Aus gegebenem Anlass informieren wir Sie zu einer für Verantwortliche interessanten Frage betreffend Datenschutz in der Praxis, um Fehler zu vermeiden.
Die Datenschutzbehörde (DSB) beschäftigte sich unlängst mit einer Frage zum Auskunftsersuchen, konkret ging es in diesem Fall darum:
Die betroffene Person stellte in einem Unternehmen ein Auskunftsersuchen und bezog sich dabei auf die bisherige vertragliche Beziehung zum Unternehmen. Es wurde per E-Mail mit PGP-Verschlüsselung eine Ausweiskopie beigelegt.
Das Unternehmen erklärte in der Folge postalisch (per Einschreiben) an die betroffene Person, dass die Identität nicht geklärt sei, und die betroffene Person die Möglichkeit hätte, sich zu identifizieren, nämlich
- durch einen eigenhändig unterfertigten Brief mit Ausweiskopie
- persönlich in einer Filiale des Unternehmens
- per EMail mit qualifizierter Signatur unter eine besondere EMail-Adresse des Unternehmens
Die betroffene Person sah darin eine überschießende Anforderung an die Identitätsfeststellung und reichte eine Beschwerde wegen der Verweigerung der Auskunft bei der DSB ein.
Diese Beschwerde war erfolgreich, sodass das Unternehmen die begehrte Auskunft erteilen musste.
Im Detail:
Das Unternehmen versuchte zu argumentieren, dass kein Rechtsschutzinteresse bestehe. Laut DSB sehe der Art. 15 DSGVO keine Voraussetzungen für das Recht auf Auskunft vor, sodass auch ein Rechtsschutzinteresse nicht notwendig sei.
Gemäß Art 12 DSGVO hat ein Verantwortlicher die Ausübung der Betroffenenrechte für die betroffene Person zu erleichtern. Laut DSB seien einerseits die „gemeinsamen Modalitäten zur Ausübung der Betroffenenrechte“ geregelt, es gäbe aber andererseits keine konkreten Anleitungen dazu. Fraglich ist daher, wie die Identifizierung der betroffenen Person bei Ausübung der Betroffenenrechte zu erfolgen hat.
Bei Zweifeln an der Identität kann der Verantwortliche weitere Informationen anfordern (siehe Art 12 Abs 6 DSGVO), die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Somit kann ein Verantwortlicher sich weigern tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. Der Verantwortliche soll schließlich nur alle vertretbaren Mittel nutzen, um den Betroffenen zu identifizieren (siehe ErwG 64).
Zeitlich vor der DSGVO hat sich der VwGH bereits mit solch einem Fall beschäftigt und entschieden, dass die Identitätsfeststellung Missbrauch verhindern soll (DSG 2000). Nach der alten Rechtslage war somit ein Missbrauch des Auskunftsrechts zur Informationsbeschaffung durch Dritte zu unterbinden. Ein Antragssteller musste verpflichtend seine Identität nachweisen. Ein Auftraggeber dürfe laut VwGH daher ohne Vorliegen eines Identitätsnachweises keine Daten an den Auskunftswerber – von dem er in diesem Moment nur annehmen kann, dass er tatsächlich der Betroffene ist – übermitteln; andernfalls das Datengeheimnis verletzt werden könne. Aus diesen Schilderungen ergibt sich daher, dass ein hoher Grad der Verlässlichkeit für den Identitätsnachweis gefordert wird. Der Nachweis hat so zu erfolgen, dass es dem Auftraggeber ermöglicht, die Identität des Auskunftswerbers mit der Person zu überprüfen, deren Daten Gegenstand der Auskunft sein soll.
Dies ist grundsätzlich auch auf die aktuelle Rechtslage durch die DSGVO und den Auskunftsanspruch nach Art 15 DSGVO iVm Art 12 DSGVO umlegbar. Die in § 26 Abs 1 S 1 DSG 2000 enthaltende Anforderung, dass der Auskunftsersuchende seine „Identität in geeigneter Form nachweist“ wurde jedoch nicht in die DSGVO übernommen.
Der Verantwortliche kann nicht generell einen Ausweis fordern, sondern nur wenn er „begründete Zweifel“ hat, dass die Identität des Auskunftsersuchenden nicht mit der Identität des „Datensubjektes“, dessen Daten er verarbeitet, übereinstimmt (siehe Art 12 Abs 6 DSGVO). Es ist immer eine Entscheidung im Einzelfall.
Fraglich ist daher, wann die sog. „Zweifel an der Identität“ vorliegen:
Die erwähnte Einzelfallentscheidung hat laut DSB der Verantwortliche selbst zu treffen und er muss somit klären, ob die Informationen, die ein Auskunftswerber bekannt gibt, ausreichend sind, um diesen als die Person zu identifizieren, deren Daten er verarbeitet. Solange das der Fall ist, bestehen keine Zweifel an der Identität und die Auskunft ist zu erteilen.
Im eingangs geschilderten Fall lagen folgende Informationen vor:
- Kopie des Ausweises,
- Wohnort und Geburtsdatum,
- EMail-Adresse mit PGP-Schlüssel des Unternehmens des Auskunftswerbers,
- Angaben zur vertraglichen Beziehung zwischen dem Betroffenen und dem Verantwortlichen (die nicht öffentlich verfügbar sind).
Laut DSB reichen diese Angaben aus, einen Auskunftswerber zu identifizieren. Schlussendlich war daher der Verantwortliche verpflichtet, innerhalb der gesetzlichen Frist, die angeforderte Auskunft zu erteilen. Weitere Identitätsnachweise, wie
- E-Mail mit qualifizierter Signatur,
- eigenhändig unterfertigtes Schreiben oder
- persönliches Erscheinen
dürfen vom Auskunftswerber nicht gefordert werden.
Praxistipps:
- Prüfen: Prüfen Sie als Verantwortlicher die Angaben im Auskunftsersuchen zur Identität der betroffenen Person
- Entscheiden: Entscheiden Sie im konkreten Einzelfall, ob Sie diese Person als diejenige Person, deren Daten Sie verarbeitet, identifizieren können.
- Frist einhalten: Bei positiver Identifikation ist die Auskunft fristgerecht zu erteilen (die Monatsfrist des Art 12 Abs 3 DSGVO beginnt mit Eingang des Auskunftsersuchens).
- Auskunft: Achten Sie darauf, dass nur die tatsächlich betroffene Person die Auskunft über ihre Daten gemäß Art 15 DSGVO erhält.
Diese Einschätzung und Empfehlungen stellen keine Rechtsberatung dar. Es wird keine Haftung übernommen.
