Verständnis von Anträgen auf Zugang zu Daten (DSARs)

Mit einem Antrag auf Auskunft über die Daten der betroffenen Person (Data Subject Access Request, DSAR ) können Personen ihre Rechte wahrnehmen und erfahren, welche Informationen eine Organisation über sie gespeichert hat und wie die Organisation diese Informationen verwendet. 

Der DSAR ist das Verfahren zur Ausübung des Auskunftsrechts - einEckpfeiler des Datenschutzes gemäß der Datenschutz-Grundverordnung (DSGVO) und vieler anderer Gesetze weltweit.

DSARs sind zwar ein grundlegender Bestandteil der Einhaltung von Datenschutzbestimmungen, können aber auch eine große Herausforderung für Organisationen jeder Größe darstellen. Ihre Reaktion auf DSARs kann sich auf den Ruf Ihres Unternehmens auswirken - und ein schlechtes DSAR-Management kann zu erheblichen rechtlichen Problemen führen.

Dieser Artikel erläutert die Funktionsweise von DSARs, gibt Beispiele für die Beantwortung von DSARs und enthält einige Tipps für einen effizienten und rechtskonformen Umgang mit DSARs.

Was ist ein Antrag auf Zugang zu personenbezogenen Daten (DSAR)?

Ein DSAR ermöglicht es den Menschen herauszufinden, welche personenbezogenen Daten eine Organisation über sie besitzt, warum die Organisation die Daten hat, woher sie sie hat und mit wem sie sie teilt. DSARs helfen, die Rechte der Menschen auf Datenschutz und Privatsphäre zu wahren, indem sie für mehr Transparenz und Verantwortlichkeit sorgen.

Wenn Sie planen, personenbezogene Daten zu erheben oder zu verwenden, sollten Sie immer daran denken, dass die Betroffenen das Recht haben, genau zu erfahren, welche Daten Sie erhoben haben und wofür Sie sie verwenden.

Wenn DSARs falsch gehandhabt werden , kann dies zu ernsthaften Problemen führen. Schlecht gehandhabte DSARs sind durchweg einer der häufigsten Beschwerdepunkte im Zusammenhang mit der DSGVO und können zu Rufschädigung, Geldstrafen und sogar Klagen führen.

Doch wenn Sie DSARs richtig angehen , kann Ihr Unternehmen Vertrauen bei seinen Kunden aufbauen. Wenn Sie gute Datenschutzpraktiken eingeführt haben, ist ein DSAR eine Gelegenheit, Ihren Kunden zu zeigen, dass Sie ihre Rechte respektieren und sich gut um ihre Daten kümmern.

Hauptbestandteile eines Antrags auf Datenzugang für Betroffene

Im Großen und Ganzen berechtigt eine DSAR eine betroffene Person zu zwei Dingen:

1. eine Kopie ihrer persönlichen Daten und
2. Informationen darüber, wie der für die Verarbeitung Verantwortliche ihre personenbezogenen Daten verarbeitet.

Falls Sie mit einigen dieser Begriffe nicht vertraut sind:

• "Personenbezogene Daten" sind alle Informationen, die sich auf eine identifizierbare Person beziehen.
• "Verarbeiten" von personenbezogenen Daten bedeutet, sie zu sammeln, weiterzugeben oder auf andere Weise zu verwenden, und zwar in praktisch jeder Form,
• Eine "betroffene Person" ist die Person, auf die sich die personenbezogenen Daten beziehen.
• Der "für die Verarbeitung Verantwortliche" ist die Organisation, die beschlossen hat, die personenbezogenen Daten zu verarbeiten.

Artikel 15 der Datenschutz-Grundverordnung legt fest, welche Art von Informationen eine Organisation als Antwort auf eine DSAR bereitstellen muss , einschließlich:

• Eine Kopie der persönlichen Daten die Sie über sie verarbeiten. Dies kann viele Arten von Informationen umfassen, darunter: etwas Text
  • Direkte Identifikatoren, wie der Name der betroffenen Person oder Kontaktinformationen
  • Eindeutige IDs, wie eine Kundennummer, ein Benutzername oder ein staatlich ausgestellter Ausweis
  • Informationen über die Eigenschaften oder das Verhalten der Person, wie z. B. Gesundheitsdaten, demografische Daten oder der Browserverlauf
  • Technische Informationen, wie Cookie-Daten, Zielgruppensegmente oder Geräte- und Werbe-IDs

• Informationen über wie Sie ihre personenbezogenen Daten verarbeiten:etwas Text
  • Ihre Zwecke für die Verarbeitung der Daten
  • Welche Arten von personenbezogenen Daten Sie verarbeiten
  • Alle Empfänger, denen Sie die Daten mitgeteilt haben
  • Wie lange Sie die Daten aufbewahren werden
  • Die Rechte der betroffenen Person nach der Datenschutz-Grundverordnung
  • Das Recht der betroffenen Person, sich bei einer Datenschutzbehörde zu beschweren
  • Woher Sie die Daten erhalten haben
  • Informationen zur "automatisierten Entscheidungsfindung" gemäß Artikel 22 der DSGVO (falls zutreffend)
  • Informationen über "internationale Datenübermittlungen" (falls zutreffend)

Sie müssen nicht jedes Mal alle diese Informationen bereitstellen, aber wenn die betroffene Person etwas aus dieser Liste anfordert, müssen Sie es bereitstellen , es sei denn, es liegt eine Ausnahme vor.

Beispiel: DSAR an ein Startup-Unternehmen für mobile Anwendungen übermittelt

MuscleTrack, ein Startup für Fitness-Apps, erhält eine E-Mail von Anna, einer Nutzerin der App.

Die E-Mail geht bei der Vertriebsabteilung von MuscleTrack ein und lautet: "Hallo, ich habe einen Nachrichtenartikel über Fitness-Tracker gelesen, die Gesundheitsdaten von Menschen verkaufen. Bitte eine Kopie aller von FitTrack gesammelten Daten und teilen Sie mir mit, an wen Sie mit wem Sie die Daten geteilt haben". Anna gibt auch ihren Benutzernamen an.

Obwohl in der E-Mail die DSGVO nicht erwähnt wird, erkennt der Vertriebsmitarbeiter von MuscleTrack die E-Mail als DSAR und leitet sie an die Rechtsabteilung des Unternehmens weiter. MuscleTrack verfügt zwar über ein spezielles DSAR-Anfrageportal in der App, aber das Rechtsteam nimmt die DSAR per E-Mail entgegen.

Der DSAR kommt von einer E-Mail-Adresse, die mit Annas Konto verknüpft ist, und enthält ihren Benutzernamen, so dass die Rechtsabteilung sicher ist, dass der Antrag nicht betrügerisch ist. 

Die Rechtsabteilung antwortet Anna, bestätigt den Umfang von Annas Anfrage und gibt einen Zeitrahmen für die Erledigung ihres DSAR an.

Die Rechtsabteilung eröffnet einen neuen Fall in einem internen DSAR-Tracker , um Annas Antrag zu verfolgen. Sie kontaktiert Kollegen in anderen relevanten Abteilungen, um die personenbezogenen Daten zu sammeln. Sobald die Daten zusammengetragen sind, überprüft die Rechtsabteilung sie und entfernt alle Hinweise auf andere betroffene Personen.

Die personenbezogenen Daten werden auf eine sichere File-Sharing-Plattform hochgeladen. Die Rechtsabteilung sendet Anna einen eingeschränkten Link zur Plattform, damit sie auf ihre personenbezogenen Daten zugreifen kann. Sie aktualisieren den internen DSAR-Tracker von MuscleTrack und schließen den Fall einen Monat nach dem letzten Kontakt mit der betroffenen Person ab.

Wann und warum sollte ein DSAR eingereicht werden?

In Erwägungsgrund 63 der DSGVO heißt es, dass DSAR die betroffene Person in die Lage versetzen, "sich von der Rechtmäßigkeit der Verarbeitung zu überzeugen und diese zu überprüfen". Mit anderen Worten: Der Zweck einer DSAR besteht darin, dass die betroffene Person überprüfen kann, ob der für die Verarbeitung Verantwortliche etwas Illegales mit ihren personenbezogenen Daten tut.

Aber ist die "Überprüfung der Rechtmäßigkeit der Verarbeitung" der einzige gültige Grund für die Übermittlung einer DSAR? Diese Frage wurde vom Gerichtshof der Europäischen Union (EuGH) im Oktober 2023 in der Rechtssache FT gegen DW geklärt.

Der Antragsteller FT reichte bei seinem Zahnarzt DW eine DSAR ein, weil er vermutete, dass seine Zähne durch eine schlechte Zahnbehandlung beschädigt worden waren. DW sagte, dass diese Meldung ungültig sei , weil er glaubte, dass FT Beweise für ein Gerichtsverfahren sammelte und nicht die Rechtmäßigkeit der Datenverarbeitung überprüfte, wie in Erwägungsgrund 63 festgelegt.

Das Gericht stellte sich auf die Seite des Patienten. In dem Urteil wird erklärt, dass die DSGVO die Gründe für die Einreichung einer DSAR nicht einschränkt. In der Tatverlangtdie DSGVO "nicht, dass die betroffene Person ihren Antrag begründet". 

Eine Person kann jederzeit einen DSAR einreichen, und es gibt viele mögliche Gründe dafür, z. B:

• zu erfahren, welche personenbezogenen Daten ein für die Verarbeitung Verantwortlicher über sie gesammelt hat
• Sicherstellen, dass die personenbezogenen Daten korrekt sind
• Herausfinden, woher der für die Verarbeitung Verantwortliche die personenbezogenen Daten hat

Es gibt jedoch auch triftige Gründe für einen für die Verarbeitung Verantwortlichen, die Erfüllung einer DSAR zu verweigern, wie wir weiter unten erläutern werden.

Schritt-für-Schritt-Anleitung zur Einreichung eines DSAR

Betrachten wir nun das DSAR-Verfahren aus der Sicht der betroffenen Person. 

Die Datenschutz-Grundverordnung verlangt von der betroffenen Person während des DSAR-Verfahrens nur sehr wenig. 

• Es gibt keine Frist für die Einreichung eines Antrags.
• Praktisch alle personenbezogenen Daten fallen in den Anwendungsbereich. Der für die Verarbeitung Verantwortliche muss alle angeforderten Daten, die er besitzt, zur Verfügung stellen, wobei es einige Ausnahmen gibt.
• Die betroffene Person kann eine DSAR über praktisch jedes Medium einreichen, sei es persönlich , per E-Mail, über soziale Medien, per Post oder per Telefon. Der für die Verarbeitung Verantwortliche kann ein DSAR-Formular zur Verfügung stellen, kann die betroffenen Personen aber nicht dazu zwingen, es zu verwenden.

Im Folgenden finden Sie einige Möglichkeiten, wie betroffene Personen den für die Verarbeitung Verantwortlichen helfen können, die angeforderten personenbezogenen Daten erfolgreich bereitzustellen:

• Seien Sie so spezifisch wie möglich. Einem für die Verarbeitung Verantwortlichen wird es viel leichter fallen, eine Anfrage wie "Bitte stellen Sie eine Kopie der Direktnachrichten bereit, die am 18. Januar 2025 von meinem Konto aus gesendet wurden" als "Bitte stellen Sie alle meine personenbezogenen Daten bereit" zu bearbeiten. Die letztere Anfrage ist zwar wahrscheinlich gültig, könnte aber viel länger dauern, bis sie erfüllt ist.
• Seien Sie bereit, sich auszuweisen. Die für die Verarbeitung Verantwortlichen müssen sicher sein, dass sie personenbezogene Daten an die richtige Person weitergeben. Zwar sollte der für die Verarbeitung Verantwortliche versuchen, eine betroffene Person anhand der ihm bereits vorliegenden personenbezogenen Daten zu überprüfen, doch ist manchmal eine zusätzliche Überprüfung der Identität erforderlich.
• Seien Sie höflich. Die Bearbeitung eines DSAR kann schwierig sein. Die Kontrolleure können Anträge unter bestimmten Bedingungen ablehnen. Höfliches und kooperatives Verhalten kann dazu beitragen, dass der Antrag erfolgreich bearbeitet wird.

Wie Organisationen auf einen DSAR reagieren sollten

Betrachten wir nun die einzelnen Phasen des DSAR-Prozesses aus der Sicht des Controllers.

Erkennen eines DSAR

Nur wenige Menschen wissen, was eine DSAR ist oder verstehen ihre Rechte nach der DSGVO. Daher muss die betroffene Person keine Begriffe wie "DSAR", "Zugang" oder sogar "personenbezogene Daten" verwenden, wenn sie einen DSAR einreicht.

Wie bereits erwähnt, können DSARs über jedes Kommunikationsmittel eintreffen, so dass jeder Ihrer Mitarbeiter eine erhalten kann. Das ist ein Grund, warum Datenschutzbewusstsein und -schulungen für alle Organisationen wichtig sind.

Wenn Sie verstehen, dass die betroffene Person Zugang zu ihren personenbezogenen Daten wünscht, müssen Sie den Antrag als DSAR behandeln. Wenn der Antrag unklar ist, können Sie die betroffene Person bitten, ihn zu erläutern. Ignorieren Sie jedoch nicht einen Antrag, weil die betroffene Person nicht die "richtige" Sprache verwendet.

Überprüfung der Identität der betroffenen Person

Die Datenschutz-Grundverordnung besagt, dass Sie bei "begründeten Zweifeln" zusätzliche Informationen anfordern können, um die Identität der betroffenen Person zu überprüfen. Dieser Teil des DSAR-Verfahrens kann überraschend knifflig sein.

Wenn Sie die Identität der betroffenen Person nicht überprüfen, riskieren Sie, dass Menschen einem Identitätsbetrug ausgesetzt werden. Die Erhebung unnötiger Daten zur Überprüfung verstößt jedoch gegen den in der DSGVO verankerten Grundsatz der Datenminimierung und kann Menschen davon abhalten, ihre Rechte wahrzunehmen.

Im Jahr 2022 wurde ein niederländisches Unternehmen zu einer Geldstrafe in Höhe von 525 000 Euro verurteilt, weil es von den Betroffenen die Vorlage von Ausweisdokumenten verlangte , um Zugang zu relativ risikoarmen Daten wie Namen und E-Mail-Adressen zu erhalten.

Andererseits verhängte die spanische Aufsichtsbehörde einmal eine Geldstrafe in Höhe von 25 000 Euro gegen eine Bank, die den umgekehrten Fehler begangen hatte, nämlichpersonenbezogene Daten an die falsche Person weiter zugeben, nachdem sie die Identität der betroffenen Person nicht überprüft hatte.

Im Folgenden finden Sie einige Tipps zur DSAR-Prüfung, die Ihnen helfen, das richtige Gleichgewicht zu finden:

• Bedenken Sie die potenziellen Risiken , die sich aus der Weitergabe der relevanten personenbezogenen Daten an die falsche Person ergeben. Je sensibler die angeforderten personenbezogenen Daten sind, desto strenger sollte Ihr Überprüfungsverfahren sein.
• Denken Sie daran, dass Sie nur dann zusätzliche personenbezogene Daten zur Überprüfung verlangen sollten , wenn dies "notwendig" ist und wenn Sie "begründete Zweifel" an der Identität der betroffenen Person haben.
• Möglicherweise können Sie die Identität der betroffenen Person überprüfen durch personenbezogene Daten, über die Ihr Unternehmen bereits verfügt. Als Teil des Überprüfungsprozesses könnten Sie die betroffene Person auffordern:einen Text
  • Verwenden Sie ein Webformular oder ein Portal, das nur über ihr Konto zugänglich ist,
  • ihren DSAR über eine mit ihrem Konto verknüpfte E-Mail-Adresse einreichen, oder
  • Bestätigen Sie die Details der letzten Einkäufe bei Ihrem Unternehmen oder andere Kontoaktivitäten.

Überprüfung des Antrags

Sobald Sie eine DSAR erhalten und die Identität der betroffenen Person überprüft haben (falls erforderlich), müssen Sie sicherstellen, dass Sie verstehen, nach welchen personenbezogenen Daten die betroffene Person sucht.

Wenn die Anfrage unklar ist, können Sie die betroffene Person bitten, sie zu präzisieren. Wenn die Anfrage eine sehr große Menge personenbezogener Daten ergeben würde, können Sie die betroffene Person bitten, die Anfrage einzugrenzen, z. B. indem Sie die DSAR auf einen bestimmten Zeitraum oder eine bestimmte Art von personenbezogenen Daten beschränken.

Die britische Datenschutzbehörde ICO (Information Commissioner's Office) weist jedoch darauf hin: 

"...Sie können eine Person nicht dazu zwingen, den Umfang ihrer Anfrage einzuschränkenda sie immer noch das Recht hat, "alle Informationen, die Sie über sie haben", zu verlangen. Wenn eine Person Ihnen antwortet und entweder ihre Anfrage wiederholt oder sich weigert, zusätzliche Informationen zur Verfügung zu stellen, müssen Sie ihrer Anfrage trotzdem nachkommen, indem Sie in angemessener Weise nach den Informationen suchen."

Daher dürfen Sie die betroffene Person nicht dazu drängen, ihren Antrag einzuschränken. Das Auskunftsrecht ist umfassend und gibt der betroffenen Person theoretisch Anspruch auf alle personenbezogenen Daten, die Sie über sie verarbeiten.

Erfassung der personenbezogenen Daten

Die Erfassung der personenbezogenen Daten, die zur Erfüllung einer DSAR erforderlich sind, kann je nach Komplexität der Anfrage und der Menge der personenbezogenen Daten Minuten oder Monate dauern.

Hier sind einige Beispiele für schwierige DSARs, die wahrscheinlich gültig sind,deren Bearbeitung aberviele Ressourcen erfordern könnte:

• Ein ehemaliger Mitarbeiter verlangt Kopien aller E-Mails, Chat-Nachrichten und Dokumente, in denen sein Name erwähnt wird.
• Eine schutzbedürftige Person fordert alle über sie gespeicherten Informationen aus mehreren öffentlichen Diensten an, von denen einige in Papierakten archiviert sind.
• Ein abgelehnter Kreditantragsteller fordert alle persönlichen Daten an, die zur Kreditentscheidung beigetragen haben, sowie Informationen über die Logik des Kreditbewertungsalgorithmus.

Wenn Sie personenbezogene Daten für einen DSAR erheben, denken Sie daran, dass die Definition von "personenbezogenen Daten" sehr weit gefasst ist. Sie umfasst alles, was es Ihnen ermöglicht, die betroffene Person zu identifizieren (auch in Kombination mit anderen personenbezogenen Daten, die Ihrer Organisation zugänglich sind).

Eine solide Grundlage für die Erleichterung von DSAR ist eine solide Data-Governance-Praxis . Der Abruf personenbezogener Daten ist viel einfacher, wenn die Daten Ihres Unternehmens gut organisiert und zugänglich sind, Sie die Anzahl der von Ihren Mitarbeitern verwendeten Softwareanwendungen begrenzen und von der Verwendung persönlicher Geräte abraten.

An einem DSAR können viele verschiedene Teams und Abteilungen in Ihrer Organisation beteiligt sein. Wenn Ihr Unternehmen regelmäßig DSARs erhält, sollten Sie ein Verfahren für die Kommunikation zwischen den Abteilungen und die Zusammenarbeit einführen.

Spezialisierte Unternehmenssoftware kann bei der Verfolgung und Verwaltung des DSAR-Prozesses helfen, indem sie mit gängigen E-Mail-, Instant-Messaging- und Cloud-Speicher-Apps integriert wird, um den Abruf persönlicher Daten zu erleichtern.

Entfernen von Daten über andere Personen

Einer der zeitaufwändigsten Aspekte bei der Beantwortung eines DSAR ist die Entfernung personenbezogener Daten über andere Personen als den Antragsteller.

Artikel 15 (4) besagt, dass die für die Verarbeitung Verantwortlichen bei der Beantwortung eines DSAR "die Rechte und Freiheiten anderernichtbeeinträchtigen" dürfen. Dies bedeutet, dass die Antwort im Allgemeinen keine personenbezogenen Daten über andere Personen enthalten sollte.

Wenn die betroffene Person beispielsweise Kopien von E-Mails angefordert hat , die Namen oder personenbezogene Daten anderer Personen enthalten , sollten Sie die E-Mails so redigieren , dass sie nur personenbezogene Daten über den Anfragenden enthalten.

Diese Frage wird in den nationalen Gesetzen einiger Länder weiter behandelt. Das britische Datenschutzgesetz 2018 besagt beispielsweise, dass Sie personenbezogene Daten über eine andere Person als Reaktion auf eine DSAR nur dann offenlegen dürfen, wenn:

• Die andere Person hat der Offenlegung zugestimmt; oder
• Es ist vertretbar, dem Ersuchen ohne die Zustimmung der betreffenden Person nachzukommen.

Der sicherste Ansatz ist in der Regel die Schwärzung der personenbezogenen Daten Dritter mit einer sicheren, nicht umkehrbaren Schwärzungsmethode.

Übermittlung der personenbezogenen Daten

Die Datenschutz-Grundverordnung enthält nicht viele feste Regeln darüber, wie personenbezogene Daten beim Ausfüllen eines DSAR zu übermitteln sind.

Artikel 12 (1) besagt, dass die für die Verarbeitung Verantwortlichen die angeforderten personenbezogenen Daten bereitstellen müssen: 

• "Schriftlich", 
• gegebenenfalls durch "elektronische Mittel" oder 
• "Mündlich", auf Antrag der betroffenen Person, wenn sie ihre Identität "auf andere Weise" nachgewiesen hat.

In Erwägungsgrund 63 heißt es, dass der für die Verarbeitung Verantwortliche "soweit möglich" die personenbezogenen Daten übermitteln sollte, indem er der betroffenen Person "Fernzugang zu einem sicheren System" gewährt. Ziehen Sie also in Betracht, personenbezogene Daten über eine verschlüsselte File-Sharing-Plattform zu übermitteln.

Wenn Sie die angeforderten personenbezogenen Daten per E-Mail übermitteln müssen, sollten Sie passwortgeschützte Anhänge verwenden und das Passwort in einer separaten E-Mail versenden.

Einhaltung oder Verlängerung der Frist

Im Folgenden finden Sie die allgemeinen Grundsätze zu den Fristen für die Erfüllung einer DSAR:

• Sie müssen einen DSAR "unverzüglich, auf jeden Fall aber innerhalb eines Monats nach Erhalt" ausfüllen.
• Sie können die Frist um weitere zwei Monate verlängern , je nach "Komplexität und Anzahl der Anträge".
• Wenn Sie beschlossen haben, die Frist zu verlängern, müssen Sie dies der betroffenen Person innerhalb der ersten Monatsfrist mitteilen .

Es empfiehlt sich, den DSAR zu bestätigen, sobald Sie ihn erhalten haben.

Wenn Sie den Antrag klären oder die Identität der betroffenen Person überprüfen müssen, können Sie nach Ansicht einiger Aufsichtsbehördendie Uhr anhalten, bis dieser Prozess abgeschlossen ist. Diese Empfehlung ist jedoch von Land zu Land unterschiedlich, so dass Sie sich bei Ihrer örtlichen Datenschutzbehörde erkundigen sollten.

Werden DSARs nicht rechtzeitig ausgefüllt, kann dies Konsequenzen haben. Im Dezember 2022 wurde das schwedische Inkassounternehmen Alektum Oy zu einer Geldstrafe in Höhe von 750 000 EUR verurteilt, weil es wiederholt DSARs verspätet oder gar nicht abgegeben hatte.

Ablehnung einer DSAR oder Erhebung einer Gebühr

Wenn eine DSAR "offenkundig unbegründet oder übertrieben" ist, können Sie das tun:

• sich weigern , sich damit zu befassen, oder
• Erheben Sie eine Gebühr zur Deckung der Verwaltungskosten.

Die Datenschutz-Grundverordnung geht nicht näher darauf ein, was eine "offensichtlich unbegründete oder übermäßige DSAR" ist, sondern sagt nur, dass darunter "wiederholte" Anfragen fallen. 

Die irische Datenschutzkommission (Data Protection Commission, DPC) gibt die folgende Auslegung:

• "Offensichtlich unbegründet" bedeutet, dass "der Antrag sich überhaupt nicht auf personenbezogene Daten bezieht ... oder, obwohl er sich auf personenbezogene Daten bezieht, es offensichtlich ist, dass die Daten nicht von Ihnen verarbeitet werden".
• "Übermäßig" bedeutet, dass der Antrag sich wiederholt oder über das hinausgeht, was "unter Berücksichtigung der Umstände des Falles in Bezug auf Zeit und Geld angemessen ist".

Das ICO des Vereinigten Königreichs schlägt vor, dass die für die Verarbeitung Verantwortlichen die Ablehnung einer DSAR in Erwägung ziehen können, wenn die betroffene Person "ausdrücklich erklärt", dass der Antrag darauf abzielt, Störungen zu verursachen , oder wenn die betroffene Person "einen bestimmten Mitarbeiter im Visier hat , gegen den sie einen persönlichen Groll hegt". Die Beweislast liegt jedoch bei dem für die Verarbeitung Verantwortlichen.

Wenn Sie beschließen, einen Antrag abzulehnen oder eine Gebühr zu erheben, müssen Sie die betroffene Person innerhalb der ursprünglichen einmonatigen Frist benachrichtigen. 

Die Hürde für die Ablehnung einer DSAR ist hoch, und eine Ablehnung könnte dazu führen, dass sich die betroffene Person bei ihrer Aufsichtsbehörde beschwert. Daher ist es oft einfacher, die DSAR zu erfüllen, als sich zu weigern, auf sie zu reagieren.

Häufig gestellte Fragen zu DSARs

Welche Sanktionen drohen bei Nichtbeantwortung einer DSAR?

Verstöße gegen DSARs können mit der höchsten Stufe der DSGVO-Sanktionen geahndet werden:

• Bis zu 20 Millionen €, oder
• bis zu 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres

Den Aufsichtsbehörden steht eine Reihe weiterer Sanktionen zur Verfügung, die von der Erteilung eines Verweises bis hin zur Anordnung an den für die Verarbeitung Verantwortlichen reichen, die Verarbeitung personenbezogener Daten einzustellen.

Wie lauten die Regeln für andere Arten von GDPR-Anfragen?

Neben der Einreichung eines DSAR im Rahmen des Auskunftsrechts können Einzelpersonen verschiedene andere Rechte in Bezug auf ihre personenbezogenen Daten gemäß der DSGVO und anderen Datenschutzgesetzen ausüben. Zum Beispiel:

• Das Recht auf Löschung: Personen können unter bestimmten Bedingungen verlangen, dass Sie personenbezogene Daten über sie löschen, z. B. wenn Sie die Daten für den ursprünglichen Zweck nicht mehr benötigen oder wenn Sie sie unrechtmäßig verarbeitet haben.
• Das Recht auf Berichtigung: Personen können verlangen, dass Sie unrichtige personenbezogene Daten über sie korrigieren, veraltete personenbezogene Daten aktualisieren oder unvollständige personenbezogene Daten vervollständigen.
• Das Recht auf Datenübertragbarkeit: Die Betroffenen können eine tragbare, "maschinenlesbare" Kopie ihrer personenbezogenen Daten anfordern und auch deren Übermittlung an einen anderen für die Verarbeitung Verantwortlichen verlangen.

Für die Bearbeitung von Anfragen im Rahmen dieser anderen Rechte gelten dieselben grundlegenden Vorgehensweisen, Fristen und Ausnahmen: Sie benötigen eine solide Grundlage für eine gute Datenverwaltung, die Sensibilisierung der Mitarbeiter und eine transparente Kommunikation.

Kann ein DSAR von einer anderen Person im Namen einer Einzelperson eingereicht werden?

Ja. Die Datenschutz-Grundverordnung verbietet es der betroffenen Person nicht, ihren DSAR von einer anderen Person, z. B. einem Elternteil, Betreuer oder Anwalt, übermitteln zu lassen. Der für die Verarbeitung Verantwortliche muss sich jedoch vergewissern, dass die betroffene Person dies beantragt hat, und sollte seine Bewertung der Identität des Dritten dokumentieren.

Um nachzuweisen, dass er im Namen der betroffenen Person handelt, kann der Dritte je nach den Umständen ein unterzeichnetes Schreiben der betroffenen Person vorlegen, eine Vollmacht nachweisen oder nachweisen, dass er der Elternteil oder Vormund der betroffenen Person ist.

Was sollte in einer DSAR-Antwort enthalten sein?

Eine DSAR-Antwort sollte die von der betroffenen Person angeforderten personenbezogenen Daten oder sonstigen Informationen enthalten. Es hat sich bewährt, einen Überblick über die Anfrage zu geben, einschließlich der Daten, an denen die betroffene Person Ihre Organisation kontaktiert hat, und eine Zusammenfassung aller Mitteilungen an die betroffene Person.

Wie oft können Einzelpersonen DSARs einreichen?

Es gibt keine Begrenzung für die Anzahl der DSAR-Anträge , die eine Person stellen kann. Der für die Verarbeitung Verantwortliche kann jedoch eine Verwaltungsgebühr erheben oder sich weigern, einen Antrag zu bearbeiten, der als "übermäßig" angesehen wird, insbesondere wenn sich der Antrag wiederholt.

Die Datenschutz-Grundverordnung erlaubt es dem für die Verarbeitung Verantwortlichen auch, eine Verwaltungsgebühr für die Bereitstellung mehrerer Kopien derselben personenbezogenen Daten zu erheben .

Jede DSAR sollte von Fall zu Fall geprüft werden, und eine DSAR sollte nicht allein deshalb abgelehnt werden, weil die betroffene Person schon einmal eine DSAR eingereicht hat.

Welche Ausnahmen gibt es bei der Erfüllung einer DSAR?

Der für die Verarbeitung Verantwortliche ist nicht verpflichtet, einer DSAR nachzukommen, die "offensichtlich unbegründet oder übertrieben" ist. Dies ist z. B. der Fall, wenn die betroffene Person absichtlich versucht, Störungen zu verursachen, einen Groll gegen einen bestimmten Mitarbeiter hegt oder viele DSARs in einem kurzen Zeitraum eingereicht hat.

Das nationale Recht eines jeden Landes kann auch Ausnahmen vom "Auskunftsrecht" vorsehen. So sieht beispielsweise Schedule 2 des britischen Datenschutzgesetzes 2018 begrenzte Ausnahmen in den folgenden Bereichen vor:

• Kriminalität und Steuern
• Einwanderung
• Öffentliche Sicherheit

In jedem Fall gilt die Ausnahme nur unter bestimmten Umständen. Zum Beispiel, wenn die Erfüllung der DSAR das Ergebnis einer strafrechtlichen Untersuchung beeinträchtigen würde.

Bewährte Praktiken für ein effektives DSAR-Management

Im Folgenden finden Sie einige Tipps, die Ihrer Organisation helfen, DSARs richtig einzusetzen:

• Umsetzung von Data-Governance-Strategien , damit personenbezogene Daten gut organisiert und zugänglich sind.
• Stellen Sie ein standardisiertes Formular oder ein Webportal für die Einreichung von DSARs zur Verfügung (denken Sie aber daran, dass Sie die betroffene Person nicht zwingen können, es zu benutzen).
• Regelmäßige Datenschutzschulungen , damit die Mitarbeiter DSARs erkennen und erleichtern können.
• Entwicklung einer klaren, dokumentierten Politik für den Umgang mit DSARs.
• Erwägen Sie den Einsatz spezieller Software , um die Verfolgung und Erfüllung von DSAR-Anträgen zu erleichtern.
• Überprüfen Sie die Identität der betroffenen Person , wenn Sie begründete Zweifel daran haben, wer sie ist, aber fragen Sie nicht zu viele personenbezogene Daten zu Überprüfungszwecken ab.
• Halten Sie die betroffenen Personen während des gesamten Prozesses auf dem Laufenden und antworten Sie innerhalb der vorgeschriebenen Fristen.
• Verwenden Sie gegebenenfalls eine sichere Plattform zur gemeinsamen Nutzung von Dateien , um die angeforderten personenbezogenen Daten bereitzustellen.

Viele DSARs kommen von unzufriedenen Kunden oder verärgerten Ex-Mitarbeitern. Ein hilfreicher und effizienter Umgang mit dem DSAR-Verfahren kann dazu beitragen, den Eindruck der betroffenen Person von Ihrem Unternehmen zu verbessern. Umgekehrt kann ein schlechtes DSAR-Verfahren den Ruf Ihres Unternehmens schädigen und zu rechtlichen Problemen führen.

Sicherstellung von Compliance und Transparenz durch effektives DSAR-Management

Das "Auskunftsrecht" ist seit den ersten Datenschutzgesetzen ein wichtiges Mittel, um Einzelpersonen die Kontrolle über ihre personenbezogenen Daten zu ermöglichen . 

Die Erleichterung von DSAR ist ein wichtiger Bestandteil der Einhaltung der DSGVO und gehört zu den wichtigsten Pflichten der für die Verarbeitung Verantwortlichen. Verständlicherweise können Menschen verärgert sein, wenn ein für die Verarbeitung Verantwortlicher Fristen versäumt, keine personenbezogenen Daten bereitstellt oder eine DSAR ohne triftigen Grund ablehnt.

Durch eine gute Datenverwaltung, klare Datenschutzrichtlinien und gut informierte und responsive Mitarbeiter kann Ihr Unternehmen DSARs als Chance nutzen, um das Vertrauen der Kunden zu stärken und gleichzeitig rechtliche Risiken und Reputationsschäden zu vermeiden.

Zusätzliche Ressourcen

• Büro des Informationsbeauftragten (ICO): Ein Leitfaden zum Thema Zugang
• Europäischer Datenschutzausschuss (EDPB): Leitlinien 01/2022 zu den Rechten der betroffenen Person - Recht auf Auskunft
• Irische Datenschutzkommission (DPC): Subject Access Requests: A Data Controller's Guide