In einer aktuellen Stellungnahme gibt der Landesbeauftragte für den Datenschutz und Informationsfreiheit in Baden-Württemberg Hinweise zu den erforderlichen Identitätsprüfungen bei elektronischen Auskunftsersuchen nach Art. 15 DSGVO
Mit der Datenschutzgrundverordnung (DSGVO) wurden die Rechte der von Datenverarbeitungen betroffenen Personen gestärkt. Neben dem bereits aus dem „alten“ Datenschutzrecht bekannten Auskunftsrecht (nunmehr Artikel 15), dem Recht auf Berichtigung (Artikel 16), dem Recht auf Löschung bzw. „Recht auf Vergessenwerden“ (Artikel 17) und dem Recht auf Einschränkung der Verarbeitung (Artikel 18) hat insbesondere das Recht auf Datenübertragbarkeit (Artikel 20) neu durch die DSGVO Einzug gehalten.
In Artikel 12 werden die Modalitäten für die Ausübung der Rechte der betroffenen Person näher ausgeführt. Neben der schriftlichen und elektronischen Kommunikation sieht Absatz 1 auch eine mündliche Erteilung von Informationen vor – „sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde“. In Absatz 3 wird gefordert, dass die betroffene Person nach Möglichkeit auf elektronischem Weg zu unterrichten ist, sofern sie den Antrag elektronisch stellt und sie nichts anderes angibt. Im Hinblick auf die Identifizierung der betroffenen Person, die von ihren Betroffenenrechten Gebrauch machen möchte, regelt Absatz 6, dass der Verantwortliche zusätzliche Informationen anfordern kann, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Nach Artikel 15 Absatz 3 hat der Verantwortliche der betroffenen Person eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Dabei ist insbesondere auch vorgesehen, dass die betroffene Person den Antrag elektronisch stellen kann und ihr die Informationen auch in einem gängigen elektronischen Format zur Verfügung gestellt werden (Satz 3).
Betroffene Personen können auf unterschiedlichen Wegen ein Auskunftsersuchen beim Verantwortlichen einreichen.
Wege der Antragstellung:
- Schriftlicher Antrag
- Telefonischer Antrag
- Antrag per E-Mail
- Antrag über Website (Nutzerkonto)
Methoden der Identifizierung:
- Abfrage von zusätzlichen Informationen
- Übermittlung eines Ausweisdokuments
- Identifizierung über eIDAS-Dienst
- Post-/Video-Ident-Identifizierung
- Identifizierung über Nutzerkonto
Die schlechte Nachricht vorweg: Verantwortliche müssen selbst entscheiden, welche Identifizierungsmethode sie für Auskunftsersuchen von betroffenen Personen wählen; und zwar – und das dürfte auch keine große Überraschung sein – unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen. In diesem Kontext sei insbesondere auf Artikel 32 DS-GVO hingewiesen. Betrachten wir den Prozess der Auskunftserteilung als Verarbeitung im Sinne der DS-GVO, so ist nach Erwägungsgrund 83 ein Schutzniveau (auch hinsichtlich der Vertraulichkeit) zu gewährleisten, das „den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist.“ Bei der Ermittlung des Risikos sollen nach Erwägungsgrund 83 „Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ mit berücksichtigt werden. Alle diese Probleme können bei unsachgemäßer Umsetzung der Prozesse zur Umsetzung der Betroffenenrechte auftreten.
Die Stärkung der Betroffenenrechte durch die DS-GVO ist eine gute Sache. Betroffene Personen nehmen auch vermehrt ihre Rechte wahr. Verantwortliche stellt dies allerdings vor nicht zu unterschätzende Herausforderungen. Allein der Aspekt „Identifizierung“ ist, wie wir in diesem Beitrag aufgezeigt haben, nicht ganz einfach umzusetzen. Einerseits gilt es für Verantwortliche einen Weg zu finden, um möglichst hohe Sicherheit im Identifizierungsprozess zu erhalten: Auskünfte an „falsche“ Personen sollten weitestgehend vermieden werden. Andererseits sieht die DS-GVO vor, dass das Wahrnehmen der Betroffenenrechte mit möglichst geringem Aufwand für die betroffenen Personen möglich ist. Bisher gibt es noch keine etablierten Verfahren zur Identifizierung, die sich durchgesetzt haben. Verantwortliche sind daher gut beraten, sich noch vor dem ersten Auskunftsersuchen Gedanken zur Umsetzung zu machen. Andernfalls steht zu befürchten, dass es in Zukunft vermehrt zu Missbrauch kommen wird: Eine mangelhafte Umsetzung könnte Betrügern das Abgreifen von personenbezogenen Daten leicht machen.