Auch nach einem knappen Jahr „Grundverordnung“ lässt sich die Unsicherheit bei Unternehmen im Umgang mit Betroffenenrechten feststellen. Die sogenannte und auch wirklich sehr spürbare Stärkung der Betroffenenrechte, welche mit der Geltung der DSGVO „live ging“, stellt Verantwortliche vor verschiedenste Herausforderungen. Exemplarisch kann dies anhand der Anforderungen des Art. 15 DSGVO dargestellt werden. Dieser regelt das Auskunftsrecht für die betroffene Person gegenüber dem Verantwortlichen.

Auf den ersten Blick bietet Art. 15 DSGVO für Unternehmen nichts Neues. Auch nach der früheren Regelung im Bundesdatenschutzgesetz war es einer natürlichen Person möglich, bei einem beliebigen Unternehmen Auskunft über die zu sich gespeicherten Daten, deren Herkunft und Empfänger sowie den Zweck der Speicherung zu bekommen.

Es wäre also zu erwarten, dass zumindest für deutsche Unternehmen bereits seit Jahren etablierte Prozesse zur Beantwortung von Auskunftsersuchen existieren. Auf den zweiten Blick sieht man aber eine deutliche Erweiterung der Rechte der betroffenen Person, da sich der Detaillierungsgrad der Auskünfte erheblich gesteigert hat, die betroffene Person die Daten nicht mehr explizit benennen muss und ein Recht auf Kopie der personenbezogenen Daten hat, die Gegenstand der Verarbeitung sind.

Der Fokus dieses Beitrags liegt auf einem der Auskunftserteilung vorgelagerten Schritt: Bevor Auskunft erteilt wird, muss der Verantwortliche die Identität der Antragstellerin überprüfen. Warum eine Identitätsprüfung erforderlich ist und wie diese datenschutzrechtlich in unbedenklicher Art und Weise vorgenommen werden, wird hier erörtert.

Warum ist eine Identitätsprüfung erforderlich?

Man stelle sich folgenden Sachverhalt vor: Person „A“ interessiert sich für die Vorgeschichte ihrer neuen Bekanntschaft „B“ in im sozialen Netzwerk „Musternetz“. Da die Informationen für A nicht zugänglich sind, beschließt sie, sich einfach beim Musternetz als „B“ auszugeben und eine Auskunft über dessen verarbeitete Daten zu beantragen. Musternetz stellt sämtliche verarbeiteten personenbezogenen Daten der „B“ zur Verfügung. Mit offenem Ausgang für die weitere Entwicklung zwischen den beiden Personen.

Bei den auskunftspflichtigen personenbezogenen Daten einer Person kann es sich auch sehr sensible Daten handeln. Entsprechend kann eine Auskunft über diese Daten an den Falschen sogar gravierende Folgen für die diese Person nach sich ziehen.
Eine Auskunft an eine nicht befugte Empfängerin stellt eine Schutzverletzung der Datenschutz-Grundverordnung dar. Hieraus können sich für den Verantwortlichen Meldepflichten an die Aufsichtsbehörde und an die betroffene Person ergeben. Dementsprechend ist die eindeutige Identifizierung der betroffenen Person durch den Verantwortlichen, bevor dieser Auskunft erteilt, von großer Bedeutung.

Methoden der Identitätsprüfung

Entsprechend der gängigen Formen der Antragstellung (mündlich, schriftlich, elektronisch, etc.) ergeben sich für den Verantwortlichen verschiedene Möglichkeiten, die Antragstellerin zu identifizieren:

  • Telefonische Abfrage und interner Abgleich mit weiteren, beim Verantwortlichen gespeicherten Identifikationsmerkmalen, z.B. Geburtsdatum, Wohnanschrift, etc.
  • Identifizierung bzw. Antragstellung über ein Nutzerkonto auf der Website des Verantwortlichen
  • Anforderung eines Ausweisdokuments
  • Identifikation über der eIDAS-Verordnung entsprechende Dienste:
    – DE-Mail
    – Online-Ausweisfunktion
  • Post- bzw. Video-Ident: Identifizierung durch eine Mitarbeiterin der Deutschen Post oder per Video-Chat auch durch die Verantwortlichen selbst
  • Einschätzung und Bewertung der Methoden zur Identitätsprüfung

• Telefonische Abfrage und interner Abgleich: In der Regel stellen die seitens des Verantwortlichen abgefragten Informationen zur Feststellung der Identität (bspw. Geburtsdatum, Straße) keine „echten“ Geheimnisse, wie z.B. die PIN einer Bankkarte, dar. Jeder, der die Person kennt, kann u.U. entsprechende Angaben machen, sodass kein hohes Sicherheitsniveau gegeben ist. Folglich sollte, insbesondere wenn die Auskunft sich auf sensible Daten (bspw. Gesundheit, Sexualität) bezieht, auf andere Identifizierungsmethoden zurückgegriffen werden.

Sollte allerdings bereits eine Verifizierung der Wohnadresse stattgefunden haben, kann sich ein interner Adressenabgleich durchaus als sichere Identitätsprüfung darstellen, vorausgesetzt, die Auskunft erfolgt dann auch an die Wohnanschrift (per Brief / ggf. Einschreiben).

• Identifizierung bzw. Antragstellung über Nutzerkonto: Bei der Identifizierung einer Person über ein Nutzerkonto auf der Website des Verantwortlichen ist das Sicherheitsniveau nicht nur stark abhängig von der Passwortstärke der Nutzerin, sondern auch von der für die erstmalige Registrierung gewählte Authentifizierungsmethode. So unterscheiden sich diese z.B. beim Internetbanking von der bei sozialen Netzwerken. Vorteil der Identifizierung über das Nutzerkonto ist der geringe Aufwand alle Beteiligten.

• Übermittlung der Kopie eines Ausweisdokuments: Ausreichend ist die Lesbarkeit folgender Daten: Name, Anschrift, Geburtsdatum und Gültigkeitsdauer. Alle anderen Daten können sollten auf der Kopie vor Versand an den Verantwortlichen geschwärzt werden. Die postalische Übermittlung geschwärzter Ausweiskopien ist dann unproblematisch. Die Übermittlung per E-Mail ist nur dann unbedenklich, wenn der Verantwortliche hierfür einen sicheren Zugangsweg (z.B. Ende-zu-Ende-Verschlüsselung, Link zu HTTPS-geschützter Website, über die die Person die Ausweiskopie hochladen kann) bereitstellt.

• Identifikation über eIDAS-Dienst: Bei der Identifizierung über einen eIDAS-Dienst ist eine stärkere Authentifizierung der betroffenen Person nötig als z.B. bei der Übermittlung eines Ausweisdokuments, da die Antragstellerin für eine erfolgreiche Identifizierung nicht nur im Besitz des Ausweises sein, sondern auch die PIN kennen muss. Das gewährleistete Schutzniveau ist dementsprechend hoch.

• Post- bzw. Video-Ident-Verfahren: Bei der persönlichen Identifikation mit gültigem Ausweisdokument ist zwar keine Schwärzung von Daten auf dem Ausweis möglich, dafür erfolgt auch keine dauerhafte Speicherung der Daten bei der prüfenden Stelle (Postfiliale, Video-Ident).

Handlungsempfehlung

Als Verantwortlicher sollten Sie alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten.

Definieren Sie unter Abwägung der Sensibilität der verarbeiteten Daten einen verbindlichen internen Prozess für die Einbindung von Identitätsprüfungen im Rahmen der Geltendmachung von Betroffenenrechten und stellen Sie dessen Einhaltung sicher:

  1. Stellen Sie den betroffenen Personen Informationen zur Verfügung, bei wem in welcher Form (mündlich, schriftlich, elektronisch, etc.) der Antrag auf Auskunft gestellt werden soll. Bei elektronischer Verarbeitung personenbezogener Daten sollte der betroffenen Person die Möglichkeit eingeräumt werden, die Anträge elektronisch stellen zu können.
  2. Kategorisieren Sie nach Antragstellung seitens der betroffenen Person die Sensibilität der ggf. herauszugebenden Daten, da diese Einordnung maßgeblich für die jeweils erforderliche Identitätsprüfung ist.
  3. Erstellen Sie ggf. eine Übersicht der potentiellen Prüfmethoden. So können Sie gewährleisten, dass Sie bei der Auswahl des passenden Verfahrens alle Methoden berücksichtigt haben.
  4. Die Auswahl der Identitätsprüfungsmethode sollten Sie ausgehend von der Sensibilität der personenbezogenen Daten vornehmen und die Entscheidungsgründe entsprechend dokumentieren.

Folgen bei Nichtbeachtung

Die Nichtbeachtung der Identitätsprüfung kann eine Schutzverletzung zur Folge haben: Diese wiederum löst die Meldepflicht ggü. der zuständigen Datenschutz-Aufsichtsbehörde bzw. der betroffenen Person aus.

Fazit

Die DSGVO räumt natürlichen Personen in sehr viel stärkerem Maße als noch zuvor Rechte ein, die Ihrerseits mit Pflichten auf Seiten des Verantwortlichen einhergehen. Bei Erfüllung dieser Pflichten gilt es für den Verantwortlichen sicherzustellen, dass Gefahren für die Rechte und Freiheiten von Betroffenen, wie sie z.B. durch eine Falschauskunft entstehen können, ausgeschlossen werden. Insofern stellt die Identitätsprüfung im Rahmen der Betroffenenrechte ein wichtiges Element Ihrer internen Datenschutzorganisation dar, um einerseits den Betroffenen die Ausübung ihrer Rechte zu ermöglichen und andererseits ein möglichst hohes Sicherheitsniveau im Identifizierungsprozess zu gewährleisten.