Der Geltungsbereich der Datenschutzgesetze weitet sich aus, und es ist an der Zeit, Ihr Unternehmen darauf vorzubereiten, auf Anträge auf Zugang zu personenbezogenen Daten (Data Subject Access Requests, DSAR) zu reagieren, d. h. wenn eine Person ihre Rechte in Bezug auf die von Ihnen erfassten personenbezogenen Daten geltend machen möchte.
Die Einrichtung eines transparenten DSAR-Workflows für Ihr Unternehmen zur Bearbeitung von Verbraucheranfragen hilft Ihnen, die geltenden Datenschutzgesetze einzuhalten und das Vertrauen Ihrer Kunden zu stärken.
Nutzen Sie meine Schritt-für-Schritt-Anleitung, um ein zuverlässiges, rechtssicheres und einfaches DSAR-Verfahren für Ihr Unternehmen und Ihre Nutzer zu entwickeln.
Schritt-für-Schritt DSAR-Workflow, den Ihr Unternehmen befolgen muss
Hier sind die zehn Schritte, die ich Ihnen empfehle, um sicherzustellen, dass der DSAR-Workflow Ihres Unternehmens reibungslos funktioniert und alle rechtlichen Verpflichtungen erfüllt.
Schritt 1: Entgegennahme und Identifizierung eines DSAR
Der erste Schritt, den Unternehmen bei der Einrichtung eines DSAR-Workflows unternehmen sollten, ist die Entscheidung darüber, wie die Benutzer ihre Anträge einreichen sollen.
Ich empfehle, ein System auszuwählen, das sich an der Art und Weise orientiert, wie Ihre Nutzer typischerweise mit Ihrer Plattform interagieren, sowie an der Art der personenbezogenen Daten, die Sie erfassen, und dabei die geltenden Datenschutzgesetze zu berücksichtigen.
Es gibt mehrere Methoden, die Sie auf Ihrer Website einsetzen können, darunter:
Um diesen Prozess zu vereinfachen, stellt Termly allen Nutzern ein DSAR-Formular zur Verfügung, das Sie auf Ihrer Website einbetten können - wie es aussieht, sehen Sie im folgenden Screenshot.
Einige Gesetze schreiben vor, dass Sie den Verbrauchern zwei oder mehr Möglichkeiten bieten müssen, Anfragen zu stellen.
Sie müssen den Verbrauchern auch dann antworten, wenn sie nicht die spezifischen Methoden anwenden, die Sie auf Ihrer Plattform implementiert haben, denn die Datenschutzgesetze erlauben es Einzelpersonen, DSARs auf jede beliebige Weise einzureichen.
Es ist jedoch effizienter, ihnen einen klaren Weg für die Einreichung dieser Anfragen zu bieten, und die meisten Nutzer werden Ihrem etablierten Verfahren gerne folgen.
Überprüfung der Identität einer betroffenen Person
Sobald Sie die Methoden ausgewählt haben, mit denen Sie es den Verbrauchern ermöglichen, ihre Rechte wahrzunehmen, müssen Sie auch ein Verfahren zur Überprüfung der Verbraucheranfragen einrichten, um sicherzustellen, dass Sie niemals personenbezogene Daten an eine unbefugte Person weitergeben.
Fragen Sie bei der Überprüfung der Identität des Verbrauchers nur dann nach weiteren persönlichen Informationen, wenn dies notwendig ist, und verlangen Sie nicht, dass der Verbraucher ein Konto einrichtet, da dies in einigen Ländern gesetzlich verboten ist.
Ziehen Sie stattdessen einen Zwei-Faktor-Authentifizierungsansatz in Betracht und nutzen Sie bereits vorhandene Daten, die Ihnen zur Verfügung stehen. So können Sie beispielsweise einen Code an die E-Mail-Adresse oder Telefonnummer des Benutzers senden oder ihn eine Sicherheitsfrage auswählen und richtig beantworten lassen.
Verstehen des Umfangs der Anfrage
Sie müssen auch sicherstellen, dass die Person oder das Team, die Ihre DSARs beantworten, den Umfang der Verbraucheranfrage verstehen, damit sie genau antworten können.
Die Verbraucher haben verschiedene Rechte und können Anträge stellen, um jedem von ihnen nachzukommen. Vergewissern Sie sich also, dass Sie wissen, worum es sich bei dem jeweiligen Antrag oder der jeweiligen Anfrage handelt, und beantworten Sie sie in allen Einzelheiten.
Schritt 2: Erfassen der angeforderten Daten
Der nächste Schritt besteht darin, die angeforderten Daten zu sammeln, damit Sie dem Verbraucher angemessen antworten können.
Ihr internes Verfahren sollte erläutern, welche Mitarbeiter berechtigt sind, die Informationen zu finden, in welchen Netzwerken Sie die Daten speichern, ob sie sich an mehreren Orten befinden und ob Sie Informationen physisch speichern.
Abrufen von personenbezogenen Daten
Je nach Branche können unterschiedliche Berechtigungen erforderlich sein, bevor Ihr Team im Namen der betroffenen Person auf Informationen zugreifen kann.
Dies ist beispielsweise im Rahmen von US-Bundesgesetzen wie HIPAA erforderlich. Prüfen Sie also, ob sich diese Vorschriften auf Ihr Unternehmen auswirken, und fügen Sie die entsprechenden Details zu Ihren DSAR-Verfahren hinzu.
Sie könnten auch die Einführung von Data-Mapping-Techniken in Erwägung ziehen, um Ihrem Team das Sammeln dieser Informationen zu erleichtern.
Daten von Drittparteien
Denken Sie bei der Erfassung der Informationen daran, die von Dritten, mit denen Sie zusammenarbeiten, gesammelten Daten einzubeziehen, insbesondere wenn Sie sich auf einen externen Datenverarbeiter verlassen.
Der Verbraucherantrag gilt für alle erhobenen Daten.
Die meisten Datenschutzgesetze verpflichten Dritte vertraglich dazu, Sie bei der Befolgung von Verbraucheranfragen zu unterstützen; stellen Sie also sicher, dass Ihre Geschäftsverträge diese Anforderungen berücksichtigen.
Schritt 3: Überprüfung der Daten und Prüfung der Ausnahmeregelung
Sobald Sie die vom Verbraucher angeforderten Daten gesammelt haben, prüfen Sie sie auf Vertraulichkeit und Sensibilität, um sicherzustellen, dass sie Ihren internen Anforderungen für die Annahme oder Ablehnung von DSARs entsprechen.
Identifizierung steuerbefreiter Informationen
Einige personenbezogene Daten können von der Weitergabe an die betroffene Person ausgenommen sein, und Sie sollten erklären, wie Ihr Team dies festgestellt hat.
So dürfen Sie beispielsweise keine Informationen an jemanden weitergeben, wenn dadurch die Datenschutzrechte einer anderen Person verletzt werden.
Sie sollten Anfragen ablehnen, die die Privatsphäre einer anderen Person beeinträchtigen, und dies der betroffenen Person deutlich erklären.
Ausgleich zwischen Transparenz und Datenschutz
Bei der Beantwortung von Verbraucheranfragen sollte Ihr Team die Schritte protokollieren, die es unternimmt, wobei die Daten geschützt werden müssen.
Lassen Sie Ihre Mitarbeiter im Falle einer behördlichen Prüfung Folgendes aufschreiben:
- Datum und Uhrzeit jeder erledigten Aufgabe
- Die Berechtigung für die Anfragen
- die möglichen Speicherorte der Daten, auf die sie zugegriffen haben
Sie sind auch dafür verantwortlich, dass diese Daten vor Datenschutzverletzungen oder unbefugtem Zugriff geschützt sind, daher sollten Sie Sicherheitsmaßnahmen ergreifen, um dies zu verhindern.
Schritt 4: Kommunikation mit der betroffenen Person
Informieren Sie den Verbraucher, dass Sie seine Anfrage erhalten haben und an einer Antwort arbeiten, indem Sie ihm eine Bestätigungsmitteilung schicken.
Aktualisierungen der Fortschritte
Je nach den geltenden Gesetzen unterliegen Sie möglicherweise einer 30- oder 45-tägigen Frist für die Beantwortung von DSARs, daher sollten Sie in Erwägung ziehen, dem Nutzer aktuelle Informationen über Ihre Fortschritte zu übermitteln.
Wenn Sie die betroffene Person darüber informieren, wie lange das Verfahren dauern kann, beruhigen Sie sie und machen Ihren DSB oder Ihr Datenschutzteam dafür verantwortlich, dass Ihr DSAR-Workflow zügig vorankommt.
Erforderlichenfalls Klärung herbeiführen
Es ist in Ordnung, dass Sie die betroffene Person um Klarstellungen bitten, wenn dies zur Erfüllung einer Anfrage oder für rechtliche Verpflichtungen erforderlich ist.
Sie müssen zum Beispiel überprüfen, welche Rechte sie wahrnehmen, oder klären, ob sie im Namen ihres Kindes handeln.
Ihr DSAR-Verfahren muss jedoch alle geltenden Gesetze einhalten, und je nach den für Ihr Unternehmen geltenden Rechtsvorschriften gibt es Einschränkungen in Bezug darauf, was Sie eine betroffene Person fragen können und was nicht.
Schritt 5: Verarbeitung und Zusammenstellung der Antwort
Stellen Sie sicher, dass Sie bei der Bearbeitung und Zusammenstellung Ihrer Antwort auf eine DSAR gut organisiert sind.
Viele Gesetze räumen den Verbrauchern das Recht auf eine tragbare Kopie ihrer Informationen ein, was bedeutet, dass sie ihnen so präsentiert werden müssen, dass sie leicht an einen anderen Datenverantwortlichen weitergegeben werden können.
Mit diesem Recht soll verhindert werden, dass Nutzerdaten auf geschlossenen Plattformen gespeichert werden, was einen Kontowechsel oder einen Wechsel der Dienste zu einer großen Herausforderung macht.
Ich empfehle, wenn möglich, die folgenden Maßnahmen zu ergreifen:
- Bereitstellung der Daten in einem gängigen, zugänglichen Dateityp
- dem Verbraucher einen Fernzugriff über ein sicheres System zu ermöglichen
- Formatieren Sie ihn so, dass er leicht zu lesen und zu verstehen ist.
Schwärzen von Informationen Dritter
Wenn Sie DSARs ausfüllen, müssen Sie möglicherweise Informationen, die sich auf Dritte beziehen, unkenntlich machen, so dass Sie über ein Verfahren zur Identifizierung und Entfernung dieser Art von Informationen verfügen.
Sie könnten zum Beispiel schwärzen:
- Informationen über private Organisationen
- Informationen, die nicht in den Bereich der personenbezogenen Daten fallen
- Daten über eine andere Person, die den Antrag nicht stellt
Schritt 6: Abfassung der Antwort
Wenn Sie eine Antwort auf einen DSAR verfassen, verwenden Sie eine klare, leicht verständliche Sprache, seien Sie gründlich und überprüfen Sie, ob Sie alles bereitstellen, was der Verbraucher verlangt.
Erläuterung der Datenverarbeitungsaktivitäten
Machen Sie Ihre Verarbeitungsaktivitäten transparent und stellen Sie sicher, dass jeder, der an Ihrem DSAR-Workflow arbeitet, diese Protokolle versteht, damit er korrekte Antworten geben kann.
Erwägen Sie die Erstellung von Vorlagen, die Ihr Team an die Art der eingegangenen Anfrage anpassen kann.
Umgang mit Ausnahmen und Beschränkungen
Sie müssen dem Anfragenden deutlich erklären, ob die von ihm angeforderten Daten ausgenommen sind, nur in begrenztem Umfang weitergegeben werden können oder ob sie vollständig abgelehnt werden müssen.
Die Verweigerung von DSARs ist in ganz bestimmten Fällen zulässig - unter DSGVO können Sie eine DSAR verweigern, wenn sie unbegründet oder übertrieben ist.
Erläutern Sie in Ihren DSAR-Protokollen auf der Grundlage der geltenden Datenschutzgesetze, was zu einer Ablehnung von DSARs führen kann, damit Ihr Team weiß, wann dies angemessen ist und wann nicht.
Schritt 7: Überprüfung und Qualitätssicherung
Sobald Sie Ihre Antwort verfasst haben, überprüfen Sie sie intern auf Richtigkeit und Qualität.
Die Durchführung einer internen Überprüfung als Teil Ihres gesamten Arbeitsablaufs hilft Ihnen, Fehler oder rechtliche Irrtümer zu finden und zu korrigieren, bevor sie auftreten.
Sicherstellung von Genauigkeit und Konformität
Bevor Sie eine offizielle Antwort an die betroffene Person senden, überprüfen Sie, ob alle personenbezogenen Daten und Angaben richtig sind und ob Sie die geltenden Gesetze beachtet haben.
Betroffene Personen aus verschiedenen Regionen haben unterschiedliche Rechte, daher sollten Sie Einzelheiten über ihre Rechte in Ihre DSAR-Protokolle aufnehmen, um sicherzustellen, dass jeder in Ihrem Team sie versteht.
Wenn Sie einen Fehler machen, wird Ihr Unternehmen aufgrund der Datenschutzgesetze zur Rechenschaft gezogen.
Rechtliche und DSB-Genehmigung
Lassen Sie die DSAR-Antworten gegebenenfalls von Ihrem DSB oder Ihrem Rechtsteam überprüfen, bevor Sie sie an die betroffene Person senden, damit sie sich vergewissern können, dass alles korrekt und vorschriftsmäßig erfolgt ist.
Schritt 8: Absenden der DSAR-Antwort
Prüfen Sie vor dem Absenden Ihrer DSAR-Antwort die geltenden Rechtsvorschriften, um die richtige Formatierung und die richtigen Versandmethoden zu bestimmen.
So sollten beispielsweise gemäß DSGVO alle elektronisch gestellten Anträge der betroffenen Personen auf die gleiche Weise beantwortet werden.
Fügen Sie die erforderlichen Antwortmethoden in Ihren DSAR-Workflow ein, damit Ihr Team weiß, wie eine Antwort an die Verbraucher rechtlich korrekt zu übermitteln ist.
Rechtzeitige Lieferung und Kommunikation
Die meisten Datenschutzgesetze schreiben vor, dass Sie auf Anfragen von Betroffenen unverzüglich oder innerhalb von 30 bis 45 Tagen nach Erhalt antworten müssen.
Unter DSGVO haben Sie 30 Tage Zeit, um auf DSARs zu reagieren, während Sie unter dem CCPA 45 Tage Zeit haben.
Eine frühzeitige Antwort ist immer besser als eine zu späte Antwort, für die man dann rechtlich zur Verantwortung gezogen werden könnte.
Schritt 9: Bearbeitung von Widersprüchen und weitere Schritte
Nachdem Sie auf einen DSAR geantwortet haben, müssen Sie den betroffenen Personen ein einfaches Verfahren zur Verfügung stellen, um gegen Ihre Entscheidungen bezüglich ihrer Anfragen Widerspruch einzulegen.
Gesetze wie das VCDPA schreiben vor, dass das Beschwerdeverfahren so einfach sein muss wie das System, mit dem Sie den Verbrauchern ursprünglich die Möglichkeit gegeben haben, Anträge zu stellen.
Je nach den für Ihr Unternehmen geltenden Rechtsvorschriften haben Sie dann eine bestimmte Frist, um auf einen Widerspruch zu antworten.
Eskalation komplexer Fälle
Nachdem Sie einem Verbraucher geantwortet haben, werden Sie möglicherweise mit komplexen Anfragen oder komplizierten Rechtsmitteln konfrontiert.
So kann sich beispielsweise ein Erziehungsberechtigter an Sie wenden, weil er Bedenken hat, dass Ihre Website oder App Informationen über sein Kind sammelt, obwohl sich Ihr Unternehmen nicht an Minderjährige richtet.
Um Ihr Unternehmen darauf vorzubereiten, sollten Sie einen Prozess für die Eskalation dieser Anfragen an die richtigen Kanäle einrichten, damit Sie sie effizient lösen können.
Kontinuierliche Verbesserung des DSAR-Prozesses
Wenn Sie mehr DSARs erhalten und Ihren Arbeitsablauf testen, passen Sie ihn bei Bedarf kontinuierlich an.
Wenn Sie Lücken in Ihren Richtlinien oder Schwachstellen entdecken, können Sie diese beheben, denn das gesamte DSAR-Verfahren liegt ganz in Ihrer Hand.
Sie sollten auch auf neue und sich ändernde Datenschutzgesetze achten, die sich auf Teile Ihres DSAR-Prozesses auswirken können.
Schritt 10: Aufbewahrung von Aufzeichnungen und Dokumentation
Die Aufbewahrung sicherer Aufzeichnungen über Ihre DSARs und Antworten ist für interne Organisationszwecke und im Falle eines Datenschutzaudits unerlässlich.
Gemäß DSGVO müssen Sie detaillierte Aufzeichnungen über Ihre Verarbeitungstätigkeiten führen und diese auf Anfrage der Aufsichtsbehörden zur Verfügung stellen, einschließlich DSAR-Antworten und Einsprüchen.
Gemäß Artikel 31 der DSGVO handelt es sich dabei um ein Verzeichnis der Verarbeitungstätigkeiten oder RoPA.
Unabhängig von den rechtlichen Verpflichtungen ist dies eine bewährte Praxis, da es Ihnen helfen kann, die Einhaltung der rechtlichen Vorschriften nachzuweisen, wenn Probleme auftreten.
Prüfpfad und Rechenschaftspflicht
Die Dokumentation Ihrer Kommunikation mit betroffenen Personen, die DSARs einreichen, schafft einen Prüfpfad, der Ihnen helfen kann, nachzuweisen, dass Sie die geltenden Gesetze eingehalten haben, wenn die Aufsichtsbehörden Sie befragen.
Protokollieren Sie also alle Ihre Schritte und speichern Sie diese Angaben in einer sicheren Umgebung.
Ein zusätzlicher Vorteil ist, dass Ihr Team schneller und einfacher auf den Antrag reagieren kann, wenn derselbe Verbraucher in Zukunft einen weiteren DSAR einreicht.
Überblick über Anträge auf Zugang zu Daten
Nachdem ich nun erklärt habe, wie Ihr Unternehmen ein DSAR-Verfahren einrichten kann, wollen wir uns nun mit den Rechten der Nutzer auf Privatsphäre befassen, wie sie in den verschiedenen Datenschutzgesetzen festgelegt sind.
Die spezifischen Rechte sind zwar unterschiedlich, aber in der Regel haben Personen, die durch diese Rechtsvorschriften geschützt sind, das Recht, einen Antrag zu stellen:
- Zugang zu den persönlichen Daten, die Sie über sie gesammelt haben, und wissen, wofür Sie sie verwenden
- ihre persönlichen Daten zu korrigieren oder zu ändern
- Löschen Sie die Daten, die Sie über sie gesammelt haben
- Erhalten Sie eine tragbare Kopie der Daten, die Sie über sie gesammelt haben
- sich gegen bestimmte Arten der Datenverarbeitung, wie Profiling, den Verkauf ihrer Daten oder gezielte Werbung, zu entscheiden
Anträge auf Zugang zu Daten sind seit der Einführung der Allgemeinen Datenschutzverordnung (DSGVO), dem einflussreichen Datenschutzgesetz, das die Menschen in der Europäischen Union (EU) und dem Europäischen Wirtschaftsraum (EWR) schützt.
Das DSAR-Verfahren kann jedoch auf Nutzer angewandt werden, die Anträge stellen, um die ihnen durch diese und andere Datenschutzgesetze eingeräumten Rechte wahrzunehmen:
- Allgemeines Datenschutzgesetz Brasilien
- Kalifornisches Verbraucherschutzgesetz(CCPA)
- Colorado Datenschutzgesetz(CPA)
- Connecticut-Datenschutzgesetz(CTDPA)
- Neuseeländisches Datenschutzgesetz
- Oregon-Datenschutzgesetz(ODPA)
- Schweiz Revidiertes Bundesgesetz über den Datenschutz(DSG)
- Gesetz zum Schutz der Privatsphäre der Verbraucher in Utah(UCPA)
- Virginia Verbraucherdatenschutzgesetz(VCDPA)
Die Bedeutung eines DSAR-Prozesses für Unternehmen
Die Einrichtung eines angemessenen DSAR-Verfahrens ist für Unternehmen wichtig, da es sich oft um ein mehrstufiges Unterfangen handelt und einige Gesetze, wie das DSGVO und das CCPA, spezifische Zeitrahmen für die Beantwortung und Erledigung von Verbraucheranfragen vorgeben.
Außerdem dürfen Sie in der Regel keine Gebühren für das gesamte DSAR-Verfahren erheben, so dass es wichtig ist, dass Ihr Unternehmen diese Anforderungen auf erschwingliche Weise erfüllen kann.
Weitere Möglichkeiten der Vorbereitung auf einen DSAR
Im Folgenden erkläre ich Ihnen, wie Sie sich auf DSARs von Verbrauchern vorbereiten können.
Ernennung eines Datenschutzbeauftragten (DSB)
Für einige Unternehmen kann die Ernennung eines Datenschutzbeauftragten (DSB) erforderlich sein.
Ihr DSB unterstützt Ihr Unternehmen bei der rechtskonformen Erfassung und Verarbeitung von Daten und kann je nach Größe und Umfang Ihres Unternehmens auf DSARs reagieren oder den Prozess überwachen und verwalten.
So benötigen kleinere Unternehmen in der Regel nur einen einzigen Datenschutzbeauftragten, um ihren gesetzlichen Verpflichtungen nachzukommen, während Unternehmen, die große Datenmengen oder hochsensible Informationen verarbeiten, möglicherweise ein Team von Mitarbeitern zur Unterstützung des Datenschutzbeauftragten benötigen.
Achten Sie bei der Auswahl eines Datenschutzbeauftragten darauf, dass er mit den Datenschutzgesetzen vertraut ist und die Abläufe in Ihrem Unternehmen in- und auswendig kennt.
Vermeiden Sie es, jemanden mit einem kurzfristigen Vertrag auszuwählen, und achten Sie darauf, dass es keine Interessenkonflikte gibt.
Schulung und Sensibilisierung der Mitarbeiter
Schulen Sie Ihre Mitarbeiter zum Thema Datenschutz, um sie für bewährte Verfahren und den DSAR-Prozess Ihres Unternehmens zu sensibilisieren.
Wenn Sie sicherstellen, dass Ihr gesamtes Team mit dem Datenschutz vertraut ist, können Sie Ihren DSAR-Prozess effizienter und effektiver gestalten.
Zumindest sollten alle Mitarbeiter darin geschult werden, einen DSAR zu erkennen und ihn gegebenenfalls zu eskalieren.
Auch Ihre Mitarbeiter haben Datenschutzrechte in Bezug auf die Erhebung, Verwendung und Verarbeitung ihrer Daten, die Sie bei der Erstellung eines DSAR-Workflows ebenfalls berücksichtigen müssen.
Zusammenfassung
Letztendlich bringt die Einrichtung eines DSAR-Workflows Ihr gesamtes Team auf die gleiche Seite und hilft Ihnen, die in den einschlägigen Gesetzen festgelegten Datenschutzbestimmungen einzuhalten.
Wenn Sie gegen eines dieser Gesetze verstoßen, und sei es auch nur aus Versehen, kann dies zu öffentlichen Reaktionen und erheblichen Bußgeldern führen, die sich schnell summieren - sehen Sie sich nur diese Liste der höchsten DSGVO Bußgelder aller Zeiten an.
Ein effizientes DSAR-Verfahren beweist Ihren Verbrauchern auch, dass sich Ihr Unternehmen kontinuierlich für den Schutz ihrer Daten einsetzt.
Aktuelle Datenschutzstatistiken deuten darauf hin, dass die Verbraucher heute mehr denn je darauf achten, was mit ihren persönlichen Daten im Internet geschieht.
Zeigen Sie ihnen, dass Ihnen der Schutz der Integrität ihrer Daten ebenso wichtig ist, indem Sie einen kohärenten und gut strukturierten DSAR-Prozess einführen.
Mehr über die Autorin
Geschrieben von James Ó Nuanáin, CIPP/E, CIPM, CIPT
James ist Fachmann für Datenschutz und verfügt über mehr als sieben Jahre Erfahrung in der Unterstützung großer Unternehmen bei der Einhaltung ihrer Verpflichtungen im Rahmen der GPDR und anderer lokaler Datenschutzvorschriften. Er beschäftigt sich leidenschaftlich mit dem Datenschutz und der Schnittstelle zwischen Recht und Technologie. Mehr über die Autorin
