Die DS-GVO stärkt die Rechte der von Datenverarbeitung betroffenen Personen. Diese Rechte stellen verantwortliche Stellen vor ein Problem. Die Identität des Antragstellers muss zweifelsfrei feststehen. Eine Übertragung von Daten an eine falsche Person kann – je nach Art der Daten – gravierende Folgen für den Betroffenen haben. Eine Offenlegung von personenbezogenen Daten durch die Beauskunftung gegenüber „dem falschen Betroffenen“ stellt regelmäßig eine Datenschutzverletzung dar. Je nach Art der offengelegten Daten und der Risiken für die betroffene Person ist dies dann auch gegenüber der zuständigen Datenschutzbehörde meldepflichtig.
Vor eine besondere Herausforderung ist ein Verantwortlicher gestellt, wenn Betroffene eine Anfrage nicht mit den im System der Unternehmen gespeicherten Daten übereinstimmen. So entspricht die E-Mail-Adresse des Antragstellers nicht der im System hinterlegten oder die postalische Adresse hat sich durch einen Umzug geändert oder ein Anrufer ruft vom Handy aus an und im System ist eine Festnetznummer hinterlegt.Der Identifizierungsvorgang muss datenschutzkonform gestaltet werden. Verantwortliche sowie Auftragsverarbeiter müssen eigene Prozesse definieren. Wichtig ist es vor allem Zuständigkeiten zu benennen und die Mitarbeiter regelmäßig zu sensibilisieren.
WIE KANN DIE IDENTIFIZIERUNG GESTALTET WERDEN?
Im Gesetz finden sich dazu nur Anhaltspunkte und keine Vorschriften. Es ist lediglich die Rede davon, dass der Verantwortliche in bei begründeten Zweifeln zusätzliche Informationen anfordern kann, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (Art. 12 Abs. 6 DS-GVO). Der Erwägungsgrund 64 gibt Hinweise zur Identitätsprüfung: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen […].“ Es sind unterschiedliche Szenarien denkbar:
Anfrage per E-Mail: Die Anfrage per E-Mail aus Sicht der betroffenen Person der einfachste Weg. In Bezug auf die Identifizierung ist er eine große Herausforderung. Das gilt insbesondere wenn die E-Mail Adresse, von der aus die Anfrage kommt, beim Verantwortlichen nicht als Kontakt hinterlegt ist. Ist die Adresse hingegen hinterlegt, kann i. d. R. davon ausgegangen werden, dass die anfragende Person auch die betroffene Person ist.
Schriftliche Anfrage: Ein schriftlicher Antrag ist die Variante, die die wenigsten Unsicherheiten bereithält. Das Anliegen wird typischerweise auf demselben Weg an die in der Anfrage angebende Anschrift beantwortet. Ein Abgleich mit der im System hinterlegten Adresse erhöht die Sicherheit. Abweichende Adressen bedürfen einer Prüfung.
Telefonische Anfrage: Art. 12 Abs. 1 DS-GVO sieht die Möglichkeit vor, dass Anfrage und Beantwortung auch telefonisch erfolgen können. Selbst wenn die gesendete Telefonnummer bekannt sein sollte, ist damit niemand zweifelsfrei identifiziert. Für diese Art der Anfrage muss auf eine jeden Fall ein Identifizierungsprozess implementiert werden.
METHODEN ZUR AUTHENTIFIZIERUNG UND IDENTIFIKATION
Abfrage zusätzlicher Informationen: Insbesondere bei telefonischen Anfragen sollte der Verantwortliche es zur gängigen Praxis machen, grundsätzlich zusätzliche Identifizierungsmerkmale abzufragen und diese mit den gespeicherten Daten abzugleichen. Dabei kann es sich um die Adressdaten, das Geburtsdatum, die Kundennummer oder die letzte Rechnungsnummer handeln. Empfehlenswert ist die Abfrage mehrerer Daten.
Vorlage eines Ausweisdokuments: Über die Kopie eines Ausweisdokuments kann die Identität eines Betroffenen festgestellt werden. Dieses Verfahren sieht der Bundesbeauftragte für Datenschutz und Informationssicherheit als zulässig an. Alle Daten außer „Name, Anschrift, Geburtsdatum und Gültigkeitsdauer“ können in der Kopie grundsätzlich geschwärzt werden, da sie nicht benötigt werden. Eine Kopie kann per Post oder elektronisch an das Unternehmen zugestellt werden.
Bei der postalischen Übermittlung einer geschwärzten Ausweiskopie gibt es regelmäßig keine datenschutzrechtlichen Bedenken. Eine Übermittlung per E-Mail ist problematischer. Zu beachten ist, dass bei der elektronischen Übermittlung die Sicherheit der Daten im Vordergrund stehen muss. Wenn der Verantwortliche eine Ausweiskopie per E-Mail verlangt, muss er auch einen sicheren Übermittlungsweg zur Verfügung stellen. Ist keine angemessene Ende-zu-Ende-Verschlüsselung möglich, kann auch die Bereitstellung eines Links zu einem sicheren Cloudverzeichnis eine Alternative sein.
Selbstverständlich sollten die erfassten Daten einer strengen Zweckbindung unterliegen, d. h. ausschließlich zur Identitätsprüfung verwendet werden und nicht in den Datenbestand der verantwortlichen Stelle einfließen.
Post-Ident-/Video-Ident Verfahren: Diese Methoden bieten hohe Sicherheit bezüglich der Identifizierung. Das Post-Ident-Verfahren ist allerdings mit einem hohen Aufwand für die betroffenen Personen verbunden. Die betroffene Person wird dabei durch einen Mitarbeiter der Deutschen Post anhand seines Ausweises identifiziert. Die Bestätigung wird an das Unternehmen verschickt. Die Post selbst speichert keine Daten dauerhaft.
Das Video-Ident-Verfahren funktioniert nach dem gleichen Prinzip. Über einen Videochat wird die betroffene Person identifiziert, indem sie das Ausweisdokument vor die Kamera hält. Je nach Verfahren kann es sein, dass das gesamte Verfahren aufgezeichnet und an den Verantwortlichen übermittelt wird. Es ist daher wichtig, die Datenschutzbestimmungen des jeweiligen Anbieters genau zu prüfen. Nicht sehr datenschutzfreundlich ist der Umstand, dass es bei beiden Verfahren nicht vorgesehen ist, die nicht benötigten Informationen abzudecken.
Identifizierung per Code: Die Identität einer antragstellenden Person kann über ein Opt-in-Verfahren festgestellt werden. Hierzu verschickt das Unternehmen einem Code an die gespeicherte E-Mail Adresse, eine gespeicherte Mobilfunknummer oder per Brief. Mit Hilfe dessen kann sich die betroffene Person dann identifizieren.
Bearbeitung über ein Kundenkonto: Die einfachste Methode ist die Verifizierung über ein Kundenkonto. Dabei sollte trotzdem beachtet werden, dass auch Unbefugte sich Zugriff zu einem Kundenkonto verschaffen können. Eine Zwei-Faktor-Authentifizierung ist ratsam.
FAZIT
Jeder Verantwortliche sollte – in Zusammenarbeit mit der oder dem Datenschutzbeauftragten – zur Bearbeitung von Betroffenenrechten klar definierte Prozesse implementieren, wie eine eindeutige Identifizierung des Anfragenden unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen gewährleistet werden kann.
Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.