Die Allgemeine Datenschutzverordnung (GDPR) ist am 25. Mai 2018 in Kraft getreten und hat die Art und Weise, wie Unternehmen Daten verarbeiten und handhaben, komplett überarbeitet. Die Unternehmen mussten sich schnell anpassen, um sicherzustellen, dass sie mit der neuen Gesetzgebung konform sind und nicht für die hohen Geldstrafen haften, die in den letzten Monaten die Schlagzeilen beherrschten.

Womit viele Organisationen nicht gerechnet hatten, war der Ansturm von Einzelpersonen, die ihre Rechte im Rahmen der neuen Gesetzgebung ausüben, indem sie Anträge auf Zugang zu ihren Daten stellen. Die DSGVO hat die bestehenden Rechte von Einzelpersonen gestärkt und sie in die Lage versetzt, herauszufinden, wie ihre persönlichen Daten verwendet werden.  

Eine Subject Access Request (SAR) ist ein Auskunftsrecht, das es einer Person ermöglicht, zu erfragen, welche Informationen eine Organisation über sie besitzt, warum sie diese Informationen besitzt und mit wem sie geteilt werden. Seit der Einführung der GDPR ist das Das ICO hat einen „beispiellosen Anstieg der Nachfrage“ nach SARs festgestellt. Dies wiederum hat zu einer enormen Belastung der öffentlichen Dienste und Organisationen geführt, die verpflichtet sind, innerhalb eines bestimmten Zeitrahmens zu reagieren.

Man geht davon aus, dass der dramatische Anstieg der Verdachtsmeldungen auf eine Zunahme von Datenschutzverletzungen und ein allgemeines Misstrauen der Öffentlichkeit gegenüber dem Umgang der Unternehmen mit ihren Daten zurückzuführen ist.

Ein wichtiger Teil der Einhaltung der Datenschutz-Grundverordnung ist das Wissen, wie man effektiv mit einer Verdachtsmeldung umgeht. Wenn Sie die Frist nicht einhalten oder Einzelpersonen nicht alle erforderlichen Informationen zur Verfügung stellen, kann Ihr Unternehmen mit behördlichen Maßnahmen und hohen Geldstrafen rechnen.

Wie man mit Anfragen zum Thema Zugang umgeht

1. Erkennen Sie die Anfrage zum Thema Zugang

Die Datenschutz-Grundverordnung legt nicht fest, wie eine Person einen gültigen Antrag auf Informationen stellen kann, so dass dieser mündlich, schriftlich oder sogar über soziale Medien gestellt werden kann. Die Anfrage muss nicht einmal die Formulierung „Antrag auf Zugang zu personenbezogenen Daten“ enthalten, solange die Person deutlich macht, dass sie ihre persönlichen Daten anfordert. Organisationen sollten sicherstellen, dass bestimmte Mitarbeiter darin geschult sind, eine SAR zu erkennen und dass die richtigen Protokolle für die Protokollierung von Anfragen vorhanden sind.

2. Kennen Sie Ihre Verpflichtungen

Eine Person hat nur ein Recht auf ihre eigenen persönlichen Daten, nicht aber auf Informationen über andere Personen. Daher müssen Sie feststellen, ob die angeforderten Informationen unter die Definition von personenbezogenen Daten fallen.

Die EU definiert „personenbezogene Daten“ als alle Informationen, die zur direkten oder indirekten Identifizierung einer Person (der betroffenen Person) verwendet werden können. Dazu kann alles gehören, von einem Namen, einer E-Mail-Adresse, einer IP-Adresse und Bildern. Dazu gehören auch sensible persönliche Daten wie biometrische Daten oder genetische Daten, die zur Identifizierung einer Person verarbeitet werden könnten.

Sofern die Person nicht genau angegeben hat, welche Informationen sie benötigt, müssen Sie nach allen verfügbaren Informationen suchen, die für die Person relevant sind. Neben einer Kopie ihrer persönlichen Daten müssen Sie den Personen auch die folgenden Informationen zur Verfügung stellen:

  • Der Zweck Ihrer Verarbeitung
  • Die betroffenen Arten von personenbezogenen Daten
  • Informationen über die Quelle der Daten
  • Mit wem die Daten geteilt wurden
  • Wie lange die Daten gespeichert werden
  • Das Bestehen ihres Rechts, eine Berichtigung, Löschung oder Einschränkung zu verlangen oder einer solchen Verarbeitung zu widersprechen
  • Ihr Recht, eine Beschwerde bei der ICO oder einer anderen Aufsichtsbehörde einzureichen
  • Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  • Die Sicherheitsvorkehrungen, die Sie treffen, wenn Sie personenbezogene Daten in ein Land außerhalb der EU oder an eine internationale Organisation übermitteln.

3. Überprüfen Sie die Identität der Person

Bevor Sie auf eine Verdachtsmeldung antworten, müssen Sie sicherstellen, dass die Person, die um ihre persönlichen Daten bittet, diejenige ist, die sie vorgibt zu sein. Um die Identität der Person zu überprüfen, können Sie einen Lichtbildausweis oder eine Stromrechnung verlangen. Wenn es sich bei der Person, die die Anfrage stellt, um einen Mitarbeiter Ihres Unternehmens handelt, benötigen Sie keinen zusätzlichen Identifikationsnachweis.

Eine Meldung kann auch über einen Dritten erfolgen, z. B. einen Anwalt oder ein nahes Familienmitglied. In diesen Fällen benötigen Sie eine Bestätigung, dass die dritte Partei beauftragt wurde, im Namen der Person zu handeln.

4. Reagieren Sie innerhalb des vorgesehenen Zeitrahmens

Gemäß der Datenschutz-Grundverordnung sind Organisationen verpflichtet, „ohne unangemessene Verzögerung“ und innerhalb eines Monats nach Erhalt der Anfrage zu antworten. Wenn die Identität der Person bestätigt werden muss, beginnt die Antwortfrist mit der Übermittlung der erforderlichen Informationen.

Wenn die Anfrage komplex ist oder Sie mehrere Anfragen von derselben Person erhalten haben, kann die Frist für die Beantwortung um weitere zwei Monate verlängert werden. In diesem Fall müssen Sie der Person mitteilen, warum die Verlängerung notwendig ist.

5. Ausnahmen bei der Beantragung von Zugang zum Thema

Sie sollten die personenbezogenen Daten einer Person nicht offenlegen, wenn dies die Rechte anderer Personen beeinträchtigen würde. Ausnahmen hiervon sind, wenn die andere Person ihre Zustimmung zur Offenlegung gegeben hat oder wenn es vernünftig ist, der Anfrage ohne die Zustimmung der Person nachzukommen.

Die DSGVO und der Data Protection Act 2018 sehen auch einige Ausnahmen vor, die unter bestimmten Umständen gelten. Zum Beispiel, wenn die Offenlegung bestimmte regulatorische Funktionen beeinträchtigen würde oder für Mitteilungen, die dem Anwaltsgeheimnis unterliegen.

6. Gebühren und überhöhte Forderungen

Nach dem alten Gesetz konnten Organisationen bis zu 10 £ für die Durchführung einer SAR in Rechnung stellen, aber die Datenschutzgrundverordnung hat dieses Hindernis inzwischen beseitigt und die Informationen müssen nun kostenlos zur Verfügung gestellt werden. Das ICO hat jedoch erklärt, dass Sie eine angemessene Gebühr zur Deckung der Verwaltungskosten erheben können, wenn Sie eine „offensichtlich unbegründete oder übermäßige“ Anfrage erhalten.

7. Geben Sie die Informationen sicher weiter

Wenn eine Person eine Anfrage auf elektronischem Wege stellt, sollten Sie die Informationen in einem elektronischen Format bereitstellen, es sei denn, die Person gibt etwas anderes an. Die Informationen sollten so sicher wie möglich weitergegeben werden.

8. Bewahren Sie eine Aufzeichnung über den Antrag auf Zugang auf

Für den Fall, dass zu einem späteren Zeitpunkt eine Beschwerde bei der ICO eingereicht wird, sollten Sie einen klaren Prüfpfad für die Verdachtsmeldung aufbewahren. Dies sollte die gesammelten Informationen, den Überprüfungsprozess, die wichtigsten Entscheidungen, die Anwendung von Ausnahmeregelungen, die Antwort sowie die Korrespondenz mit der betroffenen Person oder Dritten enthalten.

MetaPrivacy wurde entwickelt, um einen Best-Practice-Ansatz für die Einhaltung des Datenschutzes zu bieten. Setzen Sie sich mit uns in Verbindung, um weitere Informationen darüber zu erhalten, wie wir Ihrem Unternehmen helfen können, seine Compliance-Struktur zu verbessern.

HAFTUNGSAUSSCHLUSS: Der Inhalt und die Meinungen in diesem Blog dienen nur zu Informationszwecken. Sie stellen keine Rechts- oder sonstige professionelle Beratung dar und sollten nicht als Ersatz für eine spezifische Beratung in Bezug auf bestimmte Umstände, das Datenschutzgesetz oder andere aktuelle oder zukünftige Gesetze betrachtet werden. MetaCompliance übernimmt keine Verantwortung für Fehler, Auslassungen oder irreführende Aussagen oder für Verluste, die durch das Vertrauen auf die in diesem Blog enthaltenen Materialien entstehen können.