Identitätsfeststellung und Auskunftsverlangen
Artikel 15 DSGVO sichert Betroffenen ein weitgehendes Auskunftsrecht zu, was Speicherung, Verarbeitung und Weitergabe ihrer personenbezogenen Daten anbelangt. Regulär hat das angefragte Unternehmen einen Monat Zeit, die entsprechenden Auskünfte zu erteilen. Die meisten Unternehmen sind damit allerdings überfordert, zumindest wenn es darum geht, dem Auskunftsverlangen umfassend und vollständig nachzukommen.
Mit dieser Überforderung gehen Unternehmen unterschiedlich um. Zwei Verhaltensweisen häufen sich. Die eine zielt darauf, das Auskunftsverlangen zu erschweren und die andere nur jene Auskünfte zu geben, die sich ohne großen Aufwand ermitteln lassen.
Identitätsnachweis nicht als Erschwernis für Betroffene missbrauchen
Viele Unternehmen reagieren fast reflexartig auf Auskunftsanfragen nach Artikel 15 DSGVO mit einer Aufforderung zum Identitätsnachweis. Selbst die Wirtschaftskammer Österreich (WKO) empfiehlt ihren Mitgliedern in einer Mustervorlage zur Beantwortung von Auskunftsanfragen in einem ersten Schritt auf einem Identitätsnachweis zu bestehen. Wörtlich heißt es: Sobald der Identitätsnachweise bei uns eingelangt ist, kommen wir ihrem Ersuchen nach.
Dabei gilt dies nach Artikel 12 Abs. 6 DSGVO nur dann, wenn begründete Zweifel an der Identität bestehen. Hier haben viele Unternehmen, zumindest in Österreich, noch nicht realisiert, dass die im ‚alten’ Datenschutzgesetz (DSG2000) vorgesehene Nachweispflicht schon vor einer Prüfung, durch die DSGVO überholt ist.
Problematisch ist zudem, dass diese Vorlage dem Missverständnis Vorschub leistet, dass die einmonatige Beantwortungsfrist erst mit Vorlage des Identitätsnachweises beginnen würde, nicht bereits mit dem Tag der Anforderung.
So einfach können sich Unternehmen und Organisationen das aber nicht machen.
Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
Sofern die Person, die Auskunft nach Artikel 15 DSGVO verlangt, beispielsweise Kund*in oder Lieferant*in ist, oder Mitarbeiter*in und Kontaktdaten im System des Unternehmens vorliegen, wie Adresse, E-Mail Adresse etc., dann ist kein zusätzlicher Identitätsnachweis erforderlich, es sei denn, es gibt dennoch begründete Zweifel an der Identität. Für diesen Fall müssten Unternehmen diese Begründung auch mitteilen.
Bei einer telefonischen Anfrage ist das schon etwas schwieriger. Selbst wenn die Nummernkennung (Telefonnummer) mit der im System hinterlegten Nummer übereinstimmt, gibt es zum einen ein hohes Manipulationsrisiko (Telefonnummern sind relativ leicht zu manipulieren) und zum anderen bleibt dennoch ungeklärt, ob die berechtigte Person anruft, oder eine andere Person mit Zugang zum Telefon. Hier könnten zusätzliche Abfragen wie Kundennummer, Mitarbeiter-ID etc. erforderlich sein, um die Anfrage als berechtigt und authentisch zu verifizieren.
Wie kann ein Identitätsnachweis erbracht werden
Zumeist verweisen Unternehmen auf die in ErwG 64 angeführte Prüfpflicht: Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen.
Dies bedeutet zunächst:
- im Unternehmen oder der Organisation prüfen, ob entsprechende Daten zur Person vorliegen, die ausreichen, um eine Person zu identifizieren. Sofern bei einer Anfrage eine Kundennummer angeführt wird und die Absenderadresse mit den im Unternehmen vorliegenden Kontaktdaten übereinstimmen, kann beispielsweise von einer Übereinstimmung ausgegangen werden.
- Liegen keine Daten vor, bzw. gibt es keine Übereinstimmung im System oder bestehen Zweifel, dann wird häufig eine Kopie des Personal- oder Reisepasses verlangt, bzw. anderer amtlicher Ausweispapiere mit Lichtbild, wie beispielsweise eines Führerscheins. Es ist allerdings strittig, ob die Vorlage einer Ausweiskopie ausreicht, insbesondere, wenn es um sensible Daten geht. Sieht man von möglichen Fälschungen ab, kann ein Ausweis auch entwendet oder gefunden worden sein. Es bräuchte, so es einen Verdacht gibt, eine zusätzlichen Verifikation, wie beispielsweise durch ein Video-Identverfahren oder Identitätsnachweis durch eine Handy-Signatur, bzw. Bürgerkarte.
- Einen geschützten Zugang zum Kund*innen, Lieferant*innen oder Mitarbeiter*innen Portal zur Verfügung stellen, in welchem die betroffene Person zum einen ihre personenbezogenen Daten, insbesondere Stammdaten etc. selbst einsehen kann und zum anderen dort auch weitergehende Anfragen im Sinne des Artikel 15 stellen kann.
Sichere Zustellung der Auskünfte an berechtigte Person
- Bei der Zustellung der Unterlagen, jedenfalls dann, wenn diese sensible Daten beinhalten, wäre darauf zu achten, dass diese eingeschrieben und nur „eigenhändig” oder mit Übernahmeschein entgegengenommen werden können, bzw. persönlich unter Nachweis der Identität (z.B. Ausweis) abgeholt werden können. Eine Übermittlung der Unterlagen per E-Mail ist dann unstatthaft, wenn die Kommunikation unverschlüsselt erfolgt.
Beispiel für eine sichere Zustellung umfangreicher und sensibler Daten:
Daten werden verschlüsselt in einem USB Stick per Post, eingeschrieben und mit Übernahmeschein zugestellt. Das Passwort wird separat über einen anderen Kanal, z.B. per E-Mail oder SMS verschickt.
Zweifelsohne stellen Auskunftsanfragen nach Artikel 15 DSGVO je nach Zahl von Anfragen und Umfang von Daten eine entsprechend hohe Anforderung an ein Unternehmen oder eine Organisation, je nach Ressourcen und technisch-organisatorischen Möglichkeiten. Unternehmen und Organisationen sollten daher entsprechende Vorkehrungen für ein realistisches Szenario treffen.
Bereitstellung umfassender und vollständiger Auskünfte
Welche Auskünfte sind zu erteilen?
Lesen sie dazu folgende Beiträge:
Die Auskunftspflicht nach DSGVO Dem Auskunftsrecht Betroffener steht die Auskunftspflicht Verantwortlicher gegenüber, also jener, die personenbezogene Daten verarbeiten. In den Erwägungsgründen und in Artikel 15 DSGVO wird geregelt, welche Auskünfte und in welchem Umfang bei welchen Voraussetzungen der Verantwortliche geben muss. Mehr lesen...
Informationspflichten bei der Verarbeitung personenbezogener Daten Zu den Rechten betroffener Personen, also jener, deren personenbezogene Daten verarbeitet werden, zählt laut Datenschutz-Grundverordnung (DSGVO) ein umfangreiches Informationsrecht. Welche Informationen gegeben werden müssen, ist klar geregelt. Mehr lesen...
Das Problem der Überforderung
Häufig sind Unternehmen und Organisationen überfordert, wenn Sie darüber Auskunft geben sollen, wo in Ihren Systemen welche personenbezogenen Daten gespeichert sind und zu welchem Zweck das erfolgte. Das ist besonders bei Löschaufforderungen virulent. Es gibt häufig zu viele, nicht selten aus den Augen verlorene Speicherorte, nicht gelöschte oder archivierte Datenbanken oder Dateien oder Services. Die gesamte IT, sämtliche Netzwerke aber auch konventionelle Ablageorte bezüglich personenbezogener Daten zu inventarisieren und die Informationen effektiv und effizient zu managen, ist vielen Unternehmen und Organisationen kaum möglich.
Dieser Überforderung wird meist damit begegnet, dass man sich bei Auskünften auf Daten beschränkt, die im ersten Zugriff verfügbar sind, wie beispielsweise Daten aus dem CRM, der Buchhaltung, dem ERP etc. Nicht selten ist zu hören, dass Betroffene nicht wissen können, ob die Angaben vollständig sind oder nicht und es auch äußerst unwahrscheinlich sei, dass eine Überprüfung durch die Datenschutzbehörde die Vollständigkeit kontrolliere. Nicht selten handeln manche Verantwortliche entsprechend nach dem Pareto Prinzip: Sie argumentieren, dass für die letzten zwanzig Prozent, die zu einer vollständigen Auskunft fehlten, achtzig Prozent des Aufwands anfielen, was eben unverhältnismäßig sei. Das ist plausibel. Aber der Umstand, dass Unternehmen keinen Überblick über ihre Daten haben stellt kein Argument im Sinne eines unzumutbaren Aufwands dar.
In Österreich kommt hinzu, dass die Politik der – eigentlich unabhängigen – Datenschutzbehörde vorgegeben hat, dass Verwarnen vor Bestrafung stehen müsste. Für betriebswirtschaftlich kalkulierende Unternehmen liegt es daher nahe, das geringe Risiko einer unvollständigen Auskunft in Kauf zu nehmen, um den Aufwand für Auskünfte gering zu halten. Dennoch sollten Unternehmen selbst ein Interesse daran haben, einen Überblick über sämtliche gespeicherten und verarbeiteten, bzw. auch weitergegebenen personenbezogenen Daten zu haben.
Herausforderung einer transparenten IT Infrastruktur
Kaum ein Unternehmen wird Mitarbeiter*innen beauftragen, quasi „händisch” sämtliche mögliche Standorte, Infrastrukturen, Speichermedien und Speicherorte zu durchsuchen, um in Erfahrung zu bringen, wo und über welche Applikationen und Prozesse personenbezogene Daten gespeichert und verarbeitet werden. Diese Informationen und das daraus gewonnene Wissen ist aber Voraussetzung, um im Sinne der DSGVO verantwortlich handeln zu können, ist Grundlage jeder DSGVO Compliance. Je solider diese Grundlage, desto lückenloser kann die DSGVO Compliance erfüllt werden und desto geringer ist das entsprechende Haftungsrisiko.
Um das leisten zu können gibt es intelligente, auf Basis selbstlernender Algorithmen arbeitende Tools, die wir Unternehmen und Organisationen in Verbindung mit unserem IT-Partner anbieten können.
Das sind die Leistungsmerkmale:
- Standortübergreifende und organisationsweite Inventur der IT Infrastruktur mit Schwerpunkt DSGVO Relevanz und Schaffung von Transparenz bzgl. Speicherung und Verarbeitung personenbezogener Daten in den IT Systemen.
- Das Service inkludiert neben der gesamten Dienstleistung auch die Bereitstellung der notwendigen Hard- und Software, um indirekte Kosten zu verringern. Dieses Gesamtpaket garantiert ein rasches Abwickeln der Erhebung und schont zudem interne und externe Ressourcen.
- Optional: Etablierung eines OSI-10 Layers, der Regelkonformität kontinuierlich überwacht und mangelhafte, bzw. fehlende Konformität im Unternehmen aufzeigt.
- Ermittlung relevanten Handlungsbedarfs selbst gegenüber Auftragsverarbeitern, priorisiert nach Risiken, inklusive Handlungsempfehlungen.
- Optional: Kontrolle (Governance) der gesamten IT Infrastruktur und Datenverwaltung durch ein zentrales Informationssystem, granular bis zu Applikationen auf Arbeitsplatz-Ebene und der Möglichkeit zur Rückverfolgung von Verstößen.
- Steigerung von Effektivität und Effizienz bei Auskunftsverlagen, Einschränkungen, Widersprüchen und Löschanforderungen durch Betroffene mittels automatisierter Prozesse über einen zentrales Data Protection System.
- Budgetschonende Sicherstellung der DSGVO Regelkonformität
- Das modulare aufgebaute Angebot ist jeglichem Tätigkeitsbereich anpassbar und inkludiert ein branchenunabhängiges Verfahren
- Komplexe Organisationsstrukturen können abgebildet werden
- Reduzierung kritischer Risiken
- Hohe Strafen bei Verstößen gegen die DSGVO bis zu 20 Millionen Euro, bzw. 4 Prozent des erzielten, weltweiten vorjährigen Jahresumsatzes.
- Privatrechtliche Klagen auch aus dem EU Ausland
- Beschädigung der Reputation und des Images der Organisation.
- Reduzierung des Haftungsrisiko der Geschäftsführung, sowie der in der DSGVO ausdrücklich vorgesehenen Regressoption gegenüber Angestellten, soweit diese personenbezogene Daten verarbeiten.
- Risiko der Haftung bei DSGVO Verstößen von Auftragsverarbeitern und Dienstleistern.
Gerne gebe ich Ihnen weitere Auskünfte zu diesen Tools. Wenden Sie sich bitte direkt an mich:
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Der Gesetzestext der DSGVO, EU-Lex
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.
Editionsgeschichte:
Eingetragen von Dr. Conrad Lienhardt am 20.02.2019 – Last touched: 13.12.2019 – Contents updated: 13.12.2019Hinweis: Ältere Beiträge werden in der Regel nicht aktualisiert, sofern es dazu keinen konkreten Anlass gibt (z.B. Aufforderung zu Richtigstellung, Ergänzung etc.). Dennoch können Beiträge ein aktuelleres Datum einer Überarbeitung zeigen. Zumeist handelt es sich dabei nicht um inhaltliche Änderungen, sondern um technisch veranlasste Änderungen, Korrekturen der Rechtschreibung, Glättung des Stils etc. Daher werden alle LeserInnen darauf hingewiesen, die Beiträge mit Blick auf das Erstellungsdatum zu lesen und ggf. zu überprüfen, ob die Inhalte noch aktuell und gültig sind. Wir können keine Haftung übernehmen, die sich aus einer Nichtbeachtung ergeben könnten.