Javascript is required
logo-dastralogo-dastra

4 wesentliche Schritte zur Verwaltung von Anfragen zur Ausübung von Rechten

Einen effektiven Prozess zur Verwaltung von Anfragen zur Ausübung von Rechten einrichten.

4 wesentliche Schritte zur Verwaltung von Anfragen zur Ausübung von Rechten
Antoine Bidault
Antoine Bidault
30 Januar 2024·15 Lesezeit

Vorwort

Die Ausübung der Rechte ist ein Verfahren, durch das Einzelpersonen die ihnen gemäß der Datenschutz-Grundverordnung (DSGVO) eingeräumten Rechte ausüben können.

Diese Rechte umfassen:

Die von der Datenverarbeitung betroffenen Personen können einen Antrag auf Ausübung dieser Rechte beim verantwortlichen Stellen stellen, der verpflichtet ist, auf ihre Anfrage innerhalb eines Monats zu antworten. Der Antrag auf Ausübung der Rechte ist somit ein wichtiges Instrument, um den Schutz der Privatsphäre und der personenbezogenen Daten der Einzelpersonen zu gewährleisten. Dies erfordert von den Organisationen, sich zu strukturieren, um diese Anfragen effektiv zu sammeln und zu bearbeiten.

Nach der mehrfachen Umsetzung dieses Prozesses in Organisationen haben wir festgestellt, dass es viel komplexer ist, ihn umzusetzen, als es scheint. Wenn Sie keine gute Governance und die richtigen Werkzeuge implementieren, laufen Sie schnell Gefahr, in Probleme von falsch bearbeiteten Anfragen, E-Mail-Rücksprachen und vielen versteckten Kosten, bis hin zu Rechtsstreitigkeiten, zu versinken.

Darüber hinaus ist es eine repetitive Arbeit, die der Organisation kaum oder keinen Mehrwert bringt, abgesehen vielleicht von einem Vertrauensgewinn mit den betroffenen Personen, der nicht unterschätzt werden sollte! Aus diesem Grund ist es wichtig, das Thema gut zu behandeln und die versteckten Kosten zu minimieren.

Die effektive Verwaltung einer Anfrage erfordert die Implementierung eines klaren Prozesses, hier ist das Schema, das den Prozess in vier Schritten zusammenfasst: Funktionsschema

1. Die Sammlung 📩

Dieser erste Schritt besteht darin, alle Anfragen zur Ausübung von Rechten der betroffenen Personen zu sammeln.

Die Sammelmethoden

Dies kann über verschiedene Kanäle erfolgen, wie z.B. E-Mail, ein Online-Formular, einen Chat, Post oder sogar telefonisch. Es ist wichtig, jede Anfrage gut zu identifizieren und sicherzustellen, dass die Person, die die Anfrage gestellt hat, tatsächlich die betroffene Person ist. Tatsächlich ist es wichtig, allen Risiken der Identitätsdiebstahl, von versehentlichen Anfragen usw. zu begegnen.

Welches Mittel wählen?

Mittel Vorteile Nachteile
Sammel-E-Mail-Adresse (z.B. [email protected]) - Einfach einzurichten
- Effektiv bei geringem Anfragevolumen
- Die Identität des Antragstellers wird durch die E-Mail-Adresse vorausgewählt
- Einfachheit		 - Viele versteckte Kosten
- Komplexere Aufgabenverteilung
- Oft unzureichende Qualifizierung der Anfragen
- Oftmals Kontaktaufnahme mit der betroffenen Person erforderlich
- Hohe Spam-Mengen, die Lärm erzeugen
- Der Nachweis wird per E-Mail übertragen, daher liegt es in der Verantwortung des Kunden, die Sicherheit (und das Hosting, wenn das Volumen hoch ist) der Daten zu gewährleisten.
Sammlungsformular kombiniert mit einem Datenschutzportal (Dastra) - Weniger versteckte Kosten
- Klarer Prozess
- Automatisierungsoptionen
- Automatisierte Qualifizierung
- Automatisierte Identitätsvalidierung
- Beseitigung von Spam
- Sicherer Nachweistransfer
- Automatische Archivierung		 - Etwas komplizierter einzurichten (erfordert Integration)
Telefon - Direkter
- Effektiv zur Bearbeitung von Zugriffsanforderungen auf grundlegende Daten in Echtzeit		 - Risiko des Identitätsdiebstahls (erfordert Kombination mit anderen Verifizierungsmethoden)
- Komplexere Handhabung der Antragsqualifizierung
- Erfordert spezielle Tools zur Nachverfolgung von Benutzeranfragen
- Spam
- Unmöglichkeit, zu viele oder komplexe Daten zu übertragen
Post - Zuverlässig
- Funktioniert ohne E-Mail-Adresse des Antragstellers
- Beruhigend
- Erlaubt das physische Versenden von Daten (Festplatten, USB-Stick...)		 - Viele versteckte Kosten
- Erfordert Werkzeuge zur Sicherstellung der Rückverfolgbarkeit und Archivierung der Anfragen
- Ermöglicht nicht die Übermittlung komplexer Daten (json, excel...)

Sie können die Sammelmethoden natürlich innerhalb derselben Organisation diversifizieren. Beispielsweise könnten Sie eine E-Mail für Mitarbeiter und ein Sammelformular für Ihre Interessenten und Kunden auf Ihrer Website bereitstellen. Wichtig ist, dass die Anfragen in einem einzigen System zentralisiert werden.

Welche Informationen anfordern?

Für jede Anfrage zur Ausübung eines Rechts ist es wichtig, sicherzustellen, dass die richtigen Informationen vorhanden sind, um korrekt gemäß den Vorgaben der Regulierung zu antworten.

Die Art der Anfrage: Diese Information ist entscheidend für eine ordnungsgemäße Qualifizierung der Anfrage. Es ist wichtig zu wissen, ob es sich um eine Anfrage zur Löschung, zum Widerspruch, zum Zugriff, zur Information oder zur Portabilität handelt.

Vorname und Nachname: Diese Daten sind notwendig, um die Person zu identifizieren, die die Anfrage gestellt hat, und um sicherzustellen, dass sie mit der Person übereinstimmt, deren Daten im System gespeichert sind. Je nach Art der Anfrage kann diese Information jedoch nicht erforderlich sein. Zum Beispiel im Fall des Widerspruchs gegen die Zusendung von Werbung per E-Mail.

E-Mail-Adresse: Die E-Mail-Adresse ist eine personenbezogene Angabe, die erlaubt, mit der anfragenden Person zu kommunizieren und ihr die gewünschten Informationen zur Verfügung zu stellen. Es ist wichtig sicherzustellen, dass die angegebene E-Mail-Adresse gültig ist. Diese E-Mail wird das bevorzugte Kommunikationsmittel mit der betroffenen Person sein. In einigen Fällen kann dies auch postalisch erfolgen... Aber das wird wahrscheinlich Ihre Kosten erhöhen.

Kundennummer oder interne Identifikation: Diese Information kann angefordert werden, um Ihnen zu helfen, die betroffene Person schnell zu identifizieren, wenn sie bereits Kunde Ihres Unternehmens ist oder eine Identifikationsnummer in Ihrer Organisation hat (z.B. Mitgliedsnummer). Achtung, man sollte sich nicht nur auf diese Information verlassen, um die Person zu identifizieren. Insbesondere, wenn Sie die Information in einer nicht authentifizierten Umgebung sammeln, wird diese Information nur deklarativ sein.

Die Kategorie der betroffenen Person: Dies bezieht sich auf den Typ von Person, die die Anfrage stellt, es könnte ein Kunde, ein Interessent oder ein Mitarbeiter sein... Die Notwendigkeit dieses Feldes wird natürlich von dem Umfang Ihres Dienstes abhängen. Diese Information ist hilfreich, um den Umfang der Daten zu identifizieren, die von der Anfrage betroffen sind.

Zusätzliche Informationen: Dies hängt vom Kontext ab, es kann jedoch nützlich sein, ein freies Feld zu lassen, in dem der Benutzer Einzelheiten zu seiner Anfrage angeben kann. Vielleicht betrifft die Anfrage des Kunden einen bestimmten Dienst. Vielleicht benötigt er nur Zugriff auf einen spezifischen Teil seiner Informationen und nicht auf alle.

In einigen Fällen, wenn die Anfrage ein großes Datenvolumen erfordert (Archivausgabe...), kann dies als komplex betrachtet werden. Dies hat zur Folge, dass sich die Antwortzeiten auf bis zu 3 Monate verlängern.

Zusammenfassend ist es wichtig, personenbezogene Daten legal, transparent und unter Berücksichtigung der Prinzipien der DSGVO zu sammeln. Die gesammelten Daten dürfen nur für den angegebenen Zweck verwendet werden, und die betroffenen Personen müssen ebenfalls über ihre Rechte im Bereich des Datenschutzes informiert werden. Tatsächlich stellt die Verwaltung der Anfragen eine Datenverarbeitung im eigentlichen Sinne dar.

2. Überprüfung der Identität und der Berechtigung der Anfrage 🔍

Bevor Sie sofort mit der Ausführung der Anfrage beginnen, ist es wichtig, die Identität der Person, die die Anfrage gestellt hat, zu überprüfen.

Hier sind einige Gründe für diese Identitätsüberprüfung:

Schutz der personenbezogenen Daten der Person: Der DSGVO verpflichtet Unternehmen und Organisationen, die personenbezogenen Daten von Personen zu schützen. Wenn eine unbefugte dritte Partei auf die personenbezogenen Daten einer Person zugreift, kann dies negative Auswirkungen auf ihre Privatsphäre, ihren Ruf und ihre Rechte haben. Die Überprüfung der Identität stellt sicher, dass die Anfrage tatsächlich von der betroffenen Person stammt, wodurch das Risiko eines unbefugten Zugriffs auf die personenbezogenen Daten vermieden wird.

Betrugsprävention: Die Überprüfung der Identität stellt sicher, dass die Person, die die Anfrage stellt, tatsächlich diejenige ist, die sie vorgibt zu sein. Dies trägt dazu bei, die Risiken von Betrug, Identitätsdiebstahl und anderen kriminellen Aktivitäten zu verringern.

Einhaltung der gesetzlichen Anforderungen: Die DSGVO verpflichtet Unternehmen und Organisationen, Anfragen zur Ausübung von Rechten der Einzelnen so schnell wie möglich und spätestens innerhalb eines Monats zu beantworten. Dieser Zeitraum kann jedoch verlängert werden, wenn die Identitätsüberprüfung der Person notwendig ist. Wenn die Identität der Person nicht überprüft wird, riskieren Unternehmen und Organisationen, ihre gesetzlichen Verpflichtungen zum Datenschutz nicht einzuhalten.

Zusammenfassend ist die Überprüfung der Identität von entscheidender Bedeutung, um die Sicherheit der personenbezogenen Daten von Einzelpersonen zu gewährleisten und die gesetzlichen Verpflichtungen der DSGVO einzuhalten.

Wie können wir Ihnen bei der Überprüfung der Identität einer Person helfen?

  • Senden Sie eine E-Mail mit einem Bestätigungslink
  • Senden Sie einen Code per SMS
  • Fordern Sie einen Ausweis an
  • Überprüfen Sie, ob die E-Mail-Adresse tatsächlich in der Datenbank des Unternehmens existiert

Diese Überprüfung und die genutzten Mittel hängen stark von der Anfrage und den betreffenden Daten ab. Tatsächlich hat die einfache Ablehnung von Werbung per E-Mail nicht die gleiche Sensitivität wie die Anfrage nach Zugang zu einer medizinischen Akte.

Die Mittel müssen daher an die Sensitivität der angeforderten Daten angepasst werden, und zwar in einem risikobasierten Ansatz hinsichtlich der Rechte und Freiheiten der Betroffenen.

3. Bearbeitung der Anfrage ⚙️

Sobald die Anfrage gesammelt und qualifiziert ist, ist es an der Zeit, sie zu bearbeiten. Dies ist der wichtigste und komplexeste Schritt im Prozess. Es kann notwendig sein, zusätzliche Informationen vom Antragsteller anzufordern, um die Anfrage zu klären.

Die Bearbeitung der Anfrage muss so schnell wie möglich und in Übereinstimmung mit den gesetzlichen Anforderungen zum Schutz personenbezogener Daten erfolgen.

Daten kartografieren

Um eine Anfrage effizient zu bearbeiten, ist es sehr empfehlenswert, eine Datenkartierung durchzuführen, wenn Ihr Informationssystem komplex ist und Sie zahlreiche Werkzeuge, Datenbanken oder physische Daten haben. Dies ermöglicht es Ihnen schnell zu wissen, wo die personenbezogenen Daten im System gespeichert sind, wer für das betreffende Asset (Datenhaltung) verantwortlich ist und wie Sie die Anfrage ausführen. Tools wie Dastra ermöglichen es Ihnen, Ihre Datenkartierung einfach mit einer Reihe von vorgefertigten Vorlagen für die am häufigsten verwendeten Software zu führen!

Das Verzeichnis der Verarbeitungstätigkeiten wird hier sehr hilfreich sein, um zu verstehen, wie die Daten in Ihrer Organisation behandelt werden und nichts über Daten und Verwendungszwecke zu übersehen.

Teams befähigen

Schaffen Sie eine gute Governance für die Verwaltung Ihrer Anfragen. Organisieren Sie beispielsweise Ihre Sammlung nach Abteilungen mit einem Verantwortlichen für die eingehenden Anfragen. Diese Verantwortlichen sind dann dafür zuständig, die Aufgaben der Ausführung an die verschiedenen Beteiligten der Anfrage zu delegieren (z.B. Datenbankadministrator (DBA), Chief Data Officer, Entwickler, Fachexperten...). Eine Möglichkeit, den operativen Mitarbeitern gut Aufgaben zu delegieren, besteht darin, während einer Sitzung oder eines Workshops eine RACI-Matrix zu erstellen, die alle am Projekt beteiligten Parteien zusammenbringt.

Eine effektive Governance ist der Schlüssel zum Erfolg bei der effizienten Bearbeitung von Anfragen.

Beweise sammeln

Während dieser Ausführungsphase müssen Sie eine Reihe von Nachweisen für die Bearbeitung dieser Anfrage sammeln und zentralisieren.

Im Fall von Zugriffsanforderungen sollte das Datenformat so klar wie möglich sein, wobei offene und leicht zugängliche Formate wie Excel, CSV, Textdokumente, Bilder usw. im Vordergrund stehen sollten.

Im Falle von Löschanforderungen können in einigen Fällen Screenshots oder Nachweise, die die ordnungsgemäße Löschung der Daten des Kontos des Dienstes belegen, gesendet werden.

Für Portabilitanfragen können technische Formate wie JSON oder XML bevorzugt werden, insbesondere wenn die Daten an eine andere Organisation übertragen werden müssen, die diese Daten verwenden möchte.

Essenziell enthalten diese Nachweise personenbezogene Daten. Es ist von entscheidender Bedeutung, dass die Speicherung dieser Nachweise so sicher wie möglich erfolgt.

4. Kommunikation mit der betroffenen Person 📨

Die Antworten müssen so schnell wie möglich gegeben werden und in einer klaren und verständlichen Form für die betroffene Person bereitgestellt werden. Es ist auch wichtig, präzise und vollständig auf die Anfrage zu antworten, indem alle von der betroffenen Person angeforderten Informationen bereitgestellt werden. Der bevorzugte Kanal wird für diese Art von Anfrage die E-Mail sein.

Vergessen Sie nicht, dass in der Kommunikation nicht nur die Antwort auf die Anfrage enthalten sein muss, sondern auch Klarstellungen über die Verarbeitung der betreffenden Daten. Tatsächlich müssen bei jeder Anfrage auf Daten, zusätzlich zu den Daten, auch die wesentlichen Informationen über die Datenverarbeitung (Zwecke, Kategorien der verarbeiteten Daten, Empfänger, Speicherdauer, Rechte, Übertragungen usw.) zur Verfügung gestellt werden. Diese Informationen sind in der Regel in Ihrer Datenschutzrichtlinie oder in der Information enthalten, die bei der Datenerhebung bei den Personen bereitgestellt wird.

Aufbewahrungsfristen der Anfragen

Achtung, wenn der Verantwortliche der Verarbeitung einer Anfrage zur Ausübung der Rechte nicht nachkommt, können die betroffenen Personen eine Beschwerde bei der Aufsichtsbehörde einreichen und rechtliche Schritte einleiten. Die Organisation ist daher sowohl einer Kontrolle durch die Behörde als auch einer Sanktion ausgesetzt. Daher ist es wichtig, ein Verzeichnis aller bearbeiteten Anfragen zu führen und die Verfahren zu dokumentieren.

Darüber hinaus stellt die Bearbeitung von Anfragen eine Verarbeitung personenbezogener Daten dar, die erfordert, dass die Daten für die Zeit aufbewahrt werden, die zur Durchführung der Anfragen erforderlich ist.

Hinsichtlich der Aufbewahrungsfristen der Anfragen:

Die Fristen müssen verantwortungsvoll festgelegt werden, gemäß den gegebenenfalls geltenden Verjährungsfristen. Folgende Fristen können daher empfohlen werden:

  • 5 Jahre ab dem Ende des Kalenderjahres Ihrer Anfrage.
  • 1 Jahr für die Kopie Ihres Ausweises, falls dieser angefordert wurde. (Achtung, in einer Entscheidung von 2020 hat die CNIL entschieden, dass Ausweiskopien nach der Überprüfung nicht mehr aufbewahrt werden dürfen.)
  • 6 Jahre im Falle der Ausübung Ihres Widerspruchsrechts.

Die Aufbewahrung der Elemente muss sorgfältig analysiert werden. Es ist notwendig, die aufbewahrten Daten nur zu dem Zweck zu minimieren, Beweise zu sichern.

Je nach Sensitivität der Daten und der Verarbeitung kann es notwendig sein, mehr Informationen aufzubewahren. Tatsächlich kann die Übertragung von Daten aus einer medizinischen Akte oder von äußerst sensiblen Daten erfordern, dass mehr Beweise aufbewahrt werden als im Fall der Löschung eines Kundenkontos bei einem Handelsunternehmen. In jedem Fall muss dies gerechtfertigt sein.

Fazit

Wir haben die folgenden Erkenntnisse aus der Implementierung dieser Analyse gewonnen:

Zahlreiche versteckte Kosten

Wenn Sie nicht mit einem Werkzeug zur Automatisierung von Anfragen ausgestattet sind, werden Sie sich sehr schnell in einem komplexen Prozess mit einem gemeinsamen E-Mail-System wiederfinden.

Die meisten Unternehmen verwenden heutzutage gemeinsame E-Mail-Adressen wie [email protected], privacy@...). Dies ist ein System, das mit einer guten Governance und einer geringen Datenmenge gut funktionieren kann. Aber sehr schnell, wenn das Anfragevolumen steigt, werden Sie feststellen, dass die versteckten Kosten einer Anfrage explodieren: zahlreiche Rücksprachen zwischen den Beteiligten, fehlende Rückverfolgbarkeit, Zentralisierung der Nachweise in einem Drive... Obwohl dies nicht die interne Organisation ersetzt, wird ein Werkzeug Ihnen helfen, den Prozess zu skalieren und zu strukturieren, indem es die Anfragen mit ihren Nachweisen zentralisiert und die Verantwortlichkeiten an die Benutzer delegiert.

Hier ist ein Überblick über die Verwaltungsoberfläche einer Anfrage zur Ausübung eines Rechts in Dastra: image.png

Automatisieren!

Mit Dastra können Sie den gesamten Prozess von der Sammlung, Validierung der Identität, Bearbeitung und sogar der Kommunikation automatisieren. Ohne in Übertechnologie zu verfallen, können Sie ein No-Code-Sammelformular einrichten, das es Ihnen ermöglicht, die Identität des Antragstellers automatisch zu überprüfen und die Antragstellung perfekt zu qualifizieren. Ein System wird es Ihnen auch ermöglichen, die Anfragen automatisch an die verschiedenen Verantwortlichen für die Datenbanken zu verteilen.

So können Sie die Verwaltung der Anfragen zur Ausübung von Rechten auf Autopilot umschalten. All dies wird Ihnen Zeit sparen, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

Lust, mehr zu erfahren?

Abonnieren Sie unseren Newsletter

Wir werden Ihnen einige E-Mails senden, um Sie über unsere Neuigkeiten und die Neuerungen unserer Lösung auf dem Laufenden zu halten.

* Sie können sich jederzeit von jedem Newsletter abmelden.