Betroffenenauskunftsanfragen
erklärt und gelöst

Eine Data Subject Access Request — kurz DSAR — ist ein formeller Antrag einer Person an eine Organisation, eine Kopie der über sie gespeicherten personenbezogenen Daten bereitzustellen. Dieses Recht ist in Artikel 15 der DSGVO verankert, und vergleichbare Bestimmungen gibt es in den Datenschutzgesetzen Australiens, Kanadas und anderer Länder.

Personen stellen DSARs aus verschiedenen Gründen. Manche möchten wissen, welche Informationen ein Arbeitgeber oder ehemaliger Arbeitgeber über sie besitzt. Andere bereiten einen Rechtsstreit vor, untersuchen eine Beschwerde oder üben einfach ihr gesetzliches Recht auf Transparenz aus. Unabhängig vom Motiv sind Organisationen gesetzlich verpflichtet zu antworten.

Eine gültige DSAR-Antwort bedeutet, alle personenbezogenen Daten der anfragenden Person zu lokalisieren — in E-Mails, Dokumenten, HR-Systemen, Chat-Plattformen, Dateifreigaben und Datenbanken — und innerhalb eines Kalendermonats eine Kopie bereitzustellen. Verlängerungen sind bei komplexen Anfragen möglich, aber die Standarderwartung ist klar: ein Monat.

In der Praxis ist dies weitaus schwieriger als es klingt. Ein einzelner Mitarbeiter kann in Tausenden von E-Mails, Hunderten von Dokumenten, mehreren Chat-Verläufen und verschiedenen internen Systemen erscheinen, die über Jahre angesammelt wurden. All diese Daten zu finden, auf Ausnahmen zu prüfen und Informationen Dritter vor der Offenlegung zu schwärzen, ist eine erhebliche operative Belastung.

Die zentrale Herausforderung bei DSARs ist nicht das Verständnis der Pflicht — sondern deren Erfüllung. Die meisten Organisationen speichern personenbezogene Daten in Dutzenden von Systemen: E-Mail-Server, gemeinsame Laufwerke, HR-Plattformen, CRM-Tools, Chat-Anwendungen und Legacy-Datenbanken. Es gibt keinen einzelnen Knopf, der alles zu einer Person abruft.

Nach der Datensammlung muss jedes Dokument einzeln geprüft werden. Prüfer müssen feststellen, ob jedes Element in den Umfang fällt, ob es personenbezogene Daten der anfragenden Person enthält und ob Ausnahmen gelten. Anwaltliche Schweigepflicht, Geschäftsgeheimnisse und Managementplanungsausnahmen erfordern eine sorgfältige Einzelfallprüfung.

Dann kommt die Schwärzung. Vor der Offenlegung müssen Organisationen personenbezogene Daten Dritter entfernen — Namen, E-Mail-Adressen, Telefonnummern und andere identifizierende Informationen. In einer einzigen E-Mail-Kette kann dies Dutzende von Verweisen über mehrere Teilnehmer hinweg bedeuten. Über Tausende von Dokumenten hinweg ist der Aufwand enorm.

Traditionelle Ansätze setzen auf Rechtsanwaltsgehilfen oder Junioranwälte, die Dokumente einzeln prüfen, oft in allgemeinen Tools wie Adobe Acrobat oder Microsoft Word. Bei typischen Prüfungssätzen kann ein DSAR mit 5.000 Dokumenten Zehntausende an Anwaltskosten verursachen und Wochen in Anspruch nehmen.

Das rechtliche Risiko ist real. Eine unvollständige Antwort, ein übersehenes Dokument oder eine versehentliche Offenlegung von Drittdaten kann zu Beschwerden bei der Aufsichtsbehörde, behördlichen Maßnahmen und Reputationsschäden führen. Die Ein-Monats-Frist übt ständigen Druck auf einen Prozess aus, der sowohl Geschwindigkeit als auch Präzision erfordert.

Dezcry ist eine KI-gestützte eDiscovery-Plattform, die fragmentierte, manuelle Arbeitsabläufe durch einen einzigen, strukturierten Prozess ersetzt. Statt zwischen Tabellen, gemeinsamen Ordnern und eigenständigen PDF-Tools zu koordinieren, arbeiten Teams in einer Umgebung von der Aufnahme bis zur endgültigen Offenlegung.

Der Workflow beginnt mit der Datensammlung. Dokumente, E-Mails und Anhänge aus relevanten Quellen werden in einen Arbeitsbereich hochgeladen. Dezcry verarbeitet gängige Formate — PST-Postfächer, PDFs, Office-Dokumente, Bilder und reinen Text — und extrahiert automatisch durchsuchbaren Inhalt, einschließlich OCR für gescannte Dokumente.

Nach der Aufnahme identifiziert die KI-gestützte Klassifizierung, welche Dokumente wahrscheinlich in den Umfang fallen und welche zurückgestellt werden können. Dies reduziert das Volumen, das Prüfer manuell untersuchen müssen.

Die KI-Schwärzung identifiziert dann personenbezogene Daten Dritter, sensible Kategorien, privilegierte Inhalte und vertrauliche Informationen — und wendet konsistente Schwärzungsvorschläge auf den gesamten Dokumentensatz an. Schwärzungen werden automatisch basierend auf konfigurierbaren Regeln angewendet.

Das Ergebnis ist ein verteidigungsfähiger, auditierbarer Prozess, der ein offenlegungsfertiges Paket in einem Bruchteil der Zeit erstellt. Jede Aktion — Uploads, Klassifizierungen, Schwärzungsentscheidungen — wird protokolliert.

Einer der größten Zeitfresser bei jedem DSAR ist die Entscheidung, welche Dokumente tatsächlich relevant sind. Eine Datensammlung über fünf Jahre E-Mail kann 20.000 Elemente enthalten, aber nur ein Bruchteil wird personenbezogene Daten der anfragenden Person in bedeutsamer Weise enthalten.

Dezcry verwendet KI-gestützte Klassifizierung, um jedes Dokument zu analysieren und seine Relevanz für die Anfrage zu bewerten. Das System bewertet Inhalt, Metadaten und Kontext, um festzustellen, ob ein Dokument wahrscheinlich im Umfang liegt, potenziell im Umfang liegt oder eindeutig außerhalb des Umfangs liegt.

Die praktische Auswirkung ist erheblich. Anstatt jedes Dokument nacheinander zu prüfen, können Prüfer sich zuerst auf hochrelevante Elemente konzentrieren, Grenzfälle für eine sekundäre Prüfung zurückstellen und schnell bestätigen, dass nicht relevantes Material korrekt ausgeschlossen wurde.

Die Klassifizierung unterstützt auch die Konsistenz. Anstatt sich auf individuelle Beurteilungen zu verlassen, die von Person zu Person variieren, bietet die KI eine einheitliche Basisbewertung über den gesamten Dokumentensatz.

Schwärzung ist der Punkt, an dem die DSAR-Kosten am stärksten eskalieren. Vor der Offenlegung müssen Organisationen personenbezogene Daten von Dritten identifizieren und entfernen. Sie müssen auch besonders sensible Daten, geschäftlich vertrauliches Material und durch anwaltliche Schweigepflicht geschützte Inhalte identifizieren.

In einem traditionellen Workflow öffnet ein Prüfer jedes Dokument, liest es, markiert manuell jeden Namen, jede E-Mail-Adresse, Telefonnummer und jeden identifizierenden Verweis und wendet eine Schwärzung an. Für einen einzelnen E-Mail-Verlauf mit zehn Teilnehmern und fünfzig Nachrichten kann dieser Prozess eine Stunde oder mehr dauern.

Dezcry geht anders vor. Die Plattform verwendet eine mehrschichtige KI-Schwärzungspipeline, die automatisch personenbezogene Daten identifiziert, kategorisiert und Schwärzungsvorschläge über den gesamten Dokumentensatz generiert.

Über grundlegende personenbezogene Daten hinaus erkennt die KI Muster, die auf sensible Kategorien hinweisen: Verweise auf medizinische Zustände, psychische Gesundheit, Behinderungen, sexuelle Orientierung, religiöse Überzeugungen und politische Zugehörigkeiten. Sie kennzeichnet auch Inhalte, die anwaltlich privilegiert sein könnten.

Der entscheidende Vorteil ist Konsistenz im Maßstab. Ein menschlicher Prüfer, der sein 500. Dokument bearbeitet, wird unweigerlich Verweise übersehen, die er beim 50. noch erkannt hätte. Die KI wendet dieselbe Erkennungslogik mit derselben Sorgfalt auf jedes Dokument an.

Das System ist darauf ausgelegt, Schwärzung im Maßstab zu automatisieren. Schwärzungen werden automatisch basierend auf konfigurierbaren Regeln und Konfidenzschwellen angewendet. Teams können den Workflow an ihre Bedürfnisse anpassen. Alle Aktionen werden protokolliert.

Die Kostenauswirkung ist erheblich. Schwärzungsarbeit, die ein Team von Rechtsanwaltsgehilfen Wochen manueller Arbeit kosten würde, kann auf Tage reduziert werden. Für Organisationen, die mehrere DSARs pro Monat bearbeiten, können die kumulierten Einsparungen Zehntausende pro Jahr erreichen.

Ebenso wichtig ist, dass der Prozess verteidigungsfähig ist. Wenn ein Regulierer oder eine anfragende Person die Angemessenheit einer Antwort in Frage stellt, kann die Organisation genau nachweisen, wie jedes Dokument verarbeitet wurde.

Um zu veranschaulichen, wie der Prozess in der Praxis funktioniert, betrachten Sie ein typisches Szenario: Eine Organisation erhält einen DSAR von einem ehemaligen Mitarbeiter, der sechs Jahre im Unternehmen tätig war.

Schritt 1 — Scoping und Sammlung. Das Datenschutzteam identifiziert die relevanten Datenquellen: das E-Mail-Postfach des Mitarbeiters (als PST-Datei exportiert), HR-Unterlagen, gemeinsame Laufwerksordner und relevante Teams- oder Slack-Nachrichten.

Schritt 2 — Aufnahme. Die gesammelten Dateien werden in einen neuen Arbeitsbereich in Dezcry hochgeladen. Die Plattform verarbeitet jede Datei — extrahiert Text, parst E-Mail-Metadaten, führt OCR für gescannte Dokumente durch und erstellt einen durchsuchbaren Index.

Schritt 3 — KI-Klassifizierung. Dezcry analysiert den gesamten Dokumentensatz und klassifiziert jedes Element nach Relevanz. Von 8.000 Dokumenten identifiziert das System 2.400 als eindeutig im Umfang, 1.100 als Grenzfälle und 4.500 als außerhalb des Umfangs.

Schritt 4 — KI-Schwärzung. Die Plattform führt ihre Schwärzungspipeline über die relevanten Dokumente aus und identifiziert personenbezogene Daten Dritter, sensible Informationen und potenziell privilegierte Inhalte.

Schritt 5 — Qualitätskontrolle. Je nach Workflow des Teams kann jedes geschwärzte Dokument geprüft, eine statistische Stichprobe kontrolliert oder nur gekennzeichnete Grenzfälle fokussiert werden.

Schritt 6 — Export und Offenlegung. Nach Abschluss der Prüfung erstellt Dezcry ein Offenlegungspaket — geschwärzte Dokumente, die zur Übergabe an die anfragende Person bereit sind.

Ein Prozess, der mit manuellen Methoden drei bis vier Wochen dauern könnte, kann in Tagen abgeschlossen werden, deutlich innerhalb der gesetzlichen Ein-Monats-Frist.

Dezcry ist für Teams entwickelt, die effizient auf DSARs reagieren müssen, ohne Qualität oder Verteidigungsfähigkeit zu opfern.

• Schnellere Antwortzeiten. KI-Klassifizierung und -Schwärzung komprimieren Wochen manueller Arbeit auf Tage und halten Antworten deutlich innerhalb der gesetzlichen Ein-Monats-Frist.
• Niedrigere Kosten. Durch die Reduzierung des Dokumentenvolumens für manuelle Prüfung und die Automatisierung des arbeitsintensivsten Schritts senkt Dezcry den internen Zeitaufwand und die externen Rechtskosten erheblich.
• Konsistente Schwärzungen. Die KI wendet dieselbe Erkennungs- und Kategorisierungslogik auf jedes Dokument an und eliminiert Inkonsistenzen bei manueller Verarbeitung.
• Verteidigungsfähiger Prozess. Jede Aktion in der Plattform wird protokolliert. Klassifizierungen, Schwärzungen, QC-Entscheidungen und Exporte werden aufgezeichnet und bieten einen vollständigen Audit-Trail.
• Skalierbar für große Datenmengen. Ob eine Anfrage 500 oder 50.000 Dokumente umfasst — Dezcry verarbeitet den gesamten Satz durch dieselbe Pipeline.
• Reduziertes rechtliches Risiko. Systematische Verarbeitung reduziert die Wahrscheinlichkeit übersehener Dokumente, versehentlicher Offenlegungen von Drittdaten oder inkonsistenter Anwendung von Ausnahmen.
• Verbesserte operative Effizienz. Datenschutz- und Rechtsteams verbringen weniger Zeit mit repetitiver Dokumentenbearbeitung und mehr Zeit mit den Beurteilungen, die tatsächlich ihre Expertise erfordern.