Crashkurs Teil 1: Betroffenenanfragen

Kurz gesagt: Unter einer Betroffenenanfrage (DSR) versteht man die Anfrage einer Person (der betroffenen Person) nach Informationen über sich selbst, die bei einer Organisation oder einem Unternehmen (dem Datenverantwortlichen) gespeichert sind und den einschlägigen Datenschutzgesetzen unterliegen. Betroffenenanfragen können viel Zeit und Mühe kosten, wenn sie manuell bearbeitet werden - warum also nicht automatisieren?

Was ist eine Betroffenenanfrage?

Fast alle Organisationen, die personenbezogene Daten verarbeiten, werden an einem gewissen Punkt Betroffenenanfragen von Einzelpersonen erhalten. Aber was genau ist eine Betroffenenanfrage und welche verschiedenen Arten von Betroffenenanfragen gibt es? In diesem Blog-Beitrag erfahren Sie, was Sie über Betroffenenanfragen wissen müssen, unter anderem was diese sind, wann Sie darauf reagieren sollten und wie Sie diese am effizientesten beantworten können (Tipp: Genau diese und weitere Schritte umfasst die Automatisierung Ihrer Datenschutzprozesse mit Kertos).

Unter einer Betroffenenanfrage versteht man die Anfrage einer Person (der betroffenen Person) nach Informationen über sich selbst, die bei einer Organisation oder einem Unternehmen (dem Datenverantwortlichen) gespeichert sind und den einschlägigen Datenschutzgesetzen unterliegen. Eine Betroffenenanfrage kann für jede Art an Information gestellt werden, die eine Organisation über eine Person besitzt, einschließlich ihres Namens, ihrer Kontaktangaben und ihrer IP-Adresse. In der EU gibt die DSGVO (Datenschutzgrundverordnung) Einzelpersonen das Recht, eine solche Anfrage zu stellen, woraufhin Unternehmen einen Monat Zeit haben, darauf zu reagieren. Weitere Datenschutzgesetze sind beispielsweise das CCPA (relevant in Kalifornien) und das LPGA (relevant in Brasilien).

‍

Welche verschiedenen Arten von Betroffenenanfragen gibt es?

Kertos unterstützt diverse Arten von Betroffenenanfragen gemäß DSGVO. Darunter: Auskunft, Löschung, Berichtigung und Einschränkung. Einige Anfragearten sind intuitiv, andere bedürfen etwas mehr Erklärung – in den folgenden Abschnitten werden alle Arten von Betroffenenanfragen detailliert beschrieben:

Auskunft

Art. 15 DSGVO: „Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob betreffende personenbezogene Daten verarbeitet werden.“

Im Wesentlichen garantiert das Recht auf Auskunft, dass eine Person, deren Daten verarbeitet werden, unter anderem sehen kann, welche personenbezogenen Daten von ihr verarbeitet werden. Neben dem Recht auf Zugang zu den personenbezogenen Daten hat die betroffene Person auch das Recht zu erfahren,

• warum die Daten verarbeitet wurden
• welche Kategorien an personenbezogenen Daten gesammelt wurden
• an wen die Daten sonst noch weitergegeben wurden, insbesondere Empfänger in Drittländern oder internationale Organisationen, wie z.B. multinationale Unternehmen
• wie lange die personenbezogenen Daten gespeichert werden
• woher die Organisation oder das Unternehmen die Daten der Person erhalten hat, wenn die Daten ursprünglich nicht von der Person bereitgestellt wurden
• ob auf der Grundlage der erhobenen Daten automatisierte Entscheidungsfindungen (z. B. Profiling) durchgeführt wurden

Löschung  

Art. 17 DSGVO: „Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass die betroffenen personenbezogenen Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen.“  

Das Recht auf Löschung (auch „Recht auf Vergessenwerden“) ist ziemlich geradlinig - eine betroffene Person hat das Recht, dass ihre personenbezogenen Daten ohne unangemessene Verzögerung gelöscht werden. Was genau ist eine unangemessene Verzögerung? Nach der DSGVO haben Unternehmen 30 Tage Zeit, um Ihre Daten zu löschen, es sei denn der Vorgang wird durch andere Faktoren erschwert. Nach dem CCPA haben Unternehmen eine Frist von 45 Tagen, um einen Löschantrag zu bearbeiten.

Bei Kertos stellen wir fest, dass Löschanträge die häufigste Art von DSGVO-Anfragen sind, weshalb es keine Zeit für Verzögerungen ist - 30 Tage können schnell vergehen, wenn Ihre Datenschutzprozesse manuell und anfällig für menschliche Fehler sind.  

Berichtigung

Art. 16 DSGVO: „Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.“

Mit dem Recht auf Berichtigung kann eine Person sicherstellen, dass die personenbezogenen Daten, die ein Unternehmen oder eine Organisation über sie speichert, richtig sind. Diese Art von Betroffenenanfrage steht in direktem Zusammenhang mit den Grundprinzipien der Datenverarbeitung der DSGVO (Art. 5(d)), wonach personenbezogene Daten "sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein“ müssen.

Einschränkung

Art. 18 DSGVO: „Die betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen.“

Um das Recht auf Einschränkung der Verarbeitung geltend machen zu können, muss eine der folgenden Bedingungen erfüllt sein:  

• Die Richtigkeit der personenbezogenen Daten wurde von der betroffenen Person angefochten
• Die Verarbeitung der Daten erfolgt unrechtmäßig, und die betroffene Person wünscht anstelle einer vollständigen Löschung eine Einschränkung der Verarbeitung der Daten
• Das Unternehmen oder die Organisation benötigt die personenbezogenen Daten nicht mehr für die ursprünglichen Zwecke, für die sie erhoben wurden, muss die Daten aber für die Verwendung in Gerichtsverfahren aufbewahren.

‍

Wie geht man am besten mit Betroffenenanfragen um?

Bislang wurden laut öffentlicher Angaben im Jahr 2022 über 500 Millionen Dollar an Bußgeldern nach der DSGVO verhängt, was zeigt, wie wichtig ein sorgfältiger Umgang mit Betroffenenanfragen ist. Wenn es um die Beantwortung von Betroffenenanfragen geht, müssen Sie über einen klaren Prozess verfügen, der ein entsprechendes Workflow-Management beinhaltet, und sicherstellen, dass jeder in Ihrem Team über diesen Prozess Bescheid weiß. Darüber hinaus müssen Sie darauf vorbereitet sein, alle Informationen, um die der einzelne Antragsteller bittet, rechtzeitig zur Verfügung zu stellen - nach der DSGVO ist "rechtzeitig" im allgemeinen Sinne definiert als 30 Tage oder weniger.  

Die Daten in einem Unternehmen sind häufig über eine Vielzahl an Quellen verstreut, so dass es schwierig und zeitaufwändig ist, Betroffenenanfragen innerhalb der von der DSGVO vorgegebenen Fristen manuell zu bearbeiten. An dieser Stelle kommt Kertos ins Spiel.

‍

Wie kann Kertos helfen?

Die Beantwortung von Kundenanfragen, die Verwaltung des Verfahrensverzeichnisses und die Überwachung personenbezogener Daten sind zeitaufwändige manuelle Prozesse. Kertos automatisiert diese Anforderungen systemübergreifend, identifiziert nicht erfasste Verarbeitungsvorgänge und entlastet Mitarbeitende. Was früher Tage und Wochen dauerte, erledigt Kertos für alle Beteiligten in Sekundenschnelle - vollautomatisch, ohne menschliche Eingriffe und Fehler.

Sind Sie bereit, Ihre Datenschutzprozesse zu automatisieren oder wollen Sie mehr erfahren? Kontaktieren Sie unser Expertenteam und wir rüsten Sie auf!