Vor Kurzem machte die niederländische Aufsichtsbehörde Autoriteit Persoonsgegevens in Rahmen einer Pressemitteilung die Verhängung eines Bußgeldes in Höhe von 525.000 Euro gegen die DPG Media Magazines B.V. samt dem Bußgeldbescheid publik. Anlass der Ermittlung und der abschließenden Bußgeldverhängung waren mehrere Beschwerden von betroffenen Personen, deren Begehren und die damit einhergehende Wahrung der Betroffenenrechte seitens des Medienunternehmens nicht ordnungsgemäß erfüllt wurden.
Beschwerden lösten Ermittlungen aus
Die betroffenen Personen zeigten an, dass das Medienunternehmen entsprechende Auskunfts- und Löschersuchen erst dann beantwortet, wenn die betroffenen Personen zunächst einen Identitätsnachweis – in Form eines Ausweisdokuments – erbracht hatten. Wer also wissen wollte, welche personenbezogenen Daten das Medienunternehmen über einen selbst gespeichert hat oder eine Löschung seiner Daten erreichen wollte, musste zunächst einmal einen Scan seines Ausweises im Benutzerkonto hochladen oder auf anderen Wegen, konkret per Mail oder Brief, dem Unternehmen zur Verfügung stellen. Betroffene, die ihre Rechte über das bereitgestellte Online-Kontaktformular geltend machten, erhielten nach Versand eine automatisch generierte Aufforderung zur Übermittlung einer Kopie des Ausweises.
Unter den Beschwerdeführern befanden sich – der Pressemitteilung nach – sowohl zahlende Kunden als auch Personen, die in der Vergangenheit lediglich Werbesendungen in Form von Postwurfsendungen erhielten. Sofern die Betroffenen der Forderung der Bereitstellung des Nachweises nicht nachkamen, blieben auch die Auskunfts- und Löschersuchen seitens des Unternehmens unbeantwortet. Ein entsprechender Hinweis seitens des Medienunternehmens, dass die Betroffenen die verlangte Kopie bis auf die erforderlichen Daten hätten schwärzen können, blieb aus.
Gerechtfertigte Zweifel an der Identität
Betroffenen Personen werden im dritten Kapitel der DSGVO (Art. 12 bis 23 DSGVO) umfassende Rechte zugesprochen, die sie gegenüber den datenverarbeitenden Verantwortlichen geltend machen können. Bevor die geltend gemachten Anfragen seitens der verantwortlichen Stellen beantwortet werden, können diese im Zweifel die Identität der hinter der Anfrage stehenden Person erstmal prüfen, bevor dem Begehren im Anschluss an die Prüfung Rechnung getragen wird. Besonders wenn die Umsetzung der Betroffenenanfrage ein erhöhtes Risiko für die betroffene Person darstellen würde oder begründete Zweifel an der Identität der natürlichen Person bestehen, können Verantwortliche gem. Art. 12 Abs. 6 DSGVO zusätzliche Informationen von der anfragenden Person einfordern. Dies rechtfertigt jedoch nicht, von vornherein die Identität bei jeder Anfrage anzuzweifeln und seine internen Prozesse danach auszurichten, so wie es im vorliegenden Fall geschehen war. Die Zweifel an der Identität der Antragstellenden sind einzelfallbezogen plausibel darzulegen.
Genau diesen Umstand hatte auch die Datenschutzbehörde in ihrer Begründung über die Bußgeldverhängung moniert. Danach hätte das Medienunternehmen zu viele Daten zur Identitätsprüfung erhoben. Laut Aufsichtsbehörde stelle die Erhebung einer Ausweiskopie ein zu schweres Mittel im Vergleich zur einfachen Feststellung der Identität dar. Das Verlangen einer Ausweiskopie machte es nach Auffassung der Behörde viel zu kompliziert, gespeicherte Daten einzusehen und entsprechende Löschansprüche zu erwirken. Im Übrigen rügte die Datenschutzbehörde nicht nur die eigentliche Abfrage von Ausweiskopien, sondern begründete das erlassene Bußgeld auch damit, dass das Medienunternehmen es versäumt hatte, die Betroffenen auf die Möglichkeit der Schwärzung von nicht erforderlichen Daten hinzuweisen. Schon aus Gründen der Datenminimierung hätten zumindest das Bild, die Ausweisnummer, die Staatsangehörigkeit und der Geburtsort als nicht erforderlichen Daten deklariert werden müssen.
Kurzer Ausblick & Fazit
Der vorliegende Sachverhalt und die Höhe der Sanktionierung zeigen deutlich auf, dass Verantwortliche durchaus gut beraten sind, interne Prozesse so auszugestalten, dass sie geltend gemachte Anfragen umfassend und möglichst frist- und formgerecht beantworten können. Hierunter kann auch die Überprüfung der Identität der anfragenden Person fallen, wenn es denn Anlass für Zweifel an der Identität gibt. Gerade in solchen Fällen, in denen ein erhöhtes Risiko durch die Beantwortung einer Anfrage für die betroffene Person besteht, sollten dem Risiko entsprechende Anforderungen an die Prüfung getroffen werden. In solchen begründeten Fällen kann es durchaus auch legitim und erforderlich sein, gegenüber dem Anfragenden – unter Beachtung des Grundsatzes der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO – eine geschwärzte Ausweiskopie zu verlangen und auf die nicht erforderlichen Daten im Ausweisdokument hinzuweisen.
Hier sollte die für die Datenverarbeitung verantwortliche Stelle stets im Einzelfall prüfen, ob die Erforderlichkeit eine Identitätsprüfung mittels einer Ausweiskopie durchzuführen besteht und ob nicht doch ein milderes Mittel, wie die Abfrage und der systemseitige Abgleich weiterer Daten, einschlägig ist.
So schauen beim Thema Betroffenenrechte nicht nur Aufsichtsbehörden genauer hin und ergreifen nach eingehenden Beschwerden entsprechende Abhilfemaßnahmen oder sanktionieren, wie im vorliegenden Fall, rechtswidriges Handeln im Umgang mit Betroffenenrechten. Auch in der einschlägigen Rechtsprechung – vorrangig in der arbeitsgerichtlichen Rechtsprechung – lässt sich durchaus diese Tendenz erkennen, sodass Gerichte in der nicht bzw. nicht vollständigen Erfüllung gestellter Anfragen von Betroffenen einen immateriellen Schaden gem. Art. 82 DSGVO begründeten.
Ob das vorliegende Bußgeld auch in dieser Höhe begründet ist, kann durchaus infrage gestellt werden. Fürs Dafürhalten können vorliegend die Argumente eines potenziellen Verlustes der Identität und die damit verbundenen schwerwiegenden Folgen für die Betroffenen in Folge eines unbefugten Datenzugriffs durch Dritte sowie die Vielzahl an Betroffenen herangezogen werden.
Im Übrigen hat das Medienunternehmen gegen das erlassene Bußgeld Widerspruch eingelegt. Sollte es hierzu weitere Erkenntnisse geben, werden wir Sie an gewohnter Stelle auf dem Laufenden halten.