INFORMATIONEN

Wie lassen sich die Herausforderungen bei der Beantwortung von DSARs meistern?

Organisationen, die personenbezogene Daten innerhalb der EU und des EWR verarbeiten, sind seit der Einführung der DSGVO im Mai 2018 verpflichtet, auf eine Anfrage zur Datenauskunft zu reagieren.

DSARs sind nicht neu, aber die Datenschutz-Grundverordnung hat eine Reihe neuer Leitlinien für das Verfahren durchgesetzt. Zum Beispiel müssen Organisationen heute bei Erhalt einer Anfrage innerhalb von 30 Tagen antworten. Bei der Reaktion auf DSARs stellen der enge Zeitrahmen und das Verfahren selbst ebenfalls eine Herausforderung für Organisationen dar.

Was können also die wichtigsten Schritte sein, um die größten Herausforderungen bei der Beantwortung von DSARs zu bewältigen und organisatorische Prozesse zu schaffen, die rechtskonform, reibungslos, kosteneffizient und zeitsparend sind?

DSARs gemäß der DSGVO

Jede Person hat das Recht auf Zugang zu den eigenen Daten, die von einem für die Datenverarbeitung Verantwortlichen verarbeitet werden. Bei den betroffenen Personen kann es sich um Mitarbeiter einer Organisation, Kunden oder Klienten, die mit Organisationen interagieren, und sogar um Personen handeln, die die Website einer Organisation besuchen.

Betroffene Personen können sich mündlich, schriftlich oder auf andere Weise an einen DSAR wenden. Wird der Antrag auf elektronischem Wege gestellt, sollte der für die Verarbeitung Verantwortliche die Informationen in einem weit verbreiteten elektronischen Format bereitstellen, sofern die betroffene Person nichts anderes verlangt.

Zeitrahmen

Die DSGVO weist darauf hin, dass Organisationen 30 Tage Zeit haben, um auf eine DSAR zu antworten, aber eine Verlängerung von bis zu zwei Monaten beantragen können, wenn die Verfahren als zu schwierig erachtet werden, um die geplante Frist einzuhalten, oder wenn Ihre Organisation mehrere Anfragen von derselben betroffenen Person erhalten hat.

Rechtliche Verpflichtung

In der Datenschutz-Grundverordnung wird darauf hingewiesen, dass DSARs nicht offiziell als „Antrag auf Zugang zu Dokumenten“ oder „Zugangsantrag“ bezeichnet werden müssen, damit sie einen solchen darstellen.

Darüber hinaus wird in der Datenschutz-Grundverordnung darauf hingewiesen, dass den betroffenen Personen neben einer Kopie der personenbezogenen Daten auch Informationen über folgende Punkte gegeben werden sollten

  • Gründe für die Verarbeitung, Art der betroffenen personenbezogenen Daten;
  • Empfänger, mit denen Ihr Unternehmen personenbezogene Daten austauscht;
  • Die Aufbewahrungsfrist für die Erhebung personenbezogener Daten oder die Anforderungen Ihres Unternehmens an die Entscheidung über die Dauer der Speicherung;
  • Und die Art ihres Rechts, Löschung, Berichtigung, Einschränkung oder Widerspruch gegen die Verarbeitung zu verlangen.
  • Die wichtigsten Schritte zur Bewältigung der wichtigsten Herausforderungen

    Da ein DSAR kein offensichtliches Merkmal hat, wie er auf Anfrage strukturell übermittelt werden sollte, kann es manchmal schwierig sein, ihn zu definieren. Genauso wichtig ist es, die betroffenen Personen zu klassifizieren, um die Vertraulichkeit zu gewährleisten.

    Da jede von Unbefugten angeforderte DSAR zu einer Datenverletzung führt, müssen Organisationen vor der Beantwortung sicherstellen, dass sie die Identität der Person überprüfen.

    Gleichzeitig sollten die Organisationen darauf achten, dass sie es der betroffenen Person nicht zu schwer machen, einen Antrag zu stellen, oder unnötig viele Authentifizierungsinformationen verlangen.

    Die Mitarbeiter sollten darin geschult werden, wie ein DSAR zu erkennen ist, wie man den Antrag ordnungsgemäß einreicht oder an welche Abteilung er weitergeleitet werden muss, um dieses Hindernis zu beseitigen.

    Außerdem ist es nur mit Vorsicht zu genießen, mehr personenbezogene Daten zur Authentifizierung zu erhalten. Dies könnte nicht nur eine Belastung für die betroffene Person darstellen, sondern würde auch das Unternehmen in die Gefahr bringen, die Bürgerrechte der betroffenen Person zu verletzen.

    Um zu beurteilen, ob eine DSAR rechtmäßig ist, muss man die Kriterien für diese Art von Anfragen verstehen. Die Organisationen sollten daher eine klare Beschreibung ihrer Verarbeitung vorlegen.

    Sie sollten wissen, wie und wo sich die personenbezogenen Daten befinden, welche Ziele mit der Verarbeitung dieser Daten verfolgt werden, welche rechtliche Rechtfertigung für die Verarbeitung gilt und andere Faktoren, die darüber entscheiden, ob die Kriterien zutreffen. Die Organisationen können nach Klärung der Elemente des Antrags entscheiden, ob der Antrag innerhalb der 30-Tage-Frist erfüllt werden kann.

    Es kann von Vorteil sein, ein Data Mapping durchzuführen, um einen tieferen Einblick in den Umgang mit personenbezogenen Daten in Ihrer Organisation zu erhalten. Da für den Betrieb verschiedene organisatorische Disziplinen erforderlich sind, können Sie Anfragen besser erklären, indem Sie die verschiedenen Datenflüsse in Ihrer Organisation verstehen und analysieren.

    Kunden, Arbeitnehmer und andere Personen sind heute misstrauischer, wenn es darum geht, welche persönlichen Daten sie haben und wie Unternehmen mit diesen Daten umgehen. Daher sollten Unternehmen, die personenbezogene Daten verarbeiten, davon ausgehen, dass die Zahl der DSARs mit der Zeit weiter zunehmen wird.

    Die Beantwortung von DSARs kann jedoch mit den richtigen Plänen oder sogar mit Hilfe einer dritten Partei in einen einfacheren und weniger komplizierten Prozess verwandelt werden, der den Zeit- und Energieaufwand sowie die zusätzlichen Kosten minimiert. So kann Ihr Unternehmen die DSGVO einhalten, seine Glaubwürdigkeit bewahren und die betroffenen Personen zufriedenstellen.

    Zehn Tipps zur Verhinderung von Cyberangriffen

    Cyberangriffe, manchmal sogar gegen große Unternehmen, werden immer häufiger. Abgesehen von den offensichtlichen Unannehmlichkeiten, die solche Angriffe sowohl aus betrieblicher Sicht als auch auf der

    mehr »