DSAR-Portal in 30 Sekunden einrichten — ohne IT, ohne CNAME

Inhalt in Kürze

• Drei Embed-Varianten für ein DSAR-Portal: Direct-Link (30 Sek.), Iframe (60 Sek.), JS-Widget (90 Sek.) — alle ohne CNAME, ohne IT-Ticket.
• Custom-Subdomain anfrage.firma.de als Pro+-Variante mit 5-Minuten-DNS — nur bei höherem Branding-Bedarf.
• 5 Identitätsverifikations-Modi sind Marktstandard 2026: E-Mail / Sicherheitsfrage / Ausweis-Upload / Video-Ident / eIDAS-eID.
• Bot-Protection per Cloudflare Turnstile lässt sich in 5 Minuten vor das Portal schalten — DSGVO-konform, ohne reCAPTCHA-Tracking.

Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 7 Minuten

Wer ein DSAR-Portal will, muss 2026 keine Tage mehr in IT-Tickets, DNS-Konfigurationen und CNAME-Genehmigungen versenken. Drei Embed-Varianten — Direct-Link, Iframe, JS-Widget — bringen Sie in 30 bis 90 Sekunden online. Diese Anleitung zeigt alle drei Optionen mit Copy-Paste-Snippets plus die Pro+-Variante mit eigener Subdomain.

Was ist ein DSAR-Portal?

Ein DSAR-Portal ist die digitale Eingangstür für Betroffenenanfragen nach Art. 15–22 DSGVO. Kunden, Mitarbeitende oder Bewerbende können dort Auskunft, Berichtigung, Löschung oder Datenübertragbarkeit verlangen.

Was das Portal automatisiert:

• Strukturierte Erfassung (statt freier Mail-Text)
• Identitätsprüfung
• Fristverwaltung mit Live-Countdown (1 Monat nach Art. 12 Abs. 3)
• Sichere Antwort-Zustellung
• Hash-Chain-Audit-Trail für die Beweispflicht

Wer mehr Hintergrund braucht: DSAR-Portal-Vergleich 2026 und DSAR vs DPA vs ROPA-Glossar.

Variante A: Direct-Link in 30 Sekunden

Die einfachste Variante. Sie bekommen vom DSGVO-Tool eine fertige URL pro Mandant — z. B. https://dsar.fraghugo.de/m/ihr-mandant. Diese wird verlinkt:

1. Footer-Link auf jeder Seite: „Datenschutz-Anfrage stellen" als zusätzlichen Footer-Eintrag neben Impressum, Datenschutzerklärung, AGB.
2. In der Datenschutzerklärung: Im Abschnitt zu Betroffenenrechten die DSAR-URL nennen — fast jede Vorlage hat dort den Platz.
3. In E-Mail-Signaturen: Bei Marketing-Mails als Pflicht-Footer („Datenschutz-Anfrage stellen — hier"), bei normalen Geschäfts-Mails optional.
4. Auf der Kontaktseite: Direkt neben dem Kontaktformular als alternative Kontaktmöglichkeit für Datenschutz-Anliegen.

<!-- Footer-Snippet, fertig zum Kopieren -->
<a href="https://dsar.fraghugo.de/m/ihr-mandant"
   rel="noopener"
   class="footer-link">
  Datenschutz-Anfrage stellen
</a>

Fertig. Kein Server, kein DNS, kein Build-Prozess. 30 Sekunden.

Variante B: Iframe-Embed in 60 Sekunden

Wenn Sie das DSAR-Portal direkt in eine Ihrer Seiten integrieren wollen (z. B. eine Seite /datenschutz-anfrage/), nutzen Sie das Iframe.

<!-- iframe-Embed, kopierbar in jede HTML-Seite -->
<iframe
  src="https://dsar.fraghugo.de/embed/ihr-mandant"
  width="100%"
  height="700"
  frameborder="0"
  loading="lazy"
  title="Datenschutz-Anfrage Portal">
</iframe>

Vorteile: Bleibt auf Ihrer Domain (User sieht firma.de/datenschutz-anfrage/), SEO-relevant, kein zusätzlicher Klick.

Nachteile: Manche Browser-Erweiterungen blockieren Iframes von fremden Domains. Auf Mobile sollten Sie min-height setzen, damit das Formular nicht abschneidet.

Variante C: JS-Widget in 90 Sekunden

Das modernste Embed: ein Trigger-Button, der ein Modal-Overlay öffnet. Das Portal erscheint als Pop-up, ohne die Seite zu wechseln.

<!-- Step 1: Script in <head> oder vor </body> einbinden -->
<script async
        src="https://dsar.fraghugo.de/widget.js"
        data-mandant="ihr-mandant"
        data-locale="de">
</script>

<!-- Step 2: Trigger-Button irgendwo platzieren -->
<button data-fraghugo-dsar-trigger
        class="btn-primary">
  Datenschutz-Anfrage stellen
</button>

Vorteile: Moderne UX, hohe Conversion (kein Seitenwechsel), volles Branding-Customization in den höheren Plänen.

Nachteile: Erfordert Content Security Policy (CSP) Anpassung, falls Sie eine restriktive CSP betreiben. Für die meisten Sites kein Problem — aber bei Banking/Healthcare muss Ihr CSP dsar.fraghugo.de whitelisten.

Variante Pro+: Custom-Subdomain anfrage.firma.de

Wer Branding-konform unter eigener Domain laufen will, setzt einen CNAME-Eintrag. Einmaliger DNS-Aufwand: 5–10 Minuten.

1. Im Hugo-Admin-Panel: „Custom Subdomain hinzufügen" → Subdomain-Name eingeben (z. B. `anfrage`).
2. CNAME-Eintrag erstellen: In Ihrem DNS-Manager (Cloudflare, Hetzner, Strato, etc.) einen CNAME `anfrage` → `target.fraghugo.de` setzen.
3. Validierung: Hugo prüft den CNAME automatisch, stellt SSL-Zertifikat per Let's Encrypt bereit.
4. Fertig: Ab sofort läuft das Portal unter `anfrage.firma.de` mit eigenem Branding-Header.

Die Custom-Subdomain ist Standard in Hugo Pro+ (449 €/Mo), nicht in Starter. Bei Iubenda Ultimate-Plan, bei OneTrust ab Premium, bei SAR Portal Pro+. Mehr im Tool-Vergleich DSAR-Portal 2026.

Identitätsverifikation einrichten — 5 Modi

Eingehende Anfragen brauchen eine Identitätsprüfung, sonst antworten Sie womöglich der falschen Person. Hugo bietet 5 Modi, die pro Mandant kombinierbar sind:

Mehr zu eIDAS und D-TRUST in unserem QES-Anbieter-Vergleich.

Aus der Praxis

Innerhalb von 24 Stunden war der Fall geklärt. Der Mandant wusste: Er kann jetzt datenschutzkonform eine Umfrage an seine Kunden losschicken. Genau so soll Arbeit mit einem Datenschutzbeauftragten stattfinden — nicht 4 Wochen IT-Setup, sondern 30-Sekunden-Embed.

Nils OehmichenDatenschutzberater bei frag.hugo

Bot-Protection per Cloudflare Turnstile

Sobald das Portal live ist, wird es zur Spam-Zielscheibe. Klassisch wurde dafür Google reCAPTCHA verwendet — heute datenschutzrechtlich umstritten. Cloudflare Turnstile ist die DSGVO-freundliche Alternative:

<!-- Turnstile-Widget vor dem Submit-Button -->
<div class="cf-turnstile"
     data-sitekey="0x4AAAAAACtoun3ENdrQKBi4"
     data-theme="light">
</div>

Mehr im Vergleich Cloudflare Turnstile vs reCAPTCHA.

Best-Practice-Beispiel: Mittelständler mit B2B-Webseite

Ein 80-MA-IT-Dienstleister hat 2026 sein DSAR-Portal so eingerichtet:

• Direct-Link im Footer — sichtbar auf jeder Seite, einmaliger Edit im Footer-Component.
• Iframe-Embed auf der Seite `/datenschutz-anfrage/` — bessere SEO für Long-Tail „Datenschutz Anfrage IT-Dienstleister".
• Custom-Subdomain `anfrage.firma.de` — wegen Konzern-Branding-Vorgaben.
• 2-Modi-Identifikation: E-Mail-Bestätigung default, Sicherheitsfrage für Lösch-Anfragen.
• Cloudflare Turnstile aktiv vor dem Submit-Button.
• Magic-Link für Antworten — siehe Magic-Link-Pattern.

Time-to-Live ab Tool-Anmeldung: 8 Minuten. Drei Klicks im Hugo-Admin-Panel, ein Footer-Edit, ein DNS-Eintrag.

Fazit / Ihr nächster Schritt

Drei Embed-Varianten, optional eine Custom-Subdomain, fünf Identitätsmodi, integrierte Bot-Protection — das DSAR-Portal-Setup ist 2026 in einer Mittagspause erledigt. Was bleibt, ist die Antwort auf eingegangene Anfragen — dafür gibt es KI-Auto-Response (siehe KI-Antwort-Generator für DSGVO-Auskunftsanfragen).

Häufige Fragen (FAQ)

Brauche ich einen Server oder DNS-Eintrag, um ein DSAR-Portal aufzusetzen?

Nein. Mit einem modernen DSGVO-Tool wie Hugo oder Iubenda läuft das DSAR-Portal auf der Anbieter-Infrastruktur. Sie verlinken nur — Direct-Link in der Datenschutzerklärung, Iframe-Embed in einer Seite oder JS-Widget per Klick-Trigger. Kein Server, kein DNS, keine CNAME-Konfiguration.

Welche Embed-Variante ist die beste?

Hängt vom Use-Case ab. Direct-Link ist am einfachsten und immer eine Option (Footer-Link). Iframe ist visuell integriert und SEO-relevant. JS-Widget triggert einen Modal-Dialog — gut für Conversion, aber nicht jedes CMS akzeptiert Inline-Scripts ohne CSP-Anpassung.

Welche Identitätsverifikation sollte ich einsetzen?

Marktstandard sind 5 Modi: nur E-Mail-Bestätigung (für Newsletter-Abmeldung), zusätzlich Sicherheitsfrage (für Standard-Anfragen), Foto-Ausweis-Upload (für Löschungen), Video-Ident (für hochrisiko Anfragen wie Bankkonten), eIDAS/eID via D-TRUST (für Behördenkontext). Tool-konfigurierbar pro Mandant.

Was ist eine Custom-Subdomain wie anfrage.firma.de?

Ein optionaler CNAME-Eintrag, der das DSAR-Portal unter Ihrer eigenen Subdomain laufen lässt. Vorteil: branded URL, mehr Vertrauen. Nachteil: einmaliger DNS-Setup von 5–10 Minuten. Bei Hugo Pro+ ist das ein Standard-Feature; bei Iubenda und SAR Portal nur in höheren Plänen.

Was passiert, wenn jemand mein DSAR-Portal mit Spam-Anfragen flutet?

Cloudflare Turnstile als Bot-Protection (DSGVO-freundliches reCAPTCHA-Alternative) lässt sich in 5 Minuten vor das Portal setzen — siehe unser Vergleich Turnstile vs reCAPTCHA. Zusätzlich greift Rate-Limiting pro IP und Magic-Link-Token-Validierung gegen Spam-Wellen.

Konkurrenz-Recherche-Stand: Embed-Patterns und Pricing verifiziert am 8. Mai 2026 über die Anbieter-Dokumentationen von Iubenda, SAR Portal und Hugo DSAR-Portal Spec. Cloudflare Turnstile-Snippet aus den offiziellen Cloudflare Turnstile Docs.