Nach der Allgemeinen Datenschutzverordnung (DSGVO) können geschützte Personen Anträge stellen, um ihre Datenschutzrechte wahrzunehmen, zu denen das Recht auf Zugang, Berichtigung, Löschung oder Übertragung ihrer personenbezogenen Daten gehört.
Sie können dies tun, indem sie einen so genannten Antrag auf Zugang zu den Daten (DSAR) stellen.
In diesem Leitfaden beschreibe ich, was eine DSAR ist und wie sich die DSGVO und andere Gesetze auf das Verfahren auswirken, und erkläre, wie Unternehmen reagieren sollten, wenn Nutzer eine solche Anfrage stellen.
DSAR Definiert
Ein Antrag auf Auskunft über die Daten einer betroffenen Person (DSAR) liegt vor, wenn Einzelpersonen Anträge stellen, um die ihnen durch die Allgemeine Datenschutzverordnung (DSGVO), das Datenschutzgesetz, das die Menschen in Europa schützt, gewährten Datenschutzrechte wahrzunehmen.
Man kann sie auch als Antrag auf Zugang zu Dokumenten oder als SAR bezeichnen.
Auch wenn sich das "A" in DSAR speziell darauf bezieht, dass ein Nutzer den Zugang zu den von einer Organisation über ihn gesammelten personenbezogenen Daten beantragt, können DSARs eingereicht werden, um alle auf der Website DSGVO aufgeführten Datenschutzrechte durchzusetzen.
Vorteile von DSARs
Das Besondere an DSARs ist ihre Vielseitigkeit - sie helfen, die Einhaltung der DSGVO und der Datenschutzgesetze im Allgemeinen zu vereinfachen, was sie ideal für Unternehmen macht.
Auch wenn die Gesetze in anderen Regionen andere Begriffe und Regeln verwenden, kann ein DSAR von geschützten Personen technisch eingereicht werden, um auch diese gesetzlichen Rechte durchzusetzen.
Ihr Unternehmen sollte über ein anpassungsfähiges DSAR-Verfahren verfügen, damit Ihr Team weiß, wie es rechtzeitig und vorschriftsmäßig reagieren kann, wenn ein Nutzer eine Anfrage zum Datenschutz stellt.
Welche Gesetze gelten für DSARs?
Das ursprüngliche Datenschutzgesetz, das die DSARs regelt, ist die DSGVO, die für alle Unternehmen in Europa und alle Personen gilt, die Daten von betroffenen Personen in der EU erheben, unabhängig von ihrem Standort.
Verschiedene andere Gesetze verpflichten die Unternehmen jedoch auch dazu, den Nutzern Datenzugriffsrechte und andere Rechte einzuräumen, und die Implementierung eines einzigen DSAR-Prozesses kann Ihrem Unternehmen helfen, diese gesetzlichen Richtlinien auf effiziente und unkomplizierte Weise zu erfüllen.
Zu diesen zusätzlichen Datenschutzgesetzen gehören die folgenden:
- Brasiliens allgemeines Datenschutzgesetz (LGPD)
- Kalifornisches Verbraucherschutzgesetz (CCPA)
- Colorado Datenschutzgesetz (CPA)
- Connecticut-Datenschutzgesetz (CTDPA)
- Oregon Consumer Privacy Act (OCPA)
- Südafrikas Gesetz zum Schutz persönlicher Daten (POPIA)
- Gesetz zum Schutz der Privatsphäre der Verbraucher in Utah (UCPA)
- Virginia Verbraucherdatenschutzgesetz (VCDPA)
Die Gesetze unterscheiden sich zwar in einigen Details, z. B. bei der Reaktionszeit, doch die meisten ermöglichen es den Verbrauchern, auf personenbezogene Daten zuzugreifen, sie zu korrigieren oder zu löschen, und sehen Geldbußen oder Strafen vor, wenn Unternehmen nicht auf Anfragen reagieren.
Die DSAR-Anforderungen in allen Datenschutzgesetzen sind im Großen und Ganzen ähnlich.
Aus diesem Grund können Sie ein einziges DSAR-Formular verwenden und es auf Ihrer Website einfügen, um Nutzern, die unter alle Datenschutzgesetze fallen, dabei zu helfen, Anträge auf Ausübung ihrer Rechte zu stellen.
Für welche Rechte können Nutzer DSARs einreichen?
Die Nutzer können eine DSAR einrichten, um ihre Datenschutzrechte geltend zu machen:
- Zugang
- Korrigieren oder ändern
- Löschen/Recht auf Vergessenwerden
- Übertragung
- Abmeldung vom Profiling
- Abmeldung vom Verkauf oder der Weitergabe von Daten
- Abmeldung von gezielter Werbung
Sie können auch die Verfolgung mehrerer Rechte in einer einzigen DSAR beantragen.
Wer kann einen DSAR einreichen?
Gemäß DSGVO - und den meisten bestehenden Datenschutzgesetzen - kann beispielsweise jede Person oder ein Dritter, der im Namen einer Person handelt, einen DSAR einreichen:
- Ein Elternteil oder Erziehungsberechtigter kann einen Antrag im Namen eines Kindes stellen
- Ein Verwandter, eine geliebte Person oder ein enger Freund kann einen Antrag im Namen einer Person stellen
- Dienste von Dritten können im Namen von Einzelpersonen einen Antrag stellen
- Automatisierte DSARs können von Unternehmen im Namen ihrer Kunden verschickt werden
- Browsereinstellungen der Nutzer, wie globale Datenschutzkontrollen oder universelle Opt-out-Mechanismen
Die Einsendungen können auch von Nutzern, Mitarbeitern, Kunden oder anderen Personen stammen, deren personenbezogene Daten erfasst worden sind.
In allen Fällen müssen Sie die Identität des Antragstellers überprüfen und sicherstellen, dass der Antrag gültig ist.
Wie kann jemand einen DSAR einreichen?
Verbraucher können eine DSAR über jeden Kommunikationskanal einreichen, also auch per E-Mail, über soziale Medien und sogar per Post.
Nach vielen Datenschutzgesetzen können Verbraucher formlos Anträge auf Zugang zu ihren Daten stellen.
Das Ersuchen kann detaillierte Informationen enthalten oder einfach lauten: "Ich möchte, dass Sie die persönlichen Daten, die Sie über mich haben, löschen".
Um zu verhindern, dass Ihr Unternehmen wahllos DSARs in unvorhersehbaren Formaten erhält, empfehle ich, auf Ihrer Website ein spezielles DSAR-Formular und/oder eine E-Mail für den Empfang dieser Anfragen einzurichten.
Sie können ganz einfach auf die DSAR-Software zugreifen, indem Sie sich bei Termly anmelden. Sie hilft Ihnen, die notwendigen Informationen zu sammeln und zu verfolgen, um Verbraucheranfragen ordnungsgemäß zu bearbeiten.
Es enthält auch ein DSAR-Formular wie das unten abgebildete, das Sie auf Ihrer Website einbetten können.
Ich schlage vor, dass Sie dennoch alle Kommunikationskanäle überwachen, um sicherzustellen, dass keine Anfragen übersehen werden, um Geldstrafen für die Nichteinhaltung von Rechtsvorschriften zu vermeiden.
Was beinhaltet ein DSAR?
Technisch gesehen muss ein Antrag auf Zugang zu den Daten nicht auf eine bestimmte Art und Weise formatiert werden oder bestimmte Informationen enthalten.
Eine Person kann einen DSAR einfach per E-Mail einreichen und sagen: "Ich möchte alle persönlichen Daten, die Sie über mich gespeichert haben, erfahren".
Es ist jedoch für Ihr Unternehmen und die Verbraucher einfacher, wenn Sie ihnen auf Ihrer Website ein DSAR-Formular mit spezifischen Fragen zur Verfügung stellen, damit sie Ihnen die folgenden Angaben machen können:
- Auf welche Website oder Anwendung der Antragsteller Bezug nimmt
- Der Name des Antragstellers
- Eine E-Mail-Adresse oder ein anderes Mittel zur Übermittlung einer Antwort an den Antragsteller
- Wenn der Antragsteller den Antrag für sich selbst oder einen Dritten einreicht
- Auf welches Gesetz sich der Antrag bezieht
- Welche(s) Recht(e) der Antragsteller einreicht, um es zu verfolgen
- Ein Feld für den Antragsteller, um zusätzliche Informationen und Details zu hinterlassen
Sobald Sie eine DSAR erhalten, muss Ihr Unternehmen die Identität des Antragstellers überprüfen und den Antrag gegebenenfalls klären.
Wie man auf einen DSAR antwortet
Für viele Organisationen ist das nachstehende Verfahren ein guter Ausgangspunkt für die Beantwortung von Auskunftsersuchen der betroffenen Personen:
- Bestimmen Sie, welches Gesetz anwendbar ist: Die Anforderungen an die Antwortzeiten variieren je nach Gesetz, und Sie sind möglicherweise nicht gesetzlich verpflichtet, der Anfrage nachzukommen, wenn die betreffende Person nicht durch Gesetze wie DSGVO oder CCPA geschützt ist - Sie sollten diese Anfragen dennoch beantworten, um gute Kundenbeziehungen zu fördern.
- Überprüfen Sie die Identität des Antragstellers: Rechtlich gesehen müssen Sie die Identität des Anfragenden anhand der Ihnen bereits vorliegenden persönlichen Daten überprüfen, da einige Gesetze es Ihnen verbieten, zusätzliche Informationen zu erfragen. Bitten Sie den Anfragenden, seine Anmeldedaten zu bestätigen, oder bitten Sie ihn, Sie über die ursprüngliche Anmeldemethode zu kontaktieren.
- Klären Sie den Antrag: Bitten Sie den Antragsteller, die genaue Art des Antrags zu klären, da er DSAR-Anträge auf Zugang, Löschung, Übertragung, Bearbeitung, Unterbindung des Verkaufs seiner Daten und mehr stellen kann.
- Überprüfen Sie die Gültigkeit des Antrags: Wenn Sie selbst einen DSAR erhalten, ist der Antrag dann gültig? Können Sie den Antrag fristgerecht bearbeiten? Denken Sie daran: Wenn Sie den Antrag ablehnen, müssen Sie sich trotzdem mit dem Antragsteller in Verbindung setzen und den Grund dafür erklären.
- Führen Sie eine Datensuche durch: Sie müssen alle personenbezogenen Daten des Antragstellers finden, d. h. Sie müssen Ausdrucke, digitale Dateien, Benutzerkonten, Zahlungsdienste und vieles mehr durchsuchen. Für diesen Schritt der Dateninventarisierung müssen Sie möglicherweise mehrere Teams in Ihrem Unternehmen ansprechen.
-
Beantworten Sie die Anfrage im richtigen Format: Einige der Informationen, die Sie in Ihrer Antwort angeben sollten, sind:
- Bestätigung, dass der Antrag abgeschlossen wurde
- Anweisungen, wenn der Benutzer Teile des Antrags manuell ausfüllen muss
- An wen die Daten weitergegeben wurden, z. B. an Dritte
- den Zeitrahmen für alle weiteren Schritte, die durchgeführt werden müssen
- Eine Erläuterung des Rechts des Nutzers, sich bei einer Regulierungsbehörde zu beschweren
- eine Erläuterung des Rechts des Nutzers, die Änderung oder Löschung seiner Daten oder die Einschränkung der Datenverarbeitung zu verlangen
-
Erstellen Sie ein Audit-Protokoll: Führen Sie Aufzeichnungen über Ihre ausgefüllten DSARs für den Fall einer Benutzerbeschwerde oder einer behördlichen Untersuchung. Erwägen Sie, die folgenden Informationen in Ihr Protokoll aufzunehmen:
- Art und Datum der Anfrage
- Fertigstellungsstatus und Daten
- Kategorie der betroffenen Person, z. B. "Nutzer" oder "Mitarbeiter".
- Für das Ausfüllen des Antrags zuständige Person
Die genaue Vorgehensweise bei der Beantwortung einer DSAR kann je nach den spezifischen Gegebenheiten Ihres Unternehmens variieren, aber denken Sie daran, Ihren Antwortprozess zu dokumentieren, um sicherzustellen, dass Sie Anfragen korrekt und fair behandeln.
Überprüfung der Identität einer Person
Die Unternehmen sind rechtlich dafür verantwortlich, die Identität von Verbrauchern zu überprüfen, die einen Antrag auf Wahrnehmung ihrer Datenschutzrechte stellen.
Auf diese Weise wird sichergestellt, dass personenbezogene Daten nur an berechtigte Personen weitergegeben werden.
Die DSGVO verlangt dies in Erwägungsgrund 64, der besagt, dass Unternehmen "angemessene Maßnahmen" ergreifen müssen, um die Identität der betroffenen Person zu überprüfen, aber keine Informationen allein zu dem Zweck aufbewahren dürfen, auf potenzielle DSARs zu reagieren.
Andernfalls obliegt es dem Unternehmen, ein Verfahren zur Bestätigung der Identität der Verbraucher, die DSARs einreichen, einzuführen.
Zu den gängigen Methoden der Identitätsüberprüfung gehören:
- Foto-Identifikation
- Wissensbasierte Authentifizierungsfragen
- Anmeldedaten des Benutzers (falls sie bereits existieren)
- Multi-Faktor-Authentifizierung
Allerdings dürfen Sie bei der Überprüfung der Identität eines Nutzers nicht nach mehr persönlichen Informationen fragen, als Sie bereits haben, es sei denn, es ist absolut notwendig.
Wer sollte auf DSARs reagieren?
Die Unternehmen, mit denen ich zusammengearbeitet habe, haben erfolgreich auf DSARs reagiert, indem sie eine einzige Person in ihrem Team benannt haben, die für die gesamte Überwachung des Prozesses verantwortlich ist.
Sie können ein Mitglied Ihres Datenschutzteams oder Ihren Datenschutzbeauftragten (DSB) auswählen, falls Ihre Organisation einen solchen hat.
Die von Ihnen beauftragten Personen sollten sich mit den rechtlichen Aspekten der Beantwortung von DSARs auskennen, damit sie sicherstellen können, dass sie auf diese reagieren und sie in einer vorschriftsmäßigen Weise verfolgen.
Können Sie eine Gebühr für einen DSAR erheben?
In der Regel sehen die Datenschutzgesetze vor, dass Unternehmen keine Gebühren für die Beantwortung eines DSAR erheben dürfen.
Einige Gesetze sehen jedoch Ausnahmen für Anträge vor, die als übertrieben oder unbegründet angesehen werden - unter diesen Umständen ist eine angemessene Gebühr zulässig.
Es liegt in der Verantwortung Ihres Unternehmens, nachzuweisen, dass der Antrag überzogen ist.
Können Sie sich weigern, auf einen DSAR zu reagieren?
Ja, je nach Gesetz können Sie sich unter bestimmten Umständen und in bestimmten Situationen weigern, auf einen DSAR zu antworten, aber Sie müssen immer Folgendes tun:
- Informieren Sie die Person über Ihre Wahl
- Erklären Sie, warum Sie den Antrag ablehnen
- Geben Sie ihnen die Möglichkeit, Ihre Entscheidung anzufechten
Sie können sich beispielsweise weigern, eine DSAR-Anfrage zu beantworten, wenn sie böswillig ist, aus rechtlichen Gründen, zur Erfüllung eines Vertrags oder wenn die Anfrage die Privatsphäre einer anderen Person verletzt.
Weitere Datenschutzgesetze wie das VCDPA und das CPA folgen sehr ähnlichen Leitlinien wie das DSGVO und das CCPA, wenn es um die Verweigerung einer DSAR von einer Person geht.
Wie lange haben Sie Zeit, auf einen DSAR zu reagieren?
Die Frist für die Beantwortung von DSARs variiert je nach geltendem Recht, in der Regel haben Sie jedoch zwischen 30 und 45 Tagen Zeit, um zu antworten.
Gemäß DSGVO müssen Sie innerhalb eines Kalendermonats antworten, können diese Frist jedoch auf bis zu zwei Monate verlängern, sofern Sie die Person darüber informieren, ob und warum die Verlängerung notwendig ist.
Gemäß den US-amerikanischen Datenschutzgesetzen, einschließlich CCPA, CPA, CTDPA und VCDPA, müssen Sie innerhalb von 45 Tagen antworten und können diese Frist um weitere 45 Tage verlängern, sofern Sie die betroffene Person im Voraus informieren.
Sanktionen bei Nichtbeantwortung eines DSAR
Wenn Sie nicht rechtzeitig auf eine DSAR antworten, können Sie je nach den geltenden Datenschutzbestimmungen mit Geldbußen, rechtlichen Schritten oder anderen Strafen belegt werden.
Ich habe eine Liste der Strafen für alle in diesem Leitfaden erwähnten Datenschutzgesetze zusammengestellt, die Sie in der nachstehenden Tabelle finden können.
Datenschutzgesetz | Sanktionen bei Nichteinhaltung der Vorschriften |
DSGVO |
|
CCPA/CPRA |
|
CPA |
|
CTDPA |
|
OCPA |
|
UCPA |
|
VCDPA |
|
Die brasilianische LGPD |
|
Südafrikas POPIA |
|
DSAR-FAQs
Im Folgenden beantworte ich einige der am häufigsten gestellten Fragen zu DSARs.
Können Sie Informationen aus einer DSAR-Antwort schwärzen?
Ja, Sie können (und sollten manchmal) Informationen aus einer DSAR-Antwort herausnehmen, wenn sie nicht auf die Anfrage zutreffen oder wenn die Gefahr besteht, dass sie Informationen einer anderen Person oder eines Dritten preisgeben.
Welche Probleme können Sie mit DSARs haben?
Mit DSARs können Sie auf verschiedene Probleme stoßen, z. B:
- Es ist schwierig, alle persönlichen Informationen zu finden, wenn Sie Ihre Datenerfassung nicht überprüft haben.
- Die Überprüfung der Identität des Antragstellers ist der erste Schritt bei der Beantwortung eines DSAR und sollte nicht dazu führen, dass Sie mehr Daten sammeln, als Sie bereits haben.
- DSAR-Dokumentation, Führung eines Audit-Protokolls für den Fall einer Beschwerde oder einer externen Überprüfung.
- Die Bearbeitung von DSARs kann länger dauern als erwartet. Führen Sie ein standardisiertes DSAR-Verfahren ein, um den Antwortprozess zu vereinfachen.
Können Arbeitnehmer ihren Arbeitgebern einen DSAR vorlegen?
Ja, derzeitige und ehemalige Mitarbeiter können ihren Arbeitgebern DSARs vorlegen, aber wenn es einen legitimen Grund gibt, warum Sie der Anfrage nicht nachkommen können, ist es möglich, sie abzulehnen.
Zusammenfassung
Je nach den Datenschutzgesetzen, die für Ihr Unternehmen gelten, haben einige Nutzer das Recht, Anträge zu stellen, wie ihre persönlichen Daten erfasst, verarbeitet und genutzt werden.
Die Einrichtung eines Prozesses für die Beantwortung von DSARs ist von entscheidender Bedeutung, da er von der Einhaltung rechtlicher Vorschriften über die Sicherstellung, dass Sie alle Daten über den Anfragenden finden können, bis hin zur Minimierung Ihrer DSAR-Antwortzeit alles abdeckt.
Machen Sie es Ihrem Unternehmen leicht, indem Sie auf die TermlySuite von Compliance-Lösungen zugreifen, und erhalten Sie ein umfassendes DSAR-Formular, das Sie einfach auf Ihrer Website einbetten können.