Das DSAR-Volumenproblem
Artikel 12 der GDPR verlangt von Organisationen, dass sie auf Anfragen von betroffenen Personen innerhalb eines Monats reagieren, mit einer möglichen zweimonatigen Verlängerung für komplexe Anfragen. Die einmonatige Frist ist absolut – keine Karenzzeit, keine Ausnahmen aus gutem Glauben. Die Nichteinhaltung der Fristen für die Antwort ist unabhängig von den zugrunde liegenden Datenschutzpraktiken sanktionierbar.
Wesentliche Durchsetzungsmaßnahmen von DPAs im Jahr 2024 – die 310 Millionen Euro Geldstrafe der irischen DPC gegen LinkedIn wegen Verhaltenswerbung ohne gültige Zustimmung und 251 Millionen Euro gegen Meta wegen Versäumnissen bei der Datenpannenbenachrichtigung – haben das öffentliche Bewusstsein für die Rechte der betroffenen Personen erheblich geschärft. Nach jeder großen Geldstrafe führen DPAs typischerweise begleitende Aufklärungskampagnen durch, und die DSAR-Volumina steigen, da die betroffenen Personen erfahren, dass sie Rechte haben, die sie ausüben können.
Der koordinierte Durchsetzungsrahmen der EDPB von 2024 konzentrierte sich auf Mängel beim Zugangsrecht – direkt auf die Qualität und Rechtzeitigkeit der DSAR-Antworten. Organisationen, die nicht nachweisen können, dass sie DSAR-konform verarbeiten, sind einem erhöhten Risiko ausgesetzt, da der Durchsetzungsfokus der EDPB auf die Zugangsrechte verschoben wird.
Das Problem mit Dritten PII
Die Vorbereitung der DSAR-Antwort hat eine spezifische Komplikation, die die manuelle Arbeitslast vervielfacht: Dritte PII.
Wenn eine betroffene Person alle über sie gespeicherten personenbezogenen Daten anfordert, muss die Organisation die Informationen bereitstellen. Aber die über die betroffene Person gespeicherten Aufzeichnungen können Verweise auf andere Personen enthalten – Kundenservicenotizen, die andere Kunden erwähnen, E-Mail-Threads, die Kontaktdaten anderer Mitarbeiter enthalten, Beschwerdeunterlagen, die Dritte erwähnen. Die Bereitstellung dieser Aufzeichnungen an die anfragende betroffene Person setzt die personenbezogenen Daten der Dritten in Verletzung ihrer Rechte offen.
Eine konforme DSAR-Antwort erfordert die Überprüfung jedes Dokuments im Antwortpaket auf Dritte PII und die Anonymisierung dieser Verweise vor dem Versand. Für ein Telekommunikationsunternehmen mit 300 DSARs pro Monat, bei denen jeweils 50 Servicenotizen und Kommunikationen beteiligt sind, bedeutet dies, dass monatlich 15.000 Dokumente auf Verweise auf Dritte PII überprüft werden müssen – ausschließlich zur Einhaltung der DSAR.
Eine manuelle Überprüfung in diesem Umfang ist innerhalb des einmonatigen Fensters von Artikel 12 nicht machbar. Ein Compliance-Team von drei Personen kann nicht monatlich 15.000 Dokumente neben ihren anderen Verpflichtungen überprüfen. Der einzige skalierbare Ansatz ist die automatisierte Batchverarbeitung mit einer Voreinstellung, die für die Entfernung von Dritten PII konfiguriert ist.
Die Batchverarbeitungsarchitektur
Eine "DSAR-Antwort"-Voreinstellung, die für die Entfernung von Dritten PII konfiguriert ist: Die Voreinstellung erkennt alle Personennamen, Kontaktdaten und identifizierenden Verweise innerhalb der Dokumente. Sie wendet Anonymisierung auf alle erkannten Verweise an, mit Ausnahme derjenigen, die ausdrücklich der anfragenden betroffenen Person gehören (identifiziert durch Name und Kontonummer zu Beginn des Batchjobs). Andere Kunden, die in den Aufzeichnungen genannt werden, Mitarbeiter, die in Servicenotizen erwähnt werden, und Dritte, die in der Korrespondenz erwähnt werden, werden anonymisiert, bevor das Dokumentenpaket für die Antwort der betroffenen Person zusammengestellt wird.
Die Verarbeitung von 50 Dokumenten pro DSAR-Anfrage dauert Minuten statt Stunden. Das Compliance-Team überprüft die anonymisierten Ergebnisse auf Qualität und Grenzfälle, anstatt die ursprüngliche Überprüfung durchzuführen. Die DSAR-Antwortzeit reduziert sich von Wochen auf Tage.
Quellen: