Betroffenenrechte / DSAR

Betroffenenrechte-Center für deutschlandfunkkultur.de

deutschlandfunkkultur.de Betroffenenrechte-Center: prüfen mit 5 Anfrageart(en), 6 Intake-Feld(ern) und 6 offenen Lücke(n)/Prüfpunkt(en).

Launch-Blueprint für ein Betreiberportal. SaferPage nimmt keine echten Betroffenenanfragen entgegen und speichert keine Anfrageinhalte; Umsetzung muss im System des Betreibers erfolgen.

51 prüfen
Report Trust Center Consent Center Betreiber-Board Risiko-Center Benchmark Änderungen Datenschutz-Center Anbieterregister Betreiber-Guide
26Rechte-Readiness 48Workflow-Score 78Portal-Launch 5Anfragearten 6Intake-Felder 6offene Punkte

Anfragearten

Welche Rechte Besucher einfach ausüben können sollten

Auskunft 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Löschung 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Berichtigung 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Widerspruch / Opt-out 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Datenübertragbarkeit 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Intake

Welche Formularfelder minimal nötig sind

Worum geht es? Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Kontakt für Rückfragen Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Woran erkennen wir Sie? optional/prüfen

Zweck und Datenminimierung dokumentieren.

Welche Bereiche sollen geprüft werden? optional/prüfen

Zweck und Datenminimierung dokumentieren.

Zusätzliche Angaben optional/prüfen

Zweck und Datenminimierung dokumentieren.

Sicherer Antwortweg Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Kontrollen

Was vor Veröffentlichung geprüft werden sollte

Datenschutzerklärung erreichbaroffen

Keine gut erkennbare Datenschutzerklärung im Scan.

Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.
Betroffenenrechte beschriebenoffen

Betroffenenrechte wurden im Datenschutzhinweis-Audit nicht klar erkannt.

Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.
Kontaktkanal für Datenschutzanfragenbereit

Kontakt-/DPO-Signal erkannt.

Datenschutzkontakt oder DSB-Kontakt mit sicherem Anfragekanal ergänzen.
Verantwortlicher/Anbieter erkennbaroffen

Impressum oder Anbieterkennzeichnung nicht klar erkannt.

Verantwortlichen, Anschrift und Kontakt klar sichtbar machen.
Formulare mit Datenschutzkontextoffen

Formulare/Newsletter erkannt, aber Datenschutzkontext fehlt.

Bei Formularen Zweck, Pflichtfelder, Empfänger und Datenschutzlink direkt in Formularnähe erklären.
Datenarten und Systeme ableitbarbereit

1 Datenart(en), 3 Anbieter/Processor im Report ableitbar.

Für Auskunft/Löschung Datenquellen, Dienstleister und Speicherorte in einem Verzeichnis pflegen.
Datenschutzhinweis passt zur Technikoffen

4 Disclosure-Lücke(n) aus Technik-/Policy-Abgleich.

Beobachtete Cookies, Anbieter, Zwecke und Speicherorte im Datenschutzhinweis ergänzen.
Sichere Antwort- und Identitätsprüfung definiertoffen

Aus öffentlichem Scan nicht sicher beweisbar.

Identitätsprüfung, Fristenkontrolle, sichere Dateiübermittlung, Lösch-/Sperrlogik und Vier-Augen-Freigabe intern festlegen.

Portal-Launch

Welche Bausteine ein Rechte-Portal startklar machen

Öffentlichen Anfrageweg veröffentlichenbereit

Rights-Score 26/100, Kontaktkanal erkannt.

Datenschutzerklärung, Footer und Cookie-/Preference-Bereich mit einem klaren Betroffenenrechte-Link verbinden.
Datensparsames Formular mit Pflichtfeldernbereit

6 Intake-Feld(er), Intake-Score 70/100.

Formularfelder aus dem Blueprint im Betreiber-System umsetzen und Freitext als optional kennzeichnen.
Rechtsraum- und Fristenlogik aktivierenbereit

4 Rechtsraum-Variante(n), regionale Lokalisierung 85/100.

DE/AT/CH/EU-Anfragevarianten, Sprache, Fristen, lokale Behörde und Beschwerdehinweise abbilden.
Identitätsprüfung und Missbrauchsschutz definierenbereit

DSAR-Score 48/100, 5 Anfrageart(en).

E-Mail-Verifikation, Login-Bezug, risikobasierte Zusatzprüfung, Rate-Limits und Bot-Schutz festlegen.
Owner, SLA und Eskalation je Schritt hinterlegenoffen

5 Routing-Schritt(e), DSAR-Score 48/100.

Intake, Identität, Suche, Review, Antwort und Eskalation mit Owner und Frist im Ticket-System anlegen.
Datenquellen und Vendor-Aufgaben anbindenbereit

Discovery-Score 85/100.

System-Owner, Suchparameter, Vendor-Aufgaben und negative Suchergebnisse als Suchmanifest pflegen.
Sichere Antwortzustellung vorbereitenoffen

DSAR-Score 48/100.

Portal-Download, verschlüsselte Datei, getrennten Passwortkanal, Redaction-Log und Zustellnachweis umsetzen.
Opt-out und Preference Center verbindenbereit

Preference-Center-Score 70/100.

Widerspruch, Marketing-Abmeldung, Tracking-Opt-out, Widerruf und GPC-Status in Portal und CMP verlinken.
Texte, Datenschutzhinweis und Antwortvorlagen synchronisierenbereit

4 Textbaustein(e), Datenschutzhinweis vorhanden.

Formulartexte, Eingangsbestätigung, Fristverlängerung, Abschlussantwort und Datenschutzhinweis versionieren.

Workflow

Wie eine Anfrage intern abgearbeitet werden sollte

1
Öffentlicher Anfrageweg und Intake-Felder fehlt

Betroffenenrechte-Readiness: 26/100 Punkte, 6 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.

DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.
2
Risikobasierte Identitätsprüfung prüfen

Aus öffentlichem Scan nicht beweisbar.

E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.
3
Fristen und Eskalationen steuerbar fehlt

Regulatory-Watch 68/100, Rights-Lücken 6.

DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.
4
Datenquellen aus RoPA/Data Map ableitbar vorhanden

4 Verarbeitungstätigkeiten, 27 Data-Map-Knoten, 30 Kanten.

Systeme, Datenkategorien, Fachbereiche und Suchparameter je Anfrage aus RoPA/Data Map ableiten.
5
Vendor-/Processor-Aufgaben ableitbar vorhanden

3 Anbieter, 3 AVV-/DPA-Prüfungen.

Processor-Fristen, Auskunfts-/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.
6
Widerspruch/Opt-out mit Präferenzen verknüpft vorhanden

Preference-Center-Readiness 70/100; 6/9 Kontrollpunkt(e) erfüllt, 3 Lücke(n) oder manuelle Nachweise offen.

Widerspruch, Newsletter-Abmeldung, Profiling-/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.
7
Redaction, Drittpersonen und Ausnahmen prüfbar prüfen

Aus öffentlichem Scan nicht beweisbar.

Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen.
8
Sichere Zustellung und Antwortpaket prüfen

Aus öffentlichem Scan nicht beweisbar.

Secure Portal, verschlüsselte Datei, Passworttrennung, Wasserzeichen, Deckblatt und Zustellnachweis für Auskunftspakete vorsehen.
9
Audit-Trail und Integritätsnachweis vorhanden

Prüfbeleg vorhanden, Root-Hash b1964a346a6c5096.

Jede Anfrage mit Zeitstempel, Entscheidungen, Suchläufen, Datenquellen, Redaction und Antwortnachweis protokollieren.
10
Workflow-Kennzahlen und Backlog steuerbar vorhanden

Remediation Workflow mit 8 Ticket(s): 5 sofort starten, 3 einplanen, 0 im Backlog.

Offene DSAR-Aufgaben, Aging, Median-Zeit, Eskalationen und Wiederholungsthemen als Metriken ausgeben.

DACH/EU

Welche Rechtsräume der Betreiber berücksichtigen sollte

Deutschland de-DE · 1 Monat

BfDI/Landesdatenschutzbehörden, DSK

Österreich de-AT · 1 Monat

Datenschutzbehörde Österreich

Schweiz de-CH · in der Regel 30 Tage

EDÖB

EU/EWR de/en je Markt · 1 Monat

EDPB und nationale Aufsichtsbehörden

Betreiberplan

Was als Nächstes umzusetzen ist

Friststeuerung einrichten Eingangsdatum, 1-Monatsfrist, Verlängerung, Eskalation und Antwortnachweis als Ticketprozess führen.
Suchscope definieren Formulare, Logs, Cookies, Newsletter, Support, Analytics und Anbieter als Datenquellen inventarisieren.