Die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) ist dazu da, per­so­nen­be­zo­ge­ne Daten aller Bürger zu schüt­zen.  Ein Aus­kunfts­recht gehört zu einer der zahl­rei­chen Be­stim­mun­gen der DSGVO. Ver­brau­cher haben An­spruch darauf zu er­fah­ren, welche per­so­nen­be­zo­ge­nen Daten Un­ter­neh­men über sie spei­chern. Dabei kann es sich von der Kre­dit­kar­ten­num­mer bis hin zu Chat­pro­to­kol­len, um alle mög­li­chen In­for­ma­tio­nen handeln.

Artikel 15 DSGVO regelt das Aus­kunfts­recht der be­trof­fe­nen Person:
„Die be­trof­fe­ne Person hat das Recht, von dem Ver­ant­wort­li­chen eine Be­stä­ti­gung darüber zu ver­lan­gen, ob sie be­tref­fen­de per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet werden; ist dies der Fall, so hat sie ein Recht auf Aus­kunft über diese per­so­nen­be­zo­ge­nen Daten und auf fol­gen­de Informationen: […]“
Artikel 15 DSGVO regelt au­ßer­dem, über welche Daten die Or­ga­ni­sa­ti­on zu be­aus­kunf­ten hat (Er­gän­zung: § 57 BDSG; § 33 DSG (Ös­ter­reich).

Er­wä­gungs­grund 64 gibt Hin­wei­se zur Identitätsprüfung:
„Der Ver­ant­wort­li­che sollte alle ver­tret­ba­ren Mittel nutzen, um die Iden­ti­tät einer Aus­kunft su­chen­den be­trof­fe­nen Person zu über­prü­fen, ins­be­son­de­re im Rahmen von Online-Diens­­ten und im Fall von Online-Kennungen […].“

Eine Studie von James Pavur (bri­ti­scher Dok­to­rand Oxford) belegt al­ler­dings, dass Or­ga­ni­sa­tio­nen ohne die Iden­ti­tät von be­trof­fe­nen Per­so­nen aus­rei­chend zu prüfen und zu kon­trol­lie­ren, um­fang­reich per­so­nen­be­zo­ge­ne Daten herausgeben.
James Pavur ver­wen­de­te ge­fälsch­te E-Mail-Adres­­sen für diverse Aus­kunfts­er­su­chen und hatte Erfolg. Laut Pavur ant­wor­te­ten 72 % der 150 an­ge­schrie­be­nen Un­ter­neh­men. Zwei Drittel der Ant­wor­ten gaben Aus­kunft darüber, ob Daten der Test­per­son ge­spei­chert waren, 24 % der ant­wor­ten­den Un­ter­neh­men über­mit­tel­ten die bei Ihnen ge­spei­cher­ten per­so­nen­be­zo­ge­nen Daten ohne einen wei­te­ren Iden­ti­täts­check, in meh­re­ren Fällen wurden sogar höchst­per­sön­li­che Daten sowie Kon­to­da­ten übermittelt.
Studie James Pavur „GD­PArrrrr: Using Privacy Laws to Steal Iden­ti­ties

Der LfdI Baden-Wür­t­­te­m­­berg hat bereits am 06. Februar 2019 hierzu einen Beitrag auf seiner Web­sei­te ver­öf­fent­licht: Iden­ti­täts­prü­fung bei elek­tro­ni­schen Aus­kunfts­er­su­chen nach Art. 15 DSGVO“. Darin wird er­läu­tert, wie der Ver­ant­wort­li­che mit einem Aus­kunfts­er­su­chen einer be­trof­fe­nen Person im Hin­blick auf die Iden­ti­täts­prü­fung um­zu­ge­hen hat. Selbst­ver­ständ­lich gelten diese Er­läu­te­run­gen auch für alle wei­te­ren Betroffenenrechte.

Eine Of­fen­le­gung von per­so­nen­be­zo­ge­nen Daten durch die Be­aus­kunf­tung ge­gen­über „dem fal­schen Be­trof­fe­nen“, sprich einem Un­be­rech­tig­ten, stellt re­gel­mä­ßig eine Da­ten­schutz­ver­let­zung dar. In Ab­hän­gig­keit der dabei of­fen­ge­leg­ten Daten und Risiken für die be­trof­fe­ne Person, ist dies auch ge­gen­über der Da­ten­schutz­be­hör­de meldepflichtig.
Es gilt die eigenen Pro­zes­se als Ver­ant­wort­li­cher sowie als Auf­trags­ver­ar­bei­ter „sauber“ zu de­fi­nie­ren, die Mit­ar­bei­ter ent­spre­chend zu sen­si­bi­li­sie­ren und vor allem Zu­stän­dig­kei­ten zu benennen.
Der Ver­ant­wort­li­che sollte sich in Zu­sam­men­ar­beit mit dem Da­ten­schutz­be­auf­trag­ten vor einem Aus­kunfts­er­su­chen – wie auch für Recht auf Be­rich­ti­gung, Lö­schung sowie Da­ten­por­ta­bi­li­tät – Ge­dan­ken machen, wie eine ein­deu­ti­ge Iden­ti­fi­zie­rung des An­fra­gen­den ge­währ­leis­tet werden kann. Eine Rück­fra­ge beim Be­trof­fe­nen und An­for­de­rung von zu­sätz­li­chen In­for­ma­tio­nen ist je­der­zeit möglich.

Die Ursache einer nicht kor­rek­ten und/oder man­gel­haf­ten Be­aus­kunf­tung liegt nicht an einer Schwach­stel­le der Ge­setz­ge­bung, sondern i.d.R. an man­gel­haf­ten Pro­zes­sen und An­wei­sun­gen in­ner­halb der Un­ter­neh­men und Betriebe.

Und auch hier gilt: Binden Sie Ihren Da­ten­schutz­be­auf­trag­ten recht­zei­tig ein, am besten von Anfang an.
Noch ein Hinweis: Im Rahmen der Nach­weis­pflicht emp­fiehlt es sich, das Aus­kunfts­er­su­chen und dessen Ant­wor­ten drei Jahre auf­zu­be­wah­ren (Art. 5 Abs. 2 DSGVO). Über diese Ver­ar­bei­tung (Spei­che­rung) ist der Be­trof­fe­ne selbst­ver­ständ­lich im Rahmen des Aus­kunfts­er­su­chen zu in­for­mie­ren (Art. 15 Abs. 1 lit. d) DSGVO).

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.

 

16. De­zem­ber 2019

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!