Auskunftsersuchen – Sicherheit bei der Identität

Das Auskunftsersuchen ist einer der zentralen Grundrechte des Betroffenen. Unternehmen müssen Privatpersonen umfassend über gespeicherte Datenkategorien und eventuelle Weitergaben an Dritte informieren und auch auf Verlangen die Daten selbst bereitstellen (Grundlage hier ist der Art. 15 DSGVO).

Dies ist gerade in mittleren und großen Unternehmen nicht immer ein einfacher Prozess. Ist er doch verbunden mit Abfragen in verschiedenen Systemen und Teilen des Unternehmens. Doch bevor dieser Prozess beginnt, gilt es die Identität des Betroffenen zu bestätigen. Eine Vorgabe die als Identitätsprüfung unter Erwägungsgrund 64 so beschrieben ist: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen.“

Ob eine Beauskunftung auch mit einer gefälschten Identität erfolgen könne, wollte ein britischer Oxford-Student genauer wissen und schickte eine Auskunftsanfrage an 150 Organisationen [Link]. Dabei gab er sich als seine Freundin aus, nutzte eine gefälschte E-Mail-Adresse und reicherte die Glaubwürdigkeit mit öffentlich verfügbaren personenbezogenen Daten an. Die Ergebnisse sprechen für sich. Während einige Unternehmen (23%) nicht reagierten, übermittelten fast ein Viertel der angeschriebenen Unternehmen auf die Anfrage die gespeicherten Daten.

Die Gründe für das Versagen der Identitätsprüfung können vielfältig sein. Zeitlicher Druck, drohende Anzeigen bei Datenschutzaufsichtsbehörden oder unscharf modellierte Prüfprozesse sind vermutlich die naheliegendsten Begründungen im vorliegenden Fall. Zentrales Dokument zur Identitätsprüfung ist in Deutschland der Personalausweis. Im Personalausweisgesetz (PAuswG) verankert, reguliert es wer in welchem Umfang den Personalausweis zum Zwecke der Identitätsprüfung nutzen darf. Dabei sind auch nicht öffentliche Stellen durchaus berechtigt eine Kopie anzufordern, wenn diese als Kopie erkennbar ist.

Daher sollte auch Sie in Ihrem Unternehmen bei begründeten Verdachtsfällen einen Identitätsnachweis verlangen. Das kann beispielsweise eine in Teilen unkenntlich gemachte Kopie eines Personalausweises sein. Ermutigen Sie Ihre Mitarbeiter auch bei verdächtigen Anfragen nachzufragen und die angegebene Identität zu überprüfen.

Bevor, durch vorschnelles Handeln und mangelnde Aufmerksamkeit begünstigt, aus einem Auskunftsersuchen ein meldepflichtiger Datenschutzvorfall wird.