What is a DSAR under GDPR?

A Data Subject Access Request (DSAR) is a right under GDPR Article 15 allowing any individual to request a copy of the personal data an organization holds about them. Organizations must respond within 30 days, provide the data in an accessible format, and include information about processing purposes, retention periods, and third-party recipients. Requests can arrive through any channel, including email, web forms, or verbal communication.

How should organizations verify identity for a DSAR?

Identity verification must be proportionate to the sensitivity of the data involved. For routine requests, confirming details already on file like email address and account information is usually sufficient. For sensitive data, organizations may request a government-issued ID copy. Verification should not be used as a barrier to delay responses. Article 12 allows organizations to request additional information only when there are reasonable doubts about the requester's identity.

Legitime DSAR-Verarbeitung

Process a data subject access request end to end.

What Is Legitime DSAR-Verarbeitung?

Ein Auskunftsantrag für eine betroffene Person (Data Subject Access Request, DSAR) ist gemäß Artikel 15 der DSGVO das Recht jeder Person, eine Bestätigung darüber zu erhalten, ob ihre personenbezogenen Daten verarbeitet werden, und wenn ja, eine Kopie dieser Daten zusammen mit spezifischen Zusatzinformationen zu erhalten. Organisationen müssen innerhalb eines Kalendermonats nach Erhalt der Anfrage antworten. Diese Übung simuliert einen realistischen DSAR eines Kunden, der alle personenbezogenen Daten haben möchte, die Ihr Unternehmen über ihn speichert. Sie beginnen damit, die Identität des Antragstellers zu überprüfen, ohne übermäßige Dokumentation zu verlangen, ein häufiger Fehler, der wiederum gegen die Verhältnismäßigkeitsanforderungen der DSGVO verstoßen kann. Anschließend durchsuchen Sie mehrere Systeme: Ihr CRM, E-Mail-Archive, Support-Tickets, Analyseplattformen und Backup-Datenbanken. Die Herausforderung liegt in der Gründlichkeit. Aufsichtsbehörden erwarten, dass Sie Daten in jedem System finden, wo sie vorhanden sind, auch an Stellen, die Teams oft übersehen, wie Slack-Nachrichten, geteilten Laufwerken und Integrationen von Drittanbietern. Sie stellen das Antwortpaket zusammen und entscheiden, was enthalten sein soll und was im Rahmen der gesetzlichen Vertraulichkeit oder des Schutzes von Geschäftsgeheimnissen ausgenommen werden kann. Die Übung befasst sich mit den praktischen Mechanismen der Schwärzung personenbezogener Daten Dritter, die neben den Aufzeichnungen des Antragstellers erscheinen. Organisationen, die große Mengen an DSARs verarbeiten, berichten, dass sie durchschnittlich 10 bis 20 Stunden pro Anfrage aufwenden, wenn die Systeme nicht gut organisiert sind, was dies sowohl zu einer Compliance-Verpflichtung als auch zu einer betrieblichen Herausforderung macht, für die es sich zu schulen lohnt.

What You'll Learn in Legitime DSAR-Verarbeitung

Überprüfen Sie die Identität des Antragstellers mithilfe angemessener Maßnahmen, ohne übermäßige persönliche Dokumentation zu verlangen
Lokalisieren Sie personenbezogene Daten in allen Organisationssystemen, einschließlich CRM, E-Mail, Analysen und Backup-Datenbanken
Wenden Sie Ausnahmen für gesetzlich geschütztes Material und personenbezogene Daten Dritter in gemeinsam genutzten Datensätzen korrekt an
Stellen Sie innerhalb der 30-Tage-Frist ein vollständiges Antwortpaket zusammen, das alle Informationsanforderungen gemäß Artikel 15 erfüllt
Identifizieren Sie betriebliche Engpässe im DSAR-Prozess und implementieren Sie Effizienzsteigerungen bei wiederholten Anfragen

Legitime DSAR-Verarbeitung — Training Steps

Einführung

Heute bearbeiten Sie einen legitimen DSAR eines verifizierten Kunden – eine Anfrage, die sorgfältige Beachtung von Fristen, Datenermittlung und Schwärzung durch Dritte erfordert.
DSAR-Beleg

Alice erhält eine neue E-Mail in ihrem geschäftlichen Posteingang. Die Betreffzeile weist darauf hin, dass es sich um eine formelle Auskunftsanfrage einer betroffenen Person handelt. Die E-Mail stammt von jennifer.martinez@acme-corp.com – einem verifizierten Kunden, dessen Unternehmen einen aktiven Vertrag mit CloudServe Technologies hat.
Identitätsprüfung

Bevor die Anfrage bearbeitet wird, muss Alice überprüfen, ob es sich bei der Person, die die Anfrage stellt, tatsächlich um Jennifer Martinez handelt. Allerdings verlangt die DSGVO, dass die Überprüfung verhältnismäßig sein muss – Alice sollte keine übermäßigen Hürden schaffen. Da die Anfrage von einer E-Mail-Adresse kam, die bereits mit dem Kundenkonto verknüpft ist und die korrekte Kunden-ID enthält, hat Alice hinreichende Gewissheit über ihre Identität.
Protokollierung der Anfrage

Alice greift auf die DSAR-Warteschlange im Datenschutzportal zu. Sie sieht, dass Jennifers Anfrage automatisch mit dem heutigen Datum protokolliert wurde, wodurch die 30-Tage-Antwortuhr beginnt. Das System zeigt alle Informationen an, die zur Überprüfung der Identität des Antragstellers anhand vorhandener Kundendaten erforderlich sind.
Bestätigung senden

Nachdem die Identität überprüft wurde, muss Alice nun eine Bestätigungs-E-Mail an Jennifer senden. Dadurch wird der Eingang der Anfrage bestätigt und die Erwartungen für den Reaktionszeitplan festgelegt. Eine gute Praxis besteht darin, DSARs umgehend anzuerkennen, auch wenn die DSGVO dies nicht unbedingt vorschreibt.
Datenermittlung

Jetzt muss Alice alle Unternehmenssysteme nach Jennifers persönlichen Daten durchsuchen. Die DSGVO erfordert die Bereitstellung aller über die Person gespeicherten personenbezogenen Daten – nicht nur an offensichtlichen Orten wie dem CRM. Alice muss Folgendes überprüfen: CRM-Datensätze, Support-Tickets, Abrechnungssysteme, E-Mail-Kommunikation, Systemprotokolle und alle Backups, die möglicherweise persönliche Daten enthalten.
Datensuche ausführen

Alice gibt Jennifers E-Mail-Adresse ein, um in allen verbundenen Systemen zu suchen. Das Datenschutzportal fragt automatisch das CRM, das Support-Ticketsystem, die Abrechnungsplattform und die Zugriffsprotokolle ab. Die Suche gibt Daten aus mehreren Quellen zurück – einige enthalten nur Daten von Jennifer, andere enthalten auch Daten über andere Personen.
Supervisor-Anruf – Redaktionsanforderungen

Bei der Durchsicht der Suchergebnisse fällt Alice auf, dass mehrere Support-Tickets Daten über andere Mitarbeiter von ACME Corp. enthalten, die wegen der Kommunikation auf CC gesetzt wurden. Sie benötigt eine Anleitung zum Umgang mit Drittdaten. Sie ruft ihren Vorgesetzten, David Chen, an, um die Redaktionsanforderungen zu besprechen.
Überprüfen und Schwärzen von Daten

Alice folgt Davids Anleitung und überprüft den kompilierten Datenexport. Sie identifiziert mehrere Informationen, die redigiert werden müssen: - E-Mail-Adressen anderer Mitarbeiter von ACME Corp in Support-Ticket-Threads – Namen der CloudServe-Mitarbeiter, die Supportfälle bearbeitet haben - Interne Ticket-IDs, die die Daten anderer Kunden preisgeben könnten Alice muss Jennifer alle ihre eigenen Daten zur Verfügung stellen und gleichzeitig die Privatsphäre anderer schützen.
Schwärzungen anwenden

Alice prüft jede Datenquelle sorgfältig und nimmt Schwärzungen vor, um Informationen Dritter zu schützen. Das Datenschutzportal hilft, indem es potenzielle Daten Dritter hervorhebt, aber Alice muss bei jeder Schwärzung die endgültige Entscheidung treffen. Sie stellt sicher, dass alle persönlichen Daten von Jennifer sichtbar bleiben, während die Informationen anderer Personen ordnungsgemäß verborgen bleiben.

What Is Legitime DSAR-Verarbeitung?

What You'll Learn in Legitime DSAR-Verarbeitung

Legitime DSAR-Verarbeitung — Training Steps

Einführung

DSAR-Beleg

Identitätsprüfung

Protokollierung der Anfrage

Bestätigung senden

Datenermittlung

Datensuche ausführen

Supervisor-Anruf – Redaktionsanforderungen

Überprüfen und Schwärzen von Daten

Schwärzungen anwenden