INFORMATIONEN

DSRs: Praktische Herausforderungen und Anleitung zur Prozessoptimierung

Obwohl Datenanfragen (Data Subject Requests, DSR) keine neue Idee sind, wurden mit der Umsetzung der DSGVO im Mai 2018 weitere Richtlinien durchgesetzt. Da die Verantwortlichkeiten strenger und umfassender werden, da die EU-Datenschutzverordnung viele zusätzliche Anforderungen und Ausnahmen vorsieht, scheinen Organisationen auch Schwierigkeiten bei der Verwaltung von DSR zu haben, vor allem wegen der problematischen und zeitaufwändigen Natur des Verfahrens.

Das Recht auf Zugang

Gemäß Artikel 15 soll das Auskunftsrecht dem Einzelnen mehr Macht über seine personenbezogenen Daten geben. Dies wird dadurch erreicht, dass Menschen die Möglichkeit haben, zu erfahren, wann eine Einrichtung personenbezogene Daten über sie verarbeitet, und eine Kopie ihrer personenbezogenen Daten und anderer zusätzlicher Daten, die von einer Organisation gesammelt wurden, anzufordern und zu erhalten.

Die Datenschutz-Grundverordnung legt nicht fest, welchen Inhalt ein Antrag haben kann oder über welches Medium er auf der Grundlage der Rechte der betroffenen Person übermittelt werden sollte. Da eine Anfrage an jeden Mitarbeiter/jede Abteilung einer Organisation gerichtet werden kann, müssen die Unternehmen ihre Mitarbeiter entsprechend vorbereiten, damit sie in der Lage sind, eine Anfrage rechtzeitig zu erkennen.

Bei der Beantwortung eines Auskunftsantrags legt die Datenschutz-Grundverordnung auch nicht fest, welches Verfahren anzuwenden ist. In einigen Fällen kann es schwierig sein, zu entscheiden, welche personenbezogenen Daten, die von einer Einrichtung aufbewahrt und verarbeitet werden, jemand direkt einsehen möchte, ohne eine detaillierte Beschreibung und ein strenges Format.

Da viele Organisationen große Mengen personenbezogener Daten verarbeiten und speichern, kann es sich als schwierig erweisen, dem Ersuchen nachzukommen, wenn der Umfang der Daten nicht eingeschränkt ist. Infolgedessen kann sich das Verfahren viel länger hinziehen als es normalerweise der Fall wäre, da mehr Informationen über die Anfrage eingeholt werden müssen.

Das Recht auf Datenübertragbarkeit

Gemäß Artikel 20 ermöglicht das Recht auf Datenübertragbarkeit dem Einzelnen, entweder die Speicherung seiner Daten für den persönlichen Gebrauch oder die Übermittlung seiner Daten an einen anderen Diensteanbieter zu verlangen. Ein Patient einer Privatklinik in den Niederlanden, der die Einrichtungen einer Klinik in Belgien nutzen möchte, wäre ein konkretes Beispiel für einen solchen Fall.

In diesem Fall kann der Betroffene verlangen, dass die Klinik in den Niederlanden ihm elektronische Dateien in einem maschinenlesbaren und allgemein strukturierten Format zur Verfügung stellt, die seine persönlichen Daten enthalten, damit die Daten an die zuständigen medizinischen Fachkräfte in Belgien übermittelt werden können.

Das Recht auf Löschung

Das Recht auf Löschung, auch bekannt als das Recht auf Vergessenwerden, verlangt von einer Person, dass ihre personenbezogenen Daten gelöscht werden. Dieses Recht gilt nach der DSGVO in Situationen, in denen die Daten für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, wenn die Einwilligung zurückgezogen wird, wenn die betroffene Person der Verarbeitung widerspricht oder wenn die Verarbeitung personenbezogener Daten unrechtmäßig ist.

Das Recht auf Widerspruch

Das Widerspruchsrecht gibt Menschen die Möglichkeit, der Erhebung ihrer personenbezogenen Daten durch eine Organisation zu widersprechen. Um einen solchen Antrag bearbeiten zu können, müssen Organisationen über eine Richtlinie und ein Register verfügen, um mündliche Widersprüche zu dokumentieren und gegebenenfalls Verfahren zur Ablehnung eines Antrags vorzusehen.

Außerdem wird von einem Unternehmen erwartet, dass es Einzelpersonen im Rahmen seiner Datenschutzpolitik, aber auch im Rahmen der Kontaktaufnahme im Falle von Direktmarketing, ordnungsgemäß über ihr Widerspruchsrecht informiert und über ausreichende Protokolle verfügt, um die Daten nach dem Widerspruch zu entfernen oder ihre Verwendung einzustellen.

Organisationen haben Fragen zur Unterscheidung zwischen dem Widerspruchsrecht und dem Recht auf Einschränkung der Verarbeitung oder Löschung aufgeworfen, insbesondere im Zusammenhang mit dem Direktmarketing.

Zweck und Umfang dieser Rechte werden von den betroffenen Personen häufig missverstanden, was zu vagen Anträgen führt. Da der Widerspruch ein fast absolutes Recht ist und im Falle des Direktmarketings immer gilt, ist die Unterscheidung relevant, während die Einschränkung nicht relevant ist.

Das Recht, einschließlich Profiling, nicht Gegenstand einer automatischen Entscheidungsfindung zu sein.

Die Datenschutz-Grundverordnung bietet auch das Recht, nicht Gegenstand einer automatischen Entscheidungsfindung oder eines Profilings zu sein. Wenn die Verarbeitung ohne menschliche Interaktion erfolgt, wird die regelmäßige Überprüfung ihrer Anwendungen und Verarbeitungstätigkeiten für Organisationen unerlässlich.

Häufig sind zusätzliche Protokolle erforderlich, um Verfahren zur Information von Personen über solche Verarbeitungen einzurichten, um einfachere Methoden zu implementieren, die eine menschliche Beteiligung erfordern, oder um regelmäßige Kontrollen durchzuführen, um sicherzustellen, dass die Systeme nicht zu automatischen Entscheidungen führen.

Die Notwendigkeit, neue Prozesse einzuführen, um eine solche Anfrage zu lösen und sicherzustellen, dass sie innerhalb des vorgegebenen Zeitrahmens abgeschlossen wird, kann für Organisationen eine Herausforderung darstellen, da sie zusätzliche Verfahrensarbeit leisten müssen, die qualifiziertes Personal erfordert, das auf die Bearbeitung der Anfragen vorbereitet ist.

Jede Verzögerung aufgrund eines fehlenden Mechanismus kann zur Nichteinhaltung führen. Daher müssen sich die Unternehmen im Voraus vorbereiten und effizienzorientierte Prozesse oder Ressourcen einbeziehen, die ihnen helfen, angemessene Entscheidungen zu treffen.

DSGVO-Durchsetzung – Möglichkeit, kein Hindernis

In Anbetracht der vielen Schwierigkeiten, mit denen eine Organisation bei der Bewältigung eines DSR konfrontiert sein kann, ist es wichtig zu prüfen, wie Technologie und Automatisierung helfen können, die täglichen Aufgaben effizienter zu gestalten. Mit Hilfe von Technologie können Prozesse stark gestrafft, verkürzt und dynamischer gestaltet werden, so dass die organisatorische Durchsetzung aufrechterhalten und die Rechte der betroffenen Personen vollständig gewahrt werden können.

Die Implementierung einer solchen Orchestrierung in DSR-Prozesse kann auch dazu beitragen, ein besseres Gesamtmanagement zu etablieren, die rechtzeitige Einhaltung der rechtlichen Anforderungen zu gewährleisten und unnötige Verzögerungen in Verfahren zu vermeiden.

Schlussfolgerung

Es ist nicht einfach, die DSGVO-Compliance zu erreichen. Letztendlich lohnt es sich jedoch, in Ressourcen und Schulungen zu investieren: Unternehmen, die die DSGVO einhalten, verbessern nicht nur ihre Verantwortlichkeit, sondern auch das Kundenvertrauen, die Markttransparenz, die Kundentreue und sogar die Verkaufszyklen.

Wenn Ihr Unternehmen eine DSR-Struktur für den Start benötigt, gibt es heute glücklicherweise viele Instrumente, die den Prozess reibungsloser und effizienter gestalten können.