Zurück zur Übersicht
12.07.2021

Identifizierung bei Betroffenenrechten

Identifizierung bei der Geltendmachung von Betroffenenrechten

Obwohl die DSGVO eine Identitätsprüfung nur bei begründeten Zweifeln an der Identität vorsieht, liegt eine Vielzahl von Beschwerden vor, weil Verantwortliche für die Geltendmachung von Betroffenenrechten (insbesondere Löschersuchen) weitere Angaben, Nachweise und Handlungen verlangt haben.

Es musste festgestellt werden, dass einige Unternehmen zur Löschung von Kund*innenkonten von den Betroffenen weitere Informationen (wie z. B. Kund*innennummer, Rechnungsadresse, Lieferadresse, [alte] Bestellnummer, [alte] Rechnungsnummer sowie das Geburtsdatum) verlangt haben, obwohl das Anliegen mit derselben E-Mail-Adresse gestellt wurde, die bei dem jeweiligen Unternehmen registriert war. Selbst nach Bereitstellung dieser Informationen musste das Löschersuchen zudem teilweise nochmals bestätigt werden. Manche Unternehmen verlangten für die Löschung von Kundenkonten sogar Personalausweiskopien, obwohl beim Anlegen des Kontos selbst keinerlei Überprüfung der Daten erfolgt war und im Falle kostenloser Konten sogar nur Name und E-Mail-Adresse erhoben wurden. Besonders bizarr war die Forderung eines Unternehmens nach Übersendung einer beglaubigten Fotokopie des Personalausweises zum Nachweis der Identität – als Scan per E-Mail.

Verantwortliche können bei begründeten Zweifeln an der Identität zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Dabei haben Verantwortliche jedoch das Prinzip der Datenminimierung zu beachten.

Die nur abstrakte Gefahr der Fälschung von Absenderadressen darf nicht dazu führen, dass Anfragen zunächst pauschal für einen weiteren Datenabgleich bzw. eine Bestätigung zurückgewiesen und damit verzögert bearbeitet werden. In den uns vorliegenden Fällen gab es keine Anhaltspunkte dafür, dass die jeweiligen E-Mail-Adressen missbräuchlich von Dritten genutzt worden sein könnten. Teilweise waren die E-Mails sogar durch den zuständigen Absende-E-Mail-Server mit einer gültigen elektronischen (DKIM-)Signatur versehen worden, sodass nachgewiesen war, dass die E-Mail tatsächlich aus dem angegebenen Postfach stammte. Teilweise gab es eine „Hin-und-Her-Kommunikation“ mit der betroffenen Person, sodass hierdurch der Zugriff auf das E-Mail-Postfach ebenfalls nachgewiesen war. Und manches Mal wurden selbst dann und trotz erforderlichen Logins zusätzliche Nachweise angefordert, wenn die Anfrage unter Nutzung des Kontaktformulars aus dem jeweiligen Kund*innenkonto erfolgte.

In der DSGVO ist insbesondere die Verpflichtung für Verantwortliche niedergelegt, der betroffenen Person die Ausübung ihrer Betroffenenrechte zu erleichtern. Demzufolge dürfen keine inhaltlichen oder formalen Hürden bei der Geltendmachung von Betroffenenrechten errichtet werden. Durch einen standardmäßigen Datenabgleich bei der Geltendmachung von Betroffenenrechten auch ohne begründete Zweifel an der Identität der Antragstellenden wird die Ausübung der Betroffenenrechte erschwert. Dies ist auch dann der Fall, wenn eine zusätzliche Bestätigung des Anliegens verlangt wird. Dies gilt besonders, wenn eine Auskunft an die im Datensatz gespeicherte Anschrift der anfragenden Person zu senden ist.

Solange keine gegenteiligen Hinweise vorliegen oder ein besonderes Risiko besteht – etwa bei besonders vertraulichen Daten oder gefährdeten Personen –, ist grundsätzlich davon auszugehen, dass eine angeforderte Selbstauskunft an die im Datensatz gespeicherte Anschrift gesendet werden kann, ohne dass ein zusätzlicher Nachweis der Identität erforderlich ist. Bestehen ohnehin Kund*innenkonten, sind diese regelmäßig erste Wahl, um Betroffene zu identifizieren. Neue Online-Dienste ermöglichen die Identifizierung aus der Ferne nicht nur durch die eID-Funktion des Personalausweises, sondern bspw. auch über das Online-Banking.

Da Unternehmen in etlichen Fällen systematisch und grundlos die Ausübung der Betroffenenrechte erschwert haben, insbesondere indem sie unrechtmäßig weitere Nachweise zur Identität der betroffenen Personen angefordert haben, wurden diese Fälle zur weiteren Prüfung an die Sanktionsstelle der Behörde abgegeben.


Das Anfordern weiterer identifizierender Angaben, Nachweise und Bestätigungen ohne begründete Zweifel an der Identität stellt für die Betroffenen eine zusätzliche Hürde dar und kann sie davon abhalten, ihre Betroffenenrechte geltend zu machen. Die Geltendmachung von Betroffenenrechten sollte aber möglichst einfach sein. Das Anfordern von weiteren Informationen muss daher Fällen begründeter Zweifel an der Identität betroffener Personen vorbehalten
bleiben.

Quelle: BInBDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks