In diesem Jahr haben wir bereits über ein Verfahren des Verwaltungsgericht Berlin (VG Berlin, Beschl. v. 24.04.2023 – Az.: VG 1 K 27/22) berichtet, das die Identitätsprüfung bei Betroffenenanfragen zum Gegenstand hatte.
In dem dortigen Verfahren verlangte der Antragsteller gegenüber einem Unternehmen Auskunft gem. Art. 15 DSGVO über die bei dem Unternehmen über ihn gespeicherten personenbezogenen Daten. Das Unternehmen verweigerte jedoch die Auskunft, weil Zweifel bestanden, dass es sich bei der Person, die den Anspruch geltend machte, auch tatsächlich um die betroffene Person handelte.
Nach Ansicht des Verwaltungsgerichts hat das betreffende Unternehmen dem Antragsteller gegenüber die begehrte Auskunft nach Art. 15 DSGVO zu Recht verweigert, weil die Voraussetzungen des Art. 12 Abs. 6 DSGVO vorlagen.
Urteil des AG Düsseldorf
Nun hatte sich auch das Amtsgericht Düsseldorf mit den Voraussetzungen des Art. 12 Abs. 6 DSGVO auseinanderzusetzen (AG Düsseldorf, Urteil vom 17.08.2023, Az. 51 C 206/23).
In dem Verfahren hatte der dortige Beklagte die Klägerin (Betreiberin eines Onlineshops) im Wege einer Widerklage aufgefordert, eine umfassende Auskunft gemäß Artikel 15 Abs. 1 und 2 DSGVO über die zu seiner Person gespeicherten Daten zu erteilen und zudem gemäß Artikel 15 Abs. 3 S. 1 DSGVO eine Kopie sämtlicher Daten zur Verfügung zu stellen.
Die Klägerin verweigerte die Auskunft und forderte, dass der Beklagte sich zuvor mit einem Personaldokument legitimieren. Nach Ansicht des Gerichts waren die Voraussetzungen von Art. 12 Abs. 6 DSGVO jedoch nicht gegeben und die Auskunft hätte ohne weiteren Identitätsnachweis erfolgen müssen.
Weiter hat das AG Düsseldorf dem Beklagten einen Anspruch auf immateriellen Schadensersatz in Höhe von 500,00 € gemäß Art. 82 Abs. 1 DSGVO zugesprochen, weil die Klägerin die dem Beklagten nach Art. 15 DSGVO zustehenden Ansprüche nicht erfüllt hat.
Was sagt Art. 12 Abs. 6 DSGVO?
Art. 12 Abs. 6 DSGVO besagt: „Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.“ Sollte die Identifikation trotz Bereitstellung zusätzlicher Informationen nicht möglich sein, kann ein Tätigwerden mit nachweisbaren Gründen verweigert werden (Art. 12 Abs. 2 i. V. m. Art. 11 Abs. 2 DSGVO).
Unternehmen oder auch öffentliche Stellen, die Betroffenenanfragen erhalten, sollten daher darauf achten, dass die Beantwortung solcher Anfragen nicht per se von der Vorlage weiterer Identitätsnachweise abhängig gemacht werden darf. Solche Nachweise dürfen erst bei begründeten Zweifeln an der Identität des Anfragenden eingefordert werden.
Die beiden genannten Entscheidungen zeigen zudem das Dilemma, in dem sich eine verantwortliche Stelle befinden kann. Zum einen sind Betroffenenanfragen gem. Art. 12 Abs. 3 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zu beantworten. Werden berechtigte Betroffenenanfragen nicht erfüllt, so liegt ein Datenschutzverstoß des Verantwortlichen vor, der eventuell zu einem Bußgeld oder – wie vorliegend – zu Schadensersatz führen kann.
Auf der anderen Seite dürfen personenbezogene Daten aber auch nicht an unberechtigte Personen herausgegeben werden. Dies würde wiederum auch eine Datenschutzverletzung darstellen.
Die beiden Entscheidungen zeigen die Wichtigkeit auf, sich mit den Voraussetzungen von Betroffenenanfragen auseinanderzusetzen und wirksame Prozesse zu implementieren.