Was sind DSARs und wie sollten Sie damit umgehen?

Ein Data Subject Access Request (DSAR) ist der Antrag eines Bürgers – das können beispielsweise Kollegen, Kunden, Lieferanten usw. sein – auf Einsicht in die über ihn gespeicherten Daten eines Unternehmens. Dabei kann es sich um einen Antrag auf Einsichtnahme in bestimmte Kategorien von Daten oder in alle Daten innerhalb eines bestimmten Zeitraums handeln. Daten, die in den letzten 12 Monaten erhoben wurden, sind dabei ein gängiger Parameter. Es handelt sich um ein gesetzlich verankertes Recht auf Schutz der Privatsphäre und die Antwort eines Unternehmens innerhalb eines bestimmten Zeitraums ist hier obligatorisch.  

Das Recht, einen DSAR einzureichen, ist in allen wichtigen bisher verabschiedeten Datenschutzgesetzen enthalten, darunter auch in Gesetzen, die ein Opt-in-Modell verwenden – bei dem Sie die Zustimmung einholen müssen, bevor Sie personenbezogene Daten von Verbrauchern erheben, wie die Allgemeine Datenschutzverordnung (DSGVO) der Europäischen Union – oder ein Opt-out-Modell – bei dem die Zustimmung der Verbraucher nur erforderlich ist, wenn die erhobenen personenbezogenen Daten verkauft werden sollen, wie beim California Consumer Privacy Act (CCPA).

DSARs, wie sie für das Datenschutzmanagement üblich geworden sind, wurden mit der DSGVO im Jahr 2018 eingeführt. Mit dieser Rechtsvorschrift wurde festgelegt, welche Informationen ein Unternehmen über seine Kunden aufbewahren darf, wofür diese Daten verwendet werden dürfen, wie lange sie aufbewahrt werden sollten und welche Rechte die Kunden haben, um auf diese Daten zuzugreifen und ihre Richtigkeit sicherzustellen.

Das Recht, einen DSAR einzureichen, wird in der Datenschutz-Grundverordnung (Erwägungsgrund 63) wie folgt umrissen: „Eine betroffene Person sollte das Recht haben, Auskunft über die zu ihrer Person erhobenen personenbezogenen Daten zu erhalten und dieses Recht problemlos und in angemessenen Abständen auszuüben, um sich von der Rechtmäßigkeit der Verarbeitung überzeugen zu können.“

Ein ähnliches Auskunftsrecht wurde durch den CCPA gewährt, welcher im Januar 2020 in Kraft trat und die Datenschutz- und Auskunftsrechte der Einwohner Kaliforniens stärkt. 

In Abschnitt 2 des CCPA heißt es: „[…] Es ist die Absicht des Gesetzgebers, das Recht der Kalifornier auf Privatsphäre zu fördern, indem er den Verbrauchern eine wirksame Möglichkeit gibt, ihre persönlichen Daten zu kontrollieren, indem es die folgenden Rechte gewährleistet: […] (4) Das Recht der Kalifornier auf Zugang zu ihren persönlichen Daten.“

Die Absicht hinter beiden Gesetzen ist dieselbe: mehr Transparenz zwischen Organisationen, die über personenbezogene Daten verfügen, und den Betroffenen dieser Daten zu schaffen. Schauen wir uns nun etwas genauer an, was die Gesetzgebung von Organisationen verlangt, wenn sie einen DSAR erhalten.

Organisationen können Anfragen für den  Zugang zu  Daten von einer Vielzahl von Quellen erhalten. Sie können eingereicht werden von:

• jeder betroffenen Person, die unter das einschlägige Datenschutzrecht fällt und deren personenbezogene Daten ein Unternehmen erhoben hat
• den Eltern oder Erziehungsberechtigten eines Kindes, das eine betroffene Person ist
• einem Arbeitnehmer im Namen seines Arbeitgebers oder einem Vertreter im Namen eines Kunden
• einem gerichtlich bestellten Vertreter eines Erwachsenen, der die Angelegenheiten einer anderen Person verwaltet

Solange der Antragsteller seine Identität und sein Recht auf Antragstellung nachweisen kann, ist ein Unternehmen verpflichtet, alle personenbezogenen Daten, die über die betroffene Person gespeichert sind, freizugeben.

In jedem Gesetz ist ein Zeitrahmen für solche Anträge festgelegt. Nach dem CCPA kann eine betroffene Person beispielsweise Daten anfordern, die in den letzten 12 Monaten über sie erhoben wurden. Eine Person kann zum Beispiel keine Daten verlangen, deren Erhebung 10 Jahre zurückliegt. Unternehmen haben in der Regel auch eine bestimmte Zeit, um auf DSARs zu reagieren. Nach dem CCPA beträgt diese 45 Tage, wobei in besonderen Fällen eine Verlängerung möglich ist.

Ein DSAR kann auf verschiedene Weise eingereicht werden. Unternehmen müssen es Betroffenen relativ leicht machen, einen solchen Antrag zu stellen, und zwar über angemessene Kanäle. Das sind in der Regel solche, über die ein Kunde das Unternehmen auch aus anderen Gründen kontaktieren würde. Unternehmen können jedoch nicht verlangen, dass Personen ein Konto anlegen, um einen Antrag zu stellen, wenn noch keines existiert.t. Schriftliche Anfragen sind in der Regel vorzuziehen, da sie eine Aufzeichnung der Anfrage und der Antwort enthalten und leichter vollständig und genau zu beantworten sind. Es gibt jedoch keine bestimmte gesetzlich vorgeschriebene Methode für das Einreichen eines Antrags.

Es gibt auch keine bestimmte Formulierung, die die Antragsteller verwenden müssen. Sie müssen nicht ausdrücklich darauf hinweisen, dass es sich um einen Antrag auf Zugang zu Daten handelt, und auch nicht auf die Rechtsvorschriften verweisen. Eine Anfrage wie „Können Sie mir die Informationen, die Sie über mich gesammelt haben, zukommen lassen?“ ist ebenso zulässig wie ein langer Brief, in dem die einschlägigen Gesetze zitiert werden.

Die Unternehmen müssen mit den für sie relevanten Datenschutzgesetzen vertraut sein. Wie bereits erwähnt, räumt das CCPA eine Frist von 45 Tagen für die Beantwortung ein, während nach der Datenschutz-Grundverordnung eine Antwort innerhalb eines Monats erwartet wird. Wichtig ist auch die häufig enthaltene Formulierung „ohne unangemessene Verzögerung“.

Ein Unternehmen muss antworten, indem es die angeforderten Daten zur Verfügung stellt oder spezifische Gründe angibt, warum mehr Zeit benötigt wird, um die Anfrage zu erfüllen. Gemäß der Datenschutz-Grundverordnung können Unternehmen beispielsweise eine zusätzliche Frist von 60 Tagen in Anspruch nehmen, wenn es sich als schwierig erweist, alle erforderlichen Informationen ausfindig zu machen, aber dies muss in der ersten Antwort klar erläutert werden. Unternehmen dürfen auch nicht wiederholt um eine Verlängerung bitten, bevor sie die angeforderten Daten liefern. Wenn ein Unternehmen zu lange braucht, um auf eine Anfrage zu antworten, riskiert es Bußgelder und Reputationsschäden.

DSAR-Antworten müssen die personenbezogenen Daten der Person enthalten, die sie angefordert hat. Ein Unternehmen ist nicht verpflichtet folgende Angaben vorzulegen:

• Mehr Daten als die angeforderten
• Daten, die die Interaktion der betroffenen Person mit dem Unternehmen betreffen (z. B. interne Kontovermerke)
• Daten, die sich auf eine andere Person beziehen, für die sie nicht der gesetzliche Vormund oder Vertreter sind (dies könnte eine Datenverletzung darstellen)

Mit anderen Worten: Ein DSAR bezieht sich immer auf personenbezogene Daten, z. B. Adressen, Geburtsdaten, medizinische Daten, Kreditwürdigkeit usw. Alles, was potenziell zur Identifizierung von Personen beitragen kann, fällt unter die Kategorie personenbezogene Daten, wobei die Definition von personenbezogenen Daten oder Informationen je nach Gesetz variiert. Unternehmen können Daten, die Teil einer Anfrage sind, schwärzen, wenn sie nicht relevant sind oder deren Aushändigung schlichtweg nicht legal ist , z. B. wenn sie sich auf eine andere Person beziehen.

Es gibt nur zwei zulässige Gründe für Unternehmen, einen DSAR-Antrag abzulehnen: Wenn sie vernünftig argumentieren können, dass der Antrag überzogen oder offensichtlich unbegründet ist. Übermäßig bedeutet nicht, dass der Antrag lästig oder umfangreich ist. Es bedeutet, dass sich der Antrag mit einem anderen Antrag überschneidet und daher überflüssig ist, ohne dass der Antragsteller zusätzliche Informationen erhält.

Eine sich jeden Monat wiederholende Anfrage einer Person über die personenbezogenen Daten, die eine örtliche Bibliothek über sie gespeichert hat, könnte als überzogen angesehen werden. In manchen Fällen ist es nach einigen Gesetzen nicht zulässig, dass eine Person ihre Daten mehr als einmal innerhalb von 12 Monaten von einem Unternehmen anfordert. Die gleiche Häufigkeit kann bei einer großen E-Commerce-Plattform, bei der sich die Daten regelmäßig ändern, jedoch nicht als übertrieben angesehen werden. Es zahlt sich immer aus, die Einhaltung der Vorschriften zu beachten und mit den einschlägigen Datenschutzgesetzen vertraut zu sein.

Ob ein Antrag offensichtlich unbegründet ist, kann oft schwieriger zu beweisen sein. Dies wäre etwa der Fall, wenn ein Unternehmen keine Daten über die betreffende Person besitzt und der DSAR irrtümlich erfolgt, oder wenn die Person spezielle Daten anfordert, die das Unternehmen nicht herausgeben darf., Das könnte z.B. die Krankenakte eines Verwandten sein, für den keine Sorgeberechtigung vorliegt, Eine solche Anfrage könnte ein Unternehmen als unbegründet zurückweisen .

Unternehmen können zudem nicht gegen einen Teil des Gesetzes verstoßen, um einen anderen zu erfüllen, daher empfiehlt es sich, in diesem Bereich einen Rechtsbeistand zu konsultieren, der sich mit dem Datenschutzrecht auskennt.

Viele Organisationen ernennen einen Datenschutzbeauftragten (DSB), um solche Anfragen zu beaufsichtigen, und nach der Datenschutz-Grundverordnung (DSGVO) ist diese Ernennung zum Beispiel für viele Organisationen Pflicht. Dies ist ein guter Weg, um sicherzustellen, dass DSARs rechtzeitig beantwortet und ordnungsgemäß erfüllt werden, und dass der Prozess aufgezeichnet und regelmäßig überprüft wird. Als Mindestvorschrift sollten Unternehmen eine organisierte und überprüfbare Aufzeichnung, z.B. eine Datenbank solcher Anfragen führen, einschließlich der Daten des Eingangs, der ersten Antwort und der endgültigen Erledigung.

Unter Berücksichtigung der Kundenerfahrung ist es empfehlenswert, den Antragstellern so schnell wie möglich eine Antwort zukommen zu lassen. Selbst wenn es sich nur um eine Eingangsbestätigung der Anfrage und ihrer Bearbeitung handelt. In der Folge können dem Kunden dann die angeforderten Daten zugesandt oder er darüber informiert werden, dass die Bearbeitung noch mehr Zeit benötigt. Die Unternehmen dürfen aus der Erfüllung der DSAR keine Gewinne erzielen, und die betroffenen Personen müssen ihre Daten kostenlos zur Verfügung gestellt bekommen.

Ein Unternehmen muss aus Datenschutzgründen die Identität anfragender Personen überprüfen. Es kann zum Beispiel sein, dass der Betreffende von einer anderen E-Mail-Adresse geschrieben hat als der, die das Unternehmen gespeichert hat. Die bloße Überprüfung einer E-Mail-Adresse ist eine schlechte Sicherheitsauthentifizierung, da sie leicht gefälscht werden kann. Ein Unternehmen kann deshalb in seiner ersten Antwort und vor der Übermittlung von Daten Kopien weiterer Identifikationsunterlagen verlangen.

Unternehmen können die angeforderten Daten in Papierform oder elektronische übermitteln. Die Daten sollten nur immer in einem sicheren Format übermittelt werden, z. B. passwortgeschützt oder online über eine App, für die Zugangsdaten erforderlich sind, einsehbar sein. Alles, was per Post verschickt wird, sollte nachverfolgbar sein und eine Unterschrift für die Zustellung erfordern, z. B. durch einen Kurierdienst oder einen Einschreibedienst. Dies bietet eine weitere Datenspur zum Nachweis des Versanddatums und des Versandstatus, für den Fall, dass es eine Beschwerde darüber gibt, dass die Daten nicht angekommen sind.

Große Organisationen, die viele DSAR erhalten, sollten eine Automatisierung des Prozesses in Betracht ziehen, um Ressourcen, Zeit und Kosten zu sparen Es gibt Online-Lieferwerkzeuge, die für die Erfüllung von DSARs entwickelt wurden.

Vorschriften wie die DSGVO und die CCPA stellen strenge und manchmal schwer zu erfüllende Anforderungen an Unternehmen in Bezug auf die Datenverwaltung und die Erfüllung von DSARs. Folgende sind die häufigsten Probleme, auf die Unternehmen stoßen, wenn sie versuchen, auf einen DSAR zu reagieren:

• Die Daten befinden sich an vielen Orten. Die Zusammenführung unterschiedlicher Datenquellen wie Kontodetails, Rechnungsdetails, medizinische Unterlagen etc. aus vielen verschiedenen Abteilungen kann eine Herausforderung sein. Unternehmen müssen möglicherweise in eine bessere Datenzuordnung oder in ein System investieren, das personenbezogene Daten verfolgt und zusammenführt, um die Vorbereitung von DSARs zu beschleunigen. Das kann dazu führen , dass Unternehmen länger brauchen, um Anfragen zu erfüllen.
• Die Daten erfordern eine komplexe Schwärzung. Die manuelle Überprüfung und Schwärzung von Dokumenten kann bisweilen ein mühsamer Prozess sein. Gleiches gilt für das Einholen von Genehmigungen der Geschäftsleitung oder Rechtsabteilung vor der Freigabe potenziell sensibler Daten. Auch hier ist es von Vorteil, wenn alle personenbezogenen Daten der einzelnen Kunden an einem Ort zugänglich sind oder zumindest entsprechend gekennzeichnet oder verknüpft sind, damit ein Unternehmen nicht Dutzende von Dokumenten redigieren muss.
• Die angeforderten Daten sind sehr umfangreich. Wenn ein Bürger einfach nach „allen Daten, die Sie über mich besitzen“ fragt, mag dies zwar vage klingen, stellt aber dennoch eine gültige DSAR dar. Unternehmen sind allerdings nur verpflichtet, personenbezogene Daten herauszugeben. Das trägt dazu bei, die zusammengestellten und übermittelten Daten einzugrenzen. Wie bereits erwähnt, können sich relevante personenbezogene Daten, die aufgenommen werden müssen, an verschiedenen Orten, in verschiedenen Abteilungen und Systemen eines Unternehmens befinden.

Jede Organisation sollte in Zusammenarbeit mit ihrem Rechtsbeistand und dem Datenschutzbeauftragten ihre eigenen Verfahren entwickeln und kommunizieren und auch sicherstellen, dass die gesamte Organisation darüber informiert ist. Hier ein allgemeiner Überblick über den Prozess.

1. Bestätigen Sie die Identität der betroffenen Person und dass das Unternehmen tatsächlich über die angeforderten personenbezogenen Daten verfügt.
2. Klären Sie die Art der Anfrage, wenn sie unklar ist. Denken Sie daran, dass der Anfragende ein Recht darauf hat, dass die von Ihnen gespeicherten Daten korrekt sind, und dass er Änderungen verlangen kann, nachdem er Ihre Antwort geprüft hat. Wenn der Antragsteller eine übermäßige Menge an Daten angefordert hat, z. B. Daten, die nicht personenbezogen sind, oder Daten, die über den gesetzlich vorgeschriebenen Umfang des DSAR hinausgehen, sollte er auch darüber informiert werden.
3. Beantworten Sie den ersten DSAR mit einer schriftlichen Bestätigung und der voraussichtlichen Frist für die Erfüllung. Versprechen Sie nicht zu viel, aber beachten Sie die gesetzlich vorgeschriebenen Fristen.
4. Sammeln und prüfen Sie die angeforderten Daten. Nehmen Sie alle erforderlichen Ausschlüsse und Streichungen vor und lassen Sie das endgültige Ergebnis von einem leitenden Mitarbeiter oder dem Datenschutzbeauftragten überwachen.
5. Formatieren und senden Sie die Daten an die betroffene Person. In dem Schreiben oder der E-Mail sollten auch die Rechte des Empfängers in Bezug auf die Löschung oder Änderung von Daten aufgeführt werden.
6. Vergewissern Sie sich, dass der Versand der Daten sicher und so erfolgt, dass nur der vorgesehene Empfänger darauf zugreifen kann. Das setzt womöglich einen Passwortschutz oder die erforderliche Unterschrift bei der Zustellung voraus. Wenn möglich, sollten Sie sich auch vergewissern, dass der Empfänger das Paket erhalten hat, selbst wenn es eine automatische Zustellungsmitteilung gibt. Vergewissern Sie sich, dass der Empfänger mit dem Datensatz, den er erhalten hat, zufrieden ist, und nehmen Sie alle erforderlichen Änderungen und Aktualisierungen an den angegebenen Daten im Rahmen der einschlägigen Vorschriften vor. Änderungen von Adresse, Telefonnummer und E-Mail-Adresse sind üblich.

Ernennen Sie intern oder extern eine Person als Experten und Beauftragten für Datenschutz, Datenschutzgesetze und Datenmanagement. Diese Person kann auch andere Aufgaben haben, aber die DSARs werden ein wichtiger Teil ihres Aufgabenbereichs sein. Es ist auch eine gute Idee, Stellvertreter oder gleich mehrere Personen für diese Rolle im Unternehmen zu haben. Die Datenschutz-Grundverordnung beschreibt die Rolle und ihre Aufgaben und Verantwortlichkeiten in Kapitel 4, Artikel 37-39.

Erwägen Sie die Investition in ein Daten-Compliance-Tool, das Sie bei der Bearbeitung solcher Anfragen unterstützt. Dies macht den Prozess überprüfbar und schützt vor Strafen bei Nichteinhaltung, ermöglicht die Nachverfolgung von Fristen, bietet eine zentrale Stelle für die Bereitstellung von Daten und zeigt an, wenn Fristen näher rücken. Eine Plattform für die Verwaltung von Einwilligungserklärungen hilft bei der Einhaltung von Vorschriften für Anwendungen und Websites, indem sie zustimmungsbezogene Aktionen und Präferenzen der Nutzer aufzeichnet und mit anderen Webtechnologien zusammenarbeitet, damit diese entsprechend funktionieren.

Unternehmen sollten über eine aufgezeichnete und zugängliche Richtlinie für den Umgang mit solchen Anfragen verfügen, und sie sollte Teil der Schulung für neue Mitarbeiter sein, da Daten im gesamten Unternehmen gespeichert werden können. Eine solche Richtlinie kann einen Unterabschnitt einer allgemeineren Datenschutz- oder Datenverwaltungsrichtlinie bilden.

Personal- und Kundenmanagement Abteilungen verfügen in der Regel über die größte Menge an personenbezogenen Daten. Aber auch Vertrieb, Marketing und IT können relevante Daten verwalten. Erwägen Sie daher die Zentralisierung von Kundendatensätzen und Personalakten, damit DSARs leichter erfüllt werden können, die Daten korrekt und aktuell gehalten oder rechtzeitig gelöscht werden können. Dies erleichtert auch den  Zugriff auf Daten sowie deren bessere Nachverfolgung bei Änderungen.

Die EU-Datenschutzgrundsätze sind ein hilfreicher Leitfaden für den sicheren und angemessenen Umgang mit Daten und lassen sich wie folgt zusammenfassen:

• Rechtmäßigkeit, Fairness und Transparenz – bewahren Sie nur Informationen auf, zu deren Speicherung Sie berechtigt sind und gewähren Sie den betroffenen Personen über DSARs Zugang.
• Zweckbindung – Daten sollten nur für einen bestimmten, angegebenen Zweck erhoben und nur so lange aufbewahrt werden, wie es zur Erfüllung dieses Zwecks erforderlich ist.
• Datenminimierung – Bewahren Sie nur das Minimum an Daten auf, das zur Erfüllung ihrer Funktion erforderlich ist.
• Richtigkeit – Daten müssen auf dem neuesten Stand gehalten und berichtigt werden, wenn sie sich als unrichtig erweisen.
• Speicherbegrenzung – Daten dürfen nur so lange aufbewahrt werden, wie sie benötigt werden. In der Praxis bedeutet das, dass Sie die Daten eines Kunden so lange aufbewahren können, wie Sie ihn realistischerweise auch als Kunden betrachten können.
• Integrität und Vertraulichkeit – Daten müssen sicher aufbewahrt werden und dürfen nicht an Dritte weitergegeben werden, die keinen Zugang zu ihnen benötigen.

Die Konzentration auf bewährte Praktiken ist für Unternehmen langfristig von großem Nutzen, sowohl im Hinblick auf die Einhaltung gesetzlicher Vorschriften und die effiziente Nutzung ihrer Ressourcen als auch im Hinblick auf eine bessere Kundenzufriedenheit.