Datenschutz
Entscheidungsbaum: Was tun bei einer DSGVO-Anfrage?
Eine Anfrage wurde gestellt: Mail an den Vorstand, Brief in den Briefkasten, Klick im Mitgliederportal. Dieser Leitfaden führt in 5–10 Minuten zum richtigen Knopf in der App.
#Schritt 1 — Anfrage erfassen
Wenn das Mitglied die Anfrage selbst im Portal ausgelöst hat (Klick auf „Datenkopie anfordern" oder Marketing-Opt-Out), ist das Ticket schon angelegt — direkt zu Schritt 3.
Sonst: auf Datenschutz → Datenschutz-Anfragen gehen, „Anfrage anlegen" klicken und:
- Mitglied verknüpfen, falls aus dem Verein (sonst „Externe Person" wählen)
- E-Mail und Name eintragen
- Eingangsdatum auf den tatsächlichen Eingangstag setzen — die Monatsfrist läuft ab hier
- Eingangsweg festhalten (E-Mail, Brief, persönlich)
- Im Beschreibungs-Feld den Wortlaut der Anfrage einfügen oder zusammenfassen
#Schritt 2 — Identität prüfen
Vor jeder Erfüllung muss klar sein, dass die Anfrage tatsächlich von der betroffenen Person stammt — sonst ist die Auskunft selbst eine Datenpanne.
| Quelle | Identität gesichert? |
|---|---|
| Klick im eigenen Portal-Login | Ja — über Login |
| E-Mail von der hinterlegten Adresse | Wahrscheinlich — bei Zweifeln nachfragen |
| E-Mail von unbekannter Adresse | Nein — Identitätsnachweis anfordern (z. B. unterschriebenes PDF, Telefonat mit Rückruf) |
| Brief mit Unterschrift | Ja, wenn Unterschriftenvergleich möglich |
| Anfrage „im Namen von …" durch Dritte | Nur mit Vollmacht |
Wenn die Identität nicht gesichert werden kann, ist Ablehnung erlaubt (Art. 12 Abs. 6 DSGVO). Bevor abgelehnt wird: einmal kostenlos zusätzliche Informationen anfordern.
#Schritt 3 — Typ bestimmen
Worum geht es konkret?
#Auskunft (Art. 15)
„Ich möchte wissen, welche Daten Sie über mich gespeichert haben."
Vorgehen:
- Im Anfrage-Flyout sicherstellen, dass das Mitglied verknüpft ist
- Unter „Ergebnis" → „Datenkopie jetzt erstellen" klicken
- Status springt automatisch auf „In Bearbeitung"
- Sobald die ZIP fertig ist (üblicherweise <2 Minuten), wird sie an die Anfrage geheftet
- Mail mit Download-Link wird automatisch verschickt
- Status manuell auf „Erfüllt" setzen, kurz dokumentieren
Häufige Fragen: Was ist in der ZIP? Alle Stammdaten, Pacht- und Beitragsverlauf, Wasserstände, Arbeitsstunden, Korrespondenz, Sprechstunden-Erwähnungen. JSON für Maschinen, PDF für Menschen.
#Berichtigung (Art. 16)
„Meine Anschrift hat sich geändert" / „Mein Name ist falsch geschrieben."
Vorgehen:
- Korrektur direkt im Mitgliederprofil vornehmen — Änderungen landen im Audit-Log
- Im DSGVO-Ticket kurz dokumentieren, was geändert wurde
- Status auf „Erfüllt" setzen
Falls die „Berichtigung" eigentlich eine Ergänzung ist (z. B. eine bestimmte Anmerkung soll gespeichert werden) — Art. 16 Satz 2 verpflichtet zur Ergänzung, soweit angemessen.
#Löschung (Art. 17)
„Bitte alle meine Daten löschen."
Vorgehen:
- Prüfen, ob das Mitgliedsverhältnis bereits beendet ist. Aktive Mitglieder können nicht gelöscht werden — der Mitgliedsvertrag steht entgegen.
- Prüfen, ob Aufbewahrungspflichten entgegenstehen (offene Rechnungen, laufendes Mahnverfahren, Versicherungsfall) — falls ja, Einschränkung statt Löschung anbieten.
- Wenn frei: im Mitgliederprofil → „Anonymisieren" klicken. Identifizierende Felder werden ersetzt, die buchhalterische Hülle bleibt für die §147-AO-Frist erhalten.
- Im Ticket den Vorgang dokumentieren, Status „Erfüllt".
Wenn abgelehnt werden muss (z. B. wegen Aufbewahrungspflicht): in der App per „Abgelehnt"-Status mit Begründungs-Text festhalten. Die App schickt eine standardisierte Ablehnungs-Mail mit Hinweis auf das Beschwerderecht.
#Einschränkung (Art. 18)
„Solange das geklärt ist, bitte nichts mehr mit meinen Daten machen."
Vorgehen:
- Im Mitgliederprofil → „Verarbeitung einschränken"
- Mitglied geht in einen Read-only-Modus: keine Rechnungen, keine Newsletter, keine Begehungen
- Ticket dokumentieren, Status „Erfüllt"
Anders als bei Löschung: die Daten bleiben unverändert bestehen, sie werden nur nicht mehr verarbeitet. Aufheben kann der Vorstand jederzeit, wenn der Grund entfällt — das Mitglied muss aber informiert werden.
#Datenübertragbarkeit (Art. 20)
„Ich möchte meine Daten in einem maschinenlesbaren Format."
Vorgehen: Identisch zur Auskunft. Die ZIP-Datei mit JSON ist das anerkannte portable Format.
#Widerspruch (Art. 21)
„Bitte keine Newsletter mehr." / „Ich möchte nicht mehr automatisiert kontaktiert werden."
Vorgehen:
- Im Mitgliederprofil → Marketing-Opt-Out setzen — Newsletter & Marketing-Mails stoppen sofort
- Pflichtkommunikation (Rechnungen, Mahnungen, Vorstandseinladungen, Begehungstermine) läuft weiter — sie basiert auf Vertrag bzw. gesetzlicher Pflicht, nicht auf Einwilligung
- Ticket auf „Erfüllt"
#Schritt 4 — Frist im Auge behalten
| Tage seit Eingang | Bedeutung |
|---|---|
| 0–22 | Grünes Frist-Badge — entspannt bearbeiten |
| 23–30 | Gelbes Badge ab 7 Tagen vor Fristablauf — Erinnerung im Bell-Widget |
| > 30 | Rotes Badge — überfällig. Sofort handeln. |
Fristverlängerung ist möglich (Art. 12 Abs. 3 Satz 2 DSGVO): einmal um zwei weitere Monate, wenn die Anfrage „besonders komplex" ist oder wenn der Vorstand viele Anfragen gleichzeitig hat. Im Flyout das Verlängerungs-Feld nutzen und Begründung dokumentieren. Das Mitglied muss innerhalb der ursprünglichen Frist über die Verlängerung informiert werden.
#Schritt 5 — Wann ist Ablehnung erlaubt?
Eine Ablehnung muss begründet werden (Art. 12 Abs. 5 DSGVO). Zulässige Gründe:
- Identität nicht bestätigt (Art. 12 Abs. 6)
- Gesetzliche Aufbewahrungspflicht entgegenstehend (z. B. Steuer-/Handelsrecht für Rechnungen)
- Rechte Dritter würden verletzt (z. B. „bitte alle Daten aus dem Begehungsprotokoll" — andere genannte Personen)
- Offensichtlich unbegründet oder exzessiv (Art. 12 Abs. 5 Satz 1 lit. b) — z. B. dieselbe Person stellt zum dritten Mal in 14 Tagen die gleiche Anfrage. Hohe Hürde, in der Begründung dokumentieren.
Die App schickt bei „Abgelehnt"-Status optional eine Standard-Mail an den Antragsteller — inkl. Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde.
#Schritt 6 — Abschluss
Auch nach „Erfüllt" oder „Abgelehnt" bleibt das Ticket dauerhaft in der Liste sichtbar (Filter „Alle"). Das ist Absicht — der Beleg, dass die Anfrage fristgerecht bearbeitet wurde, wird benötigt, falls die Aufsichtsbehörde nachfragt.
#Verwandte Themen
- DSGVO-Anfragen verwalten — strukturelle Übersicht
- Lifecycle-Diagramme — visuelle Darstellung der Statusübergänge
- Datenkopie (Art. 15), Löschung (Art. 17), Einschränkung (Art. 18), Widerspruch (Art. 21)