„Ziel der von der Kommission vorgeschlagenen neuen Vorschriften ist es, die Rechte zu stärken, den Menschen wirkungsvolle Mittel an die Hand zu geben, die sicherstellen, dass sie vollständig darüber im Bilde sind, was mit ihren personenbezogenen Daten geschieht, und die sie in die Lage zu [sic!] versetzen, ihre Rechte wirksamer wahrzunehmen“ – so hieß es vor fast zehn Jahren in einer Mitteilung der Europäischen Kommission über die wichtigsten Aspekte der Reform des EU-Datenschutzrechts. Ein Gedanke, der sich heute in Erwägungsgrund 11 der Datenschutz-Grundverordnung wiederfindet, in dem es heißt, dass „ein unionsweiter wirksamer Schutz personenbezogener Daten […] die Stärkung und präzise Festlegung der Rechte der betroffenen Personen“ erfordert – und der natürlich auch in die DSGVO selbst eingearbeitet wurde, durch die Verankerung eben dieser Betroffenenrechte in Kapitel III. Sei es bspw. der Anspruch auf Auskunft (Art. 15 DSGVO), das „Recht auf Vergessenwerden“ (Art. 17 DSGVO) oder das Einlegen eines Widerspruchs (Art. 21 DSGVO): Immer häufiger nehmen betroffene Personen die Rechte, die ihnen die DSGVO gewährt, aktiv war.
Gestärkt werden diese durch die Regelungen in Art. 12 DSGVO, welche Vorgaben zur Transparenz (in Bezug auf Informationen und Kommunikation) sowie zu den Modalitäten der Ausübung umfassen. Die Vorgaben zu Letzterem sind dabei stark dadurch geprägt, den betroffenen Personen eine möglichst niederschwellige Möglichkeit zur Geltendmachung ihrer Rechte zu garantieren – was auch ganz im Zeichen des besagten Erwägungsgrunds 11 steht, nach dem ein EU-weiter wirksamer Schutz von personenbezogenen Daten die Stärkung dieser Rechte voraussetzt. Allerdings werfen diese Vorgaben wiederum auch die Frage auf, ob das Verhalten eines Verantwortlichen, der standardmäßig Prüfmechanismen bei Betroffenenanfragen vorgesehen hat, um bei der Einhaltung seiner eigenen Verpflichtungen „auf Nummer sicher“ zu gehen, damit zu vereinbaren ist.
Erleichterung ist gut, Kontrolle ist besser?
Ein klassisches Beispiel dafür wäre, dass der Verantwortliche bei jeder eingehenden Betroffenenanfrage einen Identitätsnachweis verlangt, damit die Bearbeitung eines Antrags, der von einer falschen Person gestellt wurde, ausgeschlossen wird. Die DSGVO allerdings gibt nicht nur eine schnelle Beantwortung (unverzüglich, in jedem Fall aber spätestens nach einem Monat, Art. 12 Abs. 3 DSGVO) und (im Regelfall) kostenlose Antragstellung (Art. 12 Abs. 5 DSGVO) vor, sondern auch, dass der Verantwortliche den betroffenen Personen die Ausübung ihrer Rechte zu erleichtern hat (Art. 12 Abs. 2 DSGVO). Dieses Erleichterungsgebot wird durch Erwägungsgrund 59 S. 1 und 2 der DSGVO präzisiert: Demnach sollten vom Verantwortlichen, um die Ausübung der Rechte zu erleichtern, Mechanismen festgelegt werden, die auch dafür sorgen, dass die betroffene Person „unentgeltlich insbesondere Zugang zu personenbezogenen Daten und deren Berichtigung oder Löschung beantragen und gegebenenfalls erhalten oder von ihrem Widerspruchsrecht Gebrauch machen kann“ und zudem dafür gesorgt werden, eine elektronische Antragstellung zu ermöglichen, gerade wenn auch die Verarbeitung der personenbezogenen Daten elektronisch erfolgt.
Zwar stellt die überwiegende Anzahl an Unternehmen heutzutage eine Option, Betroffenenrechte elektronisch geltend zu machen, zur Verfügung, jedoch wird dabei häufig auch verlangt, dass die betroffene Person eine Kopie ihres (geschwärzten) Personalausweises übermittelt, bevor ihrem Antrag nachgekommen wird. Als Grund dafür kann die Befürchtung eines Datenschutzverstoßes angeführt werden. So könnte es sich bei dem Absender des Antrags doch nicht um die darin benannte betroffene Person handeln und deshalb möglicherweise einem Dritten Auskunft erteilt oder dessen Wunsch nach Berichtigung, Veränderung oder Löschung von personenbezogenen Daten eines anderen entsprochen werden. Angesichts der Folgen für die Person, um deren Daten es in dem Antrag letztlich geht und aufgrund des Risikos für das Unternehmen bei einer Datenschutzverletzung (Schadensersatzansprüche dieser Person gem. Art. 82 DSGVO sowie eine Bußgeldverhängung durch die Aufsichtsbehörde gem. Art. 83 DSGVO) sind diesbezügliche Sorgen mehr als nachvollziehbar.
Allerdings stellt ein Identitätsnachweis für eine betroffene Person, die einen Antrag stellen möchte, alles andere als eine „Erleichterung“ der Ausübung ihrer Rechte dar. Stattdessen bringt bspw. die Aufforderung, den eigenen Personalausweis einzuscannen, die Kopie zu schwärzen und schließlich zu übermitteln, einen gewissen Aufwand und teilweise ein Abschreckungspotential mit sich und könnte viele Antragsteller doch noch von dem Wunsch abbringen, die ihnen zustehenden Rechte geltend zu machen. Die Frage ist daher, ob ein verantwortliches Unternehmen damit gegen das Erleichterungsgebot agiert und die Ausübung der Betroffenenrechte nicht sogar unnötig erschwert.
Identitätsnachweis – wann anfordern?
Für diese Auffassung spricht, dass es in Erwägungsgrund 64 heißt: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen.“ Dies impliziert, dass zunächst eine Handlung des Verantwortlichen selbst vonnöten ist, um die Identität des Antragstellenden zu prüfen, bevor dieser selbst zum Nachweis aufgefordert wird.
Erwägungsgrund 57 führt aus, dass etwa eine digitale Identifizierung „beispielsweise durch Authentifizierungsverfahren etwa mit denselben Berechtigungsnachweisen, wie sie die betroffene Person verwendet, um sich bei dem von dem Verantwortlichen bereitgestellten Online-Dienst anzumelden“ möglich sein sollte. Verfügt die betroffene Person also bspw. über einen User-Account, durch den eine Zuordnung der Daten zu ihr erfolgen kann, genügt dies zur Identitätsbestätigung. Auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) ist der Auffassung, in diesem Fall dürfe keine weitere Identifizierung verlangt werden. Er geht jedoch auch darauf ein, dass die Sicherheit dieser Methode stark von dem Passwort abhängt, das der Account-Inhaber vergeben hat und bezeichnet die Erforderlichkeit einer Zwei-Faktor-Authentifizierung zur Ausübung der Betroffenenrechte als wünschenswert.
Wesentlich häufiger als zur Antragstellung über Nutzerkonten kommt es in der Praxis jedoch zu Anträgen per E-Mail, was sich als schwieriger erweisen kann: Sofern die entsprechende E-Mail-Adresse unbekannt oder wenn der betroffenen Person ggf. eine andere E-Mail-Adresse zugeordnet ist, besteht für den Verantwortlichen keine Klarheit über die Identität des Absenders. Um in dieser Situation einen Identitätsnachweis verlangen zu können, kann sich der Verantwortliche sodann auf Art. 12 Abs. 6 DSGVO berufen. Darin findet sich letztlich die Regelung, dass zusätzliche, zur Identitätsbestätigung erforderliche Informationen angefordert werden können, sollte der Verantwortliche „begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt“ haben.
Identitätsnachweis – was anfordern?
Die Folgefrage ist dann natürlich, welche zusätzlichen Informationen der Verantwortliche anfordern darf, insbesondere in Anbetracht des angesprochenen Erleichterungsgebots, das es bei den Modalitäten zur Ausübung der Betroffenenrechte zu beachten gilt (Art. 12 Abs. 2 DSGVO). Zudem ist sich hier auch der Grundsatz der Datensparsamkeit in Art. 5 Abs. 1 lit. c DSGVO ins Gedächtnis zu rufen: Die Daten müssen „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“. Nach der Landesbeauftragten für den Datenschutz Niedersachsen (LfD Niedersachsen) können zum Zwecke der Identitätsprüfung der vollständige Name, die Anschrift und ggf. das Geburtsdatum abgefragt werden. Dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zufolge, kann auch die Übermittlung einer Personalausweiskopie in Einzelfällen zulässig sein – erforderlich sind hier jedoch nur der Name, die Anschrift, das Geburtsdatum und die Gültigkeitsdauer des Ausweises. Daraus ergibt sich dann natürlich im Umkehrschluss, dass das Verlangen einer – um die anderen Angaben geschwärzten – Ausweiskopie sogar in Fällen, in denen begründete Zweifel an der Identität des Antragstellenden bestehen und der Verantwortliche deshalb einen Identitätsnachweis verlangen darf (Art. 12 Abs. 6 DSGVO), nur die Ausnahme sein kann. Darüber hinaus fügt der LfDI Baden-Württemberg an, dass der Verantwortliche für die Übermittlung einer geschwärzten Ausweiskopie per E-Mail einen sicheren Zugangsweg anzubieten hat, z. B. durch „die Bereitstellung eines öffentlichen Schlüssels des Verantwortlichen, mit dem die betroffene Person die Ausweiskopie Ende-zu-Ende-verschlüsselt per E-Mail übermitteln kann“ oder „die Bereitstellung eines Links zu einer HTTPS-geschützten Website […], über die die betroffene Person die Ausweiskopie (ohne weitere selbst zu ergreifende Maßnahmen) sicher an den Verantwortlichen übermitteln kann“.
Welche Schlüsse lassen sich daraus ziehen?
Letztlich bleibt also festzuhalten, dass die Pflicht des Verantwortlichen, die Ausübung der Betroffenenrechte aus Kapitel III der DSGVO zu erleichtern nicht zwangsläufig im Widerspruch mit dem Verlangen eines Identitätsnachweises steht, auch wenn dies für die betroffenen Personen mit Aufwand verbunden sein kann. Denn letztlich ist es dem Verantwortlichen nicht erlaubt, die Vorlage eines solchen Nachweises zur Regel zu machen. Stattdessen darf er – wie es die DSGVO vorgibt! – nur bei begründeten Zweifeln zusätzliche Informationen zur Identifizierung anfordert. Wichtig ist, dass sodann nur die zu diesem Zwecke erforderlichen Daten abgefragt werden, welche auch ausschließlich zu diesem Zwecke verwendet werden und dass das Fordern einer geschwärzten Ausweiskopie die Ultima Ratio bleibt.