Startseite ' Ressourcen ' Leitfäden ' Wie navigiere ich durch DSGVO's DSAR...

Wie man in 5 einfachen Schritten durch die DSAR-Anforderungen von DSGVOnavigiert

von: Teodor Stanciu, CIPP/E, CIPM Teodor Stanciu, CIPP/E, CIPM | Aktualisiert am: Oktober 11, 2024

Umgang mit DSARs mit Termly
Anleitung zum Navigieren-DSGVO-DSAR-Anforderungen-01

Im Rahmen der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen dafür verantwortlich, Anfragen von Einzelpersonen zu erhalten und zu beantworten, um deren Datenschutzrechte wahrzunehmen, was auch als Antrag auf Auskunft über die Daten der betroffenen Person bezeichnet wird.

Ihr Unternehmen sollte ein formelles internes Verfahren dafür einrichten, wie Ihr Team DSARs von DSGVO betroffenen Personen zeitnah und rechtskonform bearbeiten kann.

In diesem Leitfaden informiere ich Sie über die Anforderungen an DSARs ( DSGVO ) und zeige Ihnen, wie Ihr Unternehmen den Beantwortungsprozess vereinfachen und straffen kann.

Inhaltsübersicht
  1. DSGVODefinition von Anträgen auf Zugang zu personenbezogenen Daten (DSARs)
  2. So navigieren Sie durch die DSGVO und DSARs: Schritt-für-Schritt
  3. Verwendung von Termly für die DSGVO's DSAR Anforderungen
  4. Zusammenfassung

DSGVODefinition von Anträgen auf Zugang zu personenbezogenen Daten (DSARs)

Gemäß Artikel 15 der DSGVO handelt es sich um einen DSAR, wenn eine geschützte Person (auch als betroffene Person bezeichnet) einen Antrag auf Zugang zu den personenbezogenen Daten stellt, die ein Unternehmen über sie gesammelt hat.

Sie werden auch als Auskunftsersuchen oder SARs bezeichnet.

Das "A" in "DSAR" steht für "Zugang".

Einzelpersonen können jedoch DSARs einreichen, um eines der ihnen durch die DSGVO.

Sie können Anfragen auf jede Art und Weise einreichen, auch per E-Mail, Telefon oder über soziale Medien.

Stellt die betroffene Person den Antrag jedoch auf elektronischem Wege, so werden die Informationen in einer allgemein gebräuchlichen elektronischen Form bereitgestellt, sofern die betroffene Person nichts anderes verlangt.

Es ist hilfreich, auf Ihrer Website ein DSAR-Formular mit dem richtigen Titel bereitzustellen, das die meisten Anfragen Ihrer Nutzer in einem einzigen Kanal filtert und den Prozess effizienter macht.

Dennoch müssen Sie auch in anderen Kommunikationskanälen nach DSARs suchen, für den Fall, dass ein Verbraucher seine Anfrage anderweitig stellt.

Welche Rechte gewährt die DSGVO den betroffenen Personen?

Die DSGVO beschreibt die Rechte der betroffenen Person in Kapitel 3, Artikel 12 bis 23, die Folgendes beinhalten:

Sie müssen darauf vorbereitet sein, auf DSARs für jedes dieser Rechte rechtzeitig zu reagieren und dabei alle in der Verordnung festgelegten Regeln und Grundsätze zu beachten.

So navigieren Sie durch die DSGVO und DSARs: Schritt-für-Schritt

Um den Umgang mit einer DSAR von DSGVO zu vereinfachen, empfehle ich Ihrem Unternehmen, diese fünf einfachen Schritte zu befolgen.

Schritt 1: Anforderungen an die Verifizierung

Nach Erhalt eines DSAR von einer betroffenen Person ( DSGVO ) besteht der erste Schritt darin, der Person, die den Antrag gestellt hat, den Eingang des Antrags zu bestätigen und sicherzustellen, dass Sie die Identität der Person angemessen überprüfen können.

Die Überprüfung der Identität ist erforderlich, da Sie gesetzlich nicht befugt sind, Informationen über eine andere Person an eine unbefugte Person weiterzugeben.

Gemäß Erwägungsgrund 64 der DSGVO können Sie selbst entscheiden, wie Sie die Identität eines Nutzers überprüfen, müssen aber alle "angemessenen Maßnahmen" im Zusammenhang mit den Online-Diensten und Online-Kennungen anwenden.

Allerdings dürfen Sie personenbezogene Daten nicht ausschließlich zum Zweck der Überprüfung von Verbraucheranfragen für DSAR-Zwecke aufbewahren, und Sie sollten keine zusätzlichen Informationen anfordern.

Sie müssen Wege finden, um ihre Identität anhand der bereits erfassten Daten zu überprüfen, und dürfen nicht nach weiteren Details fragen, insbesondere nicht nach sensiblen persönlichen Daten.

Wenn Sie beispielsweise nur den Namen und die E-Mail-Adresse einer betroffenen Person erfasst haben, bitten Sie sie nicht um eine Kopie ihres Ausweises oder Passworts, nur um sich zu legitimieren.

Zu den üblichen Methoden, mit denen Unternehmen die Identität von DSGVO Personen überprüfen, die DSARs einreichen, gehören:

  • Stellen Sie Fragen auf der Grundlage der Daten, die Sie bereits über sie haben;
  • Verwendung einer zuvor bestätigten Validierungsmethode, z. B. einer E-Mail-Adresse;
  • Ermittlung der letzten Interaktionsmöglichkeiten des Nutzers mit Ihrer Website, Ihrem Produkt oder Ihrer Dienstleistung.

Sobald Sie wissen, dass die betroffene Person diejenige ist, die sie vorgibt zu sein, können Sie zum nächsten Schritt übergehen.

Schritt 2: Informationen, die in einer Antwort enthalten sein sollten

Als Nächstes sollte Ihr Unternehmen ein Verfahren für das sichere Auffinden und Sammeln von Verbraucherdaten einrichten, wenn es auf einen DSAR reagiert.

Achten Sie darauf, dass Sie auf alle Aspekte der Anfrage eingehen; so kann es beispielsweise sein, dass der Antragsteller auf seine Daten zugreifen und eine falsche Schreibweise seines Nachnamens korrigieren möchte.

Um diesen Schritt zu vereinfachen, sollten Sie ein Datenaudit durchführen, um alle personenbezogenen Daten zu ermitteln, die Ihr Unternehmen sammelt und speichert.

Beachten Sie diese Richtlinien aus rechtlichen Gründen und zur Vermeidung möglicher Datenschutzverletzungen:

  • Begrenzen Sie, wer auf DSARs antwortet und wer Zugang zu personenbezogenen Daten hat;
  • Sie sollten wissen, wo alle personenbezogenen Daten gespeichert sind, sowohl digital als auch physisch;
  • Vergewissern Sie sich, dass Sie alle vom Benutzer angeforderten Daten finden und aufnehmen;
  • Speichern Sie personenbezogene Daten nicht länger als nötig;
  • Führen Sie jedoch ein Protokoll über Ihre DSAR-Antworten für den Fall einer künftigen Prüfung.

In einigen Fällen kann es auch notwendig sein, Teile der Informationen zu zensieren, die Sie bei der Beantwortung einer Anfrage preisgeben wollen.

Sie könnten dies zum Beispiel tun, um die Daten einer anderen Person zu schützen, die nicht der Antragsteller ist. Sie können personenbezogene Daten einer anderen Person nur dann weitergeben, wenn Sie deren Einwilligung haben.

Schritt 3: Zeitplan für die Reaktion

Unter DSGVO haben Sie einen Monat Zeit, um auf eine DSAR zu reagieren. Diese Frist kann um weitere zwei Monate verlängert werden, wenn

  • Der Antrag ist komplex und Sie brauchen Zeit, um ihn zu prüfen;
  • Sie erhalten mehrere Anfragen und Ihre Ressourcen sind begrenzt;
  • Die Anfrage ist unklar und Sie benötigen weitere Informationen.

Die DSGVO beschreibt in Artikel 12, Abschnitt 3 diesen spezifischen Zeitrahmen für die Beantwortung von DSARs.

Stellen Sie sicher, dass die Personen in Ihrem Team, die für die Beantwortung von DSARs zuständig sind, sich dieser zeitlichen Beschränkungen bewusst sind.

Ebenso wichtig ist, dass Sie mit der Antwort nicht bis zum letzten Tag warten. Sie sollten so schnell wie möglich innerhalb der einmonatigen Frist antworten.

Wie bereits erwähnt, ist es von größter Wichtigkeit, eine Antwort zu senden, in der Sie bestätigen, dass Sie die Anfrage der betroffenen Person erhalten haben und an Ihrer Antwort arbeiten; dies hilft Ihnen, die Anforderungen der DSGVO zu erfüllen und den Verbraucher zu beruhigen.

Schritt 4: Weigerung zu reagieren

Die Website DSGVO erlaubt es Ihnen, die Beantwortung eines DSAR unter bestimmten Umständen abzulehnen, und Sie sollten ein Verfahren einrichten, mit dem Sie feststellen können, wann eine Anfrage unter diese Grenzen fällt.

Wenn die Anfrage beispielsweise unangemessen, übertrieben oder offensichtlich unbegründet ist oder die Datenschutzrechte einer anderen Person verletzt, können Sie sie ablehnen.

Sie müssen den Antragsteller unverzüglich über Ihre Entscheidung informieren, und Sie müssen beweisen, dass der Antrag unbegründet war, wenn eine Aufsichtsbehörde Sie befragt oder die betroffene Person vor einem nationalen Gericht Klage gegen Sie erhebt.

Betroffene Personen können dann auf der Grundlage ihrer DSAR einen Widerspruch gegen Ihre Entscheidung einlegen. Stellen Sie also sicher, dass Sie ein ähnliches Verfahren eingerichtet haben, das für die Verbraucher ebenso einfach ist.

Schritt 5: Führen Sie ein Protokoll über Ihre Antworten

Stellen Sie schließlich sicher, dass Sie ein Protokoll über alle Ihre DSAR-Antworten führen, für den Fall, dass eine Aufsichtsbehörde Sie prüft oder, wie bereits erwähnt, der Fall von der betroffenen Person vor Gericht gebracht wird.

Dennoch sollten Sie dieses Protokoll nicht über einen unbestimmten Zeitraum hinweg aufbewahren. Ein Zeitraum von 12-24 Monaten kann als angemessen betrachtet werden.

Stellen Sie sicher, dass Sie diese Informationen in einer sicheren Umgebung speichern, damit sie vor Datenverletzungen und unbefugtem Zugriff geschützt sind.

Verwendung von Termly für die DSGVO's DSAR Anforderungen

Wenn Ihr Unternehmen die DSGVO einhalten muss, bietet Ihnen die Consent Management Platform ein kostenloses, einbettbares DSAR-Formular, das Sie direkt auf Ihrer Website einfügen können.

Mit dem DSAR-Formular können Ihre Benutzer wichtige Details eingeben, um den Beantwortungsprozess zu rationalisieren, darunter:

  • durch welches Datenschutzgesetz sie geschützt sind;
  • Welche(s) Recht(e) sie durchsetzen wollen;
  • Welche E-Mail-Adresse sie üblicherweise für die Kontaktaufnahme mit Ihrer Website verwenden.

Das Formular fordert die Nutzer auf, Ihnen genügend Informationen zur Verfügung zu stellen, damit Sie ihre Identität auf der Website DSGVO überprüfen und innerhalb der einmonatigen Frist antworten können.

Zusammenfassung

Die Beantwortung von DSARs ist Teil des Kurses für Unternehmen im Rahmen der DSGVO, aber der Umgang mit den Anforderungen ist viel einfacher, wenn Ihr Unternehmen einen formellen internen DSAR-Prozess einführt.

Stellen Sie sicher, dass Ihr Team weiß, wie es die Identität der betroffenen Personen, die DSARs einreichen, überprüfen kann, ohne gegen die Regeln und Grundsätze der Verordnung zu verstoßen, und wie es auf DSARs innerhalb der einmonatigen Frist reagiert.

Machen Sie es Ihrem Unternehmen und den Verbrauchern besonders leicht, indem Sie ihnen ein zugängliches DSAR-Formular auf Ihrer Website zur Verfügung stellen.

Teodor Stanciu, CIPP/E, CIPM
Mehr über die Autorin

Geschrieben von Teodor Stanciu, CIPP/E, CIPM

Teo ist ein Datenschutzspezialist und erfahrener Datenschutzbeauftragter (DSB), der Unternehmen bei der Erfüllung ihrer Datenschutzverpflichtungen mit Leidenschaft unterstützt. Er verfügt über mehr als sieben Jahre Erfahrung als Datenschutzbeauftragter für eine internationale Organisation, die in 50 Ländern tätig ist und ihren Sitz in Brüssel, Belgien, hat. Teo ist ein Certified Information Privacy Professional/Europe (CIPP/E) und Certified Information Privacy Manager (CIPM) der International Association of Privacy Professionals (IAPP).

Mehr über die Autorin
dsar-Seitenleiste

Termly Hilft bei DSARs

Termly kann die Beantwortung von DSARs für Ihr Unternehmen einfacher machen.
Kostenlos testen!

Verwandte Artikel

  1. AI-Datenschutz-Statistik-01
    54 Aufschlussreiche KI-Datenschutzstatistiken
    Artikel

    9. Mai 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  2. Was-ist-Google-Konsens-Modus-01
    Was ist der Google-Zustimmungsmodus v2?
    Artikel

    7. Mai 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. Was ist das argentinische Gesetz zum Schutz personenbezogener Daten (PDPA)-01
    Das argentinische Gesetz zum Schutz personenbezogener Daten (PDPA) wird erklärt
    Artikel

    6. Mai 2025
    Heloisa Valdívia, CIPM
  4. Was-ist-das-Gramm-Leach-Bliley-Gesetz-GLBA-01
    Was ist der Gramm-Leach-Bliley Act (GLBA)?
    Artikel

    6. Mai 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  5. Impressum-Vorlage-kostenloser-Download-für-Unternehmen-01
    Impressum Vorlage: Kostenloser Download und Beispiele aus der Praxis
    Vorlagen

    3. Mai 2025
    James Ó Nuanáin, CIPP/E, CIPM, CIPT
  6. Datenschutz-Vorlage
    Vorlage für Datenschutzerklärungen
    Vorlagen

    2. Mai 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  7. Was-ist-Datenschutz-Komplett-Leitfaden-für-Unternehmen-01
    Was ist Datenschutz? Vollständiger Leitfaden für Unternehmen
    Artikel

    2. Mai 2025
    Etienne Cussol CIPP/E, CIPM
  8. Datenschutz-Policy-For-Firebase-01
    Datenschutzrichtlinie für Firebase: Wie man eine erstellt
    Artikel

    1. Mai 2025
    Etienne Cussol CIPP/E, CIPM
  9. Website-Checkliste für Datenschutz und Datensicherheit-01
    Website-Checkliste für Datenschutz und Datensicherheit
    Checklisten

    1. Mai 2025
    James Ó Nuanáin, CIPP/E, CIPM, CIPT

Weitere Artikel ansehen