Eine Auskunftsanfrage erkennen
Eine Auskunftsanfrage (auch bekannt als DSAR - Data Subject Access Request) ist die haufigste Anfrage, die Sie als Unternehmer erhalten konnen. Ein Kunde, Mitarbeiter, Bewerber oder Website-Besucher bittet Sie mitzuteilen, welche personenbezogenen Daten Sie uber ihn gespeichert haben.
Die Anfrage muss nicht formell sein. “Welche Daten haben Sie uber mich?” in einer E-Mail ist bereits eine Auskunftsanfrage. Sie brauchen dafur kein Formular.
Schritt 1: Registrieren Sie die Anfrage
Notieren Sie sofort:
- Wer die Anfrage stellt
- Wann Sie diese erhalten haben (die Monatsfrist beginnt jetzt)
- Uber welchen Kanal sie eingegangen ist
- Was genau gefragt wird
Vorlage: Anfragenregister
Verfolgen Sie jede Anfrage in einem Register: wer, wann, was gefragt wurde und wie es bearbeitet wurde.
Vorlage ansehen arrow_forwardSchritt 2: Uberprufen Sie die Identitat
Bevor Sie Daten herausgeben, mussen Sie sicher sein, dass Sie mit der richtigen Person kommunizieren. Andernfalls riskieren Sie eine Datenschutzverletzung, indem Sie Daten an die falsche Person weitergeben.
Wie uberprufen Sie?
- Wenn die Person bereits ein Konto bei Ihnen hat: lassen Sie die Anfrage uber dieses Konto bestatigen
- Wenn Sie die Person kennen (z.B. ein Mitarbeiter): eine Bestatigung uber die bekannte E-Mail-Adresse reicht aus
- Bei unbekannten Personen: bitten Sie um eine Kopie eines Ausweisdokuments. Bitten Sie den Antragsteller, die Ausweisnummer und das Foto zu schwartzen - diese benotigen Sie nicht
Nehmen Sie nicht mehr als notig: die Identitatsprufung muss verhaltnismassig sein.
Vorlage: Identitatsverifizierung
Ein Standardschreiben, mit dem Sie den Antragsteller bitten, seine Identitat zu bestatigen.
Vorlage ansehen arrow_forwardSchritt 3: Sammeln Sie die Daten
Durchsuchen Sie alle Ihre Systeme, in denen personenbezogene Daten des Antragstellers gespeichert sein konnten:
- CRM-System - Kundendaten, Notizen, Kommunikationsverlauf
- E-Mail-System - Korrespondenz mit der Person
- Buchhaltung - Rechnungen, Zahlungsdaten
- HR-System - wenn es sich um einen (ehemaligen) Mitarbeiter handelt
- Website - Formularubermittlungen, Kontodaten
- Papierakten - Vertrage, Korrespondenz
Seien Sie grundlich. Wenn Sie spater Daten vergessen, kann der Antragsteller eine Beschwerde einreichen.
Schritt 4: Erstellen Sie Ihre Antwort
Ihre Antwort muss folgende Informationen enthalten:
Die Daten selbst
Eine Kopie aller personenbezogenen Daten, die Sie uber die betroffene Person verarbeiten.
Zusatzliche Informationen
- Verarbeitungszwecke - warum Sie die Daten verarbeiten
- Datenkategorien - welche Arten von Daten Sie haben
- Empfanger - mit wem Sie die Daten geteilt haben
- Aufbewahrungsfrist - wie lange Sie die Daten aufbewahren
- Rechte - die betroffene Person hat Recht auf Berichtigung, Loschung, Einschrankung und Widerspruch
- Beschwerderecht - die betroffene Person kann eine Beschwerde bei der Aufsichtsbehorde einreichen
- Quelle - wenn Sie die Daten nicht von der betroffenen Person selbst erhalten haben, woher sie stammen
Vorlage: Antwort auf Auskunftsanfrage
Eine gebrauchsfertige Antwort mit allen Pflichtangaben.
Vorlage ansehen arrow_forwardSchritt 5: Senden Sie die Antwort
- Frist - innerhalb eines Monats nach Eingang der Anfrage
- Verlangerung - bei komplexen Anfragen konnen Sie um zwei Monate verlagern, informieren Sie den Antragsteller aber innerhalb des ersten Monats
- Format - wurde die Anfrage elektronisch gestellt, stellen Sie die Daten in einem gangigen elektronischen Format bereit (PDF, Excel)
- Kosten - die erste Anfrage ist kostenlos. Bei wiederholten oder offensichtlich ubermassigen Anfragen durfen Sie ein angemessenes Entgelt erheben
- Sicherheit - senden Sie die Daten uber einen sicheren Kanal, nicht als unverschlusselten E-Mail-Anhang
Schritt 6: Dokumentieren
Halten Sie fest, wie Sie die Anfrage bearbeitet haben: wann eingegangen, wann beantwortet, welche Daten bereitgestellt, welche Systeme durchsucht. Dies ist Ihr Nachweis, falls die betroffene Person spater eine Beschwerde einreicht.
Haufige Fehler
- Zu spat antworten - ein Monat vergeht schnell. Registrieren Sie die Anfrage sofort und beginnen Sie am selben Tag
- Daten vergessen - durchsuchen Sie alle Systeme, nicht nur Ihr CRM
- Keine Identitatsprufung - Daten an die falsche Person weiterzugeben ist eine Datenschutzverletzung
- Zu viel schwartzen - Sie durfen Daten Dritter schwartzen, aber nicht die eigenen Daten des Antragstellers
GDPRWise generiert Antwortvorlagen und hilft Ihnen, ein Register aller eingegangenen Anfragen zu fuhren.