Betroffenenrechte / DSAR

Betroffenenrechte-Center für br-chor.de

br-chor.de Betroffenenrechte-Center: portalbereit mit 5 Anfrageart(en), 6 Intake-Feld(ern) und 2 offenen Lücke(n)/Prüfpunkt(en).

Launch-Blueprint für ein Betreiberportal. SaferPage nimmt keine echten Betroffenenanfragen entgegen und speichert keine Anfrageinhalte; Umsetzung muss im System des Betreibers erfolgen.

83 portalbereit
Report Trust Center Consent Center Betreiber-Board Risiko-Center Benchmark Änderungen Datenschutz-Center Anbieterregister Betreiber-Guide Rechte JSON Rechte CSV Verification JSON Verification CSV
80Rechte-Readiness 70Workflow-Score 100Portal-Launch 5Anfragearten 6Intake-Felder 2offene Punkte

Anfragearten

Welche Rechte Besucher einfach ausüben können sollten

Auskunft 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Löschung 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Berichtigung 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Widerspruch / Opt-out 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Datenübertragbarkeit 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Intake

Welche Formularfelder minimal nötig sind

Worum geht es? Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Kontakt für Rückfragen Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Woran erkennen wir Sie? optional/prüfen

Zweck und Datenminimierung dokumentieren.

Welche Bereiche sollen geprüft werden? optional/prüfen

Zweck und Datenminimierung dokumentieren.

Zusätzliche Angaben optional/prüfen

Zweck und Datenminimierung dokumentieren.

Sicherer Antwortweg Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Identity Verification

Wie Identitaet risikobasiert und datensparsam geprueft wird

Verification exportieren
6Methoden 5Punktregeln 5Preflight 5Systeme
E-Mail-Magic-Link basis · 1 Punkt(e)

Nur an bereits bekannte oder angegebene Kontaktadresse senden; Token kurzlebig und einmalig.

Account-Login / JWT hoch · 2 Punkt(e)

Bestehende Authentifizierung nutzen, Request-ID an verifizierte Account-ID binden.

OAuth2 / CIAM hoch · 2 Punkt(e)

Auth0, Cognito oder eigenes CIAM als Betreiber-System-of-Record verwenden.

MFA-Code per SMS/App hoch · 1 Punkt(e)

Nur vorhandene Telefonnummer oder App-Bindung nutzen, keine neue Telefonnummer ohne Zweck pruefen.

System-of-Record-Fragen mittel · 1 Punkt(e)

Fragen muessen mehrheitlich beantwortbar sein und aus bestehenden Datensaetzen stammen.

Manuelle Datenschutzpruefung variabel · 0 Punkt(e)

Nur bei begruendetem Zweifel; Minimalnachweis, Zweckbindung, schnelle Loeschung des Nachweises.

Kontrollen

Was vor Veröffentlichung geprüft werden sollte

Datenschutzerklärung erreichbarbereit

Datenschutzerklärung im Link-/Unterseiten-Audit erkannt.

Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.
Betroffenenrechte beschriebenbereit

Begriffe wie Auskunft, Löschung, Berichtigung, Widerspruch oder Datenübertragbarkeit erkannt.

Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.
Kontaktkanal für Datenschutzanfragenbereit

Kontakt-/DPO-Signal erkannt.

Datenschutzkontakt oder DSB-Kontakt mit sicherem Anfragekanal ergänzen.
Verantwortlicher/Anbieter erkennbarbereit

Impressum/Anbieterkennzeichnung erkannt.

Verantwortlichen, Anschrift und Kontakt klar sichtbar machen.
Formulare mit Datenschutzkontextbereit

Dateneingabe ohne erhöhten Kontextbedarf oder mit Datenschutzhinweis.

Bei Formularen Zweck, Pflichtfelder, Empfänger und Datenschutzlink direkt in Formularnähe erklären.
Datenarten und Systeme ableitbarbereit

3 Datenart(en), 8 Anbieter/Processor im Report ableitbar.

Für Auskunft/Löschung Datenquellen, Dienstleister und Speicherorte in einem Verzeichnis pflegen.
Datenschutzhinweis passt zur Technikoffen

1 Disclosure-Lücke(n) aus Technik-/Policy-Abgleich.

Beobachtete Cookies, Anbieter, Zwecke und Speicherorte im Datenschutzhinweis ergänzen.
Sichere Antwort- und Identitätsprüfung definiertoffen

Aus öffentlichem Scan nicht sicher beweisbar.

Identitätsprüfung, Fristenkontrolle, sichere Dateiübermittlung, Lösch-/Sperrlogik und Vier-Augen-Freigabe intern festlegen.

Portal-Launch

Welche Bausteine ein Rechte-Portal startklar machen

Öffentlichen Anfrageweg veröffentlichenbereit

Rights-Score 80/100, Kontaktkanal erkannt.

Datenschutzerklärung, Footer und Cookie-/Preference-Bereich mit einem klaren Betroffenenrechte-Link verbinden.
Datensparsames Formular mit Pflichtfeldernbereit

6 Intake-Feld(er), Intake-Score 100/100.

Formularfelder aus dem Blueprint im Betreiber-System umsetzen und Freitext als optional kennzeichnen.
Rechtsraum- und Fristenlogik aktivierenbereit

4 Rechtsraum-Variante(n), regionale Lokalisierung 100/100.

DE/AT/CH/EU-Anfragevarianten, Sprache, Fristen, lokale Behörde und Beschwerdehinweise abbilden.
Identitätsprüfung und Missbrauchsschutz definierenbereit

DSAR-Score 70/100, 5 Anfrageart(en).

E-Mail-Verifikation, Login-Bezug, risikobasierte Zusatzprüfung, Rate-Limits und Bot-Schutz festlegen.
Owner, SLA und Eskalation je Schritt hinterlegenbereit

5 Routing-Schritt(e), DSAR-Score 70/100.

Intake, Identität, Suche, Review, Antwort und Eskalation mit Owner und Frist im Ticket-System anlegen.
Datenquellen und Vendor-Aufgaben anbindenbereit

Discovery-Score 93/100.

System-Owner, Suchparameter, Vendor-Aufgaben und negative Suchergebnisse als Suchmanifest pflegen.
Sichere Antwortzustellung vorbereitenbereit

DSAR-Score 70/100.

Portal-Download, verschlüsselte Datei, getrennten Passwortkanal, Redaction-Log und Zustellnachweis umsetzen.
Opt-out und Preference Center verbindenbereit

Preference-Center-Score 76/100.

Widerspruch, Marketing-Abmeldung, Tracking-Opt-out, Widerruf und GPC-Status in Portal und CMP verlinken.
Texte, Datenschutzhinweis und Antwortvorlagen synchronisierenbereit

4 Textbaustein(e), Datenschutzhinweis vorhanden.

Formulartexte, Eingangsbestätigung, Fristverlängerung, Abschlussantwort und Datenschutzhinweis versionieren.

Workflow

Wie eine Anfrage intern abgearbeitet werden sollte

1
Öffentlicher Anfrageweg und Intake-Felder vorhanden

Betroffenenrechte-Readiness: 80/100 Punkte, 2 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.

DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.
2
Risikobasierte Identitätsprüfung prüfen

Aus öffentlichem Scan nicht beweisbar.

E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.
3
Fristen und Eskalationen steuerbar vorhanden

Regulatory-Watch 68/100, Rights-Lücken 2.

DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.
4
Datenquellen aus RoPA/Data Map ableitbar vorhanden

4 Verarbeitungstätigkeiten, 39 Data-Map-Knoten, 46 Kanten.

Systeme, Datenkategorien, Fachbereiche und Suchparameter je Anfrage aus RoPA/Data Map ableiten.
5
Vendor-/Processor-Aufgaben ableitbar vorhanden

8 Anbieter, 8 AVV-/DPA-Prüfungen.

Processor-Fristen, Auskunfts-/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.
6
Widerspruch/Opt-out mit Präferenzen verknüpft vorhanden

Preference-Center-Readiness 76/100; 7/9 Kontrollpunkt(e) erfüllt, 2 Lücke(n) oder manuelle Nachweise offen.

Widerspruch, Newsletter-Abmeldung, Profiling-/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.
7
Redaction, Drittpersonen und Ausnahmen prüfbar prüfen

Aus öffentlichem Scan nicht beweisbar.

Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen.
8
Sichere Zustellung und Antwortpaket prüfen

Aus öffentlichem Scan nicht beweisbar.

Secure Portal, verschlüsselte Datei, Passworttrennung, Wasserzeichen, Deckblatt und Zustellnachweis für Auskunftspakete vorsehen.
9
Audit-Trail und Integritätsnachweis vorhanden

Prüfbeleg vorhanden, Root-Hash c0670887c0d043cf.

Jede Anfrage mit Zeitstempel, Entscheidungen, Suchläufen, Datenquellen, Redaction und Antwortnachweis protokollieren.
10
Workflow-Kennzahlen und Backlog steuerbar vorhanden

Remediation Workflow mit 8 Ticket(s): 6 sofort starten, 2 einplanen, 0 im Backlog.

Offene DSAR-Aufgaben, Aging, Median-Zeit, Eskalationen und Wiederholungsthemen als Metriken ausgeben.

DACH/EU

Welche Rechtsräume der Betreiber berücksichtigen sollte

Deutschland de-DE · 1 Monat

BfDI/Landesdatenschutzbehörden, DSK

Österreich de-AT · 1 Monat

Datenschutzbehörde Österreich

Schweiz de-CH · in der Regel 30 Tage

EDÖB

EU/EWR de/en je Markt · 1 Monat

EDPB und nationale Aufsichtsbehörden

Betreiberplan

Was als Nächstes umzusetzen ist

Friststeuerung einrichten Eingangsdatum, 1-Monatsfrist, Verlängerung, Eskalation und Antwortnachweis als Ticketprozess führen.
Suchscope definieren Formulare, Logs, Cookies, Newsletter, Support, Analytics und Anbieter als Datenquellen inventarisieren.