Sie werden von einer Person angerufen mit der Aufforderung, sie über die Verarbeitung ihrer personenbezogenen Daten aufzuklären. Der Anrufer drückt sich klar aus, er möchte unter anderem wissen, welche personenbezogenen Daten Sie zu welchem Zweck verarbeiten, wem Sie die Daten weitergeben und wann Sie die Daten löschen. Er nennt seinen Namen und Sie finden ihn in Ihrer Datenbank. Was nun?
Genügt es, wenn Ihr Mitarbeiter nach dem Namen fragt? Na gut, wenn ich schon so frage, dann wird die Antwort wohl nein sein, denn ansonsten wäre mein Blog hier zu Ende.
Wie komplex müssen Maßnahmen zur Identitätsfeststellung gestaltet werden?
Wie bereits in der Hilfestellung zum Auskunftsanspruch nach Art. 15 DSGVO ist nochmals auf den Stellenwert eines ordnungsgemäß durchgeführten und dokumentierten Authentifizierungsverfahrens hinzuweisen. Wie sich aus der Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 09. Dezember 2019 ergibt, können Bußgelder in erheblicher Höhe anfallen.
So wurde der Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.55 Mio. € belegt, weil diese keine hinreichenden technisch organisatorischen Maßnahmen (TOMs) ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.
Im Fall der 1&1 Telecom GmbH war es Anrufern möglich, bei der Kundenbetreuung des Unternehmens durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten zu erhalten. Darin lag ein Verstoß gegen Art. 32 DSGVO.
Zusammenfassend ist also festzustellen, dass es zur Vermeidung der teils erheblichen Bußgelder unumgänglich ist, ein System zu errichten bzw. vor allem zu dokumentieren, wie Sie sicherstellen, dass der Betroffene auch tatsächlich der Auskunftsberechtigte ist. Gerade aufgrund der verschiedenen Antragsarten nach Art. 15 DSGVO (schriftlicher Antrag, telefonischer Antrag, Antrag per Email, Antrag über eine Website, usw.), ist für die jeweilige Antragsmöglichkeit ein sicheres System und die dazugehörige Dokumentation zu errichten.
Welche Arten der Identifizierung bestehen für die jeweiligen Antragsarten?
-
Abfrage von zusätzlichen Informationen
Soweit Anfragen per Telefon gestellt werden, müssen zusätzliche Informationen der betroffenen Person abgefragt werden. Die Art der Informationsabfrage ist, wie bereits dargestellt jedoch äußerst problematisch, da die Abgefragten Informationen zu Geburtsdatum, Anschrift etc. in der Regel keine für Dritte unbekannte Informationen darstellen. Insoweit kann dies, wie durch den BfDI bereits festgestellt, besonders bei sensiblen Daten keine geeignete Methode darstellen. Hier könnte man überlegen, ob man dem Kunden eine Kundennummer zuordnet, die er bei einer telefonischen Auskunft nennt.
Meines Erachtens ist davon auszugehen, dass lediglich dem Kunden selbst die Kundennummer vorliegt, z.B., weil diese Kundennummer auf seiner Kundenkarte vermerkt ist. Aber auch das muss in jedem Einzelfall betrachtet werden.
-
Übermittlung eines Ausweisdokuments
Die Übermittlung einer Ausweiskopie stellt hingegen ein deutlich sichereres Verfahren dar, um die betroffene Person zu identifizieren. Soweit die Anfrage über Email erfolgt, ist jedoch zu beachten, dass ein sicherer Zugangsweg bereitzustellen ist (Ende-zu-Ende-Verschlüsselung). Das Verlangen einer Ausweiskopie lediglich per unverschlüsselter Email ist abzulehnen. Ebenso möglich und nutzerfreundlicher ist die Ausweisidentifizierung, die über eine HTTPS-geschützte Website durchgeführt wird.
-
Nutzerkonto-Identifizierung
Soweit ein bestehendes Nutzerkonto beim Verantwortlichen vorliegt, kann die betroffene Person hierüber identifiziert werden. Die Sicherheit dieser Variante hängt sehr stark von der PIN oder dem Passwort für das Nutzerkonto ab. Sicherer ist hierbei eine Multi-Faktor-Authentifizierung, die vorbeugt, dass sich ein Dritter Zugang zum Nutzerkonto der betroffenen Person verschafft und über die Ausübung der Betroffenenrechte erheblichen Schaden anrichtet. Auch die Online-Banken haben ihre Systeme (aus gutem Grund) überarbeitet. Wenn es um wirklich sensible Daten geht, sollten Sie in sichere Systeme investieren und auf Multi-Faktor-Authentifizierung bauen.
-
Post-/Video-Ident-Identifizierung
Das bekannte Postident-Verfahren, kann ebenfalls zur Identitätsfeststellung genutzt werden. Hierbei wird von einem Mitarbeiter der Deutschen Post der Ausweis des anwesenden Antragstellers geprüft, eine Kopie erstellt und die Bestätigung der Identitätsfeststellung an den Verantwortlichen weitergeleitet, der die Identitätsfeststellung in Auftrag gegeben hat. In den letzten Jahren hat sich hierzu die alternative des Videoident-Verfahrens entwickelt. Dabei findet die Identifizierung per Videochat mit einem zuständigen Mitarbeiter des Identifizierungsanbieters oder des eigenen Unternehmens statt. Für die Identitätsfeststellung werden Aufnahmen der betroffenen Person und des Ausweises angefertigt. Dieser Aufwand ist allerdings für viele Unternehmen einfach zu groß. Gerade wenn es um einfache und wenige personenbezogene Daten geht, dürfte dieses Verfahren zu komplex sein. Denn da es sich bei dem Auskunftsrecht um ein Betroffenenrecht handelt, sollte dieses Recht vom Betroffenen ohne größeren Aufwand im Verhältnis zu den verarbeiteten personenbezogenen Daten stehen.
-
Identifizierung über eIDAs-Dienst
Die eIDAS-Verordnung ist eine europaweit geltende Regelung zur elektronischen Identifizierung und zu elektronischen Vertrauensdiensten. Innerhalb Deutschlands sind hiernach insbesondere die Online-Ausweisfunktion des elektronischen Personalausweises mit PIN-Abfrage sowie De-Mail ein sicheres Identifizierungsinstrument. Bei dem elektronischen Personalausweis handelt es sich durch die zusätzliche PIN Absicherung um ein sichereres Identifizierungsverfahren.
Ergebnis:
Insbesondere die Auflistung möglicher verschiedener Identifizierungsverfahren und möglicher Abstufungen innerhalb dieser zeigt, dass mit höherer Sicherheit auch ein erhöhter Aufwand für Verantwortliche und Betroffene zukommen. Es gilt also für Verantwortliche ein Weg zu finden, um möglichst hohe Sicherheit im Identifizierungsprozess zu erhalten und Auskünfte an falsche Personen zu vermeiden. Dennoch muss das Wahrnehmen von Betroffenenrechten für die jeweilige Person mit möglichst geringen Aufwand verbunden sein. Bislang hat sich noch kein Verfahren zur Identifizierung durchgesetzt. Das oben genannte Beispiel zu 1&1 zeigt jedoch, dass die telefonische Identifizierung über den Namen und das Geburtsdatum o.ä. wohl vor allem bei Freigabe weitreichender Kundendaten nicht ausreicht.
