Die Umsetzung der DSGVO bereitet gerade bei den Betroffenenrechten weiterhin Probleme. So haben Unternehmen oftmals noch keinen richtigen Prozess, um Auskunftsersuchen datenschutzgerecht nachzukommen. So muss etwa geklärt werden, ob die anfragende Person wirklich die betroffene Person ist.
Fristen einzuhalten ist nicht alles
Stellen Sie sich vor, Sie sollen einen Antrag auf Auskunft bearbeiten. Sie müssen feststellen, ob Ihr Betrieb personenbezogene Daten verarbeitet, die die anfragende Person betreffen. Ist das der Fall, klären Sie, welche Daten dies sind und zu welchem Zweck Ihr Betrieb sie verarbeitet. Sie bereiten nun eine Kopie der personenbezogenen Daten vor, die Gegenstand der Verarbeitung sind, um diese Informationen zur Verfügung zu stellen.
Dabei können Sie sich nicht beliebig Zeit lassen. Denn die Auskunft muss unverzüglich, also ohne schuldhaftes Zögern, erteilt werden, spätestens jedoch binnen eines Monats nach Eingang des Auskunftsersuchens. Nun darf es aber nicht passieren, dass Sie möglichst schnell die Datenkopie verschicken – sonst könnte die Datenauskunft zu einer Datenpanne werden.
Die Identität des Antragstellers muss geklärt sein
Die Aufsichtsbehörden für den Datenschutz haben mehrfach deutlich gemacht: Es muss sichergestellt sein, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten.
Das bedeutet somit, dass Sie sicherstellen müssen, dass die Person, die die Auskunft wünscht, auch tatsächlich das Recht dazu hat, also tatsächlich die betroffene Person oder eine von der betroffenen Person bevollmächtigte Person ist. Das sollte jedes Unternehmen durch einen Prozess sicherstellen. Bei vielen Unternehmen ist dem aber noch nicht so, auch wenn die DSGVO bereits drei Jahre zur Anwendung kommt.
Nicht auf die falsche Prüfung der Identität setzen
Nun gibt es verschiedene Wege, um die Identität einer anfragenden Person zu überprüfen. Dabei muss dieser Weg zum einen datenschutzgerecht sein, also zum Beispiel keine unnötigen Daten abfragen. Zum anderen muss der gewählte Weg aber auch sicher genug sein.
Wenn Sie das Verfahren in Ihrem Unternehmen noch nicht kennen, erkundigen Sie sich bitte, bevor Sie ein Auskunftsersuchen bearbeiten. Wichtig ist auch, dass Sie die Einschränkungen der Verfahren kennen, die gern in der Praxis genutzt werden.
Ob beispielsweise die Identifizierung über ein Nutzerkonto (also Benutzername und Passwort) sicher ist, hängt sehr stark vom Passwort ab, das der Nutzer vergeben hat. Ist es zu leicht zu knacken, können Angreifer Nutzerkonten übernehmen und damit weitere Daten ausspähen – womöglich dann über ein Auskunftsersuchen mit gefälschter Identität.
Kennt also eine anfragende Person das Passwort der betroffenen Person, das für einen Online-Dienst Ihres Unternehmens besteht, und kann sie sich einloggen, bedeutet dies nicht, dass es wirklich die betroffene Person ist, die die Anfrage stellt. Seien Sie also vorsichtig, denn Identitätsdiebstahl im Internet greift um sich. So basieren die stark verbreiteten Phishing-Attacken genau auf einer gefälschten digitalen Identität, die Vertrauen erwecken und vertrauliche Daten herauslocken soll. Das Auskunftsersuchen per Mail kann also auch eine Fälschung sein.
Ist es wirklich die betroffene Person? Machen Sie den Test!
Frage: Beantragt eine Person Auskunft über eine bekannte E-Mail-Adresse, kann man davon ausgehen, dass die Anfrage echt und berechtigt ist. Stimmt das?
- Nein, denn die Absenderangaben können gefälscht sein.
- Ja, aber nur, wenn es sich um eine verschlüsselte, signierte E-Mail des Absenders handelt.
Lösung: Die Antworten 1 und 2 sind richtig. Absenderangaben bei E-Mails lassen sich fälschen, dafür muss man nicht einmal das E-Mail-Passwort des Betroffenen haben, es reicht das Editieren der Absenderangaben im Mail-Programm des (kriminellen) Absenders. Konnten Angreifer aber das E-Mail-Passwort stehlen, kann die E-Mail sogar echt sein. Doch die Identität ist eine gestohlene und stimmt nicht. Der Bundesdatenschutzbeauftragte schreibt zum Auskunftsrecht: Es empfiehlt sich, die Auskunft schriftlich oder in einer sicheren elektronischen Form (etwa per De-Mail oder mittels verschlüsselter E-Mail über das Programm Pretty Good Privacy (PGP) oder GnuPG) anzufordern.
Frage: Die Kopie eines Personalausweises darf keine geschwärzten Stellen enthalten, wenn eine anfragende Person damit ihre Identität im Auskunftsverfahren nachweisen soll. Stimmt das?
- Ja, die Kopie muss vollständig und gut zu lesen sein.
- Nein, die Kopie muss leserlich sein, sie darf aber bestimmte Stellen enthalten, die geschwärzt wurden, weil sie für die Identitätsprüfung nicht notwendig sind.
Lösung: Die Antwort 2 ist richtig. Die Aufsichtsbehörden für den Datenschutz haben zum Thema „Kopie des Personalausweises“ darauf hingewiesen, dass man als Betroffener die nicht erforderlichen persönlichen Daten auf der Kopie des Ausweises (wie Augenfarbe, Größe, ID-Nummer, Unterschrift) schwärzen sollte. Andere Daten wie der Name und der Vorname dürfen natürlich nicht unkenntlich gemacht sein.