Identitätsprüfung bei elektronischen Auskunftsersuchen

Fachbeitrag

Mit der DSGVO wurden die Betroffenenrechte gestärkt, was den Betroffenen sehr zu Gute kommt. Der Umgang mit Auskunftsersuchen ist für die Verantwortlichen dennoch eine Herausforderung. Besonders in Bezug auf die Identitätsprüfung der antragstellenden Betroffenen gibt es Unklarheiten. Dieser Beitrag zeigt die verschiedenen Wege der Antragstellung und stellt die unterschiedlichen Identifizierungsmethoden vor, um in diesem Gebiet etwas Klarheit zu schaffen.

Wege der Antragstellung für Betroffene

Macht die betroffene Person von ihrem Auskunftsrecht Gebrauch, so hat der Verantwortliche nach Art. 15 Abs. 3 DSGVO eine Kopie der personenbezogenen Daten zur Verfügung zu stellen, die Gegenstand der Verarbeitung sind. Dabei ist insbesondere auch vorgesehen, dass die betroffene Person den Antrag elektronisch stellen kann und ihr die Informationen auch in einem gängigen elektronischen Format zur Verfügung gestellt werden (Satz 3). Die betroffene Person kann auf folgenden Wegen einen Antrag auf Auskunft stellen:

Schriftlicher Antrag

Der schriftliche Antrag ist wohl der meist genutzte Weg in der Praxis. Die Auskunft erfolgt entsprechend schriftlich. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) empfiehlt diesen Weg der Auskunft.

Telefonischer Antrag

Art. 12 DSGVO sieht auch eine mündliche Erteilung von Informationen vor. Die Auskunft erfolgt dann auch per Telefon. Zur Identifizierung der betroffenen Person werden zusätzliche Informationen (Geburtsdatum oder Anschrift) abgefragt.

Antrag per E-Mail

Stellt die betroffene Person einen Antrag per E-Mail, so erfolgt die Auskunft auch per E-Mail. Hierbei ist zu bedenken, dass die Antragstellenden häufig eine andere E-Mail-Adresse als die bei dem Verantwortlichen angegeben ist, verwenden.

Antrag über Website (Nutzerkonto)

Bei dieser Variante können die Informationen direkt bereitgestellt werden oder die betroffene Person erhält nach erfolgter Antragstellung einen Hinweis (bspw. per E-Mail), dass die Auskunft nun über das Nutzerkonto abgeholt werden kann.

Methoden der Identifizierung

Eine Identitätsprüfung bei Auskunftsersuchen von Betroffenen kann sich unterschiedlich gestalten. Im Folgenden werden die verschiedenen Methoden der Identitätsprüfung vorgestellt.

Abfrage von zusätzlichen Informationen

Bei telefonischen Anfragen ist es üblich, zusätzliche Informationen der betroffenen Person abzufragen. In der Regel ist das Abfragen von Geburtsdatum und Anschrift als zusätzliche Informationen zu verstehen. Problematisch hierbei ist, dass die abgefragten Informationen i.d.R. keine richtigen Geheimnisse darstellen. Auch Angehörige oder Verwandte sind in der Lage diese Identifizierungsfragen zu beantworten. Daher ist dies keine geeignete Methode für die Beauskunftung von sensiblen Daten (wie etwa Finanzdaten).

Übermittlung eines Ausweisdokuments

Von einer Ausweiskopie werden regelmäßig nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer benötigt (alle anderen Daten werden geschwärzt).

Stellt die betroffene Person das Auskunftsersuchen per E-Mail und fordert der Verantwortliche eine Ausweiskopie, so hat der Verantwortliche einen sicheren Zugangsweg bereitzustellen (z.B. Ende-zu-Ende Verschlüsselung per E-Mail, Bereitstellung eines Links zu einer HTTPS-geschützten Website). Die postalische Übermittlung einer geschwärzten Ausweiskopie ist dagegen datenschutzrechtlich unbedenklich.

Identifizierung über elDAS-Dienst

Die elDAS-Verordnung trifft verbindliche europaweit geltende Regelungen zur elektronischen Identifizierung und zu elektronischen Vertrauensdiensten. In Deutschland gelten insbesondere die Online-Ausweisfunktion des elektronischen Personalausweises mit PIN-Abfrage sowie De-Mail als ein sicheres Identifizierungsinstrument.

Die Online-Ausweisfunktion erfordert eine stärkere Authentifizierung der betroffenen Person. Der Antragsteller muss nicht nur im Besitz des Ausweises sein, sondern muss zusätzlich die PIN kennen.

Post-/Video-Ident-Identifizierung

Bei dem Post-Ident-Verfahren erfolgt die persönliche Identifizierung durch einen Mitarbeiter der Deutschen Post. Der Post Mitarbeiter prüft den Ausweis, erstellt anschließend eine Kopie und leitet die Bestätigung der Identitätsfeststellung an den Verantwortlichen weiter. Eine weitere Möglichkeit ist die Identifizierung per Videochat mit einem Mitarbeiter eines Identifizierungsdienstanbieters. Dabei werden Aufnahmen der betroffenen Person und des Ausweises angefertigt. Die Identifizierung an sich muss nicht zwingend durch einen Identifizierungsanbieter durchgeführt werden, sondern kann lediglich durch den Verantwortlichen selbst (per Videochat oder persönlich) erfolgen.

Die hohe Sicherheit dieser Identifizierungsverfahren ist allerdings mit einem hohen Aufwand der betroffenen Person verbunden.

Identifizierung über ein Nutzerkonto

Bei dieser Variante erfolgt die Antragstellung der betroffenen Person nach erfolgreicher Identifizierung über ein bereits bestehendes Nutzerkonto beim Verantwortlichen. Hat die betroffene Person ein Nutzerkonto bei dem Verantwortlichen, so darf der Verantwortliche keine zusätzliche (über die Identifizierung und Authentifizierung über das Nutzerkonto hinausgehende) Identifizierung verlangen.

Die Sicherheit bei dieser Variante hängt sehr stark von dem vom Nutzer vergebenen Passwort für sein Nutzerkonto ab. Für Nutzer, die keine starken Passwörter verwenden kann sich jemand Fremdes leicht Zugang zum Nutzerkonto der betroffenen Person verschaffen. Eine Zwei-Faktor-Authentifizierung wäre hier wünschenswert.

Hohe Sicherheit bedeutet mehr Aufwand

Einerseits haben Verantwortliche Auskünfte an die falsche Person zu vermeiden, um möglichst hohe Sicherheit im Identifizierungsprozess zu erhalten. Andererseits sieht die DSGVO vor, dass das Wahrnehmen der Betroffenenrechte mit einem möglichst geringen Aufwand für die betroffene Person verbunden sein soll. Beide Anforderungen einzuhalten, stellt eine gewisse Schwierigkeit in der Praxis dar. Wählt der Verantwortliche eine sehr sichere Identifizierungsmethode (wie etwa Post-/Video-Ident-Verfahren), so bleibt die betroffene Person vor einem gewissen Aufwand bzgl. der Identifizierung nicht verschont.

Dieser Beitrag basiert auf dem Aufsatz „Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DSGVO“ von Dr. Ronald Petrlic, erschienen in der DuD, Ausgabe 2/2019.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Können Sie vielleicht spezifizieren, was genau „Auskunft per Mail“ bedeutet? Sollen die Daten wirklich in einer unverschlüsselten E-Mail übermittelt werden?

    • Wie immer kommt es auf den Inhalt des Auskunftsersuchens im Einzelfall an. Die DSGVO fordert beim Versand personenbezogener Daten angemessene technische organisatorische Maßnahmen. Das BayLDA äußert sich dazu wie folgt: “Da die deut­schen E-Mail-Pro­vi­der inzwi­schen regel­mä­ßig Trans­port­ver­schlüs­se­lung für E-Mails ein­set­zen (so dass die Inhal­te unter­wegs nicht mehr gele­sen wer­den kön­nen), kön­nen E-Mails mit „nor­ma­lem“ geschäft­li­chem Inhalt aus unse­rer Sicht ohne Ende-zu-Ende-Ver­schlüs­se­lung (ohne Inhalts­ver­schlüs­se­lung) ver­sandt wer­den.“ Ähnlich äußert sich auch die LDI NRW.

      Nur wenn besondere Kategorien personenbezogener Daten in dem Auskunftsersuchen versendet werden, wird von den Behörden eine Inhalts­ver­schlüs­se­lung für gebo­ten gehalten. Diese muss nicht unbedingt durch eine Ende-zu-Ende Verschlüsselung erfolgen, sondern kann auch durch einen Zip-Container vorgenommen werden, siehe etwa hier.

  2. Ich meine, optional könnten die Auskünfte auch per Einschreiben/Rückschein an den Auskunftssuchenden übersendet werden. Auch in diesem Fall prüft die Post die Identität.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.