Auskunftsersuchen bei Identitätsdiebstahl
Immer wieder kommt es zu sogenannten Identitätsdiebstählen. Dabei liegt in leicht unterschiedlichen Variationen ein bestimmter Sachverhalt zugrunde: Die Identität einer Person wird genutzt, um bei einem Online-Versandhändler ein Kundenkonto anzulegen oder es wird ein bereits existierendes Kundenkonto einer Person genutzt, um Waren auf deren Kosten zu bestellen. Die Waren werden entweder an deren Anschrift oder eine andere, ggf. ihr unbekannte Adresse versendet. Nachdem der Inhaber der Identität von diesen kriminellen Aktivitäten Kenntnis erlangt hat, verlangt er nunmehr vom Online-Versandhändler Auskunft nach Art. 15 Datenschutz-Grundverordnung (DSGVO) zu allen Daten, die zu diesem Konto und den dazugehörigen Bestellungen geführt werden, also auch die Daten, die der Datendieb als Besteller angegeben hat (z.B. E-Mail-Adresse oder abweichende Lieferadressen). Der Online-Versandhändler verweigert die Auskunft mit dem Hinweis auf laufende Ermittlungen der Strafverfolgungsbehörden.
Die Frage, wie mit derartigen Auskunftsersuchen im Hinblick auf die Daten des Datendiebs umzugehen ist, beschäftigten im Berichtszeitraum nicht nur die Arbeitskreise der Datenschutzkonferenz (DSK), sondern auch die Key-Provisions-Subgroup des Europäischen Datenschutzausschusses (EDSA).
Das Recht auf Auskunft nach Art. 15 DSGVO bezieht sich immer auf die personenbezogenen Daten, bei denen es sich nach der Definition des Art. 4 Nr. 1 DSGVO um alle Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dies ist unproblematisch, insofern es sich um Daten des Identitätsinhabers handelt (also etwa um dessen Name, Adresse oder Bankverbindung etc.). Soweit es sich aber um Daten des Datendiebs (z.B. E-Mail-Adresse oder abweichende Lieferadresse) handelt, könnte eingewendet werden, dass es sich um die Daten eines Dritten und nicht die des Identitätsinhabers handelt. Allerdings muss man an dieser Stelle konstatieren, dass der Datendieb diese Informationen mit dem Ziel hinzugefügt hat, dass diese Daten dem Identitätsinhaber zugerechnet werden und hat damit den Personenbezug zu dem Identitätsinhaber hergestellt. Folglich handelt es sich zumindest auch um Daten des Identitätsinhabers, die insofern auch zu beauskunften sind.
Diese Diskussion ist auf europäischer Ebene jedoch noch im Gange und die Bewertung des EDSA bleibt abzuwarten.
Quelle: LfDI Saarland
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks