MINISERIE ÜBER DEN PRAKTISCHEN UMGANG MIT DEM RECHT AUF AUSKUNFT – TEIL 1

IDENTIFIZIERUNG DER BETROFFENEN PERSON

Über die praxisnahe Umsetzung des Auskunftsanspruches nach Art. 15 DSGVO möchten wir Sie mit einer mehrreihigen Serie auf unserem Blog informieren, beginnend mit der Identifizierung der betroffenen Person.

Die DSGVO räumt betroffenen Personen weitreichende Rechte ein. Der Auskunftsanspruch gem. Art. 15 DSGVO ist als zentrales Betroffenenrecht, explizit auch in Art. 8 Abs. 2 S. 2 der EU-Grundrechtcharte als Grundrecht garantiert und dient der Umsetzung des Transparenzgrundsatzes aus Art. 5 Abs. 1 lit. a DSGVO.

Jede betroffene Person hat ein Recht vom Verantwortlichen zu erfahren, ob dieser personenbezogene Daten von einem verarbeitet. Ist dies der Fall, hat die betroffene Person das Recht auf Auskunft über diese personenbezogenen Daten und die in Art. 15 Abs. 1 S. 2 DSGVO genannten weiteren Informationen. Nur wer diese Informationen kennt, kann die Rechtmäßigkeit einer Verarbeitung einschätzen und weitere Betroffenenrechte, insbesondere auf Berichtigung oder Löschung seiner personenbezogenen Daten, effektiv ausüben.

Identifizierung der betroffenen Person

Eine Auskunft darf nur an die Person erteilt werden, deren personenbezogene Daten verarbeitet werden. So muss das Unternehmen als Verantwortliche risikoadäquate technische und organisatorische Maßnahmen ergreifen, damit die Auskunft nicht an einen unbefugten Dritten erfolgt. Die Übermittlung der Auskunft an einen Unberechtigten stellt eine Datenpanne dar, die der Verantwortliche der Aufsichtsbehörde melden muss, es sei denn, die Verletzung des Schutzes personenbezogener Daten würde nur zu einem geringen Risiko für die Rechte und Freiheiten der betroffenen Person führen.  

Zweifel an der Identität des Antragsstellers

Hat der Verantwortliche gem. Art. 12 Abs. 6 DSGVO „begründete Zweifel an der Identität“ des Antragstellers, so kann er „zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind“.

Es gibt grundsätzlich keine Pflicht, zusätzliche Informationen anzufordern, sondern nur die Pflicht, vom Antragsteller zur Verfügung gestellte zusätzliche Informationen entgegenzunehmen.

Regelmäßig bestehen keine Zweifel, wenn der Antragsteller dem Verantwortlichen persönlich bekannt ist. Dennoch können Zweifel an der Identität des Antragstellers bestehen, wenn bislang unbekannte Kontaktdaten, wie eine nicht bekannte E-Mail-Adresse oder eine unbekannte Postanschrift verwendet werden oder die sprachliche Gestaltung des Antrages von der bisherigen Korrespondenz abweicht.

Maßnahmen des Verantwortlichen zur Identifizierung des Antragstellers

Der Verantwortliche hat alle vertretbaren Mittel zu nutzen, um die Identität des Antragstellers zu überprüfen. Im Rahmen seines Datenschutzmanagements sollte er deshalb Schutzmaßnahmen ergreifen, die dem Risiko seiner Datenverarbeitungsaktivitäten entsprechen. Der Antrag, eine allgemeine Auskunft über den Zweck einer Datenverarbeitung zu erhalten, ist weniger gewichtig als ein Auskunftsersuchen über besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO, aus denen etwa die Religions- oder Gewerkschaftszugehörigkeit oder Gesundheitsdaten hervorgehen.

Geraten Kontaktdaten im Zusammenhang mit weiteren Daten in falsche Hände, können damit finanzielle Verluste, ein Identitätsdiebstahl bzw. -missbrauch oder andere wirtschaftliche oder gesellschaftliche Nachteile für die betroffene Person einhergehen. Insoweit sind zusätzliche Maßnahmen zur Identifizierung des Antragstellers auch im Interesse der betroffenen Person.

Um dem Prinzip der Datenminimierung gerecht zu werden, sollen nur Daten angefordert werden, die zur Identifizierung zwingend erforderlich sind. Diese sind nach Zweckerreichung zu löschen, soweit nicht andere Gesetze deren Speicherung für einen längeren Zeitraum zulassen.

Nach Möglichkeit sollten dem Antragsteller verschiedene Optionen zur Identifizierung angeboten werden:

  • So können Informationen abgefragt werden, über die in der Regel nur die betroffene Person Kenntnis hat oder die zum Zweck der Kommunikation zwischen der betroffenen Person und dem Verantwortlichen vereinbart wurden, wie z. B. die Kundennummer oder ein Kennwort.
  • Bei Verwendung einer bisher unbekannten E-Mail-Adresse kann vorgeschlagen werden, den Antrag über eine schon bekannte Adresse kurz zu bestätigen.
  • Eine bereits dokumentierte Telefonnummer kann für einen Kontrollanruf verwendet werden.
  • Geht mit der Auskunft an eine falsche Person mehr als nur ein geringes Risiko für die betroffene Person ein, ist die Anforderung einer Ausweiskopie angemessen. Umgekehrt ist das standardisierte Anfordern einer Ausweiskopie, wenn sich im Datenbestand des Verantwortlichen lediglich eine Kundennummer, Vor- und Nachnahme, E-Mail-Adresse und Anschrift befinden, nicht mit Art. 12 Abs. 2 S. 1 DSGVO vereinbar. Der betroffenen Person würde in diesem Fall die Ausübung ihrer Rechte erschwert werden. Das Anfordern einer Ausweiskopie bei unkritischen personenbezogenen Daten, stellt an sich schon einen bußgeldbewehrten Verstoß gem. Art. 83 Abs. 5 lit. b DSGVO dar. Wird zulässigerweise eine Ausweiskopie angefordert, ist die betroffene Person auf die Möglichkeit einer Schwärzung der nicht benötigten Daten hinzuweisen (Name, Vorname, Geburtsdatum und Seriennummer des Ausweisdokuments sind ausreichend).

Fazit

Die Identifizierung eines Antragstellers auf Auskunft nach Art. 15 DSGVO stellt Unternehmen vor erhebliche Herausforderungen. Es muss im Einzelfall entschieden werden, wie die Pflicht, die Ausübung der Betroffenenrechte zu erleichtern, mit der Pflicht, die Sicherheit der personenbezogenen Daten zu gewährleisten, in Einklang zu bringen ist. Dies ist anhand des Risikos zu entscheiden sowie u.a. auch ob wegen bestehender Identitätszweifel das Anfordern einer Ausweiskopie vertretbar und angemessen ist.

Nur wenn der Auskunftsersuchende, die für die Identifikation erforderlichen Informationen nicht offenlegt und das Unternehmen die ihm zur Verfügung stehenden vertretbaren Mittel ausgeschöpft hat, endet hier die Pflicht des Verantwortlichen zur Identifizierung und damit auch die Durchsetzbarkeit des Auskunftsanspruchs gem. Art. 12 Abs. 2 S. 2 i.V.m. Art. 11 Abs. 2 DSGVO. Der Antragsteller ist darüber zu informieren und der Vorgang muss dokumentiert werden. 

In Teil 2 unserer Miniserie erfahren Sie dann, welche Reichweite bei dem Recht auf Auskunft nach Art. 15 DSGVO besteht.

Autorin: Rosemarie Popa