Zum Hauptinhalt springen
Wie reagiere ich auf eine DSAR?
Vor über 7 Monaten aktualisiert

Ein Data Subject Access Request (DSAR)-Formular ermöglicht es Ihren Nutzern, Zugang zu den über sie gespeicherten personenbezogenen Daten zu beantragen oder zu verlangen, dass bestimmte Aktionen mit ihren personenbezogenen Daten durchgeführt werden. Gemäß einigen Datenschutzgesetzen - wie der General Data Protection Regulation (GDPR) - müssen Sie sicherstellen, dass Ihre Nutzer Anträge auf Zugang, Bearbeitung, Übertragung oder Löschung ihrer personenbezogenen Daten stellen können.

Termly bietet ein einbindbares DSAR-Formular, das Sie in Ihrem Dashboard finden.

Vorbereitung auf den Empfang von DSARs

Hier sind einige Schritte, die Sie unternehmen sollten, um sich auf den Erhalt von DSARs vorzubereiten:

  1. Geben Sie den Nutzern eine Möglichkeit, DSARs einzureichen - Sie können ein Formular einbetten oder spezielle Kontaktdaten für DSAR-Einreichungen angeben.

  2. Erstellung und Dokumentation eines Standard-DSAR-Antwortprozesses.

  3. Führen Sie eine detaillierte Liste aller Orte, an denen Ihre Organisation personenbezogene Daten speichern kann. Dazu können gehören:

    1. Kunden-/Teammitgliederdateien

    2. E-Mail-Konten

    3. Daten, die auf Servern von Dienstanbietern gespeichert sind

    4. Audioaufnahmen

    5. Und mehr - prüfen Sie Ihre spezifische Situation sorgfältig, um alle Orte zu finden, an denen Sie personenbezogene Daten speichern

Reaktion auf eine DSAR

Hier sind einige Schritte, die wir Organisationen empfehlen würden, wenn sie auf DSARs reagieren:

  1. Bestimmen Sie, welches Datenschutzgesetz für die betroffene Person gilt. Verschiedene Gesetze haben unterschiedliche Anforderungen an den Zeitrahmen für die Bearbeitung der Anfrage, die Verantwortung eines Unternehmens, das die Daten verarbeitet, und mehr. Sie können feststellen, welches Gesetz gilt, indem Sie den Standort der betroffenen Person überprüfen. Wenn Sie das DSAR-Formular von Termly verwenden, kann der Antragsteller bei der Einreichung seines Antrags auswählen, welches Recht für ihn gilt.

  2. Überprüfen Sie die Identität des Antragstellers. Personen mit böswilligen Absichten könnten Ihr DSAR-Formular verwenden, um Informationen über Ihre Nutzer zu sammeln. Benachrichtigen Sie den Anfragenden, dass die DSAR eingegangen ist, aber überprüfen Sie immer die Identität des Anfragenden, bevor Sie personenbezogene Daten senden. Sie können die Identität des Anfragenden beispielsweise überprüfen, indem Sie ihn auffordern, seine Anfrage mit denselben Kontaktinformationen zu senden, die er bei der Anmeldung für Ihren Dienst angegeben hat, oder indem Sie den Anfragenden bitten, die Informationen zu bestätigen, die Sie für sein Konto haben.

  3. Klären Sie die Anfrage. Bittet der Anfragende um Zugriff auf Daten, um Löschung oder um etwas anderes? Holen Sie bei Bedarf zusätzliche Informationen vom Antragsteller ein.

  4. Bestimmen Sie die Gültigkeit der Anfrage. Stellen Sie fest, ob die Anfrage gültig ist und innerhalb eines gesetzlichen Zeitrahmens erledigt werden kann. Ist dies nicht der Fall, können Sie weitere Schritte einleiten und eine Verlängerung von bis zu 60 Tagen beantragen.

  5. Prüfen Sie die Daten. Sie müssen Ihre Dateien und Daten durchsuchen, um alle personenbezogenen Daten des Antragstellers zu finden. Dazu können Ausdrucke, digitale Dateien, Konten, auf Servern von Dienstanbietern gespeicherte Daten und mehr gehören.

    >

    1. Sichern Sie den Schutz der personenbezogenen Daten anderer Personen - löschen Sie keine Informationen, die dem Antragsteller nicht gehören, und geben Sie sie nicht weiter.

    2. Wenn Sie die angeforderten Daten aus Gründen des Betrugsschutzes, eines anhängigen Gerichtsverfahrens, rechtlicher Verpflichtungen oder aus anderen Gründen nicht löschen können, teilen Sie dem Antragsteller mit, was Sie nicht löschen können und warum. Lassen Sie sich in diesem Fall rechtlich beraten.

  6. Wählen Sie das richtige Format für die Bereitstellung der Informationen. Wir empfehlen, DSAR-E-Mail-Vorlagen für Antworten und Löschungsanträge zu erstellen. Einige der Informationen, die Sie enthalten sollten, sind im folgenden Abschnitt aufgeführt.

    >

  7. Führen Sie ein Prüfprotokoll über DSAR-Anfragen. Erfassen Sie die Quellen der gesammelten Informationen, den Überprüfungsprozess, die wichtigsten Entscheidungen über die Rechtmäßigkeit der Anfrage und die Anwendbarkeit von Ausnahmeregelungen, die erteilte Antwort und die Offenlegung sowie die gesamte Kommunikation mit der Person und anderen Dritten. Dies ist von entscheidender Bedeutung, wenn die Person eine interne Überprüfung der Antwort beantragt oder eine Beschwerde einreicht.

Informationen, die Sie in Ihrer DSAR-Antwort angeben sollten


Wir empfehlen, die folgenden Informationen in Ihre DSAR-Antworten aufzunehmen:

  • Datenanfragen

    • Zwecke der Verarbeitung

    • Kategorien der betroffenen personenbezogenen Daten

    • Empfänger oder Kategorien von Empfängern, an die personenbezogene Daten weitergegeben wurden oder werden, einschließlich aller anderen Länder oder internationalen Organisationen

    • Geeignete Garantien für die Übermittlung von Daten

    • Der Zeitraum, für den personenbezogene Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, die zur Festlegung dieses Zeitraums herangezogen werden

    • Die Quelle der Daten, wenn sie nicht direkt bei der betroffenen Person erhoben wurden

    • Das Vorliegen einer automatisierten Entscheidungsfindung, einschließlich Profiling, sowie aussagekräftige Informationen über die damit verbundene Logik

  • Anträge auf Löschung von Daten

    • Bestätigen Sie, dass die personenbezogenen Daten erfolgreich aus Ihren Systemen und den Systemen Dritter entfernt wurden

    • Wenn der Anfragende seine personenbezogenen Daten manuell löschen muss, geben Sie detaillierte Anweisungen, wie dies zu tun ist

    • Wenn Sie dem Löschantrag ausnahmsweise nicht entsprechen können, geben Sie die Gründe für die Ablehnung an

    • Wenn einige personenbezogene Daten in Sicherungssystemen gespeichert sind und auf ihre Löschung warten, sollten Sie den Zeitplan für die Löschung erläutern

  • Zusätzliche Informationen

    • Bevor Sie Ihre DSAR-Antwort abschicken, stellen Sie sicher, dass der Anfragende seine Rechte kennt, einschließlich:

      • Das Recht, die Berichtigung oder Löschung von personenbezogenen Daten oder die Einschränkung der Verarbeitung seiner personenbezogenen Daten zu verlangen

      • Das Recht, sich bei der zuständigen Aufsichtsbehörde zu beschweren.

Verfolgung von DSARs


Termly benachrichtigt Sie per E-Mail, wenn ein DSAR-Antrag für Ihre Website gestellt wird. Die E-Mail enthält die Einzelheiten der Meldung und einige Hinweise, wie Sie darauf reagieren können.

Wir empfehlen Ihnen, Aufzeichnungen über alle eingegangenen Anträge, ihren Status und alle zusätzlichen Informationen oder Kommentare zu führen.

Wenn Sie ein Protokoll über Ihre DSAR-Anfragen führen, sollten Sie folgende Informationen aufnehmen:

  • Anfrage-ID

  • Anfrageart (Löschung, Auskunft, Berichtigung, Widerspruch, Einschränkung, Datenübertragbarkeit)

  • Kategorie des Datensubjekts (Website-Besucher, Nutzer, Kunde, Mitarbeiter)

  • Datum der Anfrage

  • Anfragefrist

  • Verantwortliche Person für die Beantwortung

  • Status der Anfrage

  • Kommentare

Hat dies deine Frage beantwortet?