Mit der DSGVO wurden die Betroffenenrechte gestärkt, was den Betroffenen sehr zu Gute kommt. Der Umgang mit Auskunftsersuchen ist für die Verantwortlichen dennoch eine Herausforderung. Besonders in Bezug auf die Identitätsprüfung der antragstellenden Betroffenen gibt es Unklarheiten. Dieser Beitrag zeigt die verschiedenen Wege der Antragstellung und stellt die unterschiedlichen Identifizierungsmethoden vor, um in diesem Gebiet etwas Klarheit zu schaffen.
Der Inhalt im Überblick
Wege der Antragstellung für Betroffene
Macht die betroffene Person von ihrem Auskunftsrecht Gebrauch, so hat der Verantwortliche nach Art. 15 Abs. 3 DSGVO eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Dabei ist insbesondere auch vorgesehen, dass die betroffene Person den Antrag elektronisch stellen kann und ihr die Informationen auch in einem gängigen elektronischen Format zur Verfügung gestellt werden (Satz 3). Die betroffene Person kann auf folgenden Wegen einen Antrag auf Auskunft stellen:
Schriftlicher Antrag
Der schriftliche Antrag ist wohl der meist genutzte Weg in der Praxis. Die Auskunft erfolgt entsprechend schriftlich. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) empfiehlt diesen Weg der Auskunft.
Telefonischer Antrag
Art. 12 DSGVO sieht auch eine mündliche Erteilung von Informationen vor. Die Auskunft erfolgt dann auch per Telefon. Zur Identifizierung der betroffenen Person werden zusätzliche Informationen (Geburtsdatum oder Anschrift) abgefragt.
Antrag per E-Mail
Stellt die betroffene Person einen Antrag per E-Mail, so erfolgt die Auskunft auch per E-Mail. Hierbei ist zu bedenken, dass die Antragstellenden häufig eine andere E-Mail-Adresse als die bei dem Verantwortlichen angegeben ist, verwenden.
Antrag über Website (Nutzerkonto)
Bei dieser Variante können die Informationen direkt bereitgestellt werden oder die betroffene Person erhält nach erfolgter Antragstellung einen Hinweis (bspw. per E-Mail), dass die Auskunft nun über das Nutzerkonto abgeholt werden kann.
Methoden der Identifizierung
Eine Identitätsprüfung bei Auskunftsersuchen von Betroffenen kann sich unterschiedlich gestalten. Im Folgenden werden die verschiedenen Methoden der Identitätsprüfung vorgestellt.
Abfrage von zusätzlichen Informationen
Bei telefonischen Anfragen ist es üblich, zusätzliche Informationen der betroffenen Person abzufragen. In der Regel ist das Abfragen von Geburtsdatum und Anschrift als zusätzliche Informationen zu verstehen. Problematisch hierbei ist, dass die abgefragten Informationen i.d.R. keine richtigen Geheimnisse darstellen. Auch Angehörige oder Verwandte sind in der Lage diese Identifizierungsfragen zu beantworten. Daher ist dies keine geeignete Methode für die Beauskunftung von sensiblen Daten (wie etwa Finanzdaten).
Übermittlung eines Ausweisdokuments
Von einer Ausweiskopie werden regelmäßig nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer benötigt (alle anderen Daten werden geschwärzt).
Stellt die betroffene Person das Auskunftsersuchen per E-Mail und fordert der Verantwortliche eine Ausweiskopie, so hat der Verantwortliche einen sicheren Zugangsweg bereitzustellen (z.B. Ende-zu-Ende Verschlüsselung per E-Mail, Bereitstellung eines Links zu einer HTTPS-geschützten Website). Die postalische Übermittlung einer geschwärzten Ausweiskopie ist dagegen datenschutzrechtlich unbedenklich.
Identifizierung über elDAS-Dienst
Die elDAS-Verordnung trifft verbindliche europaweit geltende Regelungen zur elektronischen Identifizierung und zu elektronischen Vertrauensdiensten. In Deutschland gelten insbesondere die Online-Ausweisfunktion des elektronischen Personalausweises mit PIN-Abfrage sowie De-Mail als ein sicheres Identifizierungsinstrument.
Die Online-Ausweisfunktion erfordert eine stärkere Authentifizierung der betroffenen Person. Der Antragsteller muss nicht nur im Besitz des Ausweises sein, sondern muss zusätzlich die PIN kennen.
Post-/Video-Ident-Identifizierung
Bei dem Post-Ident-Verfahren erfolgt die persönliche Identifizierung durch einen Mitarbeiter der Deutschen Post. Der Post Mitarbeiter prüft den Ausweis, erstellt anschließend eine Kopie und leitet die Bestätigung der Identitätsfeststellung an den Verantwortlichen weiter. Eine weitere Möglichkeit ist die Identifizierung per Videochat mit einem Mitarbeiter eines Identifizierungsdienstanbieters. Dabei werden Aufnahmen der betroffenen Person und des Ausweises angefertigt. Die Identifizierung an sich muss nicht zwingend durch einen Identifizierungsanbieter durchgeführt werden, sondern kann lediglich durch den Verantwortlichen selbst (per Videochat oder persönlich) erfolgen.
Die hohe Sicherheit dieser Identifizierungsverfahren ist allerdings mit einem hohen Aufwand der betroffenen Person verbunden.
Identifizierung über ein Nutzerkonto
Bei dieser Variante erfolgt die Antragstellung der betroffenen Person nach erfolgreicher Identifizierung über ein bereits bestehendes Nutzerkonto beim Verantwortlichen. Hat die betroffene Person ein Nutzerkonto bei dem Verantwortlichen, so darf der Verantwortliche keine zusätzliche (über die Identifizierung und Authentifizierung über das Nutzerkonto hinausgehende) Identifizierung verlangen.
Die Sicherheit bei dieser Variante hängt sehr stark von dem vom Nutzer vergebenen Passwort für sein Nutzerkonto ab. Für Nutzer, die keine starken Passwörter verwenden kann sich jemand Fremdes leicht Zugang zum Nutzerkonto der betroffenen Person verschaffen. Eine Zwei-Faktor-Authentifizierung wäre hier wünschenswert.
Hohe Sicherheit bedeutet mehr Aufwand
Einerseits haben Verantwortliche Auskünfte an die falsche Person zu vermeiden, um möglichst hohe Sicherheit im Identifizierungsprozess zu erhalten. Andererseits sieht die DSGVO vor, dass das Wahrnehmen der Betroffenenrechte mit einem möglichst geringen Aufwand für die betroffene Person verbunden sein soll. Beide Anforderungen einzuhalten, stellt eine gewisse Schwierigkeit in der Praxis dar. Wählt der Verantwortliche eine sehr sichere Identifizierungsmethode (wie etwa Post-/Video-Ident-Verfahren), so bleibt die betroffene Person vor einem gewissen Aufwand bzgl. der Identifizierung nicht verschont.
Dieser Beitrag basiert auf dem Aufsatz „Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DSGVO“ von Dr. Ronald Petrlic, erschienen in der DuD, Ausgabe 2/2019.
Können Sie vielleicht spezifizieren, was genau „Auskunft per Mail“ bedeutet? Sollen die Daten wirklich in einer unverschlüsselten E-Mail übermittelt werden?
Wie immer kommt es auf den Inhalt des Auskunftsersuchens im Einzelfall an. Die DSGVO fordert beim Versand personenbezogener Daten angemessene technische organisatorische Maßnahmen. Das BayLDA äußert sich dazu wie folgt: “Da die deutschen E-Mail-Provider inzwischen regelmäßig Transportverschlüsselung für E-Mails einsetzen (so dass die Inhalte unterwegs nicht mehr gelesen werden können), können E-Mails mit „normalem“ geschäftlichem Inhalt aus unserer Sicht ohne Ende-zu-Ende-Verschlüsselung (ohne Inhaltsverschlüsselung) versandt werden.“ Ähnlich äußert sich auch die LDI NRW.
Nur wenn besondere Kategorien personenbezogener Daten in dem Auskunftsersuchen versendet werden, wird von den Behörden eine Inhaltsverschlüsselung für geboten gehalten. Diese muss nicht unbedingt durch eine Ende-zu-Ende Verschlüsselung erfolgen, sondern kann auch durch einen Zip-Container vorgenommen werden, siehe etwa hier.
Nein ein Zip-Container erfüllt regelmässig die Voraussetzungen nicht, da dafür ein Zusatzprogramm benötigt wird.
Technisch sind bei diesen Auskünften PGP-Verschlüsselungen vorzunehmen.
Achtung auch bei PDF-Dokumenten, diese sind nicht Platformunabhängig und ggfs. unter einigen Systemen nicht lesbar.
Persönlich sehe ich die PGP verschlüsselte Emails als beste Lösung an. Problematisch ist dieser elektronische Weg bei Datenmengen, die eine Email überschreiten. Dann muss man gemeinsam mit dem Betroffenen eine Lösung finden.
Hier wird es dann sehr schwer, eine sichere und unproblematische Lösung zu finden.
Ich meine, optional könnten die Auskünfte auch per Einschreiben/Rückschein an den Auskunftssuchenden übersendet werden. Auch in diesem Fall prüft die Post die Identität.
Nein, dieser Weg existiert gerade nicht nach Art 15 (3) S.3 DSGVO. Eine elektronische Auskunft MUSS zwingend elektronisch beantwortet werden.