Generelles Vorgehen bei einem Auskunftersuchen
Ein Auskunftsersuchen kann sowohl eine reine Auskunftsanfrage der Betroffenen Person sein als aber auch eine Löschanfrage.
Daher sollte ein Prozess im Unternehmen implementiert und kommuniziert werden, so dass allen Mitarbeitern klar ist wie bei einer externen Anfrage bezüglich der Auskunft über personenbezogene Daten vorgegangen werden muss. Es kann sehr negative Folgen haben wenn dieser Prozess nicht im Unternehmen kommuniziert worden ist. Daher empfehlen wir unseren Kunden stets dies immer wieder auch im Umfang von Datenschutzschulungen bei allen Mitarbeitern mit direktem Kundenkontakt zu festigen.
Inhalte welche von dem Verantwortlichen (Ihrer Firma) bereitgestellt werden müssen: (Art 15 DSGVO)
Generell müssen alle Daten welche über die anfragende Person in allen Systemen zu finden sind mitgeteilt werden. Sollten keine Daten vorhanden sein hat die anfragende Person das Recht auf eine Negativauskunft. Grundsätzlich müssen noch folgende zusätzliche Informationen mitgeteilt werden:
- Verarbeitungszwecke
- Kategorien personenbezogener Daten, die verarbeitet werden (mit Gruppenbezeichnungen wie Gesundheitsdaten, Bonitätsdaten usw.),
- Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden,
- geplante Speicherdauer falls möglich, andern-falls die Kriterien für die Festlegung der Speicherdauer,
- Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung,
- Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DS-GVO,
- Beschwerderecht für die betroffene Person bei der Aufsichtsbehörde,
- Herkunft der Daten, soweit diese nicht bei der betroffenen Person selbst erhoben wurden, und
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling mit aussagekräftigen Informationen über die dabei involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen solcher Verfahren.
Wie wird die Auskunft angefragt bzw. erteilt?
Über einen elektronischen Kanal: die Auskunft über die Daten muss in einem generell gängigen Format zur Verfügung gestellt werden (z.B. PDF Format) [Art 15, 3 DSGVO]
Grundsätzlich kann die Kommunikation aber auch schriftlich (Papierform) oder mündlich mit der betroffenen Person stattfinden.
Identitätsprüfung
Es muss sichergestellt werden, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten. Hat der Verantwortliche begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so kann er nach Art. 12 Abs. 6 DS-GVO zusätzliche Informationen zur Bestätigung der Identität nachfordern (z. B. eine Postadresse bei elektronischem Auskunftsantrag).
Methoden der Identifizierung:
Bei telefonischen Anfragen ist es üblich, zusätzliche Informationen der betroffenen Person abzufragen. In der Regel ist das Abfragen von Geburtsdatum und Anschrift als zusätzliche Informationen zu verstehen. Problematisch hierbei ist, dass die abgefragten Informationen i.d.R. keine richtigen Geheimnisse darstellen. Auch Angehörige oder Verwandte sind in der Lage diese Identifizierungsfragen zu beantworten. Daher ist dies keine geeignete Methode für die Beauskunftung von sensiblen Daten (wie etwa Finanzdaten).
Übermittlung eines Ausweisdokuments
Von einer Ausweiskopie werden regelmäßig nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer benötigt (alle anderen Daten werden geschwärzt).
Stellt die betroffene Person das Auskunftsersuchen per E-Mail und fordert der Verantwortliche eine Ausweiskopie, so hat der Verantwortliche einen sicheren Zugangsweg bereitzustellen (z.B. Ende-zu-Ende Verschlüsselung per E-Mail, Bereitstellung eines Links zu einer HTTPS-geschützten Website). Die postalische Übermittlung einer geschwärzten Ausweiskopie ist dagegen datenschutzrechtlich unbedenklich.
Identifizierung über elDAS-Dienst
Die elDAS-Verordnung trifft verbindliche europaweit geltende Regelungen zur elektronischen Identifizierung und zu elektronischen Vertrauensdiensten. In Deutschland gelten insbesondere die Online-Ausweisfunktion des elektronischen Personalausweises mit PIN-Abfrage sowie De-Mail als ein sicheres Identifizierungsinstrument.
Die Online-Ausweisfunktion erfordert eine stärkere Authentifizierung der betroffenen Person. Der Antragsteller muss nicht nur im Besitz des Ausweises sein, sondern muss zusätzlich die PIN kennen.
Post-/Video-Ident-Identifizierung
Bei dem Post-Ident-Verfahren erfolgt die persönliche Identifizierung durch einen Mitarbeiter der Deutschen Post. Der Post Mitarbeiter prüft den Ausweis, erstellt anschließend eine Kopie und leitet die Bestätigung der Identitätsfeststellung an den Verantwortlichen weiter. Eine weitere Möglichkeit ist die Identifizierung per Videochat mit einem Mitarbeiter eines Identifizierungsdienstanbieters. Dabei werden Aufnahmen der betroffenen Person und des Ausweises angefertigt. Die Identifizierung an sich muss nicht zwingend durch einen Identifizierungsanbieter durchgeführt werden, sondern kann lediglich durch den Verantwortlichen selbst (per Videochat oder persönlich) erfolgen.
Die hohe Sicherheit dieser Identifizierungsverfahren ist allerdings mit einem hohen Aufwand der betroffenen Person verbunden.
Identifizierung über ein Nutzerkonto
Bei dieser Variante erfolgt die Antragstellung der betroffenen Person nach erfolgreicher Identifizierung über ein bereits bestehendes Nutzerkonto beim Verantwortlichen. Hat die betroffene Person ein Nutzerkonto bei dem Verantwortlichen, so darf der Verantwortliche keine zusätzliche (über die Identifizierung und Authentifizierung über das Nutzerkonto hinausgehende) Identifizierung verlangen.
Die Sicherheit bei dieser Variante hängt sehr stark von dem vom Nutzer vergebenen Passwort für sein Nutzerkonto ab. Für Nutzer, die keine starken Passwörter verwenden kann sich jemand Fremdes leicht Zugang zum Nutzerkonto der betroffenen Person verschaffen. Eine Zwei-Faktor-Authentifizierung wäre hier wünschenswert.
Sollte unklar sein um welche Person es sich handelt (z.B. Personen mit gleichen Namen im System) ist die Anfrage bei der Person auf jeden Fall geboten.
Beachtung Rechte Dritter
Die Auskunftserteilung an die betroffene Person darf nach Art. 15 Abs. 4 DS-GVO sowie ErwGr. 63 Satz 5 die Rechte des Verantwortlichen oder anderer Personen nicht beeinträchtigen, was bei Geschäftsgeheimnissen oder bei Daten mit Bezug auch auf andere Personen der Fall sein kann. Dies darf im Ergebnis aber nicht dazu führen, dass jegliche Auskunft verweigert wird.