anonym.legal

By · Last updated 2026-05-24

Zurück zum BlogDSGVO & Compliance

GDPR DSAR-Konformität in großem Maßstab...

Die GDPR Artikel 15 DSARs steigen jährlich um 40-60 %. Organisationen erhalten monatlich Hunderte.

May 24, 20268 min Lesezeit
DSAR processingGDPR Article 15data subject access requestright of accessbatch redaction

DSGVO DSAR-Compliance im Großmaßstab: 200 Anfragen pro Monat

Aktualisiert für 2026

Artikel 15 DSGVO gibt Personen das Recht, Kopien ihrer Daten zu erhalten. Die 30-Tage-Frist ist verbindlich. Bei komplexen Anfragen ist eine Verlängerung auf 90 Tage möglich. Die Bußgelder sind real: Vodafone Spanien zahlte 2021 1,2 Millionen Euro. Ein deutsches Unternehmen zahlte 2023 225.000 Euro. Beide wurden wegen DSAR-Verstößen bestraft.

Das DSAR-Volumen wächst stetig. Datenschutzgruppen helfen Menschen, Anfragen in großem Umfang zu stellen. Browser-Erweiterungen ermöglichen es, Anfragen einfach an viele Unternehmen zu senden. Organisationen, die früher 10 Anfragen pro Jahr erhielten, erhalten jetzt 200 pro Monat. Manuelle Workflows für 10 Anfragen können 200 nicht bewältigen. Eine 20-fache Steigerung lässt sich ohne Automatisierung nicht auffangen. Automatisierung ist erforderlich. Auf unserer Entitäten-Seite finden Sie eine Liste der Datenkategorien, die wir in Ihrem Auftrag verarbeiten.

Lesen Sie unsere Compliance-Übersicht und Sicherheitspraktiken für unsere DSGVO-Unterstützung.

Was die DSAR-Bearbeitung umfasst

Artikel 15 verlangt mehr als zu sagen: „Ja, wir haben Ihre Daten." Sie müssen eine Kopie zusenden. Drei Schritte sind erforderlich.

Alle personenbezogenen Daten finden. Durchsuchen Sie jedes System — CRM, E-Mail, Support-Tickets, Marketing-Tools, HR-Daten. Rechts- und IT-Abteilung müssen systemübergreifende Abfragen gemeinsam durchführen.

Daten Dritter entfernen. Die Kopie darf keine personenbezogenen Daten anderer Personen enthalten. Wenn ein Support-Ticket die E-Mail-Adresse eines Mitarbeiters enthält, schwärzen Sie diese. Wenn ein Bestelldatensatz den Namen eines anderen Kunden zeigt, entfernen Sie ihn. Bei hohem Volumen spart dieser Schritt die meiste Zeit.

Format- und Fristen-Anforderungen erfüllen. Die DSGVO verlangt ein gängiges elektronisches Format. PDF oder Nur-Text sind beide zulässig. Die Frist beginnt mit dem Eingang der Anfrage. Versäumte Fristen sind der häufigste Grund für Durchsetzungsmaßnahmen.

Die DSAR-Verarbeitungszahlen

Betrachten Sie ein europäisches E-Commerce-Unternehmen mit 200 DSARs pro Monat.

Jede Anfrage umfasst typischerweise:

  • 8–12 Bestelldatensätze
  • 3–7 Support-Tickets
  • 2–4 Kontodatensätze
  • Durchschnitt: etwa 18 Dokumente pro Anfrage

Das sind 3.600 Dokumente pro Monat, die eine Drittanbieter-Schwärzung benötigen.

Manuelle Bearbeitungszeit:

  • 7–15 Minuten pro Dokument
  • 3.600 Dokumente = 420–900 Stunden pro Monat
  • Etwa 3–6 Vollzeitkräfte, nur für die Schwärzung

Batch-Verarbeitung:

  • Alle 3.600 Dokumente auf einmal hochladen
  • DSAR-Schwärzungs-Preset anwenden
  • Übernacht-Verarbeitung: 4–8 Stunden
  • Menschliche Überprüfung von Ausnahmen (~10%): etwa 90 Stunden
  • Gesamtaufwand: 150–200 Stunden pro Monat — ungefähr eine Vollzeitkraft

Auf unserer Preisseite finden Sie Informationen zu Batch-Tarifen.

Verschlüsseln-dann-Schwärzen für interne Unterlagen

Manche Teams benötigen reversible interne Unterlagen, aber saubere externe Antworten. Ein zweistufiger Ansatz löst dieses Problem.

Stufe 1: Dokumente mit personenbezogenen Daten verschlüsselt speichern. Der Zugriff ist auf autorisierte Benutzer beschränkt. Den Originaltext können Sie bei Bedarf wiederherstellen.

Stufe 2: Vor dem Versand der DSAR-Antwort eine unwiderrufliche Schwärzung anwenden. Die Person erhält ein sauberes Dokument ohne Token oder Markierungen.

Dies hält Ihre Unterlagen intakt und erfüllt gleichzeitig die rechtlichen Anforderungen. Sie können Dokumente jederzeit neu verarbeiten, wenn sich Ihre Schwärzungsregeln ändern.

Compliance-Dokumentation

Artikel 5(2) — die Rechenschaftspflicht — bedeutet, dass Sie die Einhaltung nachweisen müssen. Sie benötigen Aufzeichnungen. Worte genügen nicht. Protokollieren Sie für jeden DSAR:

  • Eingangsdatum und Art der Identitätsverifizierung
  • Durchsuchte Systeme und Ergebnisse
  • Art der Schwärzung und verwendete Entitätstypen
  • Datum und Format der Antwort
  • Behandlung von Ausnahmefällen

Batch-Tools erstellen ein natürliches Prüfprotokoll. Unser FAQ beantwortet häufige Fragen zu Prüfpfad-Anforderungen. Im Glossar finden Sie wichtige Begriffe wie „Verantwortlicher" und „Auftragsverarbeiter."

Die Kosten von DSAR-Verstößen

Das Bußgeld gegen Vodafone Spanien (AEPD, 2021) resultierte aus versäumten Fristen, unvollständigen Antworten und mangelhaften Identitätsprüfungen. Das deutsche Bußgeld (Bayerisches Landesamt für Datenschutzaufsicht, 2023) aus verzögerten Antworten und fehlenden Daten.

Beide Fälle zeigen, was passiert, wenn das Volumen die manuelle Kapazität übersteigt. Verzögerungen werden zur Norm. Automatisierung beseitigt den Engpass. Lesen Sie unser Gründer-Statement zum Thema Compliance by Design.

Risiken durch Automatisierung

Batch-Tools reduzieren die Arbeit, bringen aber neue Risiken mit sich. Kennen Sie diese, bevor Sie sie einsetzen.

Erkennungsgenauigkeit prüfen

Eine Fehlerquote von 2% ist bei 100 Dokumenten gering. Bei 50.000 jährlichen Anfragen bedeutet sie Tausende von Fehlern. Testen Sie Ihr Preset an echten Beispielen.

Prozessorkette kartieren

Batch-Systeme verwenden oft OCR-Tools, NLP-APIs und Cloud-Speicher. Jedes fügt Pflichten nach Artikel 28 hinzu. Kartieren Sie den gesamten Datenfluss zuerst.

Menschen in der Schleife halten

Artikel 22 beschränkt automatisierte Entscheidungen mit rechtlichen Auswirkungen. Fügen Sie menschliche Überprüfungsschritte hinzu.

Verwaltungsaufwand einplanen

Batch-Systeme erfordern aktualisierte Verarbeitungsverzeichnisse, neue Datenflussdiagramme und Auftragsverarbeitungsverträge. Planen Sie diesen Aufwand von Anfang an ein.

Implementierungs-Checkliste

Vor der Automatisierung:

  • DSAR-Aufnahmeprozess dokumentieren
  • Alle Systeme mit personenbezogenen Daten auflisten
  • Datenkarte für systemübergreifende Abfragen erstellen

Einrichtungsschritte:

  • DSAR-Schwärzungs-Preset mit den richtigen Entitätstypen konfigurieren
  • Regeln für manuelle Überprüfung festlegen
  • An 5–10 Beispielanfragen testen

Laufender Betrieb:

  • Dokumente täglich oder pro Anfrage hochladen
  • Markierte Dokumente in die Überprüfungswarteschlange leiten
  • Ausgabe in die endgültige Antwort verpacken
  • Antwortdaten und Formate protokollieren
  • Protokolle monatlich auf Muster prüfen
  • Verarbeitungsverzeichnis bei Prozessänderungen aktualisieren

Lesen Sie unsere Fallstudien zu DSAR-Workflows im großen Maßstab.

Fazit

Das DSAR-Volumen wird weiter steigen. Datenschutz-Tools, Browser-Erweiterungen und Medienberichte treiben mehr Anfragen an. Rechnen Sie mit einem jährlichen Wachstum von 40–60%.

Manuelle Prozesse können nicht mithalten. Batch-Tools übernehmen die Schwärzungsarbeit, damit sich das Personal auf Ausnahmefälle konzentrieren kann. Das ist ein skalierbares Modell. Organisationen, die jetzt automatisieren, sind besser aufgestellt. Wer wartet, riskiert wachsende Rückstände und steigende Bußgelder.

Quellen

Verwandte Artikel

DSGVO & Compliance

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

DSGVO & Compliance

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

DSGVO & Compliance

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Bereit, Ihre Daten zu schützen?

Beginnen Sie mit der Anonymisierung von PII mit über 285 Entitätstypen in 48 Sprachen.

Kostenlose Testversion startenFunktionen anzeigen

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.