Auskunftsersuchen von betroffenen Personen stellen für Unternehmen eine der größten Herausforderungen der DSGVO dar. Das muss jedoch nicht so sein, und Organisationen können durch einige praktische Schritte zuverlässigere, präzisere und zeitnahe DSAR-Antworten geben.
Anträge auf Zugang zu den Daten der betroffenen Personen stellen die Hauptarbeit für interne Datenschutzbeauftragte dar. In diesem Artikel werden einige praktische Schritte vorgeschlagen, die Ihrer Organisation helfen können, die Anträge auf Zugang zu den Daten der betroffenen Personen richtig zu verwalten.
1. Ein Verfahren haben
Sie müssen in erster Linie einen schriftlichen Prozess für die Verwaltung von DSARs haben. Die Aufzeichnung Ihres Prozesses zur Beantwortung von DSAR zwingt Sie dazu, über die einzelnen Schritte nachzudenken, darüber, wo sich Ihre internen Datenquellen befinden, welche Kontaktkanäle Sie zu den internen Interessengruppen benötigen, welche Ausnahmen im Kontext Ihrer Organisation am wichtigsten sind und so weiter. So können Sie methodisch, gründlich und innerhalb der geltenden gesetzlichen Fristen auf DSARs reagieren.
2. Verringern Sie die Daten, die Sie halten
Wir alle wissen, dass die DSGVO besagt, dass nicht mehr Daten als „erforderlich“ gespeichert werden dürfen, aber wenn Daten so wichtig sind, ist es schwierig, die Organisation davon zu überzeugen, weniger Daten zu speichern.
Dies gilt insbesondere für die Bearbeitung von DSARs für Arbeitnehmer, die fast immer die Durchsicht großer Mengen unstrukturierter Daten erfordern. In der Regel stehen diese Ersuchen im Zusammenhang mit einer arbeitsrechtlichen Streitigkeit.
3. Glauben Sie nicht an den Kundendienst
Wenn ein Kunde einen Antrag auf Zugang zu personenbezogenen Daten stellt, tut er dies häufig zunächst über eine Kontaktstelle für den Kundensupport – sei es über eine E-Mail-Adresse, ein Webformular oder eine Telefonnummer. Viele Kundenbetreuer scheinen DSARs jedoch nicht zu bemerken oder haben, wenn überhaupt, Schwierigkeiten, sie schnell genug zu eskalieren. Das Ergebnis: Eine betroffene Person reicht eine DSAR ein, ein Monat vergeht, und wenn sich die unzufriedene betroffene Person bei einer Aufsichtsbehörde meldet, erfährt jemand im Datenschutz- oder Rechtsteam als erstes davon.
4. Technologie – das Problem und die Lösung
Auch wenn Sie mit den DSARs Ihrer Mitarbeiter zu kämpfen haben und die E-Mails überprüfen müssen, sollten Sie überlegen, wie die Technologie Ihnen dabei helfen kann, z. B. durch das Entfernen doppelter E-Mail-Kopien, das Eliminieren überflüssiger E-Mail-Threads, das Maskieren von E-Mail-Adressen und Signaturen von Dritten, das Entfernen irrelevanter Anhänge usw. Auch wenn Sie immer einen Stapel von E-Mails zu prüfen haben werden, wird die Technologie den Stapel erheblich verkleinern und Ihnen viel Zeit ersparen.
5. Kommerzialisierung
Es wird helfen, wenn Sie commoditize, wenn etwas auf einer Skala zu tun. Tun Sie das, und zwar jedes Mal, wenn Sie die Antworten auf DSARs nicht von Grund auf neu verfassen wollen. Erstellen Sie selbst eine Reihe von standardisierten DSAR-Antworten – von den ersten Mitteilungen, die lediglich den Erhalt der DSAR bestätigen, über Anfragen zur Identitätsprüfung bis hin zu Musterbriefen mit den angeforderten Informationen.
Jeder Fall wird immer noch ein gewisses Maß an Anpassung erfordern, aber die frühzeitige Planung von Mustern und deren Verwendung für jede DSAR, die Sie erhalten, wird dazu beitragen, Ihren Prozess zu beschleunigen und Ihnen Arbeit zu ersparen. Sie können auch andere damit beauftragen, DSAR-Antworten für Sie zu verschicken, indem Sie Antwortvorlagen bereithalten. Dabei können Sie sicher sein, dass diese die von Ihnen vorbereiteten und genehmigten Formulierungen verwenden und für alle anfragenden betroffenen Personen einheitlich sind.
Schlussfolgerung
DSARs sind ein Grundrecht auf Datensicherheit, und Ihr Unternehmen muss darauf in der Art und Weise und innerhalb des Zeitrahmens reagieren, die in der DSGVO (und anderen damit verbundenen Gesetzen wie dem CCPA) festgelegt sind. Auch wenn sich niemand darauf freut, eine DSAR zu erhalten, kann sie durch die Einhaltung der oben erwähnten notwendigen praktischen Schritte erheblich erleichtert werden und dazu beitragen, dass Sie auf der richtigen Seite stehen.