DSGVO: Wie man bei Auskunftsbegehren Identität richtig feststellt

Ein heikler Punkt bei der Beauskunftung personenbezogener Daten ist die Feststellung der Identität des Betroffenen. So machen Sie es richtig. [...]

Personenbezogene Daten dürfen nur an die betroffene Person als “Eigentümerin” der Daten ausgehändigt werden, keinesfalls an Dritte. Im Gegensatz zur Regelung im alten Datenschutzgesetz 2000 muss ein Antragssteller nicht mehr verpflichtend seine Identität nachweisen. Nach der DSGVO muss die betroffene Person ihre Identität nur dann nachweisen, wenn der Verantwortliche begründete Zweifel an ihrer Identität hat. Beispiele dafür sind die telefonische Anfrage oder Anfrage per Mail mittels Fantasiemailadresse. In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Art 12 DSGVO definiert Folgendes: (1) „…. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“ (6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Wann steht die Identität eines Betroffenen fest?

Die folgende Abbildung zeigt grafisch die Möglichkeiten ein Auskunfts-Begehren zu stellen: Auskunft-Begehren per E-Mail Wird ein Auskunft-Begehren von einem Betroffenen mittels Mail mit hinterlegten E-Mail-Adresse gestellt, so kann man problemlos direkt darauf antworten, sofern die Mailadresse entsprechend dem Muster Vorname.Nachname@domäne.xx aufgebaut ist. Die Domäne kann beliebig sein wie zB hotmail, gmx, qmail aber auch eine Firma (bei Firmen-Mail-Adresse) wie z.B. Microsoft etc. In allen anderen Fällen ist Vorsicht geboten. Insbesondere bei Fantasienamen wie z.B. Quaxi@gmx.at, xy4711@hotmail.com etc. In diesen Fällen ist aus Sicht der Autoren jedenfalls ein Identitätsnachweis erforderlich. Keinesfalls sind die beauskunfteten Informationen an die gespeicherte E-Mail-Adresse zu senden. Informationen wie z.B.

• “Wir haben eine Anfrage zu Ihren Daten von einer anderen E-Mail-Adresse als die bei uns gespeicherte erhalten. Aus Datenschutzgründen senden wir die Daten an die bei uns hinterlegte Adresse. Bitte teilen Sie uns umgehend mit, falls diese Anfrage nicht von Ihnen stammt”) oder
• “Wir haben aus Datenschutzgründen die Informationen an die in den Daten hinterlegte E-Mail-Adresse gesendet”.

Können zweifelsohne zu einer Datenschutzverletzung führen. Falls die hinterlegte (gespeicherte) E-Mail-Adresse nicht mehr erreichbar ist, so muss man auf eine Identitätsfeststellung per Ausweiskopie übergehen. Auskunft-Begehren per Post Im Fall der Übereinstimmung von Absendername und Anschrift mit den hinterlegten Daten, kann die Auskunft per Post an die Post-Adresse gesendet werden. Falls die Auskunft an eine andere Adresse als die hinterlegte Adresse gesandt werden soll, so ist wiederum eine Identitätsfeststellung erforderlich. Mündliche Auskunft-Begehren Auch bei persönlichem Auskunftsersuchen ist der Nachweis der Identität unabdingbar. Auskünfte am Telefon sollten grundsätzlich nur erteilt werden, wenn die Identität eindeutig feststellbar ist – z.B. durch Nachfragen von Informationen, die nur der Betroffene selbst wissen kann. Mündlich Auskünfte sind jedenfalls zu protokollieren.

Wie weist ein Betroffener seine Identität nach?

Pflichten des Verantwortlichen Im Erwägungsgrund (64) heißt es: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.“ Identität aufgrund des Geburtsdatums In einer Erkenntnis stellt der VwGH folgendes fest: „Basierend auf dem DSG 200 hat der Verwaltungsgerichtshof Im Hinblick auf die Zielsetzung des Gesetzes und zur Verhinderung von Missbrauch ist ein hoher Grad an Verlässlichkeit hinsichtlich des Identitätsnachweises zu fordern; die Bekanntgabe des Geburtsdatums reicht für den Identitätsnachweis nach § 26 Abs 1 DSG 2000 nicht aus.“ Und weiter: „Der Nachweis der Identität hat in der Form zu erfolgen, die es dem Auftraggeber ermöglicht, die Identität des Auskunftswerbers mit der Person zu überprüfen, deren Daten Gegenstand der Auskunft sein soll. Im Hinblick auf die Zielsetzung des Gesetzes und zur Verhinderung von Missbrauch ist – wie bereits gesagt – ein hoher Grad an Verlässlichkeit hinsichtlich des Identitätsnachweises zu fordern.“ Die Kenntnis eines Geburtsdatums ist daher für den Nachweis der Identität einer Person als nicht ausreichend zu qualifizieren. Identitätsfeststellung per Ausweiskopie Falls der Verantwortliche oder der Datenschutz-Beauftragte berechtigte Zweifel an der Identität des Betroffenen hat, ist er lt Art. 12 Abs (6) berechtigt einen Identitäts-Nachweis zu verlangen. Wann berechtigte Zweifel bestehen, darüber schweigt die DSGVO. Daher werden wohl die oa Gründe (Fantasie-Mail-Adresse, andere Empfängeranschrift etc) dafür ausschlaggebend sein. Auch darüber, wie der Nachweis der Identität zu erbringen ist, schweigt die DSGVO. Ob der normale Hausverstand zur Beantwortung der Frage ausreichend ist, sollen Juristen klären. Die Kopie eines amtlichen Lichtbildausweises beizubringen ist eine adäquate Möglichkeit, um die Identität zu belegen, da davon ausgegangen werden kann, dass nur der Betroffene selbst über so eine Kopie verfügt. Die Betonung liegt dabei auf „amtlicher Lichtbildausweis“, ein Vereinsausweis etc. genügt natürlich nicht. Wenn in der Folge keine Zweifel an der Echtheit der Ausweiskopie bestehen so kann die Auskunft erfolgen. Zweifel an der Echtheit (wenn z.B. die Qualität zu schlecht ist) sollten sicherheitshalber mit der Anforderung einer weiteren Kopie beseitigt werden. Kann diese nicht beigebracht werden bzw. wird wieder die erste Kopie vorgelegt so ist Vorsicht geboten. In diesem Fall kann man noch anbieten, die Auskunft persönlich nach Ausweisleistung im Unternehmen zu geben. Speichern von Ausweis-Kopien Ungeklärt ist, ob die Ausweiskopie als Nachweis für die Rechtmäßigkeit des Vorgangs zu archivieren ist oder basierend auf dem Prinzip der Datensparsamkeit nach der Auskunftserteilung gelöscht werden muss. Identitätsfeststellung per Meldezettel Eine im Internet ebenfalls ventilierte Methode besteht darin, die Kopie eines Meldezettels anzufordern. Auch hier kann davon ausgegangen werden, dass (abgesehen von einem allfälligen Vermieter) nur der Betroffene selbst über eine Kopie des Meldezettels verfügt.

Praxisbeispiele

Abgelehnter Bewerber Eine Person bewirbt sich elektronisch um eine ausgeschriebene Stelle. Dazu verwendet er eine anonymisierte Mailadresse. Nach einem Bewerbungsgespräch wird der Bewerber über diese Mailadresse über die Ablehnung seiner Bewerbung informiert. Das veranlasst den Bewerber, eine Anfrage auf Auskunft der über ihn gespeicherten Daten zu stellen. Obwohl diese Anfrage ebenfalls über diese anonyme Mailadresse eingebracht wird, kann der Identitätsnachweis entfallen, da der Bezug zum Bewerbungsschreiben und zum Bewerbungsgespräch hergestellt werden kann und keine begründeten Zweifel an der Identität bestehen. Sonstige Nachweise Versuche, die Identität auf andere Weise als oben beschrieben nachzuweisen wie z.B. Kreditkarte, Monatskarte, Vereinsausweise, Bestätigungen sollten als unzulänglich zurückzuweisen. In dem Zusammenhang wird darauf hingewiesen, dass der Betroffene über diesen Umstand nachweislich zu unterrichten ist.

Mustervorlage „Anforderung Identitätsnachweis“

Sehr geehrte Frau xxxxx! Sehr geehrter Herr yyyyy! Ihre Anfrage betreffend Beauskunftung, welche personenbezogenen Daten von Ihnen bei uns verarbeitet werden ist bei uns eingelangt. Da Sie in Ihrem Schreiben Ihre Identität nicht zweifelsfrei nachgewiesen haben, fordern wir Sie auf, uns eine Kopie eines gültigen amtlichen Lichtbildausweises (Personalausweis, Reisepass) zu übermitteln. Der Identitätsnachweis dient zu Ihrer Sicherheit, damit wir Ihre Daten nicht an unberechtigte Personen herausgeben. Zu senden an: per Post: <Adresse> oder per E-Mail: <E-Mail einfügen> Falls Sie uns das Dokument per E-Mail senden wollen, empfiehlt es sich, die Datei mit einem Passwort zu sichern, da die Übertragung per E-Mail an sich unsicher ist (Dritte könnten – außerhalb unseres Einflussbereichs – im Internet Einsicht in die E-Mail-Kommunikation nehmen). Wir danken für Ihr Verständnis! Ihre Anfrage wird nach Eintreffen der Ausweiskopie innerhalb der vorgesehenen Frist bearbeitet. Beste Grüße Name oder Unterschrift, Name Ort, Datum *) Das Tagebuch wird von den Datenschutz-Ziviltechnikern DI Wolfgang Fiala und DI Dr. Peter Gelber geschrieben, www.dsgvo-zt.at Die bisherigen Folgen: (11) Cookies: Rechtslage in Österreich (10) Cloud-Services: Achtung auf faule Verträge (9) DSGVO-Zertifikat: Was es ist und was es bringt (8) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (2) (7) Datenschutz: Risikoanalyse und Folgenabschätzung / TOM (1) (6) Webseiten DSGVO sicher machen (5) Wie man bei Auskunftsbegehren Identität richtig feststellt (4) So müssen Lösch-Begehren befolgt werden (3) DSGVO in der Schule (2) DSGVO: Was tun mit spitzfindigen Auskunftsbegehren? (2) Videoüberwachung – wer darf das und wie? (1) DSGVO: Wie Datenpannen zu melden sind (0) Ist die Reinigungsfirma ein Auftragsdatenverarbeiter?