2LRN4 security awareness platform
← Zurück zur Wissensdatenbank

Was tun bei einer Datenschutzanfrage von Kunden oder Kollegen?

Jemand fragt, welche Daten du von ihm hast, oder möchte sie löschen lassen. Welche Betroffenenrechte gelten nach der DSGVO, und was tust du als Mitarbeiter, wenn eine solche Anfrage bei dir eingeht?

Kürzlich aktualisiert

Von der Einsicht zur Umsetzung

Sehen Sie, wie Sie dieses Thema in ein praktisches Awareness-Programm mit Training, Phishing-Simulationen und klarem Management-Reporting übersetzen.

Demo buchen Zur primären Lösungs-Seite
Alain Rees
Gründer & Security-Awareness-Spezialist · 2LRN4

Eines Tages ist es so weit: Ein Kunde, Bewerber oder Kollege fragt, welche Daten ihr von ihm habt, oder möchte sie ändern oder löschen lassen. Das ist eine Datenschutzanfrage, und die DSGVO gibt Menschen das Recht dazu. Du musst sie nicht selbst juristisch lösen, aber du musst sie erkennen und richtig weiterleiten. Dieser Artikel erklärt diese Rechte und was du tust, wenn eine solche Anfrage bei dir eingeht.

Die Betroffenenrechte, kurz erklärt

Die DSGVO gibt Menschen mehrere Rechte über ihre eigenen Daten. Die wichtigsten in der Praxis:

  • Auskunft: jemand darf erfragen, welche Daten du von ihm hast und wofür du sie nutzt.
  • Berichtigung: stimmen Daten nicht, darf jemand verlangen, sie zu korrigieren.
  • Löschung: in bestimmten Fällen darf jemand die Löschung seiner Daten verlangen (das "Recht auf Vergessenwerden").
  • Widerspruch: jemand darf einer bestimmten Nutzung seiner Daten widersprechen.
  • Übertragbarkeit: in manchen Fällen darf jemand seine Daten in wiederverwendbarer Form erhalten.

Wie erkennst du eine Datenschutzanfrage?

Eine Datenschutzanfrage kommt selten ordentlich mit dem Etikett "DSGVO-Anfrage" herein. Es kann eine gewöhnliche Mail sein ("könnt ihr meine Daten löschen?"), eine Bemerkung am Telefon oder eine Frage über ein Kontaktformular oder Social Media.

Genau deshalb ist das Erkennen wichtig. Sobald jemand etwas über seine eigenen Daten fragt, was du von ihm hast, ob sie weg können, ob sie stimmen, ist es eine Datenschutzanfrage, auch wenn er das Wort nie benutzt.

Was tust du, wenn sie bei dir eingeht?

Das Wichtigste: Versuche nicht, sie selbst zu bearbeiten, sondern leite sie direkt an die richtige Person weiter. In den meisten Organisationen ist das die oder der Datenschutzbeauftragte oder eine zentrale Anlaufstelle. Sie kennen die geltenden Schritte und Fristen.

Warum weiterleiten und nicht selbst erledigen? Weil an eine Datenschutzanfrage gesetzliche Anforderungen und Fristen geknüpft sind. Eine Organisation muss grundsätzlich innerhalb eines Monats reagieren und zuerst die Identität der anfragenden Person prüfen. Gib also niemals selbst einfach Daten heraus, so freundlich die Anfrage auch klingt.

Die Falle: Daten an die Falsche herausgeben

Eine Datenschutzanfrage kann auch eine Angriffsmethode sein. Ein Betrüger gibt sich als Kunde aus und verlangt "alle meine Daten", in der Hoffnung, dass eine hilfsbereite Mitarbeiterin sie ungeprüft verschickt. So wird das Auskunftsrecht missbraucht, um Daten zu erbeuten.

Deshalb gehört eine Identitätsprüfung zu jeder Anfrage, und das Weiterleiten an die richtige Stelle ist keine Bürokratie, sondern Schutz. Behandle eine Anfrage ernst und vorsichtig: ernst, weil es ein Recht ist, vorsichtig, weil du nicht einfach Daten an eine unbekannte Person gibst.

Ein einfacher Ablaufplan

Erhältst du eine Datenschutzanfrage, halte dich an diese Schritte:

  • Erkenne sie: Geht es um die eigenen Daten einer Person? Dann ist es eine Datenschutzanfrage.
  • Gib selbst keine Daten heraus und bestätige keine Details.
  • Leite sie direkt an die oder den Datenschutzbeauftragten oder die zentrale Anlaufstelle weiter.
  • Notiere Datum und Inhalt, damit die Frist ab dem richtigen Moment läuft.
  • Zweifelst du, ob es eine Anfrage ist? Behandle sie sicherheitshalber als solche und frage nach.

So verankerst du das in deinem Awareness-Programm

Viele Mitarbeitende wissen nicht, dass eine gewöhnliche Frage eine Datenschutzanfrage sein kann. Mach in deinem Programm konkret, wie eine solche Anfrage aussieht, und vor allem klar, dass Weiterleiten der richtige Reflex ist, nicht das Selbstlösen.

Kombiniere das mit einem bekannten Meldeweg. Je klarer, wohin eine Anfrage gehört, desto kleiner die Gefahr, dass jemand aus Hilfsbereitschaft Daten an die Falsche gibt.

Verwandte Artikel

FAQ

Soll ich eine Datenschutzanfrage selbst bearbeiten?

Nein. Leite sie direkt an die oder den Datenschutzbeauftragten oder die zentrale Anlaufstelle weiter. Eine Anfrage bringt gesetzliche Fristen und Identitätsprüfungen mit sich, die dort korrekt erledigt werden.

Innerhalb welcher Frist muss eine Organisation reagieren?

Grundsätzlich innerhalb eines Monats nach Eingang. Bei komplexen oder zahlreichen Anfragen darf die Frist verlängert werden, das muss der anfragenden Person aber mitgeteilt werden. Deshalb zählt der Zeitpunkt des Eingangs, notiere ihn.

Was, wenn ich zweifle, ob jemand die Person ist, die er vorgibt zu sein?

Dann gib keine Daten heraus. Eine Identitätsprüfung gehört zu jeder Anfrage; Betrüger missbrauchen das Auskunftsrecht gerade, um Daten zu erlangen. Leite die Anfrage weiter, dann sorgt die richtige Stelle für die Verifizierung.

Gilt eine Anfrage über Social Media oder Telefon auch?

Ja. Eine Datenschutzanfrage ist formfrei; sie kann per Mail, Telefon, Formular oder Social Media kommen. Sobald jemand etwas über seine eigenen Daten fragt, behandelst du es als Anfrage und leitest es weiter.

Darf jemand immer die Löschung seiner Daten verlangen?

Nicht immer. Das Recht auf Löschung gilt in bestimmten Fällen, doch manchmal muss oder darf eine Organisation Daten aufbewahren, etwa wegen einer gesetzlichen Aufbewahrungspflicht. Die oder der Datenschutzbeauftragte beurteilt das im Einzelfall.

Nächster Schritt

Nutzen Sie diesen Artikel als Grundlage und sehen Sie anschließend, wie 2LRN4 das Thema praktisch in Zielgruppensegmentierung, Training und Reporting übersetzt.

Demo buchen Leitfaden herunterladen Weitere Artikel