digital, zeros, ones-388075.jpg

Das Problem mit der Datenauskunft

Die Umsetzung der Datenschutz-Grundverordnung sorgt gerade bei den Betroffenenrechten weiterhin für Probleme. Unternehmen haben oftmals noch keinen richtigen Prozess integriert, um Auskunftsersuchen datenschutzgerecht nachzukommen. So muss etwa geklärt werden, ob die anfragende Person wirklich die betroffene Person ist.

Damit aus der Datenauskunft keine Datenpanne wird

Stellen Sie sich folgendes vor: Sie sollen einen Antrag auf Auskunft bearbeiten und müssen feststellen, ob Ihr Betrieb personenbezogene Daten verarbeitet, die die anfragende Person betreffen. Ist dem so, klären Sie, um welche Daten es sich handelt und zu welchem Zweck Ihr Unternehmen sie verarbeitet. Sie bereiten nun eine Kopie der personenbezogenen Daten vor, die Gegenstand der Verarbeitung sind, um diese Informationen zur Verfügung zu stellen.

Bei diesem Vorgehen können Sie nicht beliebig viel Zeit verstreichen lassen. Denn die Auskunft muss unverzüglich, also ohne schuldhaftes Zögern, erteilt werden. Spätestens jedoch innerhalb eines Monats nach Eingang des Auskunftsersuchens. Nun darf es aber nicht vorkommen, dass Sie möglichst schnell die Datenkopie verschicken – sonst könnte sich die Datenauskunft in eine Datenpanne verwandeln.

Wichtig: die Identität des Antragstellers klären

Die Datenschutz-Aufsichtsbehörden haben mehrfach klargestellt, dass garantiert werden muss, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere zu achten, wenn eine Auskunft mündlich oder elektronisch erteilt wird.

Das bedeutet also: Stellen Sie sicher, dass die Person, die die Auskunft ersucht, auch tatsächlich das Recht dazu hat. Sprich, dass sie also tatsächlich die betroffene Person oder eine von der betroffenen Person bevollmächtigte Person ist. Das sollte jedes Unternehmen in Form eines Prozesses gewährleisten. Obwohl die DSGVO nun schon seit drei Jahren in Kraft ist, sieht die Realität bei vielen Unternehmen anders aus.

Nicht auf die falsche Prüfung der Identität setzen

Es verschiedene Wege, um die Identität einer anfragenden Person zu überprüfen. Das Vorgehen muss dabei sowohl datenschutzgerecht – also dürfen zum Beispiel keine unnötigen Daten abgefragt werden – als auch sicher genug sein.

Sie kennen das Verfahren in Ihrem Unternehmen noch nicht? Dann erkundigen Sie sich bitte, bevor Sie eine Auskunftsanfrage bearbeiten. Wichtig ist auch, dass Sie die Einschränkungen der Verfahren kennen, die gern in der Praxis Anwendung finden.

Ob beispielsweise die Identifizierung via Nutzerkonto (also Benutzername und Passwort) sicher ist, hängt sehr stark vom Passwort ab, das der Nutzer festgelegt hat. Ist es zu leicht zu knacken, können Angreifer Nutzerkonten übernehmen und damit weitere Daten ausspähen – möglicherweise über ein Auskunftsersuchen mit gefälschter Identität.

Wenn also eine anfragende Person das Passwort der betroffenen Person kennt, das für einen Online-Dienst Ihres Unternehmens verwendet wird, und kann sie sich einloggen, heißt dies nicht, dass es wirklich die betroffene Person ist, die die Anfrage stellt. Es gilt also, Vorsicht walten zu lassen! Denn Online-Identitätsdiebstahl greift um sich. So basieren die stark verbreiteten Phishing-Angriffe im Internet genau auf einer gefälschten digitalen Identität, die Vertrauen erwecken und vertrauliche Daten abgreifen soll. Das Auskunftsersuchen per E-Mail kann also auch ein Fake sein.

Handelt es sich wirklich um die betroffene Person? Testen Sie Ihr Wissen!

Frage: Wenn eine Person Auskunft über eine bekannte E-Mail-Adresse beantragt, kann man davon ausgehen, dass die Anfrage echt und berechtigt ist. Richtig?

  1. Ja, aber nur, wenn es sich um eine verschlüsselte, signierte E-Mail des Absenders handelt.
  2. Nein, denn die Absenderangaben können gefälscht sein.

Lösung: Beide Antworten stimmen. Absenderangaben bei E-Mails lassen sich fälschen. Dafür muss nicht einmal das E-Mail-Passwort des Betroffenen bekannt sein; es reicht das Bearbeiten der Absenderangaben im Mail-Programm des (kriminellen) Absenders.

Konnten Angreifer aber das E-Mail-Passwort stehlen, kann die E-Mail sogar echt sein. Doch die Identität ist eine gestohlene und stimmt nicht. Der Bundesdatenschutzbeauftragte empfiehlt zum Auskunftsrecht: Die Auskunft sollte schriftlich oder in einer sicheren elektronischen Form (etwa per De-Mail oder mittels verschlüsselter E-Mail über das Programm Pretty Good Privacy (PGP) oder GnuPG) angefordert werden.

Frage: Die Kopie eines Personalausweises darf keine geschwärzten Stellen enthalten, wenn eine anfragende Person damit ihre Identität im Auskunftsverfahren nachweisen soll. Stimmt das?

  1. Nein, die Kopie muss leserlich sein, darf aber bestimmte Stellen enthalten, die geschwärzt wurden, da sie für die Identitätsprüfung nicht notwendig sind.
  2. Ja, die Kopie muss vollständig und gut zu lesen sein.

Lösung: Die Antwort 1 ist richtig. Die Aufsichtsbehörden für den Datenschutz haben zum Thema „Kopie des Personalausweises“ darauf hingewiesen, dass man als Betroffener alle nicht erforderlichen persönlichen Daten auf der Kopie des Ausweises – wie Augenfarbe, Größe, ID-Nummer, Unterschrift – schwärzen sollte. Andere Daten wie der Name und der Vorname dürfen natürlich nicht unkenntlich gemacht sein.

Scroll to Top
Melden Sie sich für unseren Newsletter an.

Der Newsletter kann nur von Unternehmen bestellt werden, da wir ausschließlich im B2B Bereich tätig sind.