First published in Asia Law Portal

In letzter Zeit gab es mehrere aufsehenerregende Fälle, in denen Finanzinstitute einen Anstieg von Anfragen auf Auskunft über personenbezogene Daten (Engl.: Data Subject Access Requests, kurz: DSAR) bewältigen mussten. Diese Fälle haben die Bedeutung der Vorbereitung auf solche Situationen hervorgehoben. Da DSARs in absehbarer Zeit nicht verschwinden werden, müssen Organisationen investieren, um effiziente und kostengünstige Prozesse für die repetitive Bearbeitung von DSARs zu entwickeln.

Artikel 15 und Erwägungsgrund 63 der Datenschutz-Grundverordnung (DSGVO) gewähren Einzelpersonen das Recht, eine Kopie ihrer von einer Organisation gespeicherten personenbezogenen Daten anzufordern. Es liegt in der Verantwortung einer Organisation und ihrer Mitarbeiter, diese Anfragen zu beantworten. Obwohl die Bearbeitung von DSARs aufwendig sein kann, sollte Ihre Unternehmenskultur aufgrund des gesetzlich verankerten Rechts alle diese Anfragen mit der vom Gesetzgeber erwarteten Offenheit behandeln, unabhängig von den Kosten. Diese Offenheit ist möglicherweise kulturell noch nicht verankert. Dann ist es wichtig zu erkennen, welche Veränderungen eventuell notwendig sind.

Wo sollte man anfangen? Für das effektive Management von DSARs , die in Umfang und Komplexität stark variieren können, bedarf es einer Kombination aus Prozessen, Technologie und kulturellen Faktoren. Für viele Organisationen ist es sowohl effizienter als auch kostengünstiger, diese Aufgaben auszulagern.

Hinterfragen Sie Ihre Unternehmenskultur für die Akzeptanz vonum DSARs als gesetzlich verankertes Recht

Es ist wichtig, in Ihrer Organisation eine positive Kultur zu schaffen, die dieses Recht versteht und respektiert. Unabhängig von persönlichen Meinungen über den Antragsteller oder Mitarbeiter müssen DSARs in Übereinstimmung mit dem Gesetz bearbeitet werden. Ihre Teams sollten sich bewusst sein, dass alle Notizen, die sie schreiben, oder Daten, die sie sammeln, in einem DSAR-Output enthalten sein könnten, was sich negativ auf Ihre Organisation auswirken könnte. Insofern sollten sämtlicheNotizen und Daten rechtskonformund angemessen sein, um keine Büchse der Pandora in Bezug auf Reputationsrisiken zu öffnen. Die Zusammenarbeit mit HR, interner Kommunikation und operativen Geschäftseinheiten zur Unterstützung bei der Entwicklung eines Change-Management-Prozesses kann helfen, diesen Kulturwandelzu addressieren. DSARs sollten nicht nur in der Verantwortung der Rechtsabteilung liegen.

Schaffen Sie Transparenzüber Ihre Datenlandschaft

Stellen Sie sicher, dass Ihre Organisation sowohl Dokumente mit sensiblen Informationen als auch mit personenbezogenen Daten (Personally Identifiable Information, PII) identifiziert und klassifiziert. Erstellen Sie Data Maps, die dokumentieren, wo PII und sensible Daten innerhalb Ihrer Organisation gespeichert, verarbeitet und übertragen werden. Wenn Sie nicht wissen, wo sich Ihre Daten befinden, wird es eine große Herausforderung sein, den Nachweis über eine korrekte Beantwortung eines DSAR zu erbringen. Ein Tipp: Arbeiten Sie mit einem externen Dienstleister zusammen, um mit Kundenservice, operativen Einheiten und der IT Ihre Daten zu kartieren.

Klären Sie Sachverhalte und nutzen Sie Fristverlängerungen

Bitten Sie bei Bedarf um Klarstellung, wenn ein DSAR komplex oder unklar ist. Wenn Sie eine große Datenmenge verarbeiten müssen, erwägen Sie, eine Fristverlängerung zu beantragen, damit Sie eine umfassende Antwort geben können. Klarheit und Kommunikation sind entscheidend.

Definieren Sie interne Arbeitsabläufe und monitoren Sie Rückmeldungen

Etablieren Sie interne Arbeitsabläufe, die jeden Schritt des DSAR-Prozesses abdecken, von der Initiierung der Anfrage und Identitätsüberprüfung bis zur Übermittlung der endgültigen Antwort. Stellen Sie sicher, dass die Ergebnisse jedes Prozesses, jegliche Kommunikation mit dem Antragsteller und die Gesamtzeitpläne akribisch verfolgt werden, um eine rechtskonforme Antwort zu garantieren.

Implementieren Sie ein System zur Dokumentenprüfung

Zentralisieren Sie den Prozess sowohl der Überprüfung als auch von Schwärzungen mithilfe eines spezialisierten Systems zur Dokumentenprüfung. Diese Technologie ermöglicht Ihnen eine effiziente und skalierbare Bearbeitung , um einen stringenten Prozess aufzubauen. Wenn Ihre Teams bereits an der Kapazitätsgrenze arbeiten oder das dafür erforderliche Wissenfehlt, empfiehlt sich die Unterstützung durch einen externen Anbieter, der sowohl über die Ressourcen als auch über das Know-how verfügt, solche Systeme einzusetzen und zu konfigurieren.

Nutzen Sie die Möglichkeiten von Technologie

Durch Nutzung fortschrittlicher Analysefunktionen solcher Prüfungssysteme wie Near-Duplicate-Analysen und E-Mail-Threading, lässt sich der Dokumentenpool effektiv auf diejenigen Dokumente eingrenzen, die in den Scope der Anfrage fallen. Dies reduziert den Zeit- und Arbeitsaufwand für die Überprüfung und trägt zur Optimierung des Ressourceneinsatzes bei.

Automatisieren Sie Workflows zur Schwärzung

DSARs können ein überfordernder Prozess sein, der zu Überlastung der beteiligten Mitarbeiter führen kann. . Durch die Automatisierung der Schwärzung personenbezogener Informationen erhöhen Sie die Genauigkeit und reduzieren den manuellen Aufwand. Arbeiten Sie mit Ihrem internen IT-Team oder externen Partnern zusammen, um die dafür erforderlichen Technologien und Prozesse zu identifizieren und Lösungen zu entwickeln.

Bauen Sie ein skalierbares Prüfungsteam auf

Anfragen können in ihrem Umfang stark variieren. Stellen Sie sicher, dass Sie Zugang zu einem skalierbaren Team von Prüfern haben, sei es intern oder ausgelagert, um sich auf unterschiedliche Arbeitsbelastungen vorbereiten zu können.

Fazit

Anfragen auf Auskunft über personenbezogene Daten sind mittlerweile ein integraler Bestandteil von Geschäftsabläufen, insbesondere für Unternehmen mit Mitarbeitern und/oder Kunden in Europa. Die Vorbereitung Ihres Teams, die Förderung einer Compliance-Kultur und die Implementierung der richtigen Technologie und Arbeitsabläufe sind entscheidende Schritte für das effektive Management von DSARs. Die Nutzung von technologiegestützten Analysen und Automatisierung kann die anfallenden Kosten drastisch reduzieren und gleichzeitig die Überlastungserscheinungen vorbeugen, die Ihre Teams von ihren täglichen Geschäftsabläufen ablenken. DSARs sind ein Recht, aber mit dem richtigen Ansatz führen sie für Ihr Unternehmen weder zu Effizienzverlusten noch zu Reputationsschäden .

Der Originalartikel in englischer Sprache wurde auf dem Asia Law Portal veröffentlicht.
DSARs Are a Legislated Right, but Don’t Let It Cost Your Business Operations - Asia Law Portal - A forum for discussion of news, information & opportunity in the Asia-Pacific legal markets



Über Daniel Lafrenz
Daniel Lafrentz ist Director Legal Solutions bei Epiq für die DACH-Region und verantwortlich dafür, Unternehmen und Anwaltskanzleien dabei zu unterstützen, ihre Ziele durch den Einsatz von Epiqs –Software und Services zu erreichen.


Über Jonathan White
Jonathan ist Solution Engineer bei Epiq und verfügt über mehr als zehn Jahre Erfahrung in der Unterstützung von Kunden in ganz Europa bei der Bewältigung komplexer technischer Herausforderungen, die mit großangelegten internationalen Rechtsstreitigkeiten, internen Untersuchungen und Informationsmanagement verbunden sind.

Er verfügt über eine Reihe von Branchenzertifizierungen, darunter die Anerkennung als Relativity Certified Administrator (RCA) und den Relativity Expert-Status.