Im Rahmen der Blog-Reihe „Ein Spaziergang durch die DS-GVO“ betrachten wir die einzelnen Artikel der Datenschutz-Grundverordnung aus einem etwas anderen Blickwinkel. Ziel ist kein x-ter Kommentar, es soll eher ein Datenschutz-Feuilleton entstehen, mit Anmerkungen und Überlegungen auch zu Artikeln, die Sie im Datenschutz-Alltag vielleicht noch nie gelesen haben. Obwohl etwas länger geschrieben als Artikel 10, lässt sich durch Artikel 11 sogar noch schneller hindurchschlendern. Im Grunde will die Europäische Union uns hier nur sagen: „Keine Vorratspeicherung personenbezogener Daten zur bloßen Einhaltung der DS-GVO“.

Wie so oft hält sich die DS-GVO aber auch an dieser Stelle nicht an den eigenen Grundsatz kurz und klar, sondern formuliert etwas länger und umständlicher. Und wie so oft ergeben sich dann gerade daraus wieder Unklarheiten.

Zu Artikel 11 DS-GVO

Nach Absatz 1 sind Verantwortliche zu Datenverarbeitungen für die „bloße Einhaltung dieser Verordnung“ nicht „verpflichtet“. Heißt das auch nicht berechtigt, oder dürfen Verantwortliche freiwillig mehr tun, zum Beispiel gestützt auf die Rechtsgrundlage des Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO? Meines Erachtens ja, aber: zweifelhaft.

In Absatz 2 Satz 1 sind die beiden Schlussworte („sofern möglich“) überflüssig und ohne Sinn. Natürlich kann der Verantwortliche die Betroffenen nur unterrichten, sofern möglich. Auch alle anderen Pflichten aus der DS-GVO kann er übrigens nur erfüllen, sofern möglich. Glücklicherweise wird das nicht immer dazu geschrieben. Und ebenso falsch ist der erste Satzteil: Die Unterrichtung muss sinnvollerweise erfolgen, wenn der Verantwortliche die betroffene Person nicht identifizieren kann – ganz egal, ob die fehlende Identifizierbarkeit beweisbar ist oder nicht.

Absatz 2 Satz 2 ist zur (ersten) Hälfte inhaltslos: Wenn der Verantwortliche Betroffene nicht identifizieren kann, dann kann er entsprechende Daten natürlich auch nicht beauskunften, sperren, löschen, übertragen etc.

Ein Verbesserungsvorschlag

Anbei ein Versurch für einen Artikel 11 in kurz und klar:

Art. 11 DS-GVO – fehlende Identifizierbarkeit
Der Verantwortliche soll den Personenbezug von Daten nicht lediglich zur Einhaltung dieser Verordnung beibehalten. Er hat die Betroffenenrechte jedoch zu gewährleisten, wenn betroffene Personen die für den Personenbezug notwendigen Informationen mitteilen.

Das ist dann auch eine prima Brücke, mit der wir von Kapitel 2 (Grundsätze) zu Kapitel 3 (Rechte der betroffenen Personen) weiterwandern können. Spannende Gefilde liegen vor uns …

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WIE KANN DIE IDENTIFIZIERUNG GESTALTET WERDEN?

Im Gesetz finden sich dazu nur Anhaltspunkte und keine Vorschriften. Es ist lediglich die Rede davon, dass der Verantwortliche in bei begründeten Zweifeln zusätzliche Informationen anfordern kann, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (Art. 12 Abs. 6 DS-GVO). Der Erwägungsgrund 64 gibt Hinweise zur Identitätsprüfung: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen […].“ Es sind unterschiedliche Szenarien denkbar:

Anfrage per E-Mail: Die Anfrage per E-Mail aus Sicht der betroffenen Person der einfachste Weg. In Bezug auf die Identifizierung ist er eine große Herausforderung. Das gilt insbesondere wenn die E-Mail Adresse, von der aus die Anfrage kommt, beim Verantwortlichen nicht als Kontakt hinterlegt ist. Ist die Adresse hingegen hinterlegt, kann i. d. R. davon ausgegangen werden, dass die anfragende Person auch die betroffene Person ist.

Schriftliche Anfrage: Ein schriftlicher Antrag ist die Variante, die die wenigsten Unsicherheiten bereithält. Das Anliegen wird typischerweise auf demselben Weg an die in der Anfrage angebende Anschrift beantwortet. Ein Abgleich mit der im System hinterlegten Adresse erhöht die Sicherheit. Abweichende Adressen bedürfen einer Prüfung.

Telefonische Anfrage: Art. 12 Abs. 1 DS-GVO sieht die Möglichkeit vor, dass Anfrage und Beantwortung auch telefonisch erfolgen können. Selbst wenn die gesendete Telefonnummer bekannt sein sollte, ist damit niemand zweifelsfrei identifiziert. Für diese Art der Anfrage muss auf eine jeden Fall ein Identifizierungsprozess implementiert werden.

METHODEN ZUR AUTHENTIFIZIERUNG UND IDENTIFIKATION

Abfrage zusätzlicher Informationen: Insbesondere bei telefonischen Anfragen sollte der Verantwortliche es zur gängigen Praxis machen, grundsätzlich zusätzliche Identifizierungsmerkmale abzufragen und diese mit den gespeicherten Daten abzugleichen. Dabei kann es sich um die Adressdaten, das Geburtsdatum, die Kundennummer oder die letzte Rechnungsnummer handeln. Empfehlenswert ist die Abfrage mehrerer Daten.

Vorlage eines Ausweisdokuments: Über die Kopie eines Ausweisdokuments kann die Identität eines Betroffenen festgestellt werden. Dieses Verfahren sieht der Bundesbeauftragte für Datenschutz und Informationssicherheit als zulässig an. Alle Daten außer „Name, Anschrift, Geburtsdatum und Gültigkeitsdauer“ können in der Kopie grundsätzlich geschwärzt werden, da sie nicht benötigt werden. Eine Kopie kann per Post oder elektronisch an das Unternehmen zugestellt werden.

Bei der postalischen Übermittlung einer geschwärzten Ausweiskopie gibt es regelmäßig keine datenschutzrechtlichen Bedenken. Eine Übermittlung per E-Mail ist problematischer. Zu beachten ist, dass bei der elektronischen Übermittlung die Sicherheit der Daten im Vordergrund stehen muss. Wenn der Verantwortliche eine Ausweiskopie per E-Mail verlangt, muss er auch einen sicheren Übermittlungsweg zur Verfügung stellen. Ist keine angemessene Ende-zu-Ende-Verschlüsselung möglich, kann auch die Bereitstellung eines Links zu einem sicheren Cloudverzeichnis eine Alternative sein.

Selbstverständlich sollten die erfassten Daten einer strengen Zweckbindung unterliegen, d. h. ausschließlich zur Identitätsprüfung verwendet werden und nicht in den Datenbestand der verantwortlichen Stelle einfließen.

Post-Ident-/Video-Ident Verfahren: Diese Methoden bieten hohe Sicherheit bezüglich der Identifizierung. Das Post-Ident-Verfahren ist allerdings mit einem hohen Aufwand für die betroffenen Personen verbunden. Die betroffene Person wird dabei durch einen Mitarbeiter der Deutschen Post anhand seines Ausweises identifiziert. Die Bestätigung wird an das Unternehmen verschickt. Die Post selbst speichert keine Daten dauerhaft.

Das Video-Ident-Verfahren funktioniert nach dem gleichen Prinzip. Über einen Videochat wird die betroffene Person identifiziert, indem sie das Ausweisdokument vor die Kamera hält. Je nach Verfahren kann es sein, dass das gesamte Verfahren aufgezeichnet und an den Verantwortlichen übermittelt wird. Es ist daher wichtig, die Datenschutzbestimmungen des jeweiligen Anbieters genau zu prüfen. Nicht sehr datenschutzfreundlich ist der Umstand, dass es bei beiden Verfahren nicht vorgesehen ist, die nicht benötigten Informationen abzudecken.

Identifizierung per Code: Die Identität einer antragstellenden Person kann über ein Opt-in-Verfahren festgestellt werden. Hierzu verschickt das Unternehmen einem Code an die gespeicherte E-Mail Adresse, eine gespeicherte Mobilfunknummer oder per Brief. Mit Hilfe dessen kann sich die betroffene Person dann identifizieren.

Bearbeitung über ein Kundenkonto: Die einfachste Methode ist die Verifizierung über ein Kundenkonto. Dabei sollte trotzdem beachtet werden, dass auch Unbefugte sich Zugriff zu einem Kundenkonto verschaffen können. Eine Zwei-Faktor-Authentifizierung ist ratsam.

FAZIT

Jeder Verantwortliche sollte – in Zusammenarbeit mit der oder dem Datenschutzbeauftragten – zur Bearbeitung von Betroffenenrechten klar definierte Prozesse implementieren, wie eine eindeutige Identifizierung des Anfragenden unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen gewährleistet werden kann.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.