Authentifizierung von Betroffenen

HMDATA Datenschutz-Newsletter 01/2022, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Zunehmend ist zu beobachten, dass Betroffene gegenüber dem Verantwortlichen Ihre Betroffenenrechte nach Art. 12 bis 23 DSGVO ausgeübt haben wollen.
Das ist deren gutes Recht, dazu ist die DSGVO schließlich da. Und Unternehmen müssen unabdingbar dieser Aufforderung zeitnah Folge leisten.

Das ist deren gutes Recht, dazu ist die DSGVO schließlich da. Und Unternehmen müssen unabdingbar dieser Aufforderung zeitnah Folge leisten. Was in den letzten Monaten aber in Mode gekommen ist: "automatische DSGVO-Software". Das kann beispielsweise so aussehen, dass eine Software das Posteingangskonto eines Benutzers scannt und auf Grund des enthaltenen Schriftverkehrs bei allen scheinbar "geschäftlichen Mails" des Nutzers eine automatische E-Mail generiert, die an das betroffenen Unternehmen eine Auskunftsanfrage nach DSGVO Art. 15 zur Auskunft der verarbeiteten Daten schickt. Der Sinn solcher Maßnahmen mag angezweifelt werden, tragen sie sicher nicht zu einem besseren Datenschutzniveau bei. Auch ist aktuell eine automatisierte "DSGVO-Studie" der Princeton University and Radboud University am Laufen, die massenweise Standard-Anfragen an Unternehmen zum Umgang mit den Betroffenenrechten versendet. Das betrifft auch eine Vielzahl zufällig ausgewählter Unternehmen im EU-Raum. Allerdings wäre - wenn tatsächlich der ausdrückliche Wunsch einer Auskunft oder Löschung dahintersteckt - das Betroffenenrecht verbindlich auszuführen. Damit aber von beiden Seiten kein Missbrauch bei den Betroffenenrechten stattfindet ("Exzessiv" vs. "Verweigern"), gibt es sowohl für Betroffenen als auch Verantwortlichen ein paar Regeln einzuhalten. Diese werden auch eindeutig in der DSGVO definiert, im Folgenden soll zur Verdeutlichung der Wortlaut der Verordnung ausgeführt werden:

Art. 11 Abs. 2 DSGVO Satz 1

Kann der Verantwortliche ... nachweisen, dass er nicht in der Lage ist, die betroffene Person zu identifizieren, so unterrichtet er die betroffene Person hierüber, sofern möglich.

Art. 12 Abs. 2 DSGVO Satz 2

In den ... genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 [Anmkg.: Betroffenenrechte] tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

Art. 12 Abs. 1 DSGVO Satz 3

Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Art. 12 Abs. 6 DSGVO

Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er ... zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Art. 15 Abs. 3 DSGVO Satz 3

Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

Art. 15 Abs. 4 DSGVO

Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.

ErwgGr. 64 i.V.m. Art. 15 DSGVO "Auskunftsrecht"

Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen.

Und falls Sie umfangreiche Datenverarbeitung für den Betroffenen durchführen:

ErwgGr. 63 Satz 7 i.V.m. Art. 15 DSGVO

Verarbeitet der Verantwortliche eine große Menge von Informationen über die betroffene Person, so sollte er verlangen können, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt.

Was heißt das nun für meinen Betrieb?

Gerade, wenn Zweifel an der Identität bestehen, sollte sich der Verantwortliche überlegen, sich weitere Schritte zur Authentifizierung vorzubehalten. Welcher Art diese Authentifizierung ist, bleibt dem Unternehmen überlassen, solange die Pflichten zur eindeutigen Identifizierung eingehalten werden. Schließlich wäre die Auskunft oder Löschung einer unberechtigten Anfrage eine Datenpanne. Es gibt keine Patentlösung, aber sicherlich bei entsprechender Sensibilisierung zum Thema ein "gutes Bauchgefühl", insb. wenn eine Zunahme automatisch generierter Anfragen zum Auskunftsrecht feststellbar sind. Hier können mit Sicherheit berechtigte Zweifel an der Authentizität des Anfragenden geltend gemacht werden und Sie können mit dem beigefügten Standard-Schreiben antworten und somit Ihren Aufwand rechtmäßig minimieren, ganz nach dem Motto: "Standard-Anfrage produziert Standard-Antwort". Und bedenken Sie: sollte der Betroffenen zusätzliche Kopien seines Auskunftsrechtes (Art. 15 Abs. 3 Satz 2 DSGVO) oder regelmäßige Anfragen ("exzessiv", bspw. monatlich) anfordern, können Sie dies nach Art. 12 Abs. 5 DSGVO auch gegen Verrechnung des Aufwandes geltend machen oder sogar die Ausführung verweigern. Ein oder zwei Anfragen pro Jahr sind aber sicherlich "kostenfrei" durch die DSGVO gedeckt.

Fazit:

Betroffenenrechte sind unabdingbar, das ist auch gut so. Allerdings beruht dies auf gegenseitigem Vertrauen und Ihnen als Unternehmer stehen durchaus interessante Möglichkeiten zur Verfügung, bei Missbrauch einen Riegel vor den zusätzlichen Aufwand zu schieben. Und wie so oft: man kann im Datenschutz als Unternehmen viel machen oder unterlassen, man muss es im Zweifelsfall immer nur glaubhaft begründen können.

Tipps zum Umgang mit Authentifizierung von Betroffenen

• Keine telefonische Auskunft bei nicht ausreichend sicherer Bestätigung der Identifikation
• Nach weiteren Merkmalen zur eindeutigen Authentifizierung fragen, bzw. Vertrags- oder Kundennummer
• Versandart des Ersuchens festlegen (schriftlich/postalisch, E-Mail, telefonisch)
• Frist setzen (max. 4 Wochen nach Eingang)
• Eingang des Ersuchens (vorläufig noch nicht die Ausführung)
• Datenherkunft / Stellen der Löschung ermitteln, Grundlage der Verarbeitung bestimmen (Einwilligung, Vertrag)
• Daten zusammenstellen (Stammdaten, Vertragsdaten, ...). Regel: Kunde hat Anspruch auf ALLE Daten, ohne weitere Nennung Umfang wie "erwartbare Daten"
• Bei Auskunft: DSGVO-Auskunftsformular zusammen mit DSB erstellen
• Bei Löschung: durchführen der Löschung (Sperrung bei gesetzlichen Löschfristen oder Aufbewahrung zur Abwehr von Haftungsansprüchen bzw. zur Schadenabwehr)
• Fristgerecht Ersuchen bestätigen

Formulierungsvorschlag für ein Anschreiben bei nicht eindeutig identifizierbaren Betroffenen

Sehr geehrte/r Frau/Herr ...,

vielen Dank für Ihre Anfrage nach [Angabe Betroffenerecht, bspw. Art. 15 DSGVO Auskunft, Art. 17 DSGVO Löschung] vom [DD.MM.JJJJ] per [E-Mail / Telefon / Post / Fax].
Als Verantwortliche Stelle der Verarbeitung sind wir verpflichtet, die Sicherheit der Verarbeitung zu gewährleisten und die Anfrage stellende Person eindeutig zu identifizieren.
Auf Grund Ihrer o.a. Anforderung zur Ausübung Ihres Betroffenenrechtes können wir eine eindeutige Identifizierung Ihrer Person nicht durchführen, worüber wir Sie nach Art. 11 Abs. 2 DSGVO mit diesem Schreiben informieren möchten.
Bitte haben Sie Verständnis hierfür, dass Sie sowohl Ihre Identität uns gegenüber glaubhaft versichern müssen als auch wir nach Art. 12 Abs. 6 DSGVO verpflichtet sind, Ihre Identität zweifelsfrei festzustellen.
Da wir auf Grund der Art [bspw. SPAM oder Schadsoftware] der eingegangenen Anfrage nicht mit Sicherheit ausschließen können, dass es sich um eine Anfrage einer natürlichen Person - für die wir verantwortliche Stelle sind - handelt, bitten wir Sie, Ihre Anfrage nochmals [unter Angabe der Referenznummer XYZ] als Antwort auf diese E-Mail zu bestätigen.

Für weitere Fragen können Sie auch gerne unseren Support unter [info@email.de] oder unseren Datenschutzbeauftragten unter [datenschutz@email.de] kontaktieren.

Mit freundlichen Grüßen,
....