Betroffenenrechte / DSAR

Betroffenenrechte-Center für bpm.de

bpm.de Betroffenenrechte-Center: ausbaufähig mit 5 Anfrageart(en), 6 Intake-Feld(ern) und 2 offenen Lücke(n)/Prüfpunkt(en).

Launch-Blueprint für ein Betreiberportal. SaferPage nimmt keine echten Betroffenenanfragen entgegen und speichert keine Anfrageinhalte; Umsetzung muss im System des Betreibers erfolgen.

78 ausbaufähig
Report Trust Center Consent Center Betreiber-Board Risiko-Center Benchmark Änderungen Datenschutz-Center Anbieterregister Betreiber-Guide
80Rechte-Readiness 62Workflow-Score 92Portal-Launch 5Anfragearten 6Intake-Felder 2offene Punkte

Anfragearten

Welche Rechte Besucher einfach ausüben können sollten

Auskunft 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Löschung 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Berichtigung 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Widerspruch / Opt-out 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Datenübertragbarkeit 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Intake

Welche Formularfelder minimal nötig sind

Worum geht es? Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Kontakt für Rückfragen Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Woran erkennen wir Sie? optional/prüfen

Zweck und Datenminimierung dokumentieren.

Welche Bereiche sollen geprüft werden? optional/prüfen

Zweck und Datenminimierung dokumentieren.

Zusätzliche Angaben optional/prüfen

Zweck und Datenminimierung dokumentieren.

Sicherer Antwortweg Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Kontrollen

Was vor Veröffentlichung geprüft werden sollte

Datenschutzerklärung erreichbarbereit

Datenschutzerklärung im Link-/Unterseiten-Audit erkannt.

Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.
Betroffenenrechte beschriebenbereit

Begriffe wie Auskunft, Löschung, Berichtigung, Widerspruch oder Datenübertragbarkeit erkannt.

Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.
Kontaktkanal für Datenschutzanfragenbereit

Kontakt-/DPO-Signal erkannt.

Datenschutzkontakt oder DSB-Kontakt mit sicherem Anfragekanal ergänzen.
Verantwortlicher/Anbieter erkennbarbereit

Impressum/Anbieterkennzeichnung erkannt.

Verantwortlichen, Anschrift und Kontakt klar sichtbar machen.
Formulare mit Datenschutzkontextbereit

Dateneingabe ohne erhöhten Kontextbedarf oder mit Datenschutzhinweis.

Bei Formularen Zweck, Pflichtfelder, Empfänger und Datenschutzlink direkt in Formularnähe erklären.
Datenarten und Systeme ableitbarbereit

2 Datenart(en), 2 Anbieter/Processor im Report ableitbar.

Für Auskunft/Löschung Datenquellen, Dienstleister und Speicherorte in einem Verzeichnis pflegen.
Datenschutzhinweis passt zur Technikoffen

1 Disclosure-Lücke(n) aus Technik-/Policy-Abgleich.

Beobachtete Cookies, Anbieter, Zwecke und Speicherorte im Datenschutzhinweis ergänzen.
Sichere Antwort- und Identitätsprüfung definiertoffen

Aus öffentlichem Scan nicht sicher beweisbar.

Identitätsprüfung, Fristenkontrolle, sichere Dateiübermittlung, Lösch-/Sperrlogik und Vier-Augen-Freigabe intern festlegen.

Portal-Launch

Welche Bausteine ein Rechte-Portal startklar machen

Öffentlichen Anfrageweg veröffentlichenbereit

Rights-Score 80/100, Kontaktkanal erkannt.

Datenschutzerklärung, Footer und Cookie-/Preference-Bereich mit einem klaren Betroffenenrechte-Link verbinden.
Datensparsames Formular mit Pflichtfeldernbereit

6 Intake-Feld(er), Intake-Score 90/100.

Formularfelder aus dem Blueprint im Betreiber-System umsetzen und Freitext als optional kennzeichnen.
Rechtsraum- und Fristenlogik aktivierenbereit

4 Rechtsraum-Variante(n), regionale Lokalisierung 95/100.

DE/AT/CH/EU-Anfragevarianten, Sprache, Fristen, lokale Behörde und Beschwerdehinweise abbilden.
Identitätsprüfung und Missbrauchsschutz definierenbereit

DSAR-Score 62/100, 5 Anfrageart(en).

E-Mail-Verifikation, Login-Bezug, risikobasierte Zusatzprüfung, Rate-Limits und Bot-Schutz festlegen.
Owner, SLA und Eskalation je Schritt hinterlegenbereit

5 Routing-Schritt(e), DSAR-Score 62/100.

Intake, Identität, Suche, Review, Antwort und Eskalation mit Owner und Frist im Ticket-System anlegen.
Datenquellen und Vendor-Aufgaben anbindenbereit

Discovery-Score 83/100.

System-Owner, Suchparameter, Vendor-Aufgaben und negative Suchergebnisse als Suchmanifest pflegen.
Sichere Antwortzustellung vorbereitenbereit

DSAR-Score 62/100.

Portal-Download, verschlüsselte Datei, getrennten Passwortkanal, Redaction-Log und Zustellnachweis umsetzen.
Opt-out und Preference Center verbindenoffen

Preference-Center-Score 54/100.

Widerspruch, Marketing-Abmeldung, Tracking-Opt-out, Widerruf und GPC-Status in Portal und CMP verlinken.
Texte, Datenschutzhinweis und Antwortvorlagen synchronisierenbereit

4 Textbaustein(e), Datenschutzhinweis vorhanden.

Formulartexte, Eingangsbestätigung, Fristverlängerung, Abschlussantwort und Datenschutzhinweis versionieren.

Workflow

Wie eine Anfrage intern abgearbeitet werden sollte

1
Öffentlicher Anfrageweg und Intake-Felder vorhanden

Betroffenenrechte-Readiness: 80/100 Punkte, 2 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.

DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.
2
Risikobasierte Identitätsprüfung prüfen

Aus öffentlichem Scan nicht beweisbar.

E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.
3
Fristen und Eskalationen steuerbar vorhanden

Regulatory-Watch 68/100, Rights-Lücken 2.

DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.
4
Datenquellen aus RoPA/Data Map ableitbar vorhanden

3 Verarbeitungstätigkeiten, 20 Data-Map-Knoten, 22 Kanten.

Systeme, Datenkategorien, Fachbereiche und Suchparameter je Anfrage aus RoPA/Data Map ableiten.
5
Vendor-/Processor-Aufgaben ableitbar vorhanden

2 Anbieter, 2 AVV-/DPA-Prüfungen.

Processor-Fristen, Auskunfts-/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.
6
Widerspruch/Opt-out mit Präferenzen verknüpft fehlt

Preference-Center-Readiness 54/100; 5/9 Kontrollpunkt(e) erfüllt, 4 Lücke(n) oder manuelle Nachweise offen.

Widerspruch, Newsletter-Abmeldung, Profiling-/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.
7
Redaction, Drittpersonen und Ausnahmen prüfbar prüfen

Aus öffentlichem Scan nicht beweisbar.

Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen.
8
Sichere Zustellung und Antwortpaket prüfen

Aus öffentlichem Scan nicht beweisbar.

Secure Portal, verschlüsselte Datei, Passworttrennung, Wasserzeichen, Deckblatt und Zustellnachweis für Auskunftspakete vorsehen.
9
Audit-Trail und Integritätsnachweis vorhanden

Prüfbeleg vorhanden, Root-Hash 43135bdecf6c5f9c.

Jede Anfrage mit Zeitstempel, Entscheidungen, Suchläufen, Datenquellen, Redaction und Antwortnachweis protokollieren.
10
Workflow-Kennzahlen und Backlog steuerbar vorhanden

Remediation Workflow mit 8 Ticket(s): 4 sofort starten, 4 einplanen, 0 im Backlog.

Offene DSAR-Aufgaben, Aging, Median-Zeit, Eskalationen und Wiederholungsthemen als Metriken ausgeben.

DACH/EU

Welche Rechtsräume der Betreiber berücksichtigen sollte

Deutschland de-DE · 1 Monat

BfDI/Landesdatenschutzbehörden, DSK

Österreich de-AT · 1 Monat

Datenschutzbehörde Österreich

Schweiz de-CH · in der Regel 30 Tage

EDÖB

EU/EWR de/en je Markt · 1 Monat

EDPB und nationale Aufsichtsbehörden

Betreiberplan

Was als Nächstes umzusetzen ist

Friststeuerung einrichten Eingangsdatum, 1-Monatsfrist, Verlängerung, Eskalation und Antwortnachweis als Ticketprozess führen.
Suchscope definieren Formulare, Logs, Cookies, Newsletter, Support, Analytics und Anbieter als Datenquellen inventarisieren.