Suchen

Identifizierung bei Betroffenenersuchen: DSGVO-Anforderung

Die Identifizierung von Antragstellern bei Betroffenenersuchen

von Ass. Jur. Lena Höötmann (Kommentare: 0)

Die Identifizierung von Antragstellern bei Betroffenenersuchen

Um zu vermeiden, dass personenbezogene Daten gegenüber Unberechtigten offengelegt werden oder es zu sonstigen, unrechtmäßigen Datenverarbeitungen kommt, sollten Antragsteller vor Erfüllung eines Betroffenenbegehrens identifiziert werden. Welche Anforderungen an diese Identifizierungsmaßnahmen zu stellen sind, unterscheidet sich jedoch von Einzelfall zu Einzelfall und ist damit nicht ganz trivial. Der vorliegende Beitrag beschäftigt sich daher mit dem Erfordernis der Identifizierung, seinen Modalitäten und gibt Verantwortlichen eine erste Orientierungshilfe an die Hand.

Rechtliche Grundlagen

Die Datenschutzgrundverordnung (DSGVO) geht an verschiedenen Stellen auf den Identifizierungsprozess im Rahmen von Betroffenenanfragen ein. So heißt es in Art. 12 Abs. 6 DSGVO, dass ein Verantwortlicher, der begründete Zweifel an der Identität des Antragstellers hat (gemeint ist dabei ein Antrag gemäß den Artikeln 15 bis 21 DSGVO), zusätzliche Informationen anfordern kann, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Parallel dazu gesteht das Recht in Art. 12 Abs. 2 DSGVO einem Verantwortlichen, der glaubhaft machen kann nicht in der Lage zu sein, eine betroffene Person zu identifizieren, unter bestimmten Voraussetzungen zu, die Bearbeitung des Antrags zu verweigern. Auch Art. 11 DSGVO thematisiert die Identifizierung und in Erwägungsgrund 64 der DSGVO heißt es insoweit, ein Verantwortlicher solle „alle vertretbaren Maßnahmen“ ergreifen, um die Identität einer betroffenen Person zu überprüfen.

Warum Identifizierung erforderlich ist

Dass die DSGVO einen derartigen Identifizierungsprozess vorsieht, ist zunächst nicht weiter verwunderlich. Die Betroffenenrechte – allen voran das Auskunftsrecht gem. Art. 15 DSGVO – ermöglicht den Betroffenen die umfangreiche Einsichtnahme in die zu ihrer Person hinterlegte Daten und Informationen. Abhängig vom Tätigkeitsfeld des Verantwortlichen können hierunter sehr sensible Informationen fallen.

Die Betroffenenrechte stehen daher ausschließlich der betroffenen Person selbst zu und können zunächst nur von ihr selbst geltend gemacht werden. Eine vorherige Identitätsprüfung ist somit unerlässlich, um unbefugte Zugriffe zu verhindern.

Anwendungsfall 1: Der Newsletter-Abonnent

Die Ausgangssituation: Ein Nutzer schreibt eine E-Mail von der Adresse max.mustermann@web.de und möchte wissen, welche Daten für das Abonnement ihres wöchentlichen Newsletters gespeichert sind.

Die Herausforderung: Müssen Sie hier eine Ausweiskopie verlangen?

Die Lösung im Alltag: Nein. Da der Nutzer bereits über das Medium kommuniziert, das den Kern der Datenverarbeitung ausmacht (die E-Mail), reicht in der Regel eine Bestätigung über diese Adresse aus.

Anwendungsfall 2: Der Online-Shop-Kunde

Die Ausgangssituation: Ein Kunde ruft beim Support an oder schreibt über ein Kontaktformular und bittet um eine Kopie aller Rechnungen der letzten drei Jahre sowie eine Änderung der hinterlegten Lieferadresse.

Die Herausforderung: Am Telefon „klingt“ jemand wie der Kunde, aber ist er es auch?

Die Lösung im Alltag: Abfrage von Merkmalen, die nur der echte Kunde wissen kann (z. B. letzte Bestellnummer, Geburtsdatum in Kombination mit der Kundennummer). Alternativ: Versand eines Bestätigungslinks an die hinterlegte E-Mail-Adresse.

Angemessenheit der Identifizierungsmaßnahmen

Das Spannungsverhältnis zwischen Art. 12 Abs. 2 S. 1 DSGVO und Art. 12 Abs. 6 DSGVO macht deutlich, dass Bedenken hinsichtlich der Identität nicht vorschnell vom Tisch gewischt werden sollten. Gleichzeitig darf beim betroffenen Antragsteller nicht der Eindruck entstehen, vor Erhalt der ihm von rechtens wegen zustehender Auskunft erhebliche Hürden nehmen zu müssen.

Erwägungsgrund 64 stellt zunächst klar, dass „alle vertretbaren Mittel“ genutzt werden sollen, insbesondere im Rahmen von Online-Diensten und Online-Kennungen. Eine Identifizierung „um jeden Preis“ ist damit nicht geboten, gleichzeitig wird vom Verantwortlichen ein gewisses Maß an Bemühung durchaus verlangt. Unstreitig wird die im juristischen Kontext so häufig zitierte „im Verkehr erforderliche Sorgfalt“ beachtet werden müssen.  

Je nach Art und Umstand der Kontaktaufnahme bedeutet das für den Verantwortlichen in der Praxis:

  • Die Maßnahmen müssen zumutbar sein und sollten sich an der Art der Anfrage orientieren.
  • Bei Zweifeln können Verantwortliche z. B. die Nutzung des bislang bekannten Kommunikationskanals verlangen
  • Die Abfrage bereits vorhandener Zusatzinformationen (Kundennummern, Sicherheitsfragen, PIN) ist denkbar und zulässig.
  • Übereifrige Verantwortliche sollten zudem den Blick aufs Wesentliche nicht verlieren: so gebietet der Grundsatz der Datenminimierung, dass auch im Rahmen der Identifizierungsprozesses – wenn überhaupt - nur solche Daten erhoben werden dürfen, die zur Identifizierung auch tatsächlich erforderlich sind.

So wird selbst beim Bestehen von begründeten Zweifeln an der Identität im Sinne von Art. 12 Abs. 6 DSGVO die Forderung nach einer Ausweiskopie in den meisten Fällen über das Ziel hinausschießen.

Fazit:

Zusammenfassend zeigt sich also, dass die Identifizierung von Antragstellern im Rahmen von Betroffenenersuchen ein notwendiger, zugleich aber sensibler Prozess ist. Verantwortliche bewegen sich hier in einem Spannungsfeld: Einerseits müssen sie verhindern, dass personenbezogene Daten versehentlich an Unbefugte offengelegt werden. Andererseits dürfen sie Antragsteller nicht mit unverhältnismäßigen Hürden konfrontieren, die die Ausübung ihrer Rechte faktisch erschweren würden.

Entscheidend ist daher eine risikoorientierte, maßvolle Vorgehensweise. Verantwortliche sollten prüfen, welche Identifizierungsmaßnahmen im konkreten Fall erforderlich und geeignet sind – und sich dabei auf solche Informationen beschränken, die zur Verifizierung tatsächlich notwendig sind. Die Dokumentation des Vorgehens schafft zudem Nachvollziehbarkeit und Rechtssicherheit.

Wer frühzeitig geeignete technische und organisatorische Maßnahmen etabliert – etwa eindeutige Kundenkennungen, sichere Kommunikationskanäle oder klar definierte Prozesse für Zweifelsfälle – vereinfacht spätere Identifizierungen erheblich. So kann der gesetzliche Anspruch auf Transparenz und Auskunft effektiv erfüllt werden, ohne dass dabei die Sicherheit der Daten oder die Rechte der Betroffenen gefährdet werden.

Wenn Sie sich hinsichtlich der Ausgestaltung Ihres Identifizierungsprozesses unsicher sind und nicht wissen, ob Sie dabei übers Ziel hinausschießen oder vielleicht doch eine Frage mehr stellen sollten, unterstützt die dacuro Sie gerne dabei, das richtige Maß zu finden.  

TAGS

Zurück

Einen Kommentar schreiben

Was ist die Summe aus 4 und 1?

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.