DSGVO: Wie man bei Auskunftsbegehren Identität richtig feststellt
Ein heikler Punkt bei der Beauskunftung personenbezogener Daten ist die Feststellung der Identität des Betroffenen. So machen Sie es richtig. [...]
Personenbezogene Daten dürfen nur an die betroffene Person als “Eigentümerin” der Daten ausgehändigt werden, keinesfalls an Dritte.
Im Gegensatz zur Regelung im alten Datenschutzgesetz 2000 muss ein Antragssteller nicht mehr verpflichtend seine Identität nachweisen. Nach der DSGVO muss die betroffene Person ihre Identität nur dann nachweisen, wenn der Verantwortliche begründete Zweifel an ihrer Identität hat. Beispiele dafür sind die telefonische Anfrage oder Anfrage per Mail mittels Fantasiemailadresse. In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Art 12 DSGVO definiert Folgendes:
(1) „…. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.“
(6) Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Wann steht die Identität eines Betroffenen fest?
Die folgende Abbildung zeigt grafisch die Möglichkeiten ein Auskunfts-Begehren zu stellen:
Auskunft-Begehren per E-Mail
Wird ein Auskunft-Begehren von einem Betroffenen mittels Mail mit hinterlegten E-Mail-Adresse gestellt, so kann man problemlos direkt darauf antworten, sofern die Mailadresse entsprechend dem Muster Vorname.Nachname@domäne.xx aufgebaut ist. Die Domäne kann beliebig sein wie zB hotmail, gmx, qmail aber auch eine Firma (bei Firmen-Mail-Adresse) wie z.B. Microsoft etc.
In allen anderen Fällen ist Vorsicht geboten. Insbesondere bei Fantasienamen wie z.B. Quaxi@gmx.at, xy4711@hotmail.com etc. In diesen Fällen ist aus Sicht der Autoren jedenfalls ein Identitätsnachweis erforderlich.
Keinesfalls sind die beauskunfteten Informationen an die gespeicherte E-Mail-Adresse zu senden. Informationen wie z.B.
“Wir haben eine Anfrage zu Ihren Daten von einer anderen E-Mail-Adresse als die bei uns gespeicherte erhalten. Aus Datenschutzgründen senden wir die Daten an die bei uns hinterlegte Adresse. Bitte teilen Sie uns umgehend mit, falls diese Anfrage nicht von Ihnen stammt”) oder
“Wir haben aus Datenschutzgründen die Informationen an die in den Daten hinterlegte E-Mail-Adresse gesendet”.
Können zweifelsohne zu einer Datenschutzverletzung führen. Falls die hinterlegte (gespeicherte) E-Mail-Adresse nicht mehr erreichbar ist, so muss man auf eine Identitätsfeststellung per Ausweiskopie übergehen.
Auskunft-Begehren per Post
Im Fall der Übereinstimmung von Absendername und Anschrift mit den hinterlegten Daten, kann die Auskunft per Post an die Post-Adresse gesendet werden. Falls die Auskunft an eine andere Adresse als die hinterlegte Adresse gesandt werden soll, so ist wiederum eine Identitätsfeststellung erforderlich.
Mündliche Auskunft-Begehren
Auch bei persönlichem Auskunftsersuchen ist der Nachweis der Identität unabdingbar. Auskünfte am Telefon sollten grundsätzlich nur erteilt werden, wenn die Identität eindeutig feststellbar ist – z.B. durch Nachfragen von Informationen, die nur der Betroffene selbst wissen kann. Mündlich Auskünfte sind jedenfalls zu protokollieren.
Wie weist ein Betroffener seine Identität nach?
Pflichten des Verantwortlichen
Im Erwägungsgrund (64) heißt es: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.“
Identität aufgrund des Geburtsdatums
In einer Erkenntnis stellt der VwGH folgendes fest:
„Basierend auf dem DSG 200 hat der Verwaltungsgerichtshof Im Hinblick auf die Zielsetzung des Gesetzes und zur Verhinderung von Missbrauch ist ein hoher Grad an Verlässlichkeit hinsichtlich des Identitätsnachweises zu fordern; die Bekanntgabe des Geburtsdatums reicht für den Identitätsnachweis nach § 26 Abs 1 DSG 2000 nicht aus.“ Und weiter:
„Der Nachweis der Identität hat in der Form zu erfolgen, die es dem Auftraggeber ermöglicht, die Identität des Auskunftswerbers mit der Person zu überprüfen, deren Daten Gegenstand der Auskunft sein soll. Im Hinblick auf die Zielsetzung des Gesetzes und zur Verhinderung von Missbrauch ist – wie bereits gesagt – ein hoher Grad an Verlässlichkeit hinsichtlich des Identitätsnachweises zu fordern.“
Die Kenntnis eines Geburtsdatums ist daher für den Nachweis der Identität einer Person als nicht ausreichend zu qualifizieren.
Identitätsfeststellung per Ausweiskopie
Falls der Verantwortliche oder der Datenschutz-Beauftragte berechtigte Zweifel an der Identität des Betroffenen hat, ist er lt Art. 12 Abs (6) berechtigt einen Identitäts-Nachweis zu verlangen. Wann berechtigte Zweifel bestehen, darüber schweigt die DSGVO. Daher werden wohl die oa Gründe (Fantasie-Mail-Adresse, andere Empfängeranschrift etc) dafür ausschlaggebend sein.
Auch darüber, wie der Nachweis der Identität zu erbringen ist, schweigt die DSGVO. Ob der normale Hausverstand zur Beantwortung der Frage ausreichend ist, sollen Juristen klären. Die Kopie eines amtlichen Lichtbildausweises beizubringen ist eine adäquate Möglichkeit, um die Identität zu belegen, da davon ausgegangen werden kann, dass nur der Betroffene selbst über so eine Kopie verfügt. Die Betonung liegt dabei auf „amtlicher Lichtbildausweis“, ein Vereinsausweis etc. genügt natürlich nicht.
Wenn in der Folge keine Zweifel an der Echtheit der Ausweiskopie bestehen so kann die Auskunft erfolgen. Zweifel an der Echtheit (wenn z.B. die Qualität zu schlecht ist) sollten sicherheitshalber mit der Anforderung einer weiteren Kopie beseitigt werden. Kann diese nicht beigebracht werden bzw. wird wieder die erste Kopie vorgelegt so ist Vorsicht geboten. In diesem Fall kann man noch anbieten, die Auskunft persönlich nach Ausweisleistung im Unternehmen zu geben.
Speichern von Ausweis-Kopien
Ungeklärt ist, ob die Ausweiskopie als Nachweis für die Rechtmäßigkeit des Vorgangs zu archivieren ist oder basierend auf dem Prinzip der Datensparsamkeit nach der Auskunftserteilung gelöscht werden muss.
Identitätsfeststellung per Meldezettel
Eine im Internet ebenfalls ventilierte Methode besteht darin, die Kopie eines Meldezettels anzufordern. Auch hier kann davon ausgegangen werden, dass (abgesehen von einem allfälligen Vermieter) nur der Betroffene selbst über eine Kopie des Meldezettels verfügt.
Praxisbeispiele
Abgelehnter Bewerber
Eine Person bewirbt sich elektronisch um eine ausgeschriebene Stelle. Dazu verwendet er eine anonymisierte Mailadresse. Nach einem Bewerbungsgespräch wird der Bewerber über diese Mailadresse über die Ablehnung seiner Bewerbung informiert.
Das veranlasst den Bewerber, eine Anfrage auf Auskunft der über ihn gespeicherten Daten zu stellen. Obwohl diese Anfrage ebenfalls über diese anonyme Mailadresse eingebracht wird, kann der Identitätsnachweis entfallen, da der Bezug zum Bewerbungsschreiben und zum Bewerbungsgespräch hergestellt werden kann und keine begründeten Zweifel an der Identität bestehen.
Sonstige Nachweise
Versuche, die Identität auf andere Weise als oben beschrieben nachzuweisen wie z.B. Kreditkarte, Monatskarte, Vereinsausweise, Bestätigungen sollten als unzulänglich zurückzuweisen. In dem Zusammenhang wird darauf hingewiesen, dass der Betroffene über diesen Umstand nachweislich zu unterrichten ist.
Der österreichische Online-Handel verzeichnet einen bemerkenswerten Aufschwung: Die digitalen Ausgaben stiegen 2023 auf über 14 Milliarden Euro. Flexible Zahlungsmethoden und innovative Technologien wie „Tap to Pay“ prägen die Einkaufswelt. […]
Über 150 Teilnehmer und Teilnehmernnen aus Wirtschaft, IT und Bildung kamen zum CorporateMeetsStudents Event am Campus 42 Vienna zusammen. Im Mittelpunkt der Diskussionen stand die zentrale Rolle von Software-Kompetenz nicht nur für das Wirtschaftswachstum, sondern auch für die gesamtgesellschaftliche Entwicklung Österreichs. […]
Nutzen Sie die die ruhigen Tage rund um den Jahreswechsel, um Ihre Daten zu ordnen, Platz für Neues zu schaffen und Ihren Arbeitsplatz klarer und nachhaltiger zu gestalten. Iphos IT hat folgende Tipps zusammengestellt, wie das digitale Ausfegen mit den richtigen Tools, Techniken und speziellen Enterprise-Search-Lösungen auf Knopfdruck gelingt. […]
Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]
Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]
Kopfhörer, Lautsprecher und Soundbars sind die drei wichtigsten Audioklassen – alle mit ganz individuellen Besonderheiten. Dieser Audio-Guide zeigt, welches Gerät sich für wen lohnt und was es beim Kauf zu beachten gilt. […]
Cloud Computing bietet unschlagbare Vorteile wie Skalierbarkeit und Flexibilität, bringt jedoch auch Herausforderungen mit sich. Vor allem die Kosteneffizienz in der Cloud wird für Unternehmen immer wichtiger, da die Ausgaben für Cloud-Dienste stetig steigen. […]
Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]
Aktuelle Business IT-News für Österreich. Die ITWELT (vormals: COMPUTERWELT) ist Österreichs führende IT- Zeitung für den gesamten Bereich der Informationstechnik und Telekommunikation. Wir schreiben für leitende IT- Experten (IT-Leiter, CIO) in IT-Branche und EDV-Abteilungen. Unsere Themen: Business Software, Netzwerk, Security, Mobile Kommunikation, Infrastruktur, Cloud, Wirtschaft, IT-Innovation. Zudem finden Sie hier IT-Anbieter, Whitepaper, Webinare, Termine, Social Events und Praxisreports aus der IT und ITK Branche. (c) 2024 - ITW Verlag GmbH
Anmeldung Roundtable
Keine Felder gefunden.
Datenschutz Newsletter
Ich erhalte den Newsletter der Computerwelt c/o CW Fachverlag GmbH, Halbgasse 3-5 in 1070 Wien.
Meine Daten werden sicher gespeichert und niemals an Dritte weitergegeben.
Eine Abmeldung vom Newsletter, sowie Anmeldungen zu weiteren Services ist durch einen Link am Ende des Newsletters möglich.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Be the first to comment