Datenschutz
DSGVO-Anfragen verwalten
Die DSGVO gibt dem Verantwortlichen einen Monat Zeit, eine Anfrage zu beantworten (Art. 12 Abs. 3 DSGVO). Damit das nicht in Mailboxen versandet, werden alle Anfragen in einem eigenen Ticket-Modul geführt – mit klarem Status, Fristanzeige und automatischen Erinnerungen.
#Wo finde ich die Anfragen?
In der Sidebar unter Datenschutz. Das Dashboard-Widget zeigt zusätzlich, wie viele Anfragen offen und wie viele überfällig sind.
#Aufbau einer Anfrage
| Feld | Bedeutung |
|---|---|
| Typ | Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch oder Sonstiges |
| Anfrage-Quelle | Wer hat sie angelegt: Mitglied im Portal, Vorstand manuell, automatisch durch eine Aktion |
| Eingangsdatum | Stichtag für die Frist |
| Frist | Eingangsdatum + 1 Monat (verlängerbar um zwei weitere Monate bei „besonderer Komplexität", Art. 12 Abs. 3 Satz 2) |
| Status | Offen → In Bearbeitung → Erfüllt / Abgelehnt |
| Notizen | Frei beschreibbar, im Audit-Log dokumentiert |
#Auto-Erstellung
Manche Anfragen entstehen automatisch:
- Klickt ein Mitglied im Portal „Datenkopie anfordern", wird ein Ticket „Auskunft" angelegt und der Export angehängt – Status springt direkt auf Erfüllt, sobald der Export bereitsteht.
- Widerruft ein Mitglied seine Marketing-Einwilligung, entsteht ein Ticket „Widerspruch (Art. 21)".
- Wird eine Verarbeitung eingeschränkt oder ein Mitglied anonymisiert, entstehen verlinkte Tickets entsprechend.
#Die sechs Anfrage-Typen im Überblick
| Typ | DSGVO | Was tun? |
|---|---|---|
| Auskunft | Art. 15 | Datenkopie als ZIP erzeugen (Aktion im Flyout → „Datenkopie jetzt erstellen"). Läuft als Hintergrundjob, wird automatisch angehängt. |
| Berichtigung | Art. 16 | Korrekturen direkt im Mitgliederprofil vornehmen. Das Ticket dokumentiert die Anfrage; Änderungen landen im Audit-Log. |
| Löschung | Art. 17 | Im Garten-Kontext meist Anonymisierung: §147 AO verlangt 10 Jahre Rechnungsaufbewahrung. Aktion im Mitgliederprofil → „Anonymisieren". Siehe Löschung. |
| Einschränkung | Art. 18 | Mitglied in Read-only-Modus setzen — Rechnungslauf, Newsletter und Begehungen pausieren. Aktion im Mitgliederprofil → „Verarbeitung einschränken". |
| Datenübertragbarkeit | Art. 20 | Identische Erfüllung wie Auskunft — die ZIP mit JSON ist das portable Standardformat. |
| Widerspruch | Art. 21 | Marketing-Opt-Out im Mitgliederprofil setzen. Andere Verarbeitungen (Vertrag, gesetzliche Pflicht) bleiben unberührt. |
Detaillierter Schritt-für-Schritt-Leitfaden inkl. Ablehnungsgründe und Fristverlängerung: Entscheidungsbaum.
#Ablehnung
Anfragen, die nicht erfüllbar sind (z. B. weil die Identität nicht sicher festgestellt werden konnte oder weil eine gesetzliche Aufbewahrungspflicht entgegensteht), können mit einer Begründung abgelehnt werden. Das System sendet dem Antragsteller eine standardisierte Ablehnungs-E-Mail mit Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde.
#Erinnerungen
Ein täglicher Cron-Job (dsgvo:alert-deadlines) prüft offene Tickets:
- 7 Tage vor Fristablauf → Erinnerung im Bell-Widget des verantwortlichen Vorstands
- 3 Tage vorher → erneute Erinnerung
- 0 Tage / überfällig → tägliche Erinnerung, bis das Ticket geschlossen ist
#Super-Admin-Sicht
Der Anbieter kann auf einer eigenen Übersichtsseite alle Tickets über alle Vereine sehen (anonymisiert auf den Anfrage-Typ, ohne Inhalte). Das ermöglicht, Vereine anzusprechen, deren Tickets reihenweise überfällig werden – als Hilfe, nicht als Kontrolle.