Die erste Welle der Covid-19-Pandemie hat nicht nur das Gesundheitssystem, sondern auch viele Wirtschaftszweige unter enormen Druck gesetzt. Die Regierungen versprachen daher die schnelle und unbürokratische Auszahlung von Soforthilfen. Deren Umsetzung hat allerdings diverse datenschutzrechtliche Schwachstellen aufgeworfen.
Wie auch andere Bundesländer ist Hamburg in das Visier von Betrügern geraten, die fehlende Datensicherheitsmaßnahmen auszunutzen versuchten, indem sie mit gefälschten oder abgegriffenen Daten Zahlungen beantragten. Damit gab es auch hier Bedarf zur Nachjustierung.
Die Auszahlung von Soforthilfen wurde in der Freien und Hansestadt Hamburg durch die Investitions- und Förderbank Hamburg (IFB) übernommen. Nach Aufdeckung von Phishing-Angriffen begann die IFB, zur Identifizierung von Antragstellern eine von der Nect GmbH zur Verfügung gestellte App einzusetzen, die den Identifizierungsprozess übernehmen sollte. Die Nect GmbH verarbeitete hierdurch Daten von Antragstellern, wofür sie sich maßgeblich auf Einwilligungen als Rechtsgrundlage stützte.
Die App realisierte eine weitgehend automatisierte Prüfung der Identität und Authentizität der Antragsteller. Sie ersetzte damit den Einsatz von Mitarbeitern, die im Online-Verfahren z. B. mittels eines Videotelefonats durch Vorzeigen eines Ausweisdokuments die korrekte Identität von Antragstellern erkennen mussten. Der App musste das Ausweisdokument dagegen mittels der Handy-Kamera vorgelegt werden. Zudem wurde durch das Nachsprechen eines von der App vorgegebenen kurzen Texts sichergestellt, dass es sich um eine echte Person handelt. Im Rahmen der App wurden biometrische Daten verarbeitet, um die angestrebte Echtheitsprüfung durchführen zu können, was auf die entsprechende Einwilligung der Antragsteller gestützt wurde.
Der HmbBfDI erfuhr durch diverse Beschwerden von diesem Sachverhalt und leitete eine Prüfung ein. Da die Verarbeitung personenbezogener Daten im Zuge der Authentifizierung durch die App auf Grundlage einer Einwilligung erfolgte, war fraglich, ob diese tatsächlich freiwillig hatte erteilt werden können. So konnten die Antragsteller ohne Authentifizierung durch die Nect GmbH nicht in den Genuss von den versprochenen Soforthilfen kommen. Zur Herstellung einer entsprechenden Freiwilligkeit der Einwilligung war es daher erforderlich, dass Alternativen zu dem von der Nect GmbH betriebenen Authentifizierungsverfahren hergestellt wurden.
Mit diesen Bedenken wandte sich der HmbBfDI an den Anbieter der App und an die IFB. Der Anbieter wurde zur Beantwortung eines Katalogs an Fragen aufgefordert, woraus sich hinsichtlich der formalen Anforderungen wie Zweckbindung, Speicherfristen und Datenschutz-Folgenabschätzung keine Mängel erkennen ließen. Hinsichtlich der grundsätzlichen Frage einer einschlägigen Rechtsgrundlage griff die IFB die Bedenken des HmbBfDI auf und nahm die Anfrage zum Anlass, die Freiwilligkeit dadurch herzustellen, dass andere Alternativen eingerichtet wurden, sich als Antragsteller zu identifizieren. Hierbei griff sie auf das etablierte PostIdent-Verfahren zurück. Dessen Einrichtung ermöglichte es schlussendlich allen Personen, für die die Nutzung der Nect-App aus verschiedenen Gründen nicht in Betracht kam, ebenfalls Soforthilfen zu beantragen. Mit diesem erfreulichen Ergebnis konnte der Vorgang geschlossen werden
Quelle: HmbBfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks