Sie befinden sich hier:

Begründete Zweifel an der Identität eines Betroffenen

Hat ein Verantwortlicher begründete Zweifel an der Identität des Betroffenen, der einen Antrag auf Wahrnehmung seiner Rechte gestellt hat, so kann er von diesem zusätzliche Informationen (z. B. Vorlage einer Personalausweiskopie) anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Die Grundsätze einer fairen und transparenten Verarbeitung verpflichten jeden Verantwortlichen dazu, die betroffenen Personen bei der Ausübung ihrer Rechte zu unterstützen und sie darüber aufzuklären (Aufklärung über das Recht zum Widerruf der Einwilligung, Aufklärung über die Umstände der Datenverarbeitung und der Beschwerdemöglichkeiten, Aufklärung über die Rechte zum Widerspruch gegen eine Datenverarbeitung, Aufklärung über automatisierte Entscheidungen und Profiling und welche Folgen dies hat, Aufklärung über eine Verletzung des Schutzes personenbezogener Daten).

Allerdings muss sich der Betroffene bei der Ausübung seiner Rechte gegenüber dem Verantwortlichen einer personenbezogenen Datenverarbeitung identifizieren. Dabei kann der Verantwortliche alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen (Erwägungsgrund 64 Satz 1 zur DSGVO). Im Rahmen einer Identitätsfeststellung sind die Maßnahmen zu ergreifen, die – je nach Art der Kontaktaufnahme – zumutbar und vertretbar sind. Damit soll eine Übermittlung personenbezogener Daten an einen Dritten vermieden werden.

Zweifel an der Identität des Antragstellers können auch dann aufkommen, wenn die betroffene Person dem Verantwortlichen zwar namentlich bekannt ist, aber unbekannte Kontaktdaten (bislang unbekannte E-Mail-Adresse, Fax-Nummer oder Postanschrift) verwendet.

Zweifel können auch entstehen, wenn ein Antrag als ungewöhnlich erscheint, weil er in seiner äußeren Form oder seiner sprachlichen Gestaltung von der bisherigen Korrespondenz abweicht. Zu beachten ist dabei, dass im Internet gerade für Auskunftsanträge Formulare mit vorgefertigten Standardtexten angeboten werden.

Dagegen führt die bloße Tatsache, dass ein Antragsteller der verantwortlichen Stelle nicht persönlich bekannt ist, nicht automatisch zu Zweifeln an seiner Identität. Art. 12 Abs. 6 DSGVO zielt nicht darauf, dass Verantwortliche für jeden Fall der Geltendmachung von Betroffenenrechten routinemäßige Identitätsprüfungen einrichten.

Dennoch werden unbekannte Personen durch Umstände ihres Auftretens häufiger Identitätszweifel wecken als bekannte. Dabei kann auch die Bedeutung des Antrags für die betroffene Person eine Rolle spielen. Der Antrag, eine allgemeine Auskunft über den Zweck einer Datenverarbeitung zu erhalten (vgl. Art. 15 Abs. 1 Satz 1 Halbsatz 2 Buchstabe a DSGVO), ist weniger gewichtig als ein Antrag, der sich auf einen Aufenthalt in einer psychiatrischen Klinik eines Bezirks bezieht und auch medizinische Befunde erfasst. In diesem Fall drohen erhebliche Nachteile für die Rechte und Freiheiten der betroffenen Person, wenn die Informationen auf Grund einer Identitätstäuschung an einen Dritten herausgegeben werden. Mit steigender Bedeutung des Antrags für die Rechte und Freiheiten betroffener Personen tritt die Funktion des Art. 12 Abs. 6 DSGVO in den Vordergrund, einer Beeinträchtigung der Datenvertraulichkeit präventiv entgegenzuwirken. Wird Auskunft über besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO begehrt, ist es regelmäßig angezeigt, dass sich der Verantwortliche in geeigneter Form über die Identität der antragstellenden Person vergewissert und/oder Maßnahmen trifft, dass die Informationen nur die betroffene Person erreichen können.

Gemäß Art. 12 Abs. 6 DSGVO darf ein Verantwortlicher nur Nachweise für die Identität eines Antragstellers fordern, wenn seine Zweifel an der Identität des Antragstellers „begründet“ sind. Aus der Gesetzesformulierung ergibt sich, dass die pauschale Behauptung von Zweifeln nicht genügt, um einen Antrag nach den Art. 15 bis 21 DSGVO abzulehnen. Der Verantwortliche muss insofern auch seiner Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachkommen, sodass eine Dokumentation der begründeten Zweifel angebracht ist. Dabei sind die Zweifel an der Identität des Antragstellers einzelfallbezogen plausibel darzulegen.

Können im Einzelfall bestehende Zweifel an der Identität des Antragstellers durch den Verantwortlichen nicht vertretbar mithilfe verfügbarer Informationen überwunden werden, kann der Verantwortliche von dem Antragsteller einen Identitätsnachweis verlangen. Im Interesse der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO) dürfen dabei nur Daten gefordert werden, die zur Identifizierung zwingend erforderlich sind.

Nach Möglichkeit sollten dem Antragsteller verschiedene Optionen zur Identifikation angeboten werden. Art. 12 Abs. 1 Satz 3 und Abs. 3 Satz 4 DSGVO weisen darauf hin, dass grundsätzlich die betroffene Person die freie Wahl der Kommunikationsmittel hat. Die folgenden Beispiele beschreiben Möglichkeiten, die dem Antragsteller angeboten werden können:

  • Haben die betroffene Person und die Behörde bzw. das Unternehmen bisher elektronisch unter Verwendung sicherer Authentifizierungsmittel kommuniziert, kann die öffentliche Stelle anregen, dass der Antragsteller seinen Antrag auf dem bislang üblichen Weg stellt.
  • Bei Verwendung einer bisher unbekannten E-Mail-Adresse kann auch vorgeschlagen werden, den Antrag über eine schon bekannte Adresse kurz zu bestätigen. Das gilt jedenfalls dann, wenn Anhaltspunkte dafür fehlen, dass die Kennung oder sonstige Zugangsberechtigung unbefugt benutzt wird. Der Verantwortliche kann aber nicht verlangen, dass der Antragsteller zur Identifizierung Nutzer des Online-Dienstes wird.
  • In Betracht kommt auch die Abfrage von Informationen, die zum Zweck der Kommunikation zwischen der betroffenen Person und dem Verantwortlichen vereinbart wurden (z. B. Kennwort, Kundennummer, Transaktionsnummer).
  • Je nach Bedeutung des Antrags kommt zudem eine persönliche Vorsprache und/oder die Identifizierung durch ein amtliches Ausweisdokument in Betracht.
  • Art. 12 Abs. 6 DSGVO gestattet dem Verantwortlichen, die zur Identifizierung erforderlichen Daten zu erheben und für diesen Zweck zu verarbeiten. Die dauerhafte Speicherung der Identifizierungsdaten für künftige Identitätsprüfungen sieht Art. 12 Abs. 6 DSGVO allerdings nicht vor (vgl. Erwägungsgrund 64 Satz 2 DSGVO). Sofern nicht eine bereichsspezifische Rechtsgrundlage die Speicherung der Identifizierungsdaten zulässt, sind diese nach Zweckerreichung zu löschen. Das entspricht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchstabe c DSGVO).

Fundstelle: Aktuelle Kurz-Information 22 „Identifizierung bei der Geltendmachung von Betroffenenrechten“ des Bayerischen Landesbeauftragten für den Datenschutz – abrufbar im Internet unter https://www.datenschutz-bayern.de/datenschutzreform2018/aki22.html

nach oben