar.

E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.
3
Fristen und Eskalationen steuerbar vorhanden

Regulatory-Watch 68/100, Rights-Lücken 1.

DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.
4
Datenquellen aus RoPA/Data Map ableitbar vorhanden

2 Verarbeitungstätigkeiten, 11 Data-Map-Knoten, 10 Kanten.

Systeme, Datenkategorien, Fachbereiche und Suchparameter je Anfrage aus RoPA/Data Map ableiten.
5
Vendor-/Processor-Aufgaben ableitbar fehlt

0 Anbieter, 0 AVV-/DPA-Prüfungen.

Processor-Fristen, Auskunfts-/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.
6
Widerspruch/Opt-out mit Präferenzen verknüpft fehlt

Preference-Center-Readiness 48/100; 4/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.

Widerspruch, Newsletter-Abmeldung, Profiling-/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.
7
Redaction, Drittpersonen und Ausnahmen prüfbar prüfen

Aus öffentlichem Scan nicht beweisbar.

Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen.
8
Sichere Zustellung und Antwortpaket prüfen

Aus öffentlichem Scan nicht beweisbar.

Secure Portal, verschlüsselte Datei, Passworttrennung, Wasserzeichen, Deckblatt und Zustellnachweis für Auskunftspakete vorsehen.
9
Audit-Trail und Integritätsnachweis vorhanden

Prüfbeleg vorhanden, Root-Hash 8460d7d424a1d212.

Jede Anfrage mit Zeitstempel, Entscheidungen, Suchläufen, Datenquellen, Redaction und Antwortnachweis protokollieren.
10
Workflow-Kennzahlen und Backlog steuerbar vorhanden

Remediation Workflow mit 8 Ticket(s): 5 sofort starten, 3 einplanen, 0 im Backlog.

Offene DSAR-Aufgaben, Aging, Median-Zeit, Eskalationen und Wiederholungsthemen als Metriken ausgeben.

DACH/EU

Welche Rechtsräume der Betreiber berücksichtigen sollte

Deutschland de-DE · 1 Monat

BfDI/Landesdatenschutzbehörden, DSK

Österreich de-AT · 1 Monat

Datenschutzbehörde Österreich

Schweiz de-CH · in der Regel 30 Tage

EDÖB

EU/EWR de/en je Markt · 1 Monat

EDPB und nationale Aufsichtsbehörden

Betreiberplan

Was als Nächstes umzusetzen ist

Friststeuerung einrichten Eingangsdatum, 1-Monatsfrist, Verlängerung, Eskalation und Antwortnachweis als Ticketprozess führen.
Suchscope definieren Formulare, Logs, Cookies, Newsletter, Support, Analytics und Anbieter als Datenquellen inventarisieren.