Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 449

18

Der Verantwortliche muss bei der Bearbeitung von Anfragen der betroffenen Personen nach Art. 15–21 DSGVO sicherstellen, dass die Anfrage auch von der richtigen Person kommt und es weder zu Verwechslungen noch zu Missbrauch durch Dritte kommt. Diese Pflicht besteht nicht nur, wenn im Rahmen von Auskunftsanfragen nach Art. 15 Abs. 1, Abs. 3 DSGVO personenbezogene Daten herausgegeben werden. Auch eine falsche oder unbefugte Ausübung der anderen Rechte kann nachteilige Folgen für die betroffene Person haben, und sei es nur, dass ein von der betroffenen Person gewünschter Newsletter aufgrund eines falschen Werbewiderspruchs nach Art. 21 Abs. 2 DSGVO eingestellt wird. Eine Pflicht zur Identifizierung besteht nach Art. 12 Abs. 6 DSGVO allerdings nur, wenn der Verantwortliche begründete Zweifel an der Identität der natürlichen Person hat, die den Antrag stellt. In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Der Verweis auf Art. 11 DSGVO ist hier rein deklaratorisch und stellt lediglich klar, dass der Verantwortliche Zweifel an der Identität des Anfragenden nicht dazu nutzen darf, um dem Antrag nicht nachzukommen, soweit eine eindeutige Identifizierung mit weiteren Mitteln möglich ist. Art. 12 Abs. 6 DSGVO ist für sich kein Erlaubnistatbestand für die Verarbeitung der zusätzlich erhobenen personenbezogenen Daten.37 Die datenschutzrechtlichen Erlaubnistatbestände sind in Art. 6 DSGVO und ggf. mitgliedstaatlichem Recht (siehe Rn. 20 zu Personalausweis- und Passkopien) geregelt. Die Verarbeitung richtet sich vielmehr nach Art. 6 Abs. 1 lit. c DSGVO, da die Daten erforderlich sind, um den Pflichten nach Art. 15–21 DSGVO nachzukommen.

19

Wann Zweifel an der Identität des Antragstellers vorliegen und welche zusätzlichen Informationen zur Identifizierung erforderlich sind, hängt von den Umständen des Einzelfalles ab. Eine Identifizierung ist in der Regel nicht erforderlich, wenn die Anfrage von einer bereits der betroffenen Person zugeordneten Adresse oder E-Mail-Adresse kommt. Zudem ist auf den zeitlichen Zusammenhang mit zuvor versandten Informationen nach Art. 13, 14 DSGVO zu achten.38 Auch bei reinen Negativauskünften (d.h. keine Daten gespeichert) ist eine Identifizierung nicht erforderlich.39 Zu beachten ist, dass nicht ohne Weiteres eine Personalausweis- oder Passkopie angefordert werden darf. Dies ist in Deutschland nur als ultima ratio und unter Einhaltung weiterer Voraussetzungen zulässig (siehe Rn. 20). Alternative bzw. kumulative Möglichkeiten zur Identifizierung sind u.a. Verifikation mittels Login-Daten40 oder die Vereinbarung einer Sicherheitsfrage.41 Die telefonische Abfrage einfacher, ggf. drittbekannter Kundendetails wie Geburtsdatum oder Mobilfunknummer, sofern diese Informationen beim Verantwortlichen bereits vorliegen, dürften jedoch ebenso wenig genügen wie die Verwendung einer bereits bekannten postalischen Adresse.42 Die Auswahl der Mittel wird auch von der Sensitivität der jeweiligen Daten beeinflusst.43

20

Sofern keine anderen Mittel zur Identifizierung des Anfragenden zur Verfügung stehen, kann der Verantwortliche auch eine Personalausweis- oder Passkopie anfordern. Hierbei sind jedoch der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO sowie die ausweisrechtlichen sowie datenschutzrechtlichen Anforderungen nach § 20 Abs. 2 PAusweisG bzw. § 18 Abs. 3 PassG zu beachten. Aus dem Grundsatz der Datenminimierung ergibt sich zunächst, dass der Verantwortliche die anfragende Person darauf hinweisen muss, dass sie alle Angaben (einschließlich des Fotos) unkenntlich machen darf, die für die Zwecke der Identifizierung nicht erforderlich sind. Erforderlich sind zunächst nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer.44 Der Ausweis/Pass darf gem. § 20 Abs. 2 Satz 1 PAuswG/§ 18 Abs. 3 Satz 1 PassG nur vom Inhaber oder von anderen Personen mit Zustimmung des Ausweisinhabers in der Weise abgelichtet werden, dass die Ablichtung eindeutig und dauerhaft als Kopie erkennbar ist. Andere Personen als der Inhaber dürfen die Kopie gem. § 20 Abs. 2 Satz 2 PAusweisG/§ 18 Abs. 3 Satz 2 PassG nicht an Dritte weitergeben. Gem. § 20 Abs. 2 Satz 3 PAusweisG/§ 18 Abs. 3 Satz 3 PassG ist zudem für die Verarbeitung der durch die Ablichtung erhobenen personenbezogenen Daten aus dem Personalausweis/Pass die datenschutzrechtliche Einwilligung des Inhabers erforderlich. Die Anforderungen richten sich nunmehr nach Art. 7 DSGVO. Das Einwilligungserfordernis ist mit der DSGVO vereinbar, da es auf die Öffnungsklausel des Art. 87 DSGVO für nationale Kennziffern und andere Kennziffern von allgemeiner Bedeutung gestützt werden kann.45 Die Erfüllung der Anfrage nach Art. 15–22 DSGVO kann aber ohne Verstoß gegen Art. 7 Abs. 4 DSGVO von der Erteilung der Einwilligung abhängig gemacht werden, da eine ordnungsgemäße Identifizierung ansonsten nicht möglich ist.