Die Datenschutz-Grundverordnung (DSGVO) ist dazu da, personenbezogene Daten aller Bürger zu schützen. Ein Auskunftsrecht gehört zu einer der zahlreichen Bestimmungen der DSGVO. Verbraucher haben Anspruch darauf zu erfahren, welche personenbezogenen Daten Unternehmen über sie speichern. Dabei kann es sich von der Kreditkartennummer bis hin zu Chatprotokollen, um alle möglichen Informationen handeln.
Artikel 15 DSGVO regelt das Auskunftsrecht der betroffenen Person:
„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: […]“
Artikel 15 DSGVO regelt außerdem, über welche Daten die Organisation zu beauskunften hat (Ergänzung: § 57 BDSG; § 33 DSG (Österreich).
Erwägungsgrund 64 gibt Hinweise zur Identitätsprüfung:
„Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen […].“
Eine Studie von James Pavur (britischer Doktorand Oxford) belegt allerdings, dass Organisationen ohne die Identität von betroffenen Personen ausreichend zu prüfen und zu kontrollieren, umfangreich personenbezogene Daten herausgeben.
James Pavur verwendete gefälschte E-Mail-Adressen für diverse Auskunftsersuchen und hatte Erfolg. Laut Pavur antworteten 72 % der 150 angeschriebenen Unternehmen. Zwei Drittel der Antworten gaben Auskunft darüber, ob Daten der Testperson gespeichert waren, 24 % der antwortenden Unternehmen übermittelten die bei Ihnen gespeicherten personenbezogenen Daten ohne einen weiteren Identitätscheck, in mehreren Fällen wurden sogar höchstpersönliche Daten sowie Kontodaten übermittelt.
Studie James Pavur „GDPArrrrr: Using Privacy Laws to Steal Identities”
Der LfdI Baden-Württemberg hat bereits am 06. Februar 2019 hierzu einen Beitrag auf seiner Webseite veröffentlicht: „Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DSGVO“. Darin wird erläutert, wie der Verantwortliche mit einem Auskunftsersuchen einer betroffenen Person im Hinblick auf die Identitätsprüfung umzugehen hat. Selbstverständlich gelten diese Erläuterungen auch für alle weiteren Betroffenenrechte.
Eine Offenlegung von personenbezogenen Daten durch die Beauskunftung gegenüber „dem falschen Betroffenen“, sprich einem Unberechtigten, stellt regelmäßig eine Datenschutzverletzung dar. In Abhängigkeit der dabei offengelegten Daten und Risiken für die betroffene Person, ist dies auch gegenüber der Datenschutzbehörde meldepflichtig.
Es gilt die eigenen Prozesse als Verantwortlicher sowie als Auftragsverarbeiter „sauber“ zu definieren, die Mitarbeiter entsprechend zu sensibilisieren und vor allem Zuständigkeiten zu benennen.
Der Verantwortliche sollte sich in Zusammenarbeit mit dem Datenschutzbeauftragten vor einem Auskunftsersuchen – wie auch für Recht auf Berichtigung, Löschung sowie Datenportabilität – Gedanken machen, wie eine eindeutige Identifizierung des Anfragenden gewährleistet werden kann. Eine Rückfrage beim Betroffenen und Anforderung von zusätzlichen Informationen ist jederzeit möglich.
Die Ursache einer nicht korrekten und/oder mangelhaften Beauskunftung liegt nicht an einer Schwachstelle der Gesetzgebung, sondern i.d.R. an mangelhaften Prozessen und Anweisungen innerhalb der Unternehmen und Betriebe.
Und auch hier gilt: Binden Sie Ihren Datenschutzbeauftragten rechtzeitig ein, am besten von Anfang an.
Noch ein Hinweis: Im Rahmen der Nachweispflicht empfiehlt es sich, das Auskunftsersuchen und dessen Antworten drei Jahre aufzubewahren (Art. 5 Abs. 2 DSGVO). Über diese Verarbeitung (Speicherung) ist der Betroffene selbstverständlich im Rahmen des Auskunftsersuchen zu informieren (Art. 15 Abs. 1 lit. d) DSGVO).
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
16. Dezember 2019