DSAR-Welle: Batch-Verarbeitung für die DSGVO-Compliance
DSGVO Artikel 12 setzt eine Frist von einem Monat. Organisationen müssen auf Datenschutzanfragen (DSARs) innerhalb von 30 Tagen antworten. Komplexe Fälle erhalten eine Verlängerung von 60 Tagen. Die Frist beginnt mit dem Eingang der Anfrage. Es gibt keine Nachfrist. Eine versäumte Frist ist für sich allein eine Verletzung.
Im Jahr 2024 machten DPA-Bußgelder Betroffenenrechte weit bekannt. Die irische DPC verhängte gegen LinkedIn eine Strafe von 310 Millionen Euro wegen verhaltensbasierter Werbung ohne gültige Einwilligung. Sie bestrafte Meta mit 251 Millionen Euro für das verspätete Melden einer Datenpanne. Jedes Bußgeld führte zu einer Aufklärungskampagne. Mehr Menschen erfuhren von ihren Rechten. Die Zahl der DSARs stieg.
Der koordinierte Durchsetzungsrahmen des EDPB 2024 richtete sich gegen Fehler beim Auskunftsrecht. Organisationen, die keine sauberen DSAR-Nachweise erbringen können, stehen jetzt unter verstärkter Kontrolle.
Lesen Sie unsere Compliance-Übersicht und Sicherheitspraktiken für unsere DSGVO-Unterstützung.
Das Problem mit Drittanbieter-PII
DSAR-Antworten bringen ein spezifisches Problem mit sich: Drittanbieter-PII.
Eine betroffene Person fordert alle gespeicherten Unterlagen über sich an. Diese Unterlagen können andere Personen nennen. Eine Support-Notiz kann die Telefonnummer eines anderen Kunden enthalten. Ein E-Mail-Thread kann die Adresse eines Kollegen zeigen. Ein Beschwerdeprotokoll kann eine dritte Partei erwähnen. Das Versenden dieser Unterlagen legt die Daten anderer offen. Das ist eine eigenständige Verletzung ihrer Rechte.
Sie müssen jedes Dokument prüfen. Sie müssen Verweise auf Dritte vor dem Versand entfernen. Ein Telekommunikationsunternehmen mit 300 DSARs pro Monat hat etwa 50 Dokumente pro Anfrage. Das sind 15.000 Dokumente pro Monat — nur für die DSAR-Compliance.
Ein Team von drei Personen kann das nicht schaffen. Manuelle Prüfungen passen nicht in ein einmonatiges Zeitfenster bei diesem Umfang.
Batch-Verarbeitungsarchitektur
Ein DSAR-Antwort-Preset löst dieses Problem. Das Preset scannt jedes Dokument. Es findet alle Personennamen, Kontaktdaten und andere Identifikatoren. Es anonymisiert jede Übereinstimmung außer denen, die zur anfragenden Person gehören. Sie geben den Namen und die Kontonummer dieser Person zu Beginn des Jobs ein.
Andere Kunden in Unterlagen werden anonymisiert. Mitarbeiter in Service-Notizen werden anonymisiert. Dritte in E-Mails werden anonymisiert. All das geschieht, bevor das Dokumentenpaket zusammengestellt wird.
Die Bearbeitung von 50 Dokumenten dauert Minuten — keine Stunden. Das Compliance-Team prüft die Ausgabe auf Grenzfälle. Die Antwortzeit sinkt von Wochen auf Tage.
Besuchen Sie unsere Entitäten-Seite, um zu sehen, welche Datentypen das Preset standardmäßig erkennt.
Was für einen vertretbaren Workflow wichtig ist
Drei Dinge machen einen DSAR-Workflow vertretbar.
Geschwindigkeit. Batch-Tools beseitigen den Engpass, der bei hohem Volumen zu Verzögerungen führt.
Genauigkeit. Das Preset muss Drittanbieter-PII entfernen, ohne die eigenen Daten der betroffenen Person zu berühren. Ein gut konfiguriertes Preset beherrscht diese Unterscheidung.
Prüfprotokoll. Artikel 5(2) erfordert den Nachweis der Compliance. Batch-Läufe protokollieren, welche Dokumente verarbeitet wurden, welches Preset verwendet wurde und wann. Dieses Protokoll ist Ihr Nachweis.