Antrag auf Auskunft über personenbezogene Daten (DSAR) zur Einhaltung von CCPA und DSGVO

Informationen zum Zugriffsantrag betroffener Personen

In der heutigen Welt ist der Schutz personenbezogener Daten wichtig. Datenschutzgesetze legen Wert auf Transparenz und Kontrolle über die Informationen der Verbraucher. DSARs – Anträge auf Zugang zu personenbezogenen Daten – spielen eine sehr wichtige Rolle bei der Wahrung der Privatsphäre und der Einhaltung von Vorschriften.

In einer kürzlichen Umfrage EY-Umfrage: 60% der Experten berichteten von einem Anstieg der DSARs im vergangenen Jahr. Etwas mehr als die Hälfte (51%) der Befragten gaben an, Beschwerden betroffener Personen darüber, wie ihre Anfragen bearbeitet wurden.

Wie kann Ihre Organisation diese Themenanfragen verwalten und die Einhaltung gesetzlicher Vorschriften gewährleisten?

Was ist DSAR?

Die Anforderung des Zugriffs auf personenbezogene Daten ist eine Möglichkeit, Einzelpersonen das Eigentum an ihren persönlichen Daten gemäß Datenschutzbestimmungen zu geben, wie DSGVO (Datenschutz-Grundverordnung) und CCPA (California Consumer Privacy Act). Im Wesentlichen geben diese Vorschriften Einzelpersonen das Recht, auf ihre von Organisationen gespeicherten personenbezogenen Daten zuzugreifen und diese zu kontrollieren. Dies beinhaltet das Recht auf Löschung bestimmter Informationen und das Recht auf Vergessenwerden, wenn sie die Löschung aller ihrer gesammelten Informationen verlangen.

Wer kann eine DSAR-Anfrage einreichen?

Jede Person, deren personenbezogene Daten von einer Organisation gespeichert werden, kann eine Anfrage stellen. Dazu gehören Kunden, Mitarbeiter, Patienten, Studenten und andere. Die Anfrage kann auch von einem autorisierten Dritten im Namen der betroffenen Person gestellt werden.

Einreichen einer Anfrage einer betroffenen Person

Um eine DSAR-Anfrage zu stellen, muss eine Person in der Regel ihren Namen, ihre Kontaktdaten und Details zu den angeforderten Informationen angeben. Dies kann bestimmte Dokumente oder Datenpunkte oder eine allgemeine Anfrage nach allen von der Organisation gespeicherten personenbezogenen Daten umfassen.

Auf einen DSAR reagieren

Sobald eine DSAR-Anfrage eingereicht wurde, muss die Organisation zeitnah und präzise reagieren und der betroffenen Person eine Kopie ihrer personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen. Dies kann Informationen wie Name, Adresse, Geburtsdatum, Kontaktdaten, Finanzdaten, Beschäftigungsverlauf und alle weiteren personenbezogenen Daten umfassen, die die Organisation speichert.

Unternehmen sind außerdem verpflichtet, Einzelpersonen zusätzliche Informationen über die Verarbeitung ihrer personenbezogenen Daten bereitzustellen. Dies geschieht häufig in Form einer Datenübersicht, in der die Zwecke der Verarbeitung, die Kategorien der betroffenen personenbezogenen Daten und alle Dritten, an die die Daten weitergegeben werden können, aufgeführt sind.

Weigerung, auf einen DSAR zu antworten

Sie können die Beantwortung eines DSAR verweigern, wenn die Anfrage unbegründet oder übertrieben ist. Dies gilt auch, wenn die betroffene Person ihr Auskunftsrecht nutzt, um Sie zu belästigen. Bei wiederholten Anfragen, bei denen zwischen den Anfragen kein angemessener Abstand besteht oder keine Begründung vorliegt, können Sie die Beantwortung eines DSAR verweigern.

DSAR-Erfüllung: Verwalten von DSAR-Antworten zur Einhaltung des Datenschutzes

Effektives DSAR-Management bedeutet mehr als nur das Abhaken von Häkchen auf einer Compliance-Checkliste. Es geht darum, eine Kultur des Respekts für Datenrechte, der Rechenschaftspflicht für die Datenverwaltung und der Transparenz im Umgang mit Daten zu schaffen.

DSAR-Anfragen können in verschiedenen Formen erfolgen – von einer einfachen E-Mail bis hin zu einer formellen schriftlichen Anfrage. Unabhängig vom Format muss Ihr Unternehmen darauf vorbereitet sein, diese Anfragen effizient und transparent zu bearbeiten. Dies erfordert die Einführung klarer Verfahren, um eine schnelle und transparente Bearbeitung unabhängig vom Anfrageformat zu gewährleisten. Die spezifischen Anforderungen können je nach Regulierungsrecht und Branche variieren, doch bestimmte allgemeine Grundsätze können Ihnen bei Ihrem Vorgehen helfen.

Erstellen Sie robuste DSAR-Antwortprozesse

Effektives DSAR-Management beginnt mit der Festlegung robuster Prozesse und Systeme. Es geht darum, einen strukturierten Rahmen zu schaffen, der jeden Schritt des DSAR-Prozesses – von der Anfrage bis zur Antwort – begleitet. Dieser Rahmen sollte flexibel genug sein, um sich an unterschiedliche Anfragen anzupassen und gleichzeitig Konsistenz und Compliance jederzeit zu gewährleisten.

Entwickeln Sie umfassende DSAR-Richtlinien, die die Verfahren zur Einreichung von Anfragen, Antwortfristen und Mechanismen zur Überprüfung der Identität des Antragstellers beschreiben. Diese Richtlinien sollten für alle Beteiligten leicht zugänglich sein und den für die Bearbeitung von DSARs zuständigen Mitarbeitern klar kommuniziert werden.

Berücksichtigen Sie branchenspezifische Anforderungen

Während die Grundprinzipien des DSAR-Managements branchenübergreifend gelten, gelten für bestimmte Branchen spezifische regulatorische Anforderungen oder Branchenstandards. Beispielsweise müssen Sie als Unternehmen im Gesundheitswesen zusätzliche Datenschutzbestimmungen einhalten, wie beispielsweise: HIPAA (Health Insurance Portability and Accountability Act – Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen).

Benennen Sie verantwortliches Personal (z. B. einen Datenschutzbeauftragten)

Hinter jedem erfolgreichen DSAR-Prozess steht ein Team engagierter Mitarbeiter, die sich mit den Feinheiten von Datenschutz und Privatsphäre auskennen. Übertragen Sie diese Personen auf die Verwaltung der Betroffenenrechte. Beauftragen Sie bestimmte Personen oder Teams mit der Überwachung von DSARs, um Verantwortlichkeit und Konsistenz bei der Bearbeitung von Anfragen zu gewährleisten. Diese Datenschutzbeauftragten (DPO) sollten in den Datenschutzbestimmungen geschult sein und die notwendigen Tools für eine effektive Bearbeitung von Anfragen erhalten.

Überprüfen Sie die Identität derjenigen, die Zugriff anfordern

Implementieren Sie robuste Datenzugriffsverfahren, um unbefugten Zugriff zu verhindern und vertrauliche Informationen zu schützen. Dazu gehören sichere Authentifizierungsmaßnahmen, Verschlüsselungsprotokolle und Zugriffskontrollen, um sicherzustellen, dass nur autorisiertes Personal die angeforderten Daten verarbeiten und darauf zugreifen kann. Dieses Zugriffsrecht sollte regelmäßig überprüft werden, um unbegründete oder übermäßige Zugriffsberechtigungen zu minimieren.

Die Identität der betroffenen Person sollte ebenfalls authentifiziert werden, um zu verhindern, dass die falsche Person auf die sensiblen personenbezogenen Daten einer anderen Person zugreift. Je nach Art der Anfrage und den geltenden Vorschriften können Sie von den Antragstellern einen Identitätsnachweis verlangen, bevor ihre DSARs bearbeitet werden.

Halten Sie die gesetzlichen Fristen ein

Verschiedene Rechtsräume haben möglicherweise unterschiedliche Fristen für die Beantwortung von DSARs. Beispielsweise erfordert die DSGVO-Konformität eine Antwortfrist von einem Monat, wobei unter bestimmten Umständen eine Verlängerung möglich ist. Machen Sie sich mit den spezifischen Anforderungen der für Ihr Unternehmen geltenden Datenschutzbestimmungen vertraut und stellen Sie die rechtzeitige Einhaltung sicher.

Klare Anleitung für Einzelpersonen

Einzelpersonen haben das Recht auf Zugriff auf ihre personenbezogenen Daten, benötigen jedoch klare Anleitungen zur effektiven Ausübung dieses Rechts. Stellen Sie den Betroffenen leicht verständliche Informationen zur Verfügung, wie sie eine Anfrage stellen, was ein DSAR enthalten sollte, was sie während des Prozesses erwartet und wie ihre Daten behandelt und geschützt werden.

Führen Sie detaillierte Aufzeichnungen

Führen Sie ein detailliertes Protokoll aller DSARs, die Sie erhalten und bearbeitet haben. Dies umfasst das Eingangsdatum, die Art der Anfrage, die ergriffenen Maßnahmen und die Kommunikation mit dem Antragsteller. Diese Dokumentation hilft Ihnen Einhaltung gesetzlicher Vorschriften und ermöglicht Ihnen, Ihre DSAR-Prozesse effektiv zu verfolgen und zu überwachen.

Wie schnell sollten Sie auf den DSAR reagieren?

Regelungen wie die GDPR und die CCPA Legen Sie klare Richtlinien und Standards für die Verwaltung von DSARs fest, einschließlich strenger Zeitvorgaben für die Antwort und Protokolle für die Bereitstellung des Zugriffs auf angeforderte Daten.

Gemäß der DSGVO Sie müssen innerhalb eines Monats nach Erhalt auf einen DSAR antworten, obwohl Sie unter bestimmten Umständen eine Fristverlängerung erhalten können. Wenn Sie sich weigern, diese Fristen einzuhalten, drohen Ihnen empfindliche Strafen, darunter Geldbußen von bis zu 20 Millionen Euro oder 4% Ihres weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

In ähnlicher Weise gewährt der CCPA den Verbrauchern in Kalifornien das Recht, Zugang zu ihren persönliche Daten von Unternehmen gehalten. Wenn Sie dem CCPA unterliegen, müssen Sie innerhalb von 45 Tagen auf DSARs antworten, mit zusätzlichen Bestimmungen zur Fristverlängerung unter bestimmten Umständen.

Rationalisierung des DSAR-Prozesses: Der Weg zur Effizienz

Erstellen Sie einen optimierten Prozess, um den Workflow von der Antragstellung bis zur Bearbeitung zu optimieren. Durch die Automatisierung wiederkehrender Aufgaben und die Standardisierung von Verfahren steigern Sie die Effizienz deutlich und minimieren das Fehlerrisiko. Hier finden Sie eine einfache Schritt-für-Schritt-Anleitung zur effektiven Optimierung von DSAR-Workflows:

1. Identifizieren Sie die wichtigsten Aufgaben: Identifizieren Sie die wichtigsten Datenverarbeitungsaufgaben, die mit der Bearbeitung von DSARs verbunden sind, wie z. B. die Überprüfung der Identität des Antragstellers, das Abrufen der angeforderten Daten, Schwärzen sensibler Informationenund die Übermittlung von Antworten.
2. Planen Sie den Arbeitsablauf: Erstellen Sie eine visuelle Darstellung des Workflows, die jeden Schritt von der Anfrage bis zur Antwortübermittlung darstellt. Dies hilft, Engpässe und Ineffizienzen zu identifizieren, die durch Automatisierung behoben werden können.
3. Implementieren Sie Automatisierungstools: Investieren Sie in Automatisierungstools und DSAR-Softwarelösungen. Diese Tools können wiederkehrende Aufgaben wie Datenabruf und -redaktion automatisieren, den Prozess optimieren und den manuellen Arbeitsaufwand reduzieren.
4. Verfahren standardisieren: Entwickeln Sie Verfahren und Protokolle für den Umgang mit DSARs, um Konsistenz und Genauigkeit in jeder Antwort zu gewährleisten. Definieren Sie Rollen und Verantwortlichkeiten innerhalb der Organisation klar, um eine reibungslose Zusammenarbeit und Kommunikation zu ermöglichen.
5. Systeme integrieren: Verbinden Sie DSAR-Managementsysteme mit vorhandenen Datenspeichern und der IT-Infrastruktur, um den Datenabruf und -zugriff zu optimieren. Dadurch entfällt die manuelle Datensuche über mehrere Plattformen hinweg, was Zeit spart und das Fehlerrisiko reduziert.
6. Nutzen Sie Vorlagen und vordefinierte Antworten: Standardantworten für gängige DSAR-Szenarien beschleunigen den Prozess. Diese Vorlagen können bei Bedarf angepasst werden, um spezifische Anfragen zu bearbeiten und gleichzeitig die Einhaltung gesetzlicher Vorschriften zu gewährleisten.
7. Leistung überwachen und bewerten: Bewerten Sie regelmäßig die Leistung Ihres Workflows, um Verbesserungspotenziale zu identifizieren. Holen Sie Feedback von Stakeholdern ein und berücksichtigen Sie Vorschläge zur Optimierung von Effizienz und Effektivität.

Befolgen Sie diese Schritte und nutzen Sie Automatisierungstools, um DSAR-Prozesse zu optimieren. So erreichen Sie mehr Effizienz, reduzieren das Fehlerrisiko und gewährleisten zeitnahe Antworten auf Anfragen betroffener Personen. Halten Sie die gesetzlichen Anforderungen ein und fördern Sie Vertrauen und Transparenz bei Ihren Kunden.

Die Bedeutung der Rechte betroffener Personen

Die Transparenz bei Anfragen betroffener Personen zum Zugriff auf personenbezogene Daten ist für Unternehmen von entscheidender Bedeutung, da sie sich auf folgende Weise direkt auf die Treue und das Vertrauen der Kunden auswirkt:

• Einhaltung des Datenschutzes: Transparenz im Umgang mit DSARs zeigt, dass das Unternehmen den Datenschutz ernst nimmt und die relevanten Datenschutzgesetze einhält. Kunden vertrauen eher einem Unternehmen, das ihre Rechte respektiert und die gesetzlichen Anforderungen einhält.
• Kunden stärken: Durch die Bereitstellung eines klaren und zugänglichen Prozesses zur Anforderung und zum Erhalt personenbezogener Daten ermöglichen Unternehmen ihren Kunden mehr Kontrolle über ihre Informationen. Diese Transparenz zeugt von Respekt für die Rechte der Kunden und fördert das Vertrauen.
• Datensicherheit und Vertrauen: Transparente Handhabung von DSARs gibt den Kunden die Sicherheit, dass ihre Daten sind sicher und nicht missbraucht. Dieses Vertrauen ist unerlässlich für eine positive Beziehung zu Kunden, die einen verantwortungsvollen Umgang mit ihren Daten erwarten.
• Markenreputation: Unternehmen, die für ihr Engagement für Datentransparenz und Datenschutz bekannt sind, genießen wahrscheinlich einen stärkeren Markenruf. Eine positive öffentliche Wahrnehmung und Vertrauen können zur Kundenbindung beitragen.
• Wettbewerbsvorteil: In einer Welt, in der Datenschutz ein wachsendes Anliegen ist, können Unternehmen, die sich durch Transparenz bei DSAR auszeichnen, einen Wettbewerbsvorteil erlangen. Kunden entscheiden sich möglicherweise für Unternehmen, die ihre Datenschutzrechte stärker respektieren.
• Kundenbindung: Wenn Kunden das Gefühl haben, dass ihre Daten transparent und sicher behandelt werden, bleiben sie dem Unternehmen eher treu. Positive Erfahrungen mit DSARs können zu langfristigen Kundenbeziehungen führen.
• Reduziertes Risiko rechtlicher Probleme: Durch die transparente und gesetzeskonforme Bearbeitung von DSARs verringern Unternehmen das Risiko rechtlicher Schritte und Bußgelder. Dies wiederum kann ihren Ruf und das Kundenvertrauen schützen.

Automatisieren Sie DSAR-Prozesse mit KI

Da das Volumen der DSAR-Anfragen zunimmt, wenden sich Unternehmen Automatisierungslösungen zu, die auf AI um ihre Prozesse weiter zu optimieren. Diese Lösungen unterstützen Sie bei Aufgaben wie der Identifizierung relevanter Daten, der Schwärzung sensibler Informationen und sogar der Vorhersage potenzieller DSARs auf der Grundlage historischer Datenmuster.

KI bietet zwar Möglichkeiten zur Effizienzsteigerung und Genauigkeit im DSAR-Management, wirft aber auch wichtige ethische Fragen auf. KI-gesteuerte Lösungen müssen Datenschutz und Transparenz priorisieren. Sie müssen sicherstellen, dass Ihre automatisierte DSAR-Lösung das Risiko algorithmischer Verzerrungen minimiert und die Rechte des Einzelnen schützt.

BigIDs Ansatz zur Förderung der Datentransparenz mit DSARs

BigID ist die branchenführende Plattform für Datenschutz, Sicherheit und Governance – sie bietet tiefgreifende Datenermittlung sowie KI und ML der nächsten Generation für vollständige Transparenz und Kontrolle in der Multi- und Hybrid-Cloud.

So kann BigID bei DSARs helfen:

• Identifizieren, klassifizieren und kennen Sie Ihre Daten: Die Data-Discovery-Grundlage von BigID deckt alle strukturierten und unstrukturierten Daten auf, vor Ort oder in der Cloud, mit mehreren Konnektoren. Erzielen Sie eine schnellere Bestandsaufnahme, Zuordnung und Klassifizierung Ihrer Daten in Ihrem gesamten Datenökosystem – mit mehr Einblicken und Kontext.
• Automatisieren Sie die Erfüllung von Datenrechten: Vom Zugriff bis zur Löschung – verwalten Sie DSARs dynamisch und umfangreich mit optimierten Lösch-Workflows und Compliance-Berichten.
• Bewertung des Leverage-Risikos: Risikobasierte Bewertungen einer Vielzahl von Datenparametern wie Datentyp und -standort bieten eine risikozentrierte Sicht auf die Daten, sodass Ihr Unternehmen Risiken proaktiv reduzieren kann.

Sparen Sie Zeit und manuellen Aufwand und stellen Sie die vollständige Einhaltung Ihrer DSARs sicher. Holen Sie sich noch heute eine 1:1-Demo mit BigID.

Autor

Alexis Porter

Leiterin für Content Marketing

Alexis arbeitet als Content Marketing Manager für den branchenführenden DSPM-Anbieter BigID. Sie hat sich darauf spezialisiert, Tech-Start-ups dabei zu helfen, ihre Stimme zu schärfen, um überzeugende Geschichten zu erzählen, die bei unterschiedlichen Zielgruppen Anklang finden. Sie hat einen Bachelor-Abschluss in professionellem Schreiben und einen Master-Abschluss in Marketingkommunikation von der University of Denver. Alexis arbeitet von Orlando, FL aus.