Frage stellen

Anfragen nach Auskunft über personenbezogene Daten (DSARs) im Einzelhandel und in Einkaufszentren

Łukasz Bonczol
Veröffentlicht: 9.11.2025

Inhaltsverzeichnis

Auskunftsersuchen betroffener Personen (DSARs) zählen zu den operativ anspruchsvollsten Aspekten der DSGVO-Compliance für Einzelhändler und Betreiber von Einkaufszentren. Diese Umgebungen verarbeiten große Mengen personenbezogener Daten, darunter CCTV-Aufnahmen, Wi-Fi-Analytik, Marketingdatenbanken, Treueprogramme, ANPR/LPR-Systeme, Zugangskontrollen und Kundendienstprotokolle. Das Auskunftsrecht der DSGVO verpflichtet Organisationen, betroffenen Personen Zugang zu ihren Daten innerhalb fester Fristen zu gewähren [1].

Blick von oben in den Supermarkt, eine Verkäuferin macht eine Einkaufsliste, Schwarzweiß-Foto

Was gilt als DSAR im Einzelhandel?

Bevor man sich mit operativen Abläufen befasst, ist es wichtig zu klären, was ein DSAR im Umfeld eines Geschäfts oder Einkaufszentrums darstellt. Ein DSAR ist jede Anfrage einer identifizierbaren Person zur Einsicht ihrer personenbezogenen Daten, die die Organisation verarbeitet.

Kanäle für die Einreichung von DSARs

Im Einzelhandel werden DSARs häufig per E-Mail, über Kontaktformulare, soziale Medien, Helpdesk-Tickets oder persönlich an Informationsschaltern gestellt. Händler mit Treueprogrammen erhalten auch Anfragen über Kundenportale oder mobile Apps.

Typische personenbezogene Daten, die angefragt werden

Neben Kontoinformationen und Kaufhistorien beziehen sich DSARs zunehmend auf visuelle Daten. Personen fordern häufig den Zugang zu Videoaufnahmen an, die sie in Geschäften, Gemeinschaftsbereichen oder Parkhäusern zeigen. Anfragen können auch Wi-Fi-Analytik, ANPR/LPR-Daten, Call-Center-Aufzeichnungen oder Verhaltensanalysen betreffen.

Bird's-eye view of a multi-level shopping mall with crisscrossing escalators, hanging mirrored spheres and shoppers on several floors.

Pflichten und Fristen für DSAR-Antworten

Einzelhändler und Einkaufszentren müssen die DSGVO-Vorgaben hinsichtlich Transparenz, Fristwahrung und sicherer Datenweitergabe einhalten. Mehrere Pflichten gelten unabhängig von der Komplexität der Anfrage.

Antwortfristen

Gemäß DSGVO Artikel 12 und Artikel 15 [1] müssen Organisationen innerhalb eines Monats antworten. Bei komplexen Fällen wie der Bearbeitung und Unkenntlichmachung von CCTV-Material kann die Frist um bis zu zwei Monate verlängert werden, sofern die betroffene Person rechtzeitig informiert wird.

Identitätsprüfung

Vor der Herausgabe personenbezogener Daten ist die Identität des Antragstellers zu prüfen. Das UK ICO weist darauf hin, dass dies ein notwendiger Schutz vor unbefugter Offenlegung ist [2]. Die Verifikation kann über Ausweisdokumente, Treuekonten oder vorhandene Daten erfolgen.

Datenbereitstellung in einem zugänglichen Format

Daten müssen in einem allgemein nutzbaren Format bereitgestellt werden. Bei Videoaufnahmen bedeutet dies üblicherweise MP4-Exporte oder sichere Downloadlinks. Das Material muss vorab unkenntlich gemacht werden, um die Privatsphäre Dritter zu schützen [2].

Black-and-white interior of a multi-level shopping mall atrium with diagonal escalators, elevated circular planters with trees and people below.

Warum DSARs in Einkaufszentren besonders anspruchsvoll sind

Einkaufszentren sind komplexe Ökosysteme mit mehreren Verantwortlichen, gemeinsamen Systemen und überlappenden Aufgaben. Dies macht die Bearbeitung von DSARs deutlich herausfordernder.

Mehrere Verantwortliche und gemeinsame Verantwortung

Einkaufszentren agieren häufig als gemeinsame Verantwortliche mit Mietern. Der EDPB betont, dass gemeinsame Verantwortliche klare Rollenverteilungen für DSARs festlegen müssen [3].

CCTV in Gemeinschaftsbereichen und Anwesenheit Dritter

Videoaufnahmen aus Gemeinschaftsbereichen enthalten in der Regel unbeteiligte Personen. Da die DSGVO die Weitergabe identifizierbarer Dritter untersagt, sind Unkenntlichmachung oder Anonymisierung zwingend [2].

Große Mengen an Überwachungsdaten

Hohe Besucherzahlen bedeuten große Datenmengen - oft hunderte Kameras. Die FRA beschreibt die Komplexität solcher Umgebungen und die damit verbundenen Datenschutzrisiken [4].

Black-and-white wide supermarket aisle with stocked shelves on both sides, overhead lights and shoppers visible at the far end.

Bearbeitung von DSARs mit CCTV- und visuellen Daten

DSARs, die Videoüberwachung betreffen, sind besonders ressourcenintensiv. Organisationen müssen das Auskunftsrecht mit dem Schutz unbeteiligter Personen in Einklang bringen.

Lokalisieren des relevanten Filmmaterials

Zunächst muss festgestellt werden, welche Kameras die betroffene Person aufgezeichnet haben könnten. Dies erfordert Zeitangaben, Lagepläne und Kenntnisse über Aufbewahrungsfristen.

Anforderungen an die Unkenntlichmachung zur Wahrung der Privatsphäre Dritter

Aufnahmen dürfen nicht weitergegeben werden, wenn darauf andere Personen erkennbar sind. Unkenntlichmachung - typischerweise durch Gesichtsverpixelung - ist verpflichtend. Automatisierte Tools wie Gallio PRO anonymisieren Gesichter, Nummernschilder und sensible Elemente und erleichtern so die DSGVO-konforme Bearbeitung von DSAR-Anfragen.

Aufbewahrungsrichtlinien und ihr Einfluss auf DSARs

Viele Händler speichern CCTV 30-60 Tage. Wenn ein DSAR nach Ablauf der Frist eingeht, ist das Material möglicherweise nicht mehr verfügbar. Die betroffene Person ist darüber transparent zu informieren [1].

Markthalle Galerie mit Geschäften, Weihnachtsbaum in der Mitte, Menschen mit verschwommenen Gesichtern, Schwarz-weiß breit

Best Practices für die Verwaltung von DSARs im Einzelhandel

Ein strukturiertes Vorgehen hilft, die DSGVO-Compliance einzuhalten und den Aufwand zu reduzieren.

Einheitlicher DSAR-Eingangsprozess

Zentraler Eingang verhindert Verzögerungen. Ein Postfach, Ticketsystem oder Datenschutzportal erleichtern die Bearbeitung.

Formalisierte Identitätsprüfung

Um unbefugte Offenlegung zu verhindern, sind klare Richtlinien zur Identitätsprüfung erforderlich. Die ICO empfiehlt angemessene Prüfmaßnahmen je nach Art der Daten [2].

Einsatz automatisierter Unkenntlichmachung

Manuelle Videoverarbeitung ist langsam und fehleranfällig. Automatisierung mit Gallio PRO verbessert Genauigkeit, Geschwindigkeit und Prozesssicherheit.

Klare Governance zwischen Betreibern und Mietern

Gemeinsame Verantwortliche benötigen dokumentierte Vereinbarungen. Der EDPB empfiehlt Verträge zur Datenweitergabe mit klarer Rollenverteilung [3].

Protokollierung und Audit-Trails

Dokumentation ist entscheidend. Protokolle sollten die Anfrage, Verifikation, Datenquellen, angewandte Unkenntlichmachung und Antwortfristen enthalten.

Schwarz-weiß-Aufnahme aus der Vogelperspektive eines belebten Bahnhofs mit verschwommenen Pendlern auf Rolltreppen und Menschenmengen, die sich über die Halle bewegen.

FAQ - DSARs im Einzelhandel und in Einkaufszentren

Können Kunden CCTV-Aufnahmen von sich selbst anfordern?

Ja, sofern ihre Identität bestätigt ist und Dritte unkenntlich gemacht werden.

Darf ein Händler Aufnahmen verweigern, wenn andere darauf erscheinen?

Nein. Dritte müssen unkenntlich gemacht werden; eine Ablehnung ist nicht zulässig.

Können Händler Gebühren für DSARs verlangen?

Nur bei übermäßigen, wiederholten oder offensichtlich unbegründeten Anfragen. Normale DSARs sind kostenlos.

Gelten DSAR-Rechte auch für ANPR/LPR-Daten?

Ja. Nummernschilder, die einer Person zugeordnet werden können, sind personenbezogene Daten.

Wie lange sollten DSAR-Exports gespeichert werden?

Nur so lange, wie es für die Bearbeitung und Dokumentation notwendig ist.

Reflective glassy question mark floating against a smooth gray background, casting a soft shadow.

Kostenlose Demo herunterladen
Łukasz Bonczol

Łukasz Bonczol

Mitbegründer von Gallio PRO, untersucht, wie sich neue Technologien auf Gesellschaft, Politik, Recht und Ethik auswirken. Er hat einen Ph.D. in Politikwissenschaft von der Universität Breslau und einen MBA von der Wirtschaftsuniversität Breslau. Er interessiert sich dafür, wie Technologie unsere Geschichte beeinflusst hat und unsere Zukunft gestaltet.

Referenzliste

  1. [1] DSGVO - Verordnung (EU) 2016/679, Artikel 15 (Auskunftsrecht). https://eur-lex.europa.eu/eli/reg/2016/679/oj
  2. [2] UK ICO - Leitfaden zu CCTV und visuellen Daten. https://ico.org.uk/for-organisations/
  3. [3] EDPB - Leitlinien zu Betroffenenrechten. https://edpb.europa.eu
  4. [4] FRA - Studien zu Überwachung und Datenschutz. https://fra.europa.eu/en
  5. [5] National Retail Federation (NRF) - Forschung zu Sicherheit und Datenschutz im Einzelhandel. https://nrf.com/research