Die Art und Weise, wie Ihr Unternehmen auf eine Datenanfrage reagiert, kann viel darüber aussagen, wie ernst Sie den Datenschutz nehmen. Eine klare, gut formulierte Antwort schafft Vertrauen, während eine vage oder verspätete Antwort die Nutzer frustrieren und Compliance-Risiken erhöhen kann.
Da die Anzahl der Auskunftsersuchen gemäß wichtigen Datenschutzgesetzen wie der DSGVO dem CCPA weiter steigt, ist eine zeitnahe und transparente Kommunikation nicht mehr optional.
In diesem Artikel erkläre ich, was DSARs sind, gebe Beispiele für gute und schlechte Antworten auf die häufigsten Arten und erkläre, wie Termly Ihnen helfen Termly , diese effizient zu verwalten.
Was sind DSARs?
Eine Auskunftsanfrage (DSAR) liegt vor, wenn jemand Ihr Unternehmen auffordert, die über ihn gespeicherten personenbezogenen Daten einzusehen, zu ändern, zu löschen oder zu übertragen.
Diese Anfragen geben Einzelpersonen mehr Kontrolle über ihre Daten und machen Unternehmen für die Verwendung dieser Daten verantwortlich.
DSARs sind gemäß wichtigen Datenschutzgesetzen wie derDatenschutz-Grundverordnung (DSGVO), dem California Consumer Privacy Act und anderen neuen Gesetzen in den USA erforderlich. Je nach Gesetz haben Nutzer möglicherweise das Recht auf:
- Sehen Sie sich an, welche Daten Sie über sie gesammelt haben.
- Korrekturen oder Löschungen beantragen
- Datenfreigabe oder gezielte Werbung deaktivieren
- Erhalten Sie ihre Daten in einem portablen Format.
Jeder Antrag verdient eine sorgfältige Bearbeitung, nicht nur um gesetzliche Fristen einzuhalten, sondern auch um das Vertrauen der Nutzer zu wahren. Da sich immer mehr Nutzer ihrer Datenschutzrechte bewusst werden, nehmen die DSAR-Anträge in allen Regionen rapide zu.
Erfahren Sie mehr über die neuesten DSAR-Trends und -Statistiken.
Gute vs. schlechte DSAR-Antworten
Selbst wenn Unternehmen dieselben Datenschutzgesetze befolgen, kann die Qualität ihrer Antworten sehr unterschiedlich sein. Einige gestalten den Prozess einfach, respektvoll und transparent, während andere die Nutzer verwirren oder ignorieren.
Im Folgenden zeigen wir Beispiele für gute und schlechte DSAR-Antworten für die häufigsten Arten von Anfragen und erklären, was eine effektive Antwort von einer riskanten unterscheidet.
1. „Sagen Sie mir, welche Daten Sie haben“ (Zugriffsanfrage)
Dies ist die häufigste Art von DSAR, die die Plattform Termlyerhält.
Diese Anfragen, auch als Auskunftsersuchen bezeichnet, fordern ein Unternehmen auf, Auskunft darüber zu geben, welche personenbezogenen Daten es über einen Nutzer gespeichert hat, wie diese verwendet werden und an wen sie weitergegeben werden.
Reales Szenario
Sie arbeiten für ein E-Commerce-Unternehmen, das Haushaltswaren verkauft.
Ein Kunde schickt Ihnen eine E-Mail mit der Frage:
„Können Sie mir sagen, welche Daten Sie über mich haben und wie diese verwendet werden?“
Beispiel für eine schlechte Antwort
„Alle unsere Datenpraktiken sind in unserer Datenschutzerklärung erläutert. Sie können diese hier einsehen: [Link].”
Diese Antwort weist die Anfrage zurück, anstatt darauf einzugehen.
Die Weiterleitung eines Nutzers zu einer Datenschutzerklärung erfüllt keine Auskunftsanfrage, da dadurch nicht bestätigt wird, welche Daten tatsächlich gespeichert sind, wie sie verarbeitet werden oder ob sie an Dritte weitergegeben wurden.
Es entsteht auch der Eindruck, dass Ihr Unternehmen über keinen zuverlässigen Prozess zum Abrufen und Darstellen personenbezogener Daten verfügt.
Gutes Antwortbeispiel
„Vielen Dank für Ihre Anfrage bezüglich Ihrer Daten. Wir haben Ihr Konto unter der E-Mail-Adresse [[email protected]] gefunden. Basierend auf Ihren Aktivitäten speichern wir derzeit Ihren Namen, Ihre E-Mail-Adresse, Ihre Versandinformationen und Ihre Bestellhistorie.
Wir erfassen diese Daten, um Einkäufe zu bearbeiten, Ihr Konto zu verwalten und Versandaktualisierungen zu versenden. Wir verkaufen Ihre Daten nicht an Dritte und geben sie auch nicht zu Marketingzwecken weiter.
Wenn Sie möchten, können wir Ihnen einen vollständigen Export Ihrer personenbezogenen Daten in einer herunterladbaren Datei zur Verfügung stellen. Bitte bestätigen Sie aus Sicherheitsgründen diese E-Mail-Adresse, bevor wir fortfahren.
Diese Antwort ist klar, direkt und nutzerorientiert.
Es bestätigt den Antrag, gibt an, welche Informationen gespeichert sind, und erklärt, warum diese erfasst werden.
Es ergreift auch die richtigen Sicherheitsmaßnahmen, indem es den Benutzer auffordert, seine Identität zu bestätigen, bevor weitere Daten weitergegeben werden.
Zum Mitnehmen
Eine gute Antwort auf eine Zugangsanfrage sorgt für Klarheit und Sicherheit. Sie sollte die von Ihnen gespeicherten Daten identifizieren, deren Verwendung beschreiben und die nächsten Schritte für eine sichere Übermittlung oder Weiterverfolgung erläutern.
2. "Meine Daten löschen" (Löschantrag)
Die zweithäufigste DSAR-Anfrage, die die Plattform Termlyerhält, ist die Löschanfrage.
Auch bekannt als Recht auf Löschung oder Recht auf Vergessenwerden, ermöglicht dies Einzelpersonen, ein Unternehmen aufzufordern, ihre personenbezogenen Daten dauerhaft aus dessen Systemen zu entfernen.
Reales Szenario
Sie arbeiten für eine Fitness-App, die auf einem Abonnement basiert.
Ein ehemaliger Abonnent kontaktiert Ihr Team mit folgenden Worten:
„Ich habe mein Konto vor einigen Monaten gekündigt. Bitte löschen Sie alle meine Daten aus Ihrem System.“
Beispiel für eine schlechte Antwort
„Wir können Ihre Daten nicht löschen, da sie Teil unserer Systemaufzeichnungen sind.“
Diese Antwort berücksichtigt nicht die Rechte des Benutzers und enthält weder eine Erklärung noch Angaben zu den nächsten Schritten.
Selbst wenn bestimmte Daten aus rechtlichen oder betrieblichen Gründen aufbewahrt werden müssen, verstößt die einfache Ablehnung der Anfrage ohne Erklärung gegen den Geist der Datenschutzgesetze und führt zu Frustration bei den Nutzern.
Gutes Antwortbeispiel
„Wir haben Ihre Anfrage zur Löschung Ihrer Kontodaten erhalten. Die meisten Ihrer persönlichen Daten, darunter Ihr Name, Ihre E-Mail-Adresse und Ihr Trainingsverlauf, wurden dauerhaft aus unseren aktiven Systemen gelöscht.
Einige Aufzeichnungen, wie beispielsweise Zahlungshistorien, müssen aus Gründen der Buchhaltung und zur Einhaltung gesetzlicher Vorschriften aufbewahrt werden, werden jedoch sicher gespeichert und nicht für andere Zwecke verwendet.
Ihre Anfrage ist nun abgeschlossen, und Sie erhalten eine Bestätigungs-E-Mail, sobald alle zugehörigen Daten aus dem Backup-Speicher entfernt wurden.
Diese Antwort bestätigt die Anfrage, erläutert, welche Daten gelöscht werden können und welche nicht, und enthält eine eindeutige Bestätigung des Abschlusses.
Es schafft ein Gleichgewicht zwischen rechtlichen Verpflichtungen und Transparenz und gibt dem Nutzer die Gewissheit, dass seine Daten ordnungsgemäß behandelt wurden.
Zum Mitnehmen.
Eine starke Löschreaktion sollte klar kommuniziert werden und das Versprochene auch umsetzen.
Wenn bestimmte Daten aus Compliance-Gründen aufbewahrt werden müssen, erklären Sie warum und versichern Sie dem Nutzer, dass sie nicht über diesen Zweck hinaus verwendet werden.
Eine vage Ablehnung oder unvollständige Erklärung kann dazu führen, dass Nutzer Ihre Transparenz anzweifeln und das Risiko von Beschwerden bei Aufsichtsbehörden steigt.
3. „Meine Daten nicht verkaufen oder weitergeben“ (Opt-out-Anfrage)
Opt-out-Anfragen werden immer häufiger, da Datenschutzgesetze wie der CCPA die Rechte der Nutzer erweitern, die Weitergabe oder Verwendung ihrer Daten für gezielte Werbung einzuschränken.
Diese Nutzeranfragen fordern ein Unternehmen in der Regel dazu auf, den Verkauf oder die Weitergabe personenbezogener Daten an Dritte einzustellen.
Reales Szenario
Sie arbeiten für einen Online-Händler, der mit Hilfe von Werbepartnern gezielte Kampagnen durchführt.
Ein Kunde schreibt Ihrem Datenschutzteam eine E-Mail mit folgendem Inhalt:
„Ich möchte, dass meine Daten nicht zu Werbezwecken weitergegeben oder verkauft werden.“
Beispiel für eine schlechte Antwort
„Wir verkaufen keine personenbezogenen Daten.“
Das mag zwar im engeren Sinne zutreffen, verfehlt jedoch die weiter gefasste Absicht der Anfrage.
Viele Datenschutzgesetze definieren „Weitergabe“ so, dass bestimmte Arten gezielter Werbung oder kontextübergreifender Verhaltensverfolgung darunter fallen.
Die sofortige Ablehnung der Anfrage zeugt von Unverständnis und könnte zu Beschwerden von Nutzern oder rechtlichen Schritten führen.
Gutes Antwortbeispiel
„Wir haben Ihre Anfrage zum Widerspruch gegen die Weitergabe Ihrer Daten zu Werbezwecken erhalten. Ihre Einstellungen wurden aktualisiert, und Ihre Daten werden nicht mehr an unsere Werbe- oder Analysepartner weitergegeben.
Sie können diese Einstellungen jederzeit überprüfen oder ändern, indem Sie den Link „Meine personenbezogenen Daten nicht verkaufen oder weitergeben“ in der Fußzeile unserer Website aufrufen. Bitte beachten Sie, dass Ihnen weiterhin allgemeine Anzeigen angezeigt werden können, die nicht auf personenbezogenen Daten basieren.
Diese Antwort bestätigt den Eingang der Anfrage, erläutert die ergriffenen Maßnahmen und bietet dem Benutzer eine einfache Möglichkeit, seine Einstellungen später zu überprüfen oder zu aktualisieren.
Es vermeidet juristische Fachsprache und gewährleistet gleichzeitig Genauigkeit und Transparenz.
Zum Mitnehmen
Eine wirksame Opt-out-Antwort bestätigt, dass die Präferenzen des Benutzers übernommen wurden, und verdeutlicht, welche Arten der Datennutzung weiterhin stattfinden werden.
Selbst wenn Ihr Unternehmen Daten nicht im herkömmlichen Sinne „verkauft“, zeigen Sie durch die direkte Auseinandersetzung mit den Bedenken der Nutzer, dass Sie deren Datenschutzentscheidungen respektieren und die Absicht hinter den Datenschutzgesetzen verstehen.
4. "Senden Sie mir meine Daten" (Antrag auf Übertragbarkeit)
Auch als Antrag auf Datenübertragbarkeit bekannt, ermöglicht dieser DSAR den Nutzern, eine Kopie ihrer personenbezogenen Daten in einem Format zu erhalten, das leicht auf einen anderen Dienst übertragen werden kann.
Das Ziel besteht darin, Einzelpersonen mehr Kontrolle und Flexibilität über ihre Daten zu geben, insbesondere beim Wechsel des Anbieters.
Reales Szenario
Sie arbeiten für ein cloudbasiertes Projektmanagement-Tool.
Ein Kunde meldet sich mit folgender Frage:
„Ich verlege meine Projekte auf eine andere Plattform. Können Sie mir eine Kopie aller meiner Daten schicken?“
Beispiel für eine schlechte Antwort
„Derzeit bieten wir keinen Datenexport für Benutzer an.“
Diese Antwort missachtet die Rechte des Nutzers und bietet keine Alternative.
Die Ablehnung einer Anfrage zur Datenübertragbarkeit ohne Erklärung oder Rückmeldung kann gemäß Gesetzen wie der DSGVO dem CCPA als Verstoß angesehen werden und führt dazu, dass Nutzer sich hinsichtlich ihrer Daten machtlos fühlen.
Gutes Antwortbeispiel
„Wir haben Ihre Identität überprüft und eine Kopie Ihrer persönlichen Daten erstellt, einschließlich Ihrer Kontodaten, Projektinformationen und hochgeladenen Dateien.
Sie können diese Informationen über den unten stehenden verschlüsselten Link sicher herunterladen. Der Link bleibt sieben Tage lang aktiv, und die Datei wird in einem maschinenlesbaren Format (.CSV) bereitgestellt.
Bitte teilen Sie uns mit, wenn Sie Hilfe beim Import Ihrer Daten in eine andere Plattform benötigen.
Diese Antwort zeugt von Transparenz, Sicherheit und Nutzerunterstützung.
Es bestätigt die Überprüfung, spezifiziert die enthaltenen Daten und stellt sie in einem portablen, zugänglichen Format bereit. Es bietet auch Hilfe, wenn der Benutzer zusätzliche Fragen hat, und demonstriert damit einen serviceorientierten Ansatz für die Einhaltung von Vorschriften.
Zum Mitnehmen
Eine starke Portabilitätsreaktion ermöglicht Benutzern einen klaren Zugriff auf ihre Daten in einem sicheren, strukturierten und nutzbaren Format. Es reicht nicht aus, einfach zu sagen, dass man sie nicht bereitstellen kann.
Unternehmen sollten über einen Prozess verfügen, um Informationen sicher und pünktlich zu übermitteln.
Dies erfüllt nicht nur gesetzliche Verpflichtungen, sondern stärkt auch das Vertrauen in die Datenpraktiken Ihres Unternehmens.
5. „Ich habe eine besondere Anfrage“ (Kommentarbasierte Anfrage)
Viele DSAR-Formulare enthalten ein offenes Kommentarfeld, in dem Benutzer zusätzliche Informationen angeben oder mehrere Datenschutzrechte in einer einzigen Anfrage zusammenfassen können.
Diese „Sonderwünsche“ lassen sich nicht immer eindeutig einer einzigen Rechtskategorie zuordnen, verdienen jedoch dennoch eine sorgfältige Prüfung und eine wohlüberlegte Antwort.
Reales Szenario
Sie arbeiten für ein Softwareunternehmen, das sowohl kostenlose als auch kostenpflichtige Konten anbietet.
Ein Benutzer reicht ein DSAR-Formular mit folgendem Kommentar ein:
„Bitte senden Sie mir alle Daten, die Sie in den letzten sechs Monaten über mein Konto gesammelt haben, und löschen Sie meine Kontaktdaten, wenn ich nicht mehr aktiv bin.“
Beispiel für eine schlechte Antwort
„Wir bearbeiten nur Standard-DSAR-Anfragen wie Zugriff oder Löschung. Bitte reichen Sie stattdessen eine dieser Anfragen ein.“
Diese Antwort ignoriert die Details des Kommentars des Benutzers und zwingt ihn zu zusätzlicher Arbeit, um sich an das System des Unternehmens anzupassen.
Selbst wenn die Anfrage nicht vollständig mit einem bestimmten Datenschutzrecht übereinstimmt, zeugt eine Ablehnung von mangelnder Flexibilität und Kundenorientierung.
Gutes Antwortbeispiel
„Vielen Dank für die Klarstellung Ihrer Anfrage. Sie haben darum gebeten, alle in den letzten sechs Monaten gesammelten Daten einzusehen und Ihre Kontaktdaten zu löschen, wenn Ihr Konto inaktiv ist.
Wir sind gerade dabei, die Daten aus diesem Zeitraum zusammenzustellen, und werden Ihnen eine Zusammenfassung zukommen lassen, sobald wir fertig sind. Wenn wir feststellen, dass Ihr Konto inaktiv ist, werden wir Ihre Kontaktdaten löschen und Sie benachrichtigen, sobald der Vorgang abgeschlossen ist.
Bitte teilen Sie uns mit, wenn Sie ältere Datensätze überprüfen oder die Löschung auf bestimmte Datentypen beschränken möchten.
Diese Antwort würdigt die Einzigartigkeit der Anfrage, zeugt von aktivem Zuhören und setzt klare Erwartungen.
Dies zeigt, dass das Unternehmen bereit ist, mit dem Nutzer zusammenzuarbeiten, anstatt sich auf starre Kategorien zu verlassen.
Zum Mitnehmen
Wenn Benutzer spezielle oder kommentarbezogene Anfragen stellen, sind Flexibilität und Kommunikation entscheidend.
Selbst wenn eine Anfrage nicht unter ein bestimmtes Recht fällt, zeugt es von Verantwortungsbewusstsein und stärkt das Vertrauen der Nutzer, wenn man sich die Zeit nimmt, die Anfrage zu verstehen und sorgfältig zu beantworten.
Wie Termly Ihnen bei der Verwaltung von DSARs Termly
Die manuelle Bearbeitung von DSARs kann schnell zu einer Überforderung werden, insbesondere angesichts steigender Anfragen und sich ständig weiterentwickelnder Datenschutzgesetze. Hier kommt Termlyins Spiel. DSAR-Lösung ins Spiel.
Mit Termly können Sie Datenanfragen an einem Ort erstellen und verwalten und so sicherstellen, dass jede Übermittlung effizient, sicher und in Übereinstimmung mit den globalen Datenschutzstandards bearbeitet wird.
- Konfigurieren Sie ein DSAR-Formular in wenigen Minuten: Richten Sie ein gehostetes oder einbettbares Formular ein, mit dem Benutzer ganz einfach Zugriff auf ihre Daten beantragen können.
- Machen Sie es überall zugänglich: Fügen Sie das Formular Ihrer Website oder App hinzu, damit Nutzer immer wissen, wie sie Sie erreichen können.
- Automatische Benachrichtigungen erhalten: Erhalten Sie sofortige E-Mail-Benachrichtigungen, wenn eine neue Anfrage eingereicht wird, damit Ihr Team schnell reagieren und organisiert bleiben kann.
- Erfüllen Sie globale Datenschutzanforderungen: Die DSAR-Lösung Termlyunterstützt wichtige Rahmenwerke wie DSGVO, CCPA/CPRA, VCDPA und weitere und hilft Ihrem Unternehmen dabei, die Datenschutzverpflichtungen weltweit zu erfüllen.
Durch den Einsatz der Tools Termlykönnen Unternehmen die Aufnahme vereinfachen, die Kommunikation automatisieren und eine klare Aufzeichnung jeder Anfrage führen, ohne ein System von Grund auf neu aufbauen zu müssen.
Die Beantwortung von DSARs dient nicht nur der Einhaltung gesetzlicher Vorschriften, sondern zeigt Ihren Nutzern auch, dass ihre Datenrechte wichtig sind.
Jede Antwort ist eine Chance, Transparenz und Vertrauen aufzubauen. Ob es sich um eine einfache Zugriffsanfrage oder eine komplexe Löschanfrage handelt – der richtige Ansatz macht den Unterschied.
Mehr über die Autorin
Geschrieben von Hanna De La Garza
Hanna ist Content Writer bei Termly, wo sie ansprechende Ressourcen zu den Themen Datenschutz, Einwilligungsmanagement, regulatorische Updates und mehr erstellt. Sie konzentriert sich darauf, komplexe Themen für Geschäftsinhaber zugänglich zu machen und trägt sowohl zu neuen Inhaltsinitiativen als auch zur Aktualisierung bestehender Materialien bei, um Genauigkeit und Klarheit zu gewährleisten.
Mehr über die Autorin
Rezensiert von Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direktorin für globalen Datenschutz
