Identitätsprüfung bei Fahrrad-Abos:
GBA mahnt Anbieter wegen zu umfangreicher Datenerfassung ab
Hintergrund
Die belgische Datenschutzaufsicht (Gegevensbeschermingsautoriteit – GBA) hat ein Unternehmen aus der Fahrradverleih-Branche abgemahnt, das für die Registrierung seiner Kunden Fotos von deren Personalausweis verlangte. Das Verfahren betraf insbesondere die Verarbeitung der Rückseite des Ausweises, auf der die nationale Registernummer sichtbar war. Zudem hatte das Unternehmen ein externes Softwareunternehmen mit der Identitätsprüfung beauftragt. Eine Kundin beschwerte sich außerdem, weil auf ihr Auskunftsersuchen keine Antwort erfolgte.
Was wurde entschieden?
Die GBA stellte fest, dass nur Name und Geburtsdatum für den Vertragsabschluss erforderlich waren. Eine digitale Übermittlung und Auswertung kompletter Ausweisdaten durch einen externen Dienstleister ging deutlich über das Notwendige hinaus. Selbst wenn der Dienstleister einen „Privacy-Filter“ nutzte, handelte es sich dennoch um eine Verarbeitung personenbezogener Daten im Sinne der DSGVO.
Die GBA sah daher keine gültige Rechtsgrundlage nach Artikel 6 Absatz 1 lit. b DSGVO (Vertragserfüllung) und auch kein berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO, da mildere Mittel zur Identitätsprüfung bestanden. Zudem kritisierte die Behörde fehlende Informationen über die Verarbeitung in der Datenschutzerklärung und die Nichtbeantwortung des Auskunftsersuchens.
Bedeutung für Unternehmen
Das Verfahren zeigt, dass auch gut gemeinte Sicherheitsmaßnahmen schnell zu einem Datenschutzverstoß führen können, wenn sie zu viele Daten erfassen. Unternehmen müssen genau prüfen, welche Informationen für den jeweiligen Zweck wirklich erforderlich sind. Fotos von Ausweisen dürfen nur in Ausnahmefällen gespeichert oder verarbeitet werden.
Auch die Zusammenarbeit mit externen Dienstleistern sollte transparent und vertraglich abgesichert sein. Wichtig ist außerdem, dass Betroffeneanfragen (z. B. Auskunftsersuchen) zeitnah und vollständig beantwortet werden.
So reagieren Unternehmen richtig
-
Verhältnismäßigkeit prüfen: Nur Daten verarbeiten, die wirklich für Vertrag oder Sicherheit nötig sind.
-
Transparenz schaffen: Alle Verarbeitungsschritte klar in der Datenschutzerklärung benennen, auch die von Auftragsverarbeitern.
-
Alternativen nutzen: Identität kann oft durch einfache Sichtkontrolle oder PIN-Übermittlung bestätigt werden.
-
Auskunftsrechte ernst nehmen: Eingehende Betroffenenanfragen dokumentieren und fristgerecht beantworten.
-
Standards regelmäßig prüfen: Datenschutz-Folgenabschätzungen und technische Prüfungen helfen, Risiken frühzeitig zu erkennen.
Empfehlung
Unternehmen sollten regelmäßig prüfen, ob ihre Identitätsprüfungs- und Sicherheitsverfahren datenschutzkonform sind. Wer Transparenz schafft und Datenerfassung auf das Nötigste beschränkt, vermeidet Beanstandungen und stärkt das Vertrauen der Kunden.
Quelle: Gegevensbeschermingsautoriteit (Belgien)
Sind Sie sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks
Sie möchten über neue Beiträge automatisch informiert werden? Dann jetzt anmelden!
Abonnieren