Betroffenenrechte / DSAR

Betroffenenrechte-Center für dsj.de

dsj.de Betroffenenrechte-Center: kritisch prüfen mit 5 Anfrageart(en), 6 Intake-Feld(ern) und 7 offenen Lücke(n)/Prüfpunkt(en).

Launch-Blueprint für ein Betreiberportal. SaferPage nimmt keine echten Betroffenenanfragen entgegen und speichert keine Anfrageinhalte; Umsetzung muss im System des Betreibers erfolgen.

32 kritisch prüfen
Report Trust Center Consent Center Betreiber-Board Risiko-Center Benchmark Änderungen Datenschutz-Center Anbieterregister Anfrage-Demo Fulfillment Betreiber-Guide Rechte JSON Rechte CSV Verification JSON Verification CSV
12Rechte-Readiness 40Workflow-Score 44Portal-Launch 5Anfragearten 6Intake-Felder 7offene Punkte

Öffentliche Anfrageformular-Demo

Datenschutzanfragen sichtbar und verständlich starten

Die Demo zeigt Besuchern und Betreibern, wie Auskunft, Löschung, Berichtigung, Widerspruch, Widerruf und Datenübertragbarkeit datensparsam abgefragt werden können.

Demo ohne echte Anfrageannahme · Platzierung: Datenschutzerklärung, Footer, Privacy Center oder Trust Center.

Demo öffnen Intake JSON Markdown Fulfillment
Für Besucher

Auskunft, Löschung, Berichtigung, Widerspruch, Widerruf und Datenübertragbarkeit werden als verständliche Auswahl vorbereitet.

Für Betreiber

Felder, Zweck, Datenminimierung, Fristen und Sicherheitsanforderungen sind im Export prüfbar.

Für die Umsetzung

SaferPage nimmt keine echten Anfragen entgegen; Betreiber verbinden die Vorlage mit eigenem sicheren Zielsystem.

Anfragearten

Welche Rechte Besucher einfach ausüben können sollten

Auskunft 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Löschung 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Berichtigung 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Widerspruch / Opt-out 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Datenübertragbarkeit 1 Monat

Anfrageweg, Identität, Frist und sichere Antwort müssen Betreiber fachlich freigeben.

Intake

Welche Formularfelder minimal nötig sind

Worum geht es? Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Kontakt für Rückfragen Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Woran erkennen wir Sie? optional/prüfen

Zweck und Datenminimierung dokumentieren.

Welche Bereiche sollen geprüft werden? optional/prüfen

Zweck und Datenminimierung dokumentieren.

Zusätzliche Angaben optional/prüfen

Zweck und Datenminimierung dokumentieren.

Sicherer Antwortweg Pflichtfeld

Zweck und Datenminimierung dokumentieren.

Identity Verification

Wie Identitaet risikobasiert und datensparsam geprueft wird

Verification exportieren
6Methoden 5Punktregeln 5Preflight 5Systeme
E-Mail-Magic-Link basis · 1 Punkt(e)

Nur an bereits bekannte oder angegebene Kontaktadresse senden; Token kurzlebig und einmalig.

Account-Login / JWT hoch · 2 Punkt(e)

Bestehende Authentifizierung nutzen, Request-ID an verifizierte Account-ID binden.

OAuth2 / CIAM hoch · 2 Punkt(e)

Auth0, Cognito oder eigenes CIAM als Betreiber-System-of-Record verwenden.

MFA-Code per SMS/App hoch · 1 Punkt(e)

Nur vorhandene Telefonnummer oder App-Bindung nutzen, keine neue Telefonnummer ohne Zweck pruefen.

System-of-Record-Fragen mittel · 1 Punkt(e)

Fragen muessen mehrheitlich beantwortbar sein und aus bestehenden Datensaetzen stammen.

Manuelle Datenschutzpruefung variabel · 0 Punkt(e)

Nur bei begruendetem Zweifel; Minimalnachweis, Zweckbindung, schnelle Loeschung des Nachweises.

Kontrollen

Was vor Veröffentlichung geprüft werden sollte

Datenschutzerklärung erreichbaroffen

Keine gut erkennbare Datenschutzerklärung im Scan.

Datenschutzerklärung sichtbar verlinken und Betroffenenrechte dort bündeln.
Betroffenenrechte beschriebenoffen

Betroffenenrechte wurden im Datenschutzhinweis-Audit nicht klar erkannt.

Art.-15-bis-22-DSGVO-Rechte verständlich erklären und konkreten Anfrageweg nennen.
Kontaktkanal für Datenschutzanfragenoffen

Kein klarer Datenschutzkontakt, E-Mail- oder Telefonkontakt erkannt.

Datenschutzkontakt oder DSB-Kontakt mit sicherem Anfragekanal ergänzen.
Verantwortlicher/Anbieter erkennbaroffen

Impressum oder Anbieterkennzeichnung nicht klar erkannt.

Verantwortlichen, Anschrift und Kontakt klar sichtbar machen.
Formulare mit Datenschutzkontextoffen

Formulare/Newsletter erkannt, aber Datenschutzkontext fehlt.

Bei Formularen Zweck, Pflichtfelder, Empfänger und Datenschutzlink direkt in Formularnähe erklären.
Datenarten und Systeme ableitbarbereit

2 Datenart(en), 2 Anbieter/Processor im Report ableitbar.

Für Auskunft/Löschung Datenquellen, Dienstleister und Speicherorte in einem Verzeichnis pflegen.
Datenschutzhinweis passt zur Technikoffen

2 Disclosure-Lücke(n) aus Technik-/Policy-Abgleich.

Beobachtete Cookies, Anbieter, Zwecke und Speicherorte im Datenschutzhinweis ergänzen.
Sichere Antwort- und Identitätsprüfung definiertoffen

Aus öffentlichem Scan nicht sicher beweisbar.

Identitätsprüfung, Fristenkontrolle, sichere Dateiübermittlung, Lösch-/Sperrlogik und Vier-Augen-Freigabe intern festlegen.

Portal-Launch

Welche Bausteine ein Rechte-Portal startklar machen

Öffentlichen Anfrageweg veröffentlichenoffen

Rights-Score 12/100, Kontaktkanal nicht sicher erkannt.

Datenschutzerklärung, Footer und Cookie-/Preference-Bereich mit einem klaren Betroffenenrechte-Link verbinden.
Datensparsames Formular mit Pflichtfeldernbereit

6 Intake-Feld(er), Intake-Score 60/100.

Formularfelder aus dem Blueprint im Betreiber-System umsetzen und Freitext als optional kennzeichnen.
Rechtsraum- und Fristenlogik aktivierenbereit

4 Rechtsraum-Variante(n), regionale Lokalisierung 65/100.

DE/AT/CH/EU-Anfragevarianten, Sprache, Fristen, lokale Behörde und Beschwerdehinweise abbilden.
Identitätsprüfung und Missbrauchsschutz definierenoffen

DSAR-Score 40/100, 5 Anfrageart(en).

E-Mail-Verifikation, Login-Bezug, risikobasierte Zusatzprüfung, Rate-Limits und Bot-Schutz festlegen.
Owner, SLA und Eskalation je Schritt hinterlegenoffen

5 Routing-Schritt(e), DSAR-Score 40/100.

Intake, Identität, Suche, Review, Antwort und Eskalation mit Owner und Frist im Ticket-System anlegen.
Datenquellen und Vendor-Aufgaben anbindenbereit

Discovery-Score 85/100.

System-Owner, Suchparameter, Vendor-Aufgaben und negative Suchergebnisse als Suchmanifest pflegen.
Sichere Antwortzustellung vorbereitenoffen

DSAR-Score 40/100.

Portal-Download, verschlüsselte Datei, getrennten Passwortkanal, Redaction-Log und Zustellnachweis umsetzen.
Opt-out und Preference Center verbindenoffen

Preference-Center-Score 48/100.

Widerspruch, Marketing-Abmeldung, Tracking-Opt-out, Widerruf und GPC-Status in Portal und CMP verlinken.
Texte, Datenschutzhinweis und Antwortvorlagen synchronisierenbereit

4 Textbaustein(e), Datenschutzhinweis vorhanden.

Formulartexte, Eingangsbestätigung, Fristverlängerung, Abschlussantwort und Datenschutzhinweis versionieren.

Workflow

Wie eine Anfrage intern abgearbeitet werden sollte

1
Öffentlicher Anfrageweg und Intake-Felder fehlt

Betroffenenrechte-Readiness: 12/100 Punkte, 7 Lücke(n) oder manuelle Prüfpunkte. Fokus: transparenter Anfrageweg, Datenquellen und sichere Antwortprozesse.

DSAR-Formular mit Anfragetyp, Kontaktkanal, Umfang, Identitätsbezug und sicherem Rückkanal veröffentlichen.
2
Risikobasierte Identitätsprüfung prüfen

Aus öffentlichem Scan nicht beweisbar.

E-Mail-Verifikation, Konto-Login, risikobasierte Zusatzprüfung und Ablehnung missbräuchlicher Anfragen definieren.
3
Fristen und Eskalationen steuerbar fehlt

Regulatory-Watch 68/100, Rights-Lücken 7.

DSGVO-1-Monatsfrist, Verlängerung, interne SLA, Erinnerung und Eskalation im Ticketfluss abbilden.
4
Datenquellen aus RoPA/Data Map ableitbar vorhanden

3 Verarbeitungstätigkeiten, 20 Data-Map-Knoten, 22 Kanten.

Systeme, Datenkategorien, Fachbereiche und Suchparameter je Anfrage aus RoPA/Data Map ableiten.
5
Vendor-/Processor-Aufgaben ableitbar vorhanden

2 Anbieter, 2 AVV-/DPA-Prüfungen.

Processor-Fristen, Auskunfts-/Löschpflichten und Unterauftragsverarbeiter in DSAR-Tickets aufnehmen.
6
Widerspruch/Opt-out mit Präferenzen verknüpft fehlt

Preference-Center-Readiness 48/100; 4/9 Kontrollpunkt(e) erfüllt, 5 Lücke(n) oder manuelle Nachweise offen.

Widerspruch, Newsletter-Abmeldung, Profiling-/Tracking-Opt-out und Preference Center mit DSAR-Workflow verbinden.
7
Redaction, Drittpersonen und Ausnahmen prüfbar prüfen

Aus öffentlichem Scan nicht beweisbar.

Drittpersonendaten, Geschäftsgeheimnisse, gesetzliche Aufbewahrung, Legal Hold und Teilablehnung mit Begründung prüfen.
8
Sichere Zustellung und Antwortpaket prüfen

Aus öffentlichem Scan nicht beweisbar.

Secure Portal, verschlüsselte Datei, Passworttrennung, Wasserzeichen, Deckblatt und Zustellnachweis für Auskunftspakete vorsehen.
9
Audit-Trail und Integritätsnachweis vorhanden

Prüfbeleg vorhanden, Root-Hash aa8c8c57ad342a00.

Jede Anfrage mit Zeitstempel, Entscheidungen, Suchläufen, Datenquellen, Redaction und Antwortnachweis protokollieren.
10
Workflow-Kennzahlen und Backlog steuerbar vorhanden

Remediation Workflow mit 8 Ticket(s): 2 sofort starten, 6 einplanen, 0 im Backlog.

Offene DSAR-Aufgaben, Aging, Median-Zeit, Eskalationen und Wiederholungsthemen als Metriken ausgeben.

DACH/EU

Welche Rechtsräume der Betreiber berücksichtigen sollte

Deutschland de-DE · 1 Monat

BfDI/Landesdatenschutzbehörden, DSK

Österreich de-AT · 1 Monat

Datenschutzbehörde Österreich

Schweiz de-CH · in der Regel 30 Tage

EDÖB

EU/EWR de/en je Markt · 1 Monat

EDPB und nationale Aufsichtsbehörden

Betreiberplan

Was als Nächstes umzusetzen ist

Öffentliche Demo verlinken Anfrageformular-Demo direkt aus Ergebnis, Datenschutzerklärung, Footer und Datenschutz-Center verlinken.
Friststeuerung einrichten Eingangsdatum, 1-Monatsfrist, Verlängerung, Eskalation und Antwortnachweis als Ticketprozess führen.
Suchscope definieren Formulare, Logs, Cookies, Newsletter, Support, Analytics und Anbieter als Datenquellen inventarisieren.