DSGVO: Wie man bei Auskunftsbegehren Identität richtig feststellt
Ein heikler Punkt bei der Beauskunftung personenbezogener Daten ist die Feststellung der Identität des Betroffenen. So machen Sie es richtig. [...]
Identitätsfeststellung und Betroffenenrechte (c) CW
Personenbezogene Daten dürfen nur an die betroffene Person als “Eigentümerin” der Daten ausgehändigt werden, keinesfalls an Dritte.
Im Gegensatz zur Regelung im alten Datenschutzgesetz 2000 muss ein Antragssteller nicht mehr verpflichtend seine Identität nachweisen. Nach der DSGVO muss die betroffene Person ihre Identität nur dann nachweisen, wenn der Verantwortliche begründete Zweifel an ihrer Identität hat. Beispiele dafür sind die telefonische Anfrage oder Anfrage per Mail mittels Fantasiemailadresse. In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Art 12 DSGVO definiert Folgendes:
(1) „…. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“
(6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Wann steht die Identität eines Betroffenen fest?
Die folgende Abbildung zeigt grafisch die Möglichkeiten ein Auskunfts-Begehren zu stellen:
Auskunft-Begehren per E-Mail
Wird ein Auskunft-Begehren von einem Betroffenen mittels Mail mit hinterlegten E-Mail-Adresse gestellt, so kann man problemlos direkt darauf antworten, sofern die Mailadresse entsprechend dem Muster Vorname.Nachname@domäne.xx aufgebaut ist. Die Domäne kann beliebig sein wie zB hotmail, gmx, qmail aber auch eine Firma (bei Firmen-Mail-Adresse) wie z.B. Microsoft etc.
In allen anderen Fällen ist Vorsicht geboten. Insbesondere bei Fantasienamen wie z.B. Quaxi@gmx.at, xy4711@hotmail.com etc. In diesen Fällen ist aus Sicht der Autoren jedenfalls ein Identitätsnachweis erforderlich.
Keinesfalls sind die beauskunfteten Informationen an die gespeicherte E-Mail-Adresse zu senden. Informationen wie z.B.
“Wir haben eine Anfrage zu Ihren Daten von einer anderen E-Mail-Adresse als die bei uns gespeicherte erhalten. Aus Datenschutzgründen senden wir die Daten an die bei uns hinterlegte Adresse. Bitte teilen Sie uns umgehend mit, falls diese Anfrage nicht von Ihnen stammt”) oder
“Wir haben aus Datenschutzgründen die Informationen an die in den Daten hinterlegte E-Mail-Adresse gesendet”.
Können zweifelsohne zu einer Datenschutzverletzung führen. Falls die hinterlegte (gespeicherte) E-Mail-Adresse nicht mehr erreichbar ist, so muss man auf eine Identitätsfeststellung per Ausweiskopie übergehen.
Auskunft-Begehren per Post
Im Fall der Übereinstimmung von Absendername und Anschrift mit den hinterlegten Daten, kann die Auskunft per Post an die Post-Adresse gesendet werden. Falls die Auskunft an eine andere Adresse als die hinterlegte Adresse gesandt werden soll, so ist wiederum eine Identitätsfeststellung erforderlich.
Mündliche Auskunft-Begehren
Auch bei persönlichem Auskunftsersuchen ist der Nachweis der Identität unabdingbar. Auskünfte am Telefon sollten grundsätzlich nur erteilt werden, wenn die Identität eindeutig feststellbar ist – z.B. durch Nachfragen von Informationen, die nur der Betroffene selbst wissen kann. Mündlich Auskünfte sind jedenfalls zu protokollieren.
Wie weist ein Betroffener seine Identität nach?
Pflichten des Verantwortlichen
Im Erwägungsgrund (64) heißt es: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.“
Identität aufgrund des Geburtsdatums
In einer Erkenntnis stellt der VwGH folgendes fest:
„Basierend auf dem DSG 200 hat der Verwaltungsgerichtshof Im Hinblick auf die Zielsetzung des Gesetzes und zur Verhinderung von Missbrauch ist ein hoher Grad an Verlässlichkeit hinsichtlich des Identitätsnachweises zu fordern; die Bekanntgabe des Geburtsdatums reicht für den Identitätsnachweis nach § 26 Abs 1 DSG 2000 nicht aus.“ Und weiter:
„Der Nachweis der Identität hat in der Form zu erfolgen, die es dem Auftraggeber ermöglicht, die Identität des Auskunftswerbers mit der Person zu überprüfen, deren Daten Gegenstand der Auskunft sein soll. Im Hinblick auf die Zielsetzung des Gesetzes und zur Verhinderung von Missbrauch ist – wie bereits gesagt – ein hoher Grad an Verlässlichkeit hinsichtlich des Identitätsnachweises zu fordern.“
Die Kenntnis eines Geburtsdatums ist daher für den Nachweis der Identität einer Person als nicht ausreichend zu qualifizieren.
Identitätsfeststellung per Ausweiskopie
Falls der Verantwortliche oder der Datenschutz-Beauftragte berechtigte Zweifel an der Identität des Betroffenen hat, ist er lt Art. 12 Abs (6) berechtigt einen Identitäts-Nachweis zu verlangen. Wann berechtigte Zweifel bestehen, darüber schweigt die DSGVO. Daher werden wohl die oa Gründe (Fantasie-Mail-Adresse, andere Empfängeranschrift etc) dafür ausschlaggebend sein.
Auch darüber, wie der Nachweis der Identität zu erbringen ist, schweigt die DSGVO. Ob der normale Hausverstand zur Beantwortung der Frage ausreichend ist, sollen Juristen klären. Die Kopie eines amtlichen Lichtbildausweises beizubringen ist eine adäquate Möglichkeit, um die Identität zu belegen, da davon ausgegangen werden kann, dass nur der Betroffene selbst über so eine Kopie verfügt. Die Betonung liegt dabei auf „amtlicher Lichtbildausweis“, ein Vereinsausweis etc. genügt natürlich nicht.
Wenn in der Folge keine Zweifel an der Echtheit der Ausweiskopie bestehen so kann die Auskunft erfolgen. Zweifel an der Echtheit (wenn z.B. die Qualität zu schlecht ist) sollten sicherheitshalber mit der Anforderung einer weiteren Kopie beseitigt werden. Kann diese nicht beigebracht werden bzw. wird wieder die erste Kopie vorgelegt so ist Vorsicht geboten. In diesem Fall kann man noch anbieten, die Auskunft persönlich nach Ausweisleistung im Unternehmen zu geben.
Speichern von Ausweis-Kopien
Ungeklärt ist, ob die Ausweiskopie als Nachweis für die Rechtmäßigkeit des Vorgangs zu archivieren ist oder basierend auf dem Prinzip der Datensparsamkeit nach der Auskunftserteilung gelöscht werden muss.
Identitätsfeststellung per Meldezettel
Eine im Internet ebenfalls ventilierte Methode besteht darin, die Kopie eines Meldezettels anzufordern. Auch hier kann davon ausgegangen werden, dass (abgesehen von einem allfälligen Vermieter) nur der Betroffene selbst über eine Kopie des Meldezettels verfügt.
Praxisbeispiele
Abgelehnter Bewerber
Eine Person bewirbt sich elektronisch um eine ausgeschriebene Stelle. Dazu verwendet er eine anonymisierte Mailadresse. Nach einem Bewerbungsgespräch wird der Bewerber über diese Mailadresse über die Ablehnung seiner Bewerbung informiert.
Das veranlasst den Bewerber, eine Anfrage auf Auskunft der über ihn gespeicherten Daten zu stellen. Obwohl diese Anfrage ebenfalls über diese anonyme Mailadresse eingebracht wird, kann der Identitätsnachweis entfallen, da der Bezug zum Bewerbungsschreiben und zum Bewerbungsgespräch hergestellt werden kann und keine begründeten Zweifel an der Identität bestehen.
Sonstige Nachweise
Versuche, die Identität auf andere Weise als oben beschrieben nachzuweisen wie z.B. Kreditkarte, Monatskarte, Vereinsausweise, Bestätigungen sollten als unzulänglich zurückzuweisen. In dem Zusammenhang wird darauf hingewiesen, dass der Betroffene über diesen Umstand nachweislich zu unterrichten ist.
Der auf Sensor- und Monitoring-Technologie spezialisierte Hersteller HW group bringt mit der neuen Perseus Monitoring Serie eine umfassende, netzwerkfähige Fernüberwachungs-Lösung auf den Markt. Perseus ist eine intelligente Monitoring-Plattform, die entwickelt wurde, um eine breite Palette von Daten einfach zu lesen und aufzuzeichnen. […]
An einem Gala-Abend der Aussenwirtschaft Austria, eingeleitet durch den österreichischen Bundespräsidenten Alexander Van der Bellen, erhielt COPA-DATA, der Softwarespezialist für industrielle Automatisierung mit Hauptsitz in Salzburg, in der Wiener Hofburg den Exportpreis in Silber in der Kategorie Information und Consulting. […]
Der neue State of Cybersecurity: 2024 Trends Report von Arctic Wolf zeigt weiterhin, dass knapp 40 Prozent der Unternehmen planen, in den nächsten 12 Monaten eine Cyberversicherung abzuschließen. […]
Wie können Unternehmen das enorme Zukunftspotenzial von KI nutzen und sich gleichzeitig vor Risiken schützen? Diese Kernthemen wurden von 73 Speakern in über 40 Sessions den 850 Besucher:innen der Tech Conference (TC24) nähergebracht. […]
Hewlett Packard Enterprise (HPE) und der dänische Engineering-Konzern Danfoss bieten ab sofort unter dem Namen „HPE IT Sustainability Services – Data Center Heat Recovery“ Container-Rechenzentren mit Modulen für die Wärmerückgewinnung. Damit können Unternehmen ihre IT energieeffizienter betreiben und ihren CO2-Ausstoß reduzieren. […]
Eine weltweite Umfrage von Rockwell Automation zeigt Verschiebungen bei Prioritäten, steigende Investitionen in Technologie und Herausforderungen für die Automobilindustrie im Bereich Mitarbeiterengagement. […]
Das CSRD Reporting-Tool Envizi von IBM ermöglicht das Erfassen der ESG Daten und unterstützt bei der ESRS-konformen Erstellung des Berichtes. Wir haben dazu Michael Ingerisch, Associate Partner bei IBM Consulting, befragt. […]
Während der Corona-Pandemie mussten Unternehmen weltweit physische Veranstaltungen durch Online-Formate ersetzen. Auch das heimische Veranstaltungsunternehmen LSZ musste sich anpassen und hat sich für GoTo Webinar als geeignete Plattform entschieden. […]
Der der Weg hin zu einem optimal durch moderne Technologien unterstützten Unterricht ist jedoch noch weit. Kein Wunder: Die Jahre, in der Digitalisierung in Schulen nur unzureichend umgesetzt wurde, lassen sich nicht in so kurzer Zeit aufholen. Dell Technologies nennt die wesentlichen Bereiche, in denen weiterhin Handlungsbedarf besteht. […]
Aktuelle Business IT-News für Österreich. Die ITWELT (vormals: COMPUTERWELT) ist Österreichs führende IT- Zeitung für den gesamten Bereich der Informationstechnik und Telekommunikation. Wir schreiben für leitende IT- Experten (IT-Leiter, CIO) in IT-Branche und EDV-Abteilungen. Unsere Themen: Business Software, Netzwerk, Security, Mobile Kommunikation, Infrastruktur, Cloud, Wirtschaft, IT-Innovation. Zudem finden Sie hier IT-Anbieter, Whitepaper, Webinare, Termine, Social Events und Praxisreports aus der IT und ITK Branche. (c) 2024 - ITW Verlag GmbH
Anmeldung Roundtable
Keine Felder gefunden.
Datenschutz Newsletter
Ich erhalte den Newsletter der Computerwelt c/o CW Fachverlag GmbH, Halbgasse 3-5 in 1070 Wien.
Meine Daten werden sicher gespeichert und niemals an Dritte weitergegeben.
Eine Abmeldung vom Newsletter, sowie Anmeldungen zu weiteren Services ist durch einen Link am Ende des Newsletters möglich.
Be the first to comment