Auskunftsanfragen nach DSGVO: Der Kertos-Guide
Dr. Kilian Schmidt
Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.
AUF EINEN BLICK
- Die Datenschutz-Grundverordnung (DSGVO) gibt den Verbrauchern das Recht, ihre persönlichen Daten zu kontrollieren und bietet umfassende Schutzmechanismen.
- Auskunftsanfragen (DSAR) ermöglichen es Einzelpersonen, Zugang zu ihren Daten zu erhalten, sie zu berichtigen oder löschen zu lassen, und stärken so das Vertrauen in Unternehmen.
- Unternehmen müssen ein strukturiertes System einrichten, um Datenschutzanfragen effizient zu bearbeiten und gesetzliche Fristen einzuhalten.
- Eine professionelle Bearbeitung von DSARs verbessert die Compliance und verringert das Risiko von Datenschutzverletzungen und Strafen.
- Tools zur Automatisierung von Auskunftsanfragen, wie Kertos, helfen Unternehmen, den Prozess zu optimieren und wertvolle Ressourcen zu sparen.
Auskunftsanfragen: 94 % der Verbraucher wünschen sich Kontrolle über die eigenen Daten
Die Datenschutz-Grundverordnung (DSGVO) ist ein umfassendes Datenschutzgesetz, das 2018 in Kraft getreten ist und das erste seiner Art ist. Die DSGVO hat sich als Maßstab für moderne, allumfassende Datenschutzgesetze erwiesen. Bis heute haben 137 von 194 Ländern weltweit ihre eigenen Datenschutzgesetze erlassen, um diesem Beispiel zu folgen.
Diese Gesetze geben dem Einzelnen die Möglichkeit, selbst die Kontrolle über seine Daten zu übernehmen. Diese Kontrolle geht einher mit Datenschutzrechten wie dem Recht auf Zugang, Berichtigung und Löschung personenbezogener Daten, die von Organisationen gespeichert werden. In Übereinstimmung mit den Datenschutzgesetzen und -vorschriften müssen Unternehmen die Rechte des Einzelnen respektieren oder mit Geldbußen rechnen.
Mit dem Wandel der Zeit sind sich die Nutzer zunehmend ihres Datenschutzes im Internet bewusst geworden, wie die Ergebnisse eines Berichts zeigen: 94 % der Verbraucher wollen die von ihnen an Unternehmen weitergegebenen Daten kontrollieren und wissen, wie diese Daten verwendet werden. Im Einklang mit den sich wandelnden gesellschaftlichen Erwartungen und regulatorischen Anforderungen ist es höchste Zeit, dass Unternehmen dem Datenschutz Priorität einräumen und die Rechte des Einzelnen respektieren.
Auskunftsanfragen automatisiert en masse bearbeiten
Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.
Erläuterung von Auskunftsanfragen und was das unter der DSGVO bedeutet
Die Datenschutz-Grundverordnung und die ihr folgenden Gesetze garantieren den Verbrauchern bestimmte Datenrechte. Auch wenn die Terminologie und die spezifischen Anforderungen in den verschiedenen Gesetzen variieren können, stimmen die Grundprinzipien und Datenschutzrechte in der Praxis weitgehend mit denen der DSGVO überein.
Die Datenschutzrechte nach der DSGVO sind:
- Das Recht, über die Erhebung und Verwendung personenbezogener Daten informiert zu werden.
- Das Recht auf Zugang zu personenbezogenen Daten und deren Verarbeitung.
- Das Recht, fehlerhafte oder unvollständige personenbezogene Daten zu berichtigen.
- Das Recht auf Löschung oder auf Vergessenwerden.
- Das Recht, die Verarbeitung personenbezogener Daten einzuschränken.
- Das Recht auf Datenübertragbarkeit.
- Das Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten.
- Das Recht auf Widerspruch gegen die automatisierte Entscheidungsfindung und das Profiling.
Was passiert vor einer Auskunftsanfrage?
Eine Person, die eine Website nutzt, reagiert auf die Datenschutzerklärung, indem sie auf “Ich bin einverstanden” klickt. Die von der Person erteilte Zustimmung erlaubt es den Unternehmen, die Daten gemäß den angegebenen Bedingungen zu sammeln und zu verarbeiten. Die Unternehmen müssen sich darüber im Klaren sein, dass die von den Nutzern erhobenen Daten nicht wirklich ihnen gehören. Ursprünglich gehören sie den betroffenen Personen, und diese können ihre Datenschutzrechte geltend machen, um zu bestimmen, wie Unternehmen sie verwenden dürfen.
Die Ausübung der Datenschutzrechte setzt voraus, dass die Nutzer entweder auf ein Datenschutzbanner klicken oder eine Anfrage an den für die Datenverarbeitung Verantwortlichen über einen data subject access request (DSAR) stellen. DSAR, auch DSR genannt, ermöglicht es Einzelpersonen zu erfahren, welche Daten ein Unternehmen (oder ein für die Verarbeitung Verantwortlicher) über sie hat und wie diese Daten verwendet werden. Obwohl DSAR nur den Begriff “Zugang” enthält, umfasst er alle anderen Rechte, von der Löschung bis zur Änderung und mehr.
Was passiert nach einer Auskunftsanfrage?
Nach Einreichung einer Auskunftsanfrage müssen Unternehmen, die über Daten der betroffenen Person verfügen, deren Anfragen bearbeiten und die angeforderten Informationen zurücksenden oder Maßnahmen ergreifen, um die Anfrage zu erfüllen. Es ist auch wichtig zu betonen, dass Einzelpersonen keinen besonderen Grund brauchen, um DSR zu beantragen. Die einzigen Fragen, die ein für die Verarbeitung Verantwortlicher stellen kann, dienen der Überprüfung der Identität und dem Auffinden der gewünschten Informationen.
Auskunftsanfragen sind keine neue Entwicklung und werden seit Jahren von Regierungen und Unternehmen gleichermaßen verwendet. Moderne Datenschutzbestimmungen haben es den Auskunftsersuchenden erleichtert, Anfragen zu stellen. Eine Umfrage von EY aus dem Jahr 2023 zeigt, wie Auskunftsanfragen schnell zunehmen: 60 % der Datenschutz- und Compliance-Verantwortlichen in Finanzdienstleistungsunternehmen beobachteten 2022 einen Anstieg der DSARs, und 49 % erwarten für 2023 einen weiteren Anstieg.
Wie reagiert man professionell auf Datenschutzanfragen?
Implementierung eines Systems für den Empfang und die Bearbeitung von Anfragen einrichten
Es gibt zahlreiche Möglichkeiten, wie ein data subject einen Antrag auf Zugang stellen kann. Dazu gehören eine gebührenfreie Nummer, eine E-Mail, das Ausfüllen eines Webformulars oder eine persönliche Kontaktaufnahme. In einer IAPP-Umfrage gaben 70 % der Befragten an, E-Mail, Telefon oder ein Online-Portal für die Bearbeitung von DSARs zu verwenden.
Data subjects müssen nicht nur allgemein akzeptierte Begriffe wie “DSAR”, “Rechteanfrage” oder “Verbraucherrecht” verwenden. Unter Ausnutzung des Spielraums, den sie bei der Einreichung von DSARs haben, könnten sie stattdessen einen der folgenden Begriffe verwenden:
- Ich möchte wissen, welche Informationen du über mich hast.
- Ich möchte, dass der Verkauf meiner Daten eingestellt wird.
- Ich möchte falsche Daten korrigieren.
Die Unternehmen müssen ein strukturiertes System für die Bearbeitung von Anfragen einrichten. Zumindest sollten sie über die gesetzlich vorgeschriebenen Methoden verfügen, mit denen die betroffenen Personen ihre Anfragen stellen können, und darauf vorbereitet sein, Anfragen aus verschiedenen Quellen zu bearbeiten. Außerdem müssen die Unternehmen die Anfragen systematisieren, um zu vermeiden, dass eine Anfrage unbemerkt oder unbearbeitet bleibt.
Überprüfung der Identität der betroffenen Person
Es ist wichtig, die Identität der antragstellenden Person zu überprüfen, um mit dem data subject access request fortzufahren. Zu den branchenweit anerkannten Methoden gehören die Abfrage der E-Mail selbst, die Anmeldung beim System über ein E-Mail- und Passwort-Paar, die Beantwortung der registrierten Sicherheitsfrage, die Vorlage eines Lichtbildausweises oder sogar die Verwendung von Identitätsprüfungssystemen Dritter.
Laut IAPP sind E-Mail und Lichtbildausweis die gängigsten Methoden zur Überprüfung der Identität eines data subject. Gemäß dem Grundsatz der Datenminimierung im Rahmen der DSGVO sollten Unternehmen keine zusätzlichen Informationen anfordern, die über das hinausgehen, was primär für die Identitätsüberprüfung erforderlich ist.
Die Unternehmen sollten auch angemessene Maßnahmen ergreifen, um diese Informationen vor dem Auslaufen oder dem Zugriff Unbefugter zu schützen. Wenn Unternehmen nicht überprüfen können, ob es sich bei der anfragenden Person um dieselbe handelt, können sie sich dafür entscheiden, der Anfrage nicht nachzukommen. Es ist besser, eine Anfrage abzulehnen, als Daten an die falsche Person weiterzugeben und damit versehentlich eine Datenschutzverletzung zu verursachen.
Informationen über den Auskunftersuchenden ausfindig machen
Personenbezogene Informationen über Einzelpersonen befinden sich an zahlreichen Orten innerhalb eines Unternehmens, darunter CRM, Datenbanken, Dateiserver, Marketing-Automatisierungstools, die Cloud, Anwendungen, E-Mails, gedruckte Unterlagen und Formulare usw.
Die Beantwortung einer DSAR erfordert das Durchsuchen des Systems, um zunächst alle Informationen über den Anfragenden zu finden und dann alle Informationen für weitere Verfahren zusammenzustellen. Ein Unternehmen, das sich bei der Speicherung oder Verarbeitung von Daten auf einen Drittverarbeiter stützt, sollte diesen grundsätzlich auch in den Suchprozess einbeziehen.
Das data subject kann entweder etwas Bestimmtes anfordern, wie z. B. die Kaufhistorie, oder eine allgemeine Anfrage, wie z. B. alle Informationen. Es ist immer eine gute Idee, die betroffene Person um zusätzliche Informationen zu bitten. Eine gezielte Suche auf der Grundlage von Anfragen kann den Umfang der Datenermittlung eingrenzen und den Prozess beschleunigen. Das Unternehmen sollte sicherstellen, dass die angeforderten Daten umfassend sind. Alles, was zurückgehalten wird, könnte die Rechte der betroffenen Person verletzen.
Fristen beachten
Der Zeitrahmen für den Abschluss der DSAR ist je nach Rechtsprechung unterschiedlich. Unternehmen sollten darauf achten, dass sie die Anfragen innerhalb der im geltenden Datenschutzgesetz festgelegten Fristen erfüllen. Eine Überschreitung der Frist kann als Ungehorsam gegenüber dem Gesetz betrachtet werden und ist Gegenstand von Durchsetzungsmaßnahmen.
Nach der Datenschutz-Grundverordnung müssen Unternehmen innerhalb eines Kalendermonats nach Erhalt der Anfrage auf eine DSAR antworten. Im Vergleich dazu schreibt CCPA/CPRA vor, dass die Anfragen innerhalb von fünfundvierzig Kalendertagen zu beantworten sind, mit einer Verlängerung auf bis zu neunzig Tage, wenn das Unternehmen Probleme bei der Beantwortung der Anfrage hat und den Anfragenden mit einer Erklärung über die Gründe informiert.
Relevante Informationen nennen und Kommunikation protokollieren
Sobald alle Daten gesammelt sind, sollten die verpackten Daten in einem gemeinsamen und leicht zugänglichen Format, wie z. B. einem Dokument oder einer Tabelle, an die betroffene Person weitergegeben werden, das den Anforderungen des Antrags entspricht. Alternativ dazu fördert die Datenschutz-Grundverordnung die gemeinsame Nutzung von Daten durch Fernzugriff. Dazu gehört die Einrichtung eines sicheren Online-Systems, das es den Nutzern ermöglicht, sich einzuloggen und ihre Daten direkt und in Echtzeit zu verwalten.
Die Antworten sollten mit einem Abschnitt abgeschlossen werden, der die betroffenen Personen an ihre Datenschutzrechte und ihre Möglichkeit, bei den Aufsichtsbehörden eine Beschwerde einzureichen, erinnert. Die Kommunikation mit der betroffenen Person, sowohl beim Eingang als auch bei der Erledigung des Antrags, sollte mit einem Vermerk über das Datum, die Art und Weise des Antrags und die zur Erledigung des Antrags getroffenen Maßnahmen dokumentiert werden. Ein gut dokumentierter Prüfpfad ist eine Schlüsselkomponente der DSGVO-Compliance.
Einrichtung eines DSAR-Management-Teams
Die Beantwortung einer DSAR erfordert die Bearbeitung von Anfragen aus mehreren Quellen. Es besteht eine hohe Wahrscheinlichkeit, dass Anfragen durch die Maschen fallen, wenn die Beantwortung nicht systematisiert ist. Um daraus resultierende rechtliche Probleme zu vermeiden, ist es ideal, ein spezielles DSAR-Verwaltungsteam einzurichten. Dieses Team kann die Bearbeitung von Anfragen nachverfolgen und nach Prioritäten ordnen, die Datenerfassung und -zusammenstellung mit den zuständigen Abteilungen koordinieren und sicherstellen, dass die Fristen eingehalten werden.
Laut IAPP haben 70 % der Unternehmen weniger als sechs Mitarbeiter, die sich mit der Bearbeitung von DSAR befassen; 20 % haben eine Person, die sich damit befasst, und 50 % haben 2 bis 5 Mitarbeiter, die für das DSAR-Management zuständig sind. Etwa 88 % der Unternehmen in Europa verfügen über interne Datenschutzabteilungen für das DSAR-Management, aber sie teilen die Arbeit oft zwischen anderen Abteilungen wie Personalabteilung, Rechtsabteilung, IT und Compliance auf, um eine effiziente Handhabung zu gewährleisten.
Es ist auch eine kluge Idee, Investitionen in interne Ressourcen zu sparen und die Unterstützung Dritter in Anspruch zu nehmen, um die Compliance-Prozesse zu beschleunigen. Kertos.io ist auf dem Markt für seine effizienten und kostengünstigen Lösungen für die Einhaltung von Datenschutzbestimmungen bekannt. Indem du die Bearbeitung von data subject access requests an Kertos auslagerst, kannst du Lösch- und Informationsanfragen optimieren, indem du den gesamten Prozess automatisierst, vom Empfang und der Überprüfung bis zur Löschung und Bestätigung.