Bekannterweise müssen Unternehmer nach Art. 15 DSGVO Auskunft erteilen, sofern sich ein vermeintlich Betroffener an ihn wendet und ihn auffordert, mitzuteilen, ob und wie seine personenbezogenen Daten verarbeitet werden. Eine entscheidende Frage, die sich dabei stellt, ist, wie die Identität des Betroffenen überhaupt festgestellt werden kann. Hierzu haben wir bereits einen umfangreichen Beitrag geschrieben, den Sie hier finden.
Mittlerweile gibt es schon einige Urteile zu diesem Thema. Diesmal berichte ich über das Verwaltungsbericht Berlin, welches sich mit dem Thema auseinandersetzen durfte.
VG Berlin vom 31.08.2020
Das VG Berlin hat sich am 31.08.2020 in einem Urteil (Urteil v. 31.08.2020, Az. 1 K 90.19) mit der Frage auseinandergesetzt, wann man begründete Zweifel an der Identität des Betroffenen haben kann.
Interessanterweise war in diesem zu entscheidenden Fall der Verantwortliche im Sinne der DSGVO das Amtsgericht Tiergarten.
Der Betroffene hat dort eine postalische Anfrage zu seinen dort gespeicherten personenbezogenen Daten gestellt.
Das Amtsgericht lehnte eine Auskunftserteilung an den vermeintlich Betroffenen ab, weil die Identität nicht in erforderlichem Maße nachgewiesen wurde. Denn der Präsident des Amtsgerichts verlangte hierzu die Kopie des Personalausweises des Betroffenen, welche dieser nicht vorlegen wollte.
Allerdings war dem Amtsgericht die Anschrift des Betroffenen bereits bekannt, weil es diesem schon mehrere Entscheidungen an diese Adresse zugesandt hatte.
Das VG Berlin argumentierte: Wenn die postalische Adresse schon bisher genutzt wurde, um mit dem Betroffenen zu kommunizieren und keine Anhaltspunkte für unzulässiges Handeln Dritter erkennbar sind, könne man nicht von „begründeten Zweifeln“ ausgehen.
Einschätzung
Diese Entscheidung ist wenig überraschend. Wir dürfen nicht vergessen, dass das Auskunftsersuchen des Betroffenen für diesen so einfach wie möglich gestaltet sein soll. Es handelt sich hierbei schließlich um ein eigenes Recht des Betroffenen, so dass diesem zur Ausübung seines Rechts keine „Steine in den Weg gelegt“ werden sollten. Die Maßnahmen, die ein Unternehmen zur Identitätsfeststellung ergreift, dürfen daher nur so weit reichen, dass der Verantwortliche den Schutz der personenbezogenen Daten wahrt (und natürlich dadurch nicht in die Haftungsfalle tappt). Wenn also der Verantwortliche den Betroffenen dadurch identifizieren kann, dass er die von dem Betroffenen verwendeten Kontaktdaten in seinen Systemen/Unterlagen findet, besteht kein Grund, an der Identität des Betroffenen zu zweifeln.
Zu empfehlen ist die Zusendung von Auskunftsunterlagen immer per Einschreiben, um eine Fehlleitung zu verhindern.
Wenn Sie Fragen haben, sprechen Sie uns an.