Datentipp: Auskunftsanfrage – ist die anfragende Person echt?
Der kleine feine Datentipp
Lesezeit: ca. 4 Minuten
Neugier und andere Motivationen
Wer kann so fies sein?
Stellen Sie sich einmal folgendes vor. Nebenan sind
neue Nachbarn eingezogen. Neugierig wie Sie sind, wollen Sie wissen, was die so alles machen. Sie wissen schon, wie die neuen Nachbarn heißen, und bekommen zufällig mit, dass diese etwas aus einem bestimmten
Onlineshop geliefert bekommen. Um Ihre Neugier zu befriedigen, legen Sie sich eine
neue E-Mailadresse an – auf den
Namen der neuen Nachbarn.
Unter Ihrer neuen Mailadresse stellen Sie im Namen der neuen Nachbarn eine Auskunftsanfrage für Betroffene nach DSGVO bei dem genannten Onlineshop – Musterformulare stellen beispielsweise Datenschutz-Aufsichtsbehörden und die Verbraucherzentrale bereit. Mal sehen, was Sie so alles über Ihre neuen Nachbarn herausfinden.
Die Identität von Anfragenden prüfen, immer
Natürlich würden Sie das nie tun. Aber können Sie sich vorstellen, dass es
Menschen gibt, die so etwas tun? Neben Neugierde kann es dafür eine
ganze Reihe weiterer Gründe geben, beispielsweise Profiling für Geschäftsanbahnungen.
Dass Menschen manchmal tatsächlich so etwas tun, ist einer der Gründe, warum
Unternehmen immer prüfen müssen, ob anfragende Personen
die sind, die sie zu sein behaupten.
Mögliche Datenpannen bei der Datenauskunft
Auskunftsrecht der betroffenen Person
Betroffenenanfragen zum Thema Datenschutz müssen gemäß den Vorgaben von
Artikel 15 der Datenschutzgrundverordnung beantwortet werden. Dafür haben wir
30 Tage Zeit. In aller Regel ist es schwierig genug,
alle möglichen Datenquellen und Speicherorte auszumachen und zu recherchieren, ob Daten der betroffenen Person vorhanden sind. Dass
unbedingt auch deren Identität überprüft werden muss, wird dabei schnell übersehen.
Keine Rechte Dritter verletzen
Wo steht, dass Sie das müssen? Das ergibt sich aus Artikel 15 der DSGVO. In Absatz 4 heißt es,
durch die Übermittlung der Daten an die anfragende betroffene Person dürfen die Rechte und Freiheiten anderer nicht beeinträchtigt werden. Damit ist klar:
Auskünfte dürfen nicht an fremde Personen erteilt werden, sondern nur direkt an die betroffene Person.
Vorsicht, Geldbuße droht!
Das
Recht auf Auskunft gehört zu den
wichtigsten Betroffenenrechten der Datenschutzgrundverordnung. Ein Verstoß dagegen kann mit der
höheren möglichen Geldbuße, also 20 Millionen € bzw. 4 % des gesamten Konzernumsatzes im Vorjahr geahndet werden. Klar: Dass wegen einer falschen Auskunft oder Verletzung des Auskunftsrechts diese höchste aller Geldbußen gefordert wird, ist unwahrscheinlich. Das Risiko einer
gesalzenen Strafzahlung besteht dennoch.
Auch Schadenersatz ist möglich
So gering die Eintrittswahrscheinlichkeit für die höchste aller Geldbußen sein mag: Dass es zu einer
Geldbuße
oder, etwa bei
Überschreiten der Frist für die Beauskunftung oder bei fahrlässig erteilter Auskunft an den falschen Empfänger zu
Schadenersatz
kommen kann, hat sich in der Vergangenheit mehrfach gezeigt. Grund genug,
Auskünfte wirklich nur Berechtigten zu erteilen.
Die Identität prüfen – aber wie?
Personalausweis – mit Kanonen auf Spatzen schießen
Sie sind also entschlossen, die
Identität der Anfragenden zu prüfen, ehe Sie Personendaten herausrücken. Aber wie machen Sie das DSGVO-gerecht? Manche empfehlen konsequent: Lassen Sie sich eine
Kopie des Personalausweises zuschicken.
Felder, die es
zur Identitätsfeststellung nicht zwingend braucht, können ja
vorab geschwärzt werden. Geschwärzt oder nicht: Das ist die
schärfste Waffe zur Identifizierung einer Person, die Sie zum Einsatz bringen können.
Infobox: Wann darf man Ausweise kopieren?
Das Personalausweisgesetz gibt vor, dass Kopien des Personalausweises nur mit Zustimmung des Ausweisinhabers zulässig sind und eine Ausweiskopie klar als Kopie zu erkennen sein muss. Das gilt für das Kopieren, das Fotografieren und das Einscannen des Ausweises.
Die DSGVO bestimmt in Artikel 5, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn es dem Zweck angemessen und auf das unbedingt notwendige Maß beschränkt ist. Sie dürfen nicht länger als nötig gespeichert werden und sind anschließend zu löschen.
Zu beachten ist der Grundsatz der Datenminimierung. Um die Identität einer Person festzustellen, reichen in der Regel Vor- und Nachname, die Adresse und gegebenenfalls die Gültigkeitsdauer. Nach erfolgter Identifizierung ist die Kopie zu vernichten, mit einem Aktenvermerk „Ausweiskopie geprüft“ lässt sich der Vorgang dokumentieren und nachvollziehen.
Oder die einfache Variante
Es geht auch einfacher. Beim Datenschutzkongress IDACON im Oktober 2022 hat die Moderatorin Daniela Will einen
anderen Weg angeregt. Sie ist als Datenschutzbeauftragte tätig, und weil die
Idee gut und das Vorgehen einfach ist, gebe ich den Vorschlag hier gerne weiter.
Zweifelt man an der Identität, kann man zunächst
die Beauskunftung erstellen, angemessen
verschlüsseln
und
an die Mail-Adresse des Anfragers schicken. Mithilfe bereits vorliegender Kontaktdaten schickt man der betroffenen Person nun
per Post das Passwort zu, um die Daten zu entschlüsseln. Handelt es sich um die Auskunft erbittende Person, ist alles in Ordnung. Hat aber
jemand anderes die Auskunftsanfrage gestellt, kann derjenige mit den übermittelten Daten ohne Passwort nichts anfangen.
Wenn Unbefugte Anfragen stellen
Mag sein, dass die Betroffene nach Empfang des Passworts neugierig wird und von uns wissen möchte,
wer denn diese Anfrage gestellt hat? Leider können wir diese Antwort nicht erteilen – auch, da wir ja nicht wissen,
wer hinter der Mailadresse der Anfrage steckt. Unseretwegen kommt es unter den neuen Nachbarn
jedenfalls nicht zum ersten Nachbarschaftsstreit.
Tipps für Datenauskünfte ohne Pannen
- Sicherstellen, dass ein Auskunftsersuchen nur gegenüber der Person beantwortet wird, um deren Daten es geht.
- Sicherstellen, dass durch die Beauskunftung keine Rechte Dritter verletzt werden.
- Durch eine geeignete Identifikation sicherstellen, dass Sie auch gegen keine anderen Gesetze verstoßen, beispielsweise das Personalausweisgesetz.
- Die Beauskunftung zusammenstellen und an die anfragende Adresse senden, das Ganze aber mit einem Passwort verschlüsseln.
- Über hinterlegte Kontaktdaten das Passwort an die betroffene Person senden.
- Eine
Dokumentation des gesamten Vorgangs anfertigen, damit Sie später die Vorgehensweise nachweisen können.
Und die Kernfrage:
Ist sichergestellt, dass Auskunftsanfragen nur betroffenen Personen erteilt werden?
Weiterführende Links
Musteranfrage für Betroffene der Verbraucherzentrale:
https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/ihre-daten-ihre-rechte-die-datenschutzgrundverordnung-dsgvo-25152
Musteranfrage für Betroffene des LfdI Baden-Württemberg:
https://www.baden-wuerttemberg.datenschutz.de/praxishilfen/#betroffenenrechte
Bei Datenschutz-Fragen Team Datenschutz fragen.
Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!
