Möglicher AufbauCompliance & Recht

DSGVO-Auskunftsersuchen automatisieren: die Multi-Agent-Crew (Art. 15)

Auskunftsersuchen nach Art. 15 DSGVO in Tagen statt Wochen: ein Multi-Agenten-System durchsucht parallel CRM, Postfächer, Tickets und Dateien, schwärzt Dritt-Daten automatisch, der Datenschutzbeauftragte gibt frei. Self-hosted, fristen-sicher, auditierbar.

ComplianceDSGVOAuskunftsersuchenMulti-AgentHuman-in-the-Loopn8n

Branche

Compliance / Datenschutz / Mittelstand

Umsetzung

6-9 Wochen

Bearbeitungszeit

Tage statt Wochen

Mal ehrlich: Ein Auskunftsersuchen nach Art. 15 DSGVO will niemand auf dem Tisch haben. Ein Kunde, ein Ex-Mitarbeiter oder ein Bewerber schreibt „Bitte senden Sie mir alle Daten, die Sie über mich gespeichert haben" — und die Uhr läuft.

Eine Frist von einem Monat, und die Daten der Person liegen verstreut über CRM, mehrere Postfächer, das Helpdesk, Laufwerke und Backups. Jemand muss jedes System einzeln durchsuchen, zusammentragen, fremde Namen schwärzen, prüfen, freigeben. Tagelange Handarbeit für eine Aufgabe, die keinen Umsatz bringt.

Und der teure Teil: Wird etwas übersehen oder die Frist gerissen, ist das ein Verstoß. Auskunftsrechte sind bei den Aufsichtsbehörden die häufigste Beschwerdekategorie überhaupt — 2024 haben die EU-Behörden das Auskunftsrecht sogar zum Schwerpunkt einer koordinierten Prüfaktion gemacht.

Genau hier kommt das spannendste Architektur-Muster von 2026 ins Spiel: ein Team spezialisierter KI-Agenten, das die Drecksarbeit parallel erledigt — und einen Menschen am Ende entscheiden lässt. Hier ist die Crew.

Die DSAR-Crew als Workflow

Ein Auskunftsersuchen löst den Lauf aus: Der Orchestrator verteilt die Suche an vier parallele Agenten, ein Redaktions-Agent schwärzt Dritt-Daten, der DSB gibt frei — erst dann geht die Auskunft fristgerecht raus.

Auskunftsersuchen geht ein

Portal · E-Mail · Brief

Identität & Umfang prüfen

Art. 12(6) · nur bei Zweifel

Orchestrator-Agent

plant & verteilt Suchaufträge

parallel

CRM-Agent

Kundenstammdaten

Postfach-Agent

E-Mail-Verlauf

Ticket-Agent

Helpdesk / Support

Datei-Agent

Laufwerke · Archiv · Backups

Redaktions-Agent

Dritt-Daten schwärzen · Art. 15(4)

Dossier-Assembly

Kopie + Pflichtinfos · Art. 15

DSB-Freigabe

Human-in-the-Loop · Art. 22

Verschlüsselter Versand

Frist gewahrt

Audit-Log & Abschluss

Art. 30 · ≤ 1 Monat

BPMN-Elemente

Trigger

Start Event

Verarbeitung

Task

Integration

Service Task

Ausgabe

End Event

Gateway

XOR (Exklusiv)

Vorher vs. Nachher

Aspekt	Vorher	Nachher
Suche über die Systeme	Manuell, ein System nach dem anderen	Vier Agenten suchen parallel
Bearbeitungszeit	Tage bis Wochen Handarbeit	Stunden bis Tage, überwacht
Monatsfrist (Art. 12)	Wird oft gerissen	Monitor warnt früh, Frist gewahrt
Dritt-Daten	Übersehen → meldepflichtige Panne	Redaktions-Agent, dann DSB-Freigabe
Vollständigkeit	Systeme oder Backups vergessen	Definierte Quellenliste, protokolliert
Nachweis gegenüber Behörde	Lückenhaft, nicht belegbar	Audit-Trail nach Art. 30

Suche über die Systeme

Vorher

Manuell, ein System nach dem anderen

Nachher

Vier Agenten suchen parallel

Bearbeitungszeit

Vorher

Tage bis Wochen Handarbeit

Nachher

Stunden bis Tage, überwacht

Monatsfrist (Art. 12)

Vorher

Wird oft gerissen

Nachher

Monitor warnt früh, Frist gewahrt

Dritt-Daten

Vorher

Übersehen → meldepflichtige Panne

Nachher

Redaktions-Agent, dann DSB-Freigabe

Vollständigkeit

Vorher

Systeme oder Backups vergessen

Nachher

Definierte Quellenliste, protokolliert

Nachweis gegenüber Behörde

Vorher

Lückenhaft, nicht belegbar

Nachher

Audit-Trail nach Art. 30

Die Herausforderung

Auskunftsersuchen nach Art. 15 DSGVO sind Pflicht, größenunabhängig, und die Frist ist hart: ein Monat ab Eingang, nur bei komplexen oder zahlreichen Anfragen um zwei weitere Monate verlängerbar — und die Verlängerung muss man innerhalb des ersten Monats ankündigen.

Das eigentliche Problem ist nicht das Antworten, sondern das Finden: Die Daten einer Person liegen in CRM, Postfächern, Helpdesk, Dateiablagen, HR und Backups — oft unter verschiedenen Kennungen (Name, E-Mail, Kundennummer). Auch Backups und das Archiv fallen unter das Auskunftsrecht. Manuell ist das tage- bis wochenlange Sucharbeit.

Zwei Fehler sind teuer, und beide passieren ständig: etwas übersehen (eine unvollständige Auskunft verletzt das Betroffenenrecht) oder fremde Daten mitschicken (Daten Dritter in der Auskunft sind eine meldepflichtige Datenpanne). Art. 15(4) verlangt, die Daten anderer zu schützen — verschweigen darf man die Auskunft deshalb aber nicht: schwärzen statt verweigern.

Und die Behörden greifen durch: Norwegen verhängte 2023 rund 850.000 € gegen eine Kette, die Auskunfts- und Löschanträge nicht fristgerecht bearbeitete; die französische CNIL belegte Free mit 300.000 € unter anderem wegen verschleppter Auskünfte. Bei der irischen Aufsichtsbehörde waren Auskunftsbeschwerden zuletzt die mit Abstand häufigste Beschwerde.

Unsere Lösung

Im Zentrum steht ein Orchestrator-Agent in einem self-hosted n8n-Workflow: Er leitet aus der Anfrage die relevanten Kennungen der Person ab und startet vier spezialisierte Such-Agenten parallel — je einen für CRM, Postfächer, Helpdesk-Tickets und Dateien/Backups. Jeder Agent kennt nur seine Quelle und liefert die gefundenen personenbezogenen Daten zurück. Das ist das Multiagenten-Muster, das Gartner für 2026 zum Top-Trend erklärt hat — hier auf einen Prozess gemünzt, den jede EU-Firma erfüllen muss.

Danach übernimmt ein Redaktions-Agent, der die Daten Dritter schwärzt, bevor irgendetwas in die Auskunft gelangt (Art. 15(4)). Die Funde werden zu einem verständlichen Dossier zusammengeführt — die Kopie der Daten plus die Pflichtinformationen nach Art. 15(1). Dann der wichtigste Schritt: der Datenschutzbeauftragte gibt frei. Keine KI entscheidet allein über die Herausgabe — die menschliche Kontrolle ist Pflicht (Art. 22 DSGVO, Art. 14 AI Act). Erst nach Freigabe geht die Auskunft verschlüsselt und fristgerecht raus, jeder Schritt revisionssicher protokolliert (Art. 30).

Ehrlich eingeordnet: Ein System, das alle Daten einer Person zusammenführt, ist selbst eine sensible, eher hochriskante Verarbeitung — eine DSFA ist meist nötig. Deshalb ist das Dossier auf Abruf zusammengestellt und nicht dauerhaft gespeichert, die Modelle laufen self-hosted oder über EU-Endpoints, die Daten gehen niemals zum Training, und jeder Agent hat nur minimalen, zweckgebundenen Zugriff. Das Cockpit ersetzt keine Rechtsberatung — es macht die Pflichterfüllung schnell, vollständig und nachweisbar.

Hauptmerkmale

Orchestrator + spezialisierte Agenten

Ein Orchestrator-Agent plant die Suche und verteilt sie an spezialisierte Sub-Agenten (n8n AI Agent / LangChain). Das Multiagenten-Muster, das Gartner für 2026 zum Top-Trend erklärt hat — auf einen echten Pflichtprozess gemünzt.

Parallele Suche über alle Quellen

CRM-, Postfach-, Ticket- und Datei-Agent durchsuchen gleichzeitig alle Systeme — inklusive Archiv und Backups, die ebenfalls unter das Auskunftsrecht fallen. Auch bei vielen Quellen bleibt die Bearbeitung schnell.

Automatische Schwärzung von Dritt-Daten

Ein Redaktions-Agent erkennt und schwärzt die Daten anderer Personen, bevor sie in die Auskunft gelangen (Art. 15(4)) — schwärzen statt verweigern, wie es Recital 63 und die Aufsichtsbehörden verlangen.

DSB-Freigabe vor Versand

Die fertige Auskunft läuft nicht automatisch raus, sondern in eine Freigabe-Queue. Der Datenschutzbeauftragte entscheidet — verpflichtende menschliche Kontrolle nach Art. 22 DSGVO und Art. 14 AI Act.

Self-hosted & EU-souverän

Modelle laufen self-hosted (Llama/Mistral via Ollama) oder über AVV-fähige EU-Endpoints. Sensible Daten verlassen das Haus nicht und werden niemals zum Training verwendet.

Audit-Trail & Fristen-Monitor

Jeder Schritt — Suche, Schwärzung, Freigabe, Versand — wird revisionssicher protokolliert (Art. 30). Ein Monitor überwacht die Monatsfrist und warnt früh, wenn eine Verlängerung nötig wird.

Ergebnisse

Möglicher Aufbau, kein fertiges Produkt

Die dargestellten Zahlen sind Zielwerte und Erwartungswerte für einen möglichen Aufbau – basierend auf Branchen-Benchmarks, öffentlichen Studien zu vergleichbaren Setups und unseren eigenen Tests mit echtem Stack. Es handelt sich nicht um gemessene Ergebnisse aus einem konkreten Kundenprojekt; tatsächliche Werte hängen von Unternehmensgröße, Prozessreife und Integrationstiefe ab. Wir bieten diesen Aufbau nicht als fertiges Produkt an. Wir helfen Teams, Prozesse zu konzipieren, zu automatisieren und intern zu betreiben – über Architektur-Beratung, Workshops und Implementierungs-Unterstützung mit n8n. Für regulierte Drittsysteme mit Zertifizierungs- oder Lizenzanforderungen (z. B. KIS, gematik, DATEV-zertifiziert) ergänzen wir uns mit spezialisierten Partnern.

Tage statt Wochen

Bearbeitungszeit

CRM·Mail·Tickets·Files

Durchsuchte Quellen

0 · Auto-Schwärzung

Dritt-Daten-Lecks

≤ 1 Monat

Frist gewahrt

Auskunftsersuchen fristen-sicher in Tagen statt Wochen — parallele Suche über alle Systeme, automatische Schwärzung von Dritt-Daten, DSB-Freigabe und lückenloser Audit-Trail

Integrationen

Nahtlose Anbindung an Ihre bestehende Infrastruktur

n8n (self-hosted)

Orchestrierung

Workflow-Engine und Orchestrator-Agent, der die Such-Agenten als Sub-Workflows / Tools koordiniert

AI Agent (LangChain)

Agenten-Framework

n8n AI-Agent-Node: Reasoning-Modell, Speicher und Tools — andere Agenten als Tools eingebunden

Llama / Mistral (EU oder lokal)

Souveräne Modelle

Self-hosted via Ollama oder AVV-fähige EU-Endpoints kommerzieller Modelle — kein Datenabfluss, kein Training

CRM / Helpdesk / Mail

Datenquellen

Lese-Zugriff der spezialisierten Such-Agenten, je Agent auf seine Quelle beschränkt (data minimization)

PostgreSQL

Audit-Log

Revisionssicheres Protokoll aller Schritte und Fristen-Monitor nach Art. 30

S3-kompatibler Speicher

Verschlüsselte Ablage

Verschlüsselte, temporäre Ablage des Dossiers und der Versand-Nachweise

Sicherheit & Compliance

Enterprise-ready mit höchsten Sicherheitsstandards

Self-hosted & EU-Datenresidenz

Der gesamte Workflow läuft self-hosted (n8n) mit lokalen (Llama/Mistral via Ollama) oder EU-gehosteten Modellen. Personenbezogene Daten verlassen das eigene Haus bzw. die EU nicht.

Auf Abruf statt Dauer-Speicher

Das vollständige Dossier wird nur für die Beantwortung zusammengestellt und danach nicht als konsolidierter Datenpool gehalten — Datenminimierung nach Art. 5(1)(c) by Design.

Human-in-the-Loop & kein Training

Der Datenschutzbeauftragte gibt jede Auskunft frei (Art. 22 / Art. 14 AI Act), und die durchlaufenden Daten werden niemals zum Training von Modellen verwendet (Zweckbindung, Art. 5(1)(b)).

Lückenloser Audit-Trail

Suche, Schwärzung, Freigabe und Versand werden revisionssicher protokolliert (Art. 30). Jeder Agent erhält nur minimalen, zweckgebundenen Zugriff auf seine Quelle.

Technologie-Stack

n8n (self-hosted)AI Agent (LangChain)Llama/Mistral (EU oder lokal)PostgreSQLCRM/Helpdesk/Mail-APIsS3-kompatibler Speicher

Häufige Fragen

Ja. Das Auskunftsrecht gilt größenunabhängig — es gibt keine Mittelstands-Ausnahme. Jede Stelle, die personenbezogene Daten verarbeitet, muss ein Auskunftsersuchen innerhalb eines Monats beantworten. Gerade kleinere Teams haben aber selten Ressourcen, um zigfach manuell durch alle Systeme zu suchen — genau dort spielt die Agenten-Crew ihren Vorteil aus.

Die Frist beträgt einen Monat ab Eingang und ist bei komplexen oder zahlreichen Anfragen um zwei weitere Monate verlängerbar — die Verlängerung muss aber innerhalb des ersten Monats angekündigt werden. Der Workflow stempelt den Eingang, überwacht die Frist und warnt früh, sodass entweder rechtzeitig geantwortet oder die Verlängerung sauber dokumentiert wird.

Ein dedizierter Redaktions-Agent erkennt und schwärzt die Daten Dritter, bevor sie in die Auskunft gelangen (Art. 15(4)). Wichtig: schwärzen heißt nicht verweigern — Recital 63 und die Aufsichtsbehörden verlangen, dass die Auskunft erteilt wird, nur eben mit geschwärzten Dritt-Daten. Die finale Kontrolle liegt beim Datenschutzbeauftragten.

Nein. Die Agenten suchen, schwärzen und entwerfen — die Entscheidung über die Herausgabe trifft immer ein Mensch. Der Datenschutzbeauftragte gibt jede Auskunft frei, bevor sie das Haus verlässt. Das ist die verpflichtende menschliche Kontrolle nach Art. 22 DSGVO und Art. 14 AI Act, bewusst als Freigabe-Gate gebaut und nicht als Rubber-Stamp.

Ehrliche Antwort: ja, das ist selbst eine sensible, eher hochriskante Verarbeitung — eine DSFA ist meist nötig. Genau deshalb ist das Design defensiv: das Dossier wird auf Abruf zusammengestellt und nicht dauerhaft gespeichert, die Modelle laufen self-hosted oder über EU-Endpoints, die Daten gehen niemals ins Training, und jeder Agent hat nur minimalen, zweckgebundenen Zugriff. Den juristischen Rahmen setzt weiterhin euer Datenschutzbeauftragter.

Weil hier potenziell alle personenbezogenen Daten einer Person durchlaufen — das gehört nicht in eine Black-Box-Cloud. Self-hosted n8n plus lokale oder EU-gehostete Modelle halten die Daten im eigenen Haus, vereinfachen den DSGVO-Nachweis und vermeiden Lock-in. Der Trade-off ist Betriebsaufwand; unser n8n-vs-Make-Vergleich zeigt, wann sich das lohnt.

DSGVO-Auskunftsersuchen automatisieren: die Multi-Agent-Crew (Art. 15)

Die DSAR-Crew als Workflow

Vorher vs. Nachher

Die Herausforderung

Unsere Lösung

Hauptmerkmale

Orchestrator + spezialisierte Agenten

Parallele Suche über alle Quellen

Automatische Schwärzung von Dritt-Daten

DSB-Freigabe vor Versand

Self-hosted & EU-souverän

Audit-Trail & Fristen-Monitor

Ergebnisse

Möglicher Aufbau, kein fertiges Produkt

Integrationen

n8n (self-hosted)

AI Agent (LangChain)

Llama / Mistral (EU oder lokal)

CRM / Helpdesk / Mail

PostgreSQL

S3-kompatibler Speicher

Sicherheit & Compliance

Self-hosted & EU-Datenresidenz

Auf Abruf statt Dauer-Speicher

Human-in-the-Loop & kein Training

Lückenloser Audit-Trail

Technologie-Stack

Häufige Fragen

Ähnliche Showcases

EU AI Act Compliance Cockpit – Pflichten automatisiert nachweisen

Interne Wissens-KI: DSGVO-konformer RAG-Assistent (On-Premise)

Lohnt sich diese Automatisierung in Ihrem Fall?