Zum Hauptinhalt springen

Willkommen bei PRIVAPI PORTAL

Hier finden Sie die Dokumenatation zur Software PRIVAPI PORTAL der PRIVAPI GmbH. Das PRIVAPI PORTAL ermöglicht natürlichen oder juristischen Personen, Behörden, Einrichtungen oder anderen Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden (sogenannte "Verantwortliche") die effiziente und rechtssichere Bearbeitung von Betroffenenrechtsanfragen i.S.d. DSGVO.

Was sind Betroffenrechtsanfragen

Mit der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO / GDPR) in 2018 wurden die Rechte von Betroffenen (Personen, deren personenbezogene Daten verarbeitet werden) europaweit kodifiziert. Vor dem Hintergrund der informellen Selbstbestimmung können Betroffene Ihre Rechte jederzeit gegenüber Unternehmen geltend machen, die Ihre Daten verarbeiten (sogenannte "Verantwortliche").

Aus den Rechten für Betroffene, die in Art. 12 bis 23 DSGVO definiert werden, ergeben sich im Wesentlichen folgende Arten von Anfragen an Verantwortliche:

ArtGrundlageBeschreibung
Auskunftsrecht der betroffenen PersonArt. 15 DSGVODie betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten. Die Auskunft muss darüber hinaus die in Art. 15 DSGVO genannten Informationen beinhalten.
Recht auf BerichtigungArt. 16 DSGVODie betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Recht auf LöschungArt. 17 DSGVODie betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern die in Art. 17 aufgeführten Tatbestände erfüllt sind.
Recht auf Einschränkung der VerarbeitungArt. 18 DSGVODie betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist.
Recht auf DatenübertragbarkeitArt. 20 DSGVODie betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln.
WiderspruchsrechtArt. 21 DSGVODie betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Artikel 6 Absatz 1 Buchstaben e oder f erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.

Betroffenenrechtsanfragen sind grundsätzlich innerhalb von 30 Tagen nach Erhalt zu beantworten bzw. umzusetzen. In begründbaren Ausnahmefällen (z.B. wg. technischen Voraussetzungen) kann die Bearbeitung mehr ZEit in Anspruch nehmen. Der Betroffene ist hierüber mitsamt Begründung zu informieren.

info

Sollten die Betroffenenrechtsanfragen nicht innerhalb von 30 Tagen beantwortet werden und auch kein plausibel begründeter Grund für die verzögerte Bearbeitung bestehen, entstehen signifikante Risiken für Verantwortliche. Diese reichen von Abmahnungen, Bußgelder und / oder einer Untersuchung der Modalitäten zur Einhaltung der Datenschutzvorschriften beim Verantwortlichen.

Welche Probleme löst das PRIVAPI PORTAL

Das PRIVAPI PORTAL unterstützt Verantwortliche bei Erhalt, Organisation, Bearbeitung und Rückmeldung von / zu Betroffenenrechtsanfragen i.S.v. Art. 15 - 22 DSGVO.

Die Anforderungen an die Bearbeitung insbesondere von Auskunftsersuchen hat das Europeacn Data Protection Board (EDPB) hier zusammengetragen: Guidelines 01/2022 on data subject rights - Right of access.

Reduktion des Risikos

Bündelung von Anfragen

Das PRIVAPI PORTAL ermöglicht den Erhalt von Betroffenenrechtsanfragen über unterschiedliche Eingangskanäle. Dabei bildet das PORTAL den Dreh- und Angelpunkt für alle Tätigkeiten zur Bearbeitung der Anfragen und zur Rückmeldung an Betroffene. Verlieren Sie damit nie den Überblick über offene und abgeschlossene Anfragen

Rechtzeitige Bearbeitung

Betroffenenrechtsanfragen müssen in der Regel inerhalb von 30 Tagen vollständig berbeitet sein. Sollte diese Frist nicht eingehalten werden, droht ein Bußgeld durch die beaufsichtigende Stelle (Landesdatenschutzbehörde etc.) sowie das Risiko von Abmahnungen. Neben einem Bußgeld kann die Behörde ebenso eine Untersuchung initiieren um festzustellen, ob der Verantwortliche insegesamt ausrechende Maßnahmen eingeführt hat, um die Rechte von Betroffenen zu gewährleisten.

Das PRIVPAI PROTAL ermöglicht einen transparenten Überblick über die erhaltenen Anfragen, den aktuellen Bearbeitungsstand, die bestehenden Fristen. Darüber hinaus können Mitarbeiter des Verantwortlichen täglich über kurzfristig fällige Anfragen vie E-Mail informiert werden. So verpassen Sie nie wieder eine Frist und reduzieren das Risiko für Bußgelder.

Reduktion manueller Aufwand

Identifizierung von Betroffenen

Bevor eine Anfrage bearbeitet werden kann, muss die Identität des Anfragenden verifiziert werden. Einfache Angaben wie ein Name oder eine E-Mail Adresse als Absender sind nicht ausreichend. Das PRIVAPI PORTAL kann die Identifizierung von Anfragenden unterstützen, indem erforderliche Angaben automatisiert erhoben werden. Der Verantwortliche gleicht diese Informationen mit seinem eigenen Datenbestand ab um die Identität des Anfragenden zu bestätigen.

Der Verantwortliche reduziert den hierfür erforderlichen manuellen Aufwand auf ein Minimum.

Verschlüsselter Austausch von Informationen / Dateien

Der Verantwortliche ist verpflichtet, den Betroffenen nach Bearbeitung seiner Anfrage über die Ergebnisse zu informieren. Insbesondere, wenn personenbezogene Daten in dieser Rückmeldung enthalten sind (in der Regel bei Auskufntsersuchen nach Art. 15 DSGVO oder bei der Ausübung des Rechts zur Datenübertragbarkeit nach Art. 20 DSGVO), muss die Rückmeldung nach den allgemeinen Grundsätzen der Datenschutzgrundverordnung vor dem Zugriff durch unbefugte Dritte geschützt werden. Eine E-Mail an den Betroffenen zu schicken kann somit die gesetzlichen Anforderungen nicht erfüllen.

Das PRIVAPI PORTAL ermöglicht eine verschlüsselte Kkommunikation mit dem Anfragenden. Postalische Antworten, die insbesondere bei Übersendung von Daten unpraktisch sind, werden durch das PRIVAPI PORTAL überflüssig. Anfragende legen für die jeweilge Anfrage ein Passwort fest, mit dem Sie die Rückmeldung von einem eigenen Portal abholen können. Sämtliche Kommunikation ist mit einer mehrschichtigen Kombination von symmetrischer und asymetrischer Verschlüsselung geschützt.

Workflow, Rollen und Einbindung verschiedener Fähigkeiten

Verwaltung und Bearbeitung von Betroffenenrechtsanfragen erfolgen analog klassischer Ticketsysteme. Das PRIVAPI PORTAL bietet jedoch einen auf Betroffenenrechtsanfragen spezialisierten Workflow und ermöglicht eine rechtssichere Bearbeitung von Anfragen auch ohne Datenschutzexperte zu sein.

Durch die Möglichkeit, Fallbearbeiter in definierbare Rollen in den Workflow einzubinden, können die für den Arbeitsschritt relevanten Personen innerhalb der Organisation des Verantwortlichen eingebunden werden. Alle Schritte zur Beantwortung der Anfrage werden innerhalb des PRIVAPI PORTALS durchgeführt und revisionssicher dokumentiert.

Am Beispiel eines Auskunftsersuchens:

Org-EinheitAufgabe
Customer Support (Head)Anfragen entgegen nehmen und Fallbearbeiter zuweisen
Customer Support (Fallbearbeiter)Identität verifizieren
Customer Support (Fallbearbeiter)Vorlage für Antwort auswählen und falls erforderlich weiter individualisieren
DevOps (Fallbeiter)Personenbeopgene Daten aus den Datenverarbeitungssystemen extrahieren
DatenschutzbeauftragterAntwort prüfen und freigeben
Customer Support (Fallbearbeiter)Antwort an Anfragenden senden

Auch kleinere Organisationen mit nur einem Mitarbeiter für die Bearbeitung von Anfragen können durch die Nutzung des PRIVAPI PORTALS deutliche Vorteile erzielen.

Nutzung von Vorlagen und automatisch individuell generierten Antworten

Vordefinierte und teilweise anpassbare Vorlagen ermöglichen eine erhebliche Zeitersparnis bei der Bearbeitung von Betroffenenrechtsanfragen. Insbesondere bei den Auskunftsersuchen, die in der Regel die Mehrzahl der Anfragen ausmachen, kann bei einer entsprechenden Konfiguration (siehe Abschnitt Setup) die Bearbeitung von Anfragen mit nur wenigen Mausklicks erfolgen.

Insbesondere können auch fachlich weniger versierte Mitarbeiter den Prozess vom Erhalt der Anfrage bis zum Versand der Antwort durchführen.

Welche Probleme löst das PRIVAPI PORTAL nicht

Bei Auskunftsersuchen oder Anfragen bzgl. Datenübertragung kann der Betroffene die Aushändigung der verarbeiteten Daten fordern. Das PRIVAPI PORTAL unterstützt in der jetzigen Ausbaustufe nicht das Sammeln und Hochladen von personenbezogenen Daten aus dem Einflussbereich des Verantwortlichen. Hierfür muss der Verantwortliche eigene Maßnahmen treffen, abhängig von Art und Komplexität der Datenverarbeitung sowie der datenverarbeitenden Systeme. Die Roadmap des PRIVAPI PORTALS sieht hier jedoch bereits Lösungen vor die beim Sammeln der Daten unterstützen.

Informationssicherheit

Das PRIVAPI PORTAL wurde mit höchsten Ansprüchen an die Informationssicherheit entwickelt. Alle Daten sind durch mehrere, aufeinander aufbauende Verschlüsselungsstufen gesichert. Die implementierte Ende-zu-Ende Verschlüsselung sorgt dafür, dass PRIVAPI niemals Einblick in die beim Verantwortlichen gespeicherten Daten hat (ausgenommen E-Mail Adressen und ggf. Namen von Anfragenden, die für den Versand von Benachrichtigungsemails erforderlich sind).