DSGVO: Tools zur Umsetzung der Auskunftsrechte

DSGVO-Auskunftsrecht macht weiterhin Probleme

„82 Prozent der Verbraucher in Europa wollen ihre neuen Rechte ausüben und die Daten, die Unternehmen zu ihnen erfassen, einsehen, begrenzen oder löschen“, so lautete ein zentrales Ergebnis der Studie „GDPR: Show me the data“ von Pegasystems.

Inzwischen sind seit Veröffentlichung dieser Studie rund zehn Monate vergangen.

Was sollten Unternehmen inzwischen getan haben, um diese Rechte umzusetzen?

Die Vorgaben, wie das Auskunftsrecht der Betroffenen um zusetzen ist, finden sich schnell in der Datenschutz-Grundverordnung:

Artikel 12 DSGVO besagt: „Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen (…), die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.“

Artikel 15 DSGVO (Auskunftsrecht der betroffenen Person) nennt die erforderlichen Informationen im Rahmen der Auskunft. Er klärt zudem, dass die Kopie der gespeicherten Daten in einem gängigen elektronischen Format zur Verfügung zu stellen sind, sofern die betroffene Person den Antrag elektronisch stellt und nichts anderes angibt, also zum Beispiel keinen Papierausdruck anfragt.

Unternehmen wissen also, was in die Antwort auf eine Auskunftsanfrage gehört. Und sie werden die Auskunft in vielen Fällen digital erteilen können.

Die Erwägungsgründe zur DSGVO geben weitere wichtige Hinweise, wie Verantwortliche das Auskunftsrecht umsetzen. Darunter finden sich Anforderungen an die Sicherheit der Daten, die sie dabei gewährleisten müssen:

• Nach Möglichkeit stellt der Verantwortliche der betroffenen Personen einen Fernzugang zu einem sicheren System bereit. Dieser Fernzugang ermöglicht es der betroffenen Person, direkt auf ihre personenbezogenen Daten zuzugreifen.
• Der Verantwortliche nutzt alle vertretbaren Mittel, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen. Das gilt insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen.

Wie sieht es in der Praxis aus?

Viele Unternehmen sind immer noch nicht darauf vorbereitet, den Betroffenenrechten nach Datenschutz-Grundverordnung nachzukommen.

Etwa 70 Prozent von 103 befragten global agierenden Unternehmen gelingt es offenbar nicht, entsprechende Anfragen auf Auskunft innerhalb der vorgesehenen Frist von einem Monat zu bearbeiten. Dies zeigt eine aktuelle Analyse von Talend.

Das Ziel: Transparenz schaffen

Woran scheitert die Umsetzung des Auskunftsrechts nach DSGVO bisher?

Hier sind die fehlende Motivation sowie fehlende technische Verfahren zu nennen:

• Motivation: Unternehmen sollten die Umsetzung der Betroffenenrechte nicht als reine Vorgabe der DSGVO sehen, die viel Aufwand erzeugt und wenig Nutzen bringt.
  Vielmehr gehören die Betroffenenrechte wie die Auskunftsrechte zu den zentralen Elementen der Transparenz. Sie ist für den Datenschutz zentral und macht ganz besonders den Datenschutz zu einem Wettbewerbsvorteil: Kunden wollen wissen, was mit ihren Daten geschieht.
• Technische Verfahren: Auf dem Markt gibt es bereits eine Reihe von Werkzeugen, mit denen sich das Auskunftsrecht einfacher umsetzen lässt.
  Sie verringern den Aufwand, um eine Auskunftsanfrage zu bearbeiten, und schaffen gleichzeitig Transparenz für den Kunden als Betroffenen.

Beispiele: Auskunft auf Knopfdruck

Viele IT-Lösungen, die personenbezogene Daten verarbeiten, ermöglichen nicht nur intern Transparenz über die Datenhaltung.

Sie unterstützen Verantwortliche auch dabei, einer betroffenen Person Auskunft zu ihren Daten zu erteilen.

Beispiele für solche Lösungen sind:

• Die Vertragsverwaltung contractmanager² enthält eine Funktion für die Auskunft über personenbezogene Daten gemäß der DSGVO. Sie listet für Personen (Ansprechpartner, Verantwortliche) die in der Vertragsverwaltung hinterlegten personenbezogenen Daten auf. Die Angabe eines Vor- und / oder Nachnamens schränkt die Suche auf passende Datensätze ein. Das Ergebnis lässt sich nach Excel exportieren.
• Das Zusatzmodul „ADDISON DSGVO Comfort Steuerberater“ enthält ein „DSGVO-Dashboard“. Vom DSGVO-Dashboard aus lassen sich Auskunftsersuchen bearbeiten sowie Dokumente erzeugen, die die Daten, die zum Betroffenen gespeichert sind, darstellen.
• Das DSGVO-Dashboard von Omikron ist eine Weboberfläche, die Daten aus unterschiedlichen Quellsystemen (wie CRM, ERP, Online-Shop) durchsucht und in einer einheitlichen Datensicht zusammenbringt. Das Auskunftsrecht lässt sich mit dem Dashboard per Suchabfrage umsetzen.
• Die Lösung intergator identifiziert personenbezogene Daten innerhalb eines Unternehmens oder einer Organisation und verknüpft die relevanten Daten an einem Einstiegspunkt. Das intergator DSGVO Dashboard bietet die Möglichkeit, sämtliche personenbezogene Daten zu einer Person abzurufen.
• Das APplus-Solution-Pack zur DSGVO erweitert das ERP-System APplus. Um dem Recht auf Auskunft sowie der Informationspflicht beim Anlegen neuer Datensätze nachzukommen, lassen sich Reports zur Datenverwendung erstellen. Diese können manuell oder automatisiert an die betroffene Person versendet werden.

Auskunftsrecht nach DSGVO lässt sich gewährleisten

Es zeigt sich: Bereits in der DSGVO gibt es eine Reihe von Vorgaben, die das Auskunftsrecht und die Umsetzung näher spezifizieren.

Gründe für die Umsetzung gibt es genug, neben der erforderlichen DSGVO-Compliance gehören Auskünfte über gespeicherten Daten des jeweils Betroffenen zu den klaren Kundenwünschen.

Nicht zuletzt gibt es bereits eine Reihe von Tools, die die Auskunftserteilung leichter machen. Die Lücken in der Datenschutz-Organisation vieler Unternehmen rund um das Auskunftsrecht lassen sich also recht leicht schließen.